浅析CVE-2011-3874(zergRush)

最新推荐文章于 2024-03-14 11:29:12 发布
最新推荐文章于 2024-03-14 11:29:12 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: Android安全-Root漏洞分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/py_panyu/article/details/45565549
版权
本文详细分析了CVE-2011-3874漏洞,该漏洞是由于Linux内核中的use after free问题导致的安全风险。通过栈溢出,攻击者可以控制具有root权限的vold进程执行system(),从而实现提权。文章介绍了漏洞的描述、代码分析、利用方法和修复措施。
摘要由CSDN通过智能技术生成

 

 

 

0x0 漏洞信息

 

 

 

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-3874

 

 

 

0x1 漏洞描述

 

 

漏洞的本质是"use after free".具有root权限的vold进程使用了libsysutils.so,其中某个函数存在栈溢出的问题,因此可以控制root身份的vold执行system(),借以提权.

 

 

0x2 代码分析

漏洞存在于/system/core/libsysutils/src/FrameworkListener.cpp的FrameworkListener::dispatchCommand方法

 

#define CMD_ARGS_MAX 16
void FrameworkListener::dispatchCommand(SocketClient *cli, char *data) 
{
    FrameworkCommandCollection::iterator i;
    int argc = 0;
    //在栈上分配了一个固定大小的数组argv
    char *argv[FrameworkListener::CMD_ARGS_MAX];
    char tmp[255];
    char *p = data;
    char *q = tmp;
    bool esc = false;
    bool quote = false;
    int k;

    //省略无关代码
    .....

    if (!quote && *q == ' ') 
    {
            *q = '\0';
            //填充数组的时候没有检测是否越界
            argv[argc++] = strdup(tmp);
            memset(tmp, 0, sizeof(tmp));
            q = tmp;
            continue;
        }
}


onDataAvailable方法监听socket输入,接收数据包后以'\0'为分隔符,将buffer内容分段传给dispatchCommand函数做进一步处理.dispatchCommand将接受的字符串以空格分割,调用strdup函数在堆中生成复制,把堆中地址保存到argv数组.但在argv数组越界,与tmp发生重叠的情况下,假设有一条命令带有17个参数,
"cmd x1 x2 x3 x4 x5 x6 x7 x8 x9 x10 x11 x12 x13 x14 x15 x16 \x78\x56\x34\x12"

 

argv[0] == "cmd";
argv[1] == "x1";
argv[2] == "x2";
argv[3] == "x3";
argv[4] == "x4";
argv[5] == "x5";
argv[6] == "x6";
argv[7] == "x7";
argv[8] == "x8";
argv[9] == "x9";
argv[10] == "x10";
argv[11] == "x11";
argv[12] == "x12";
argv[13] == "x13";
argv[14] == "x14";
argv[15] == "x15";
argv[16] == 0x12345678;
argv[17] == "\x78\x56\x34\x12";


argv数组大小只有16项,argv[16]实际上是tmp数组的前4个字节,而最后一个参数是"\x78\x56\x34\x12",它被解析出来后缓存到tmp里,这样tmp的前4字节就成了0x78,0x56, 0x34,0x12 ,因此argv[16]==0x12345678.之后,argv[16]被free,即执行了free(0x12345678).我们可以任意控制参数内容,即可实现:free(任意地址).

 

 

 

0x3 如何利用

 

可以通过free来攻击虚函数.zergRush攻击的思路是先free对象C,这片堆空间恢复成空闲状态,再重新占用对象地址,进而覆盖vtable实现控制.

 

 

 

for (i = mCommands->begin(); i != mCommands->end(); ++i) 
{
    FrameworkCommand *c = *i;
  
    if (!strcmp(argv[0], c->getCommand())) 
    {
    	//runCommand函数是虚函数,先想办法得到c的地址填入argv[17],在free时free掉c
        if (c->runCommand(cli, argc, argv)) 
        {
            SLOGW("Handler ‘%s‘ error (%s)", c->getCommand(), strerror(errno));
        }
            goto out;
    }
}

 

之后调用c->runCommand前将c的堆空间内容控制住,若这时向dispatchCommand传入新的命令,则在第一次strdup时有可能申请的堆空间就是刚刚c的空间,若构造好参数则控制了堆中内容,也就控制了虚表.这时程序执行到c->runCommand时就劫持了控制流.

 

 

0x4 Poc

 

/* android 2.2/2.3 libsysutils root exploit use-after-free
 *
 * Exploited by rewriting a FrameworkCommand object making the runCommand
 * point to our first ROP gadget.
 *
 * Copyright (c) 2011, The Revolutionary development team.
 *
 * Before using, insert empty formatted sdcard. USE IT AT YOUR OWN RISK,
 * THIS PROGRAM MIGHT NOT WORK OR MAKES YOUR DEVICE USELESS/BRICKED.  SO BE
 * WARNED!  I AM NOT RESPONSIBLE FOR ANY DAMAGE IT MIGHT CAUSE!
 *
 * It only works if called from adb shell since we need group log.
 *
 * Compile:
 * agcc zergRush.c -o zergRush -ldiskconfig -lcutils
 *
 */
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <signal.h>
#include <errno.h>
最低0.47元/天 解锁文章
少仲_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞 — zergRush (补充)
10-13 5247
没看到上文的参见一下  http://blog.csdn.net/tomken_zhang/article/details/6866260   上文中还没有来细细分析漏洞的出处及利用过程,现在又有所收获,特记录下来。   上文说到,向 vold 发送了一段 SOCKET
zergRush (CVE-2011-3874) 提权漏洞分析
weixin_30920853的博客
10-02 110
最近(终于)转Android了,2011年著名的zergrush是接触的第一个ROOT漏洞。虽然它已经过气了,只影响Android 2.2 - 2.3.6,但觉得还是有必要记录一下分析所得。 市面上各种ROOT工具基本都包含zergrush,大多是开源的zergRush.c直接编译而来。已有的分析文章:   tomken_zhang,漏洞 — zergRush,漏洞 — zergRu...
ROOT android 原理。 基于(zergRush
daibalusu
02-23 134
出自: http://bbs.gfan.com/android-2996211-1-1.html 需要ROOT的同学请去上面的地址下载。 a.控制手机创建个临时文件夹,然后把zergRush脚本写入此文件夹,并修改此文件权限使之可以执行(这一步无需ROOT权限); adb shell rm -r /data/local/tmp adb shell mkdir /data...
zergRush: 快速、高效的代码搜索工具
最新发布
gitblog_00046的博客
03-14 427
zergRush: 快速、高效的代码搜索工具 ZergRush是一个开源的代码搜索引擎,它可以帮助开发者快速地在大量的代码库中查找特定的代码片段或功能。无论是个人项目还是大型企业级项目,zergRush都能够帮助您提高开发效率和代码质量。 功能特性 强大的搜索功能:zergRush支持模糊搜索、关键词高亮显示和多种筛选选项,您可以轻松找到所需的结果。 灵活的部署方式:您可以将zergRush部署...
CVE-2011-0816, CVE-2011-0831, CVE-2011-0832, CVE-2011-0835
06-20
CVE-2011-0816, CVE-2011-0831, CVE-2011-0832, CVE-2011-0835, CVE-2011-0838, CVE-2011-0848, CVE-2011-0870, CVE-2011-0876, CVE-2011-0879, CVE-2011-0880, CVE-2011-2230, CVE-2011-2231, CVE-2011...
MS11-049:Microsoft XML Editor 信息泄露漏洞(2543893)(CVE-2011-1280)
02-09
该资源只提供sqlserver2008r2补丁安装...Microsoft 已发布一系列用于 SQL Server 2005、2008 和 2008 R2 的修补程序,详请参考:https://docs.microsoft.com/en-us/security-updates/securitybulletins/2011/ms11-049
CVE-2017-12615-master.zip
09-04
**CVE-2017-12615:Apache Struts2远程代码执行漏洞详解** CVE-2017-12615是一个针对Apache Struts2框架的严重安全漏洞,它允许攻击者通过恶意构造的HTTP请求在目标服务器上执行任意代码,从而可能导致数据泄露、...
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包 CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
ZergRushTempRoot_V3.0汉化版
10-16
ZergRushTempRoot_V3.0汉化版
Android刷Root方法,zergRush,Odin3+CWM(ClockworkMod recovery)
04-07
NULL 博文链接:https://f059074251.iteye.com/blog/1563846
漏洞利用EXP windows-kernel-exploits-master.zip
03-10
本地溢出提权首先要有服务器的一个普通用户权限,攻击者通常会向服务器上传本地溢出程序,在服务器端执行,如果系统存在漏洞,那么将溢出Administrator权限。以下是不同系统提权的漏洞和相应的补丁。
AndroidRoot的本质和常用工具及软件,包括知名漏洞zergRush和Gingerbreak
记录和分享程序人生的点点滴滴
12-14 1741
对于Android系统来说,应用程序可以通过获取Androidroot权限,来越过Android系统的限制,从而访问到系统底层或其它应用程序的数据或文件,进程等。这和iOS的越狱的概念差不多。
基于数组越界的缓冲区溢出
无心的博客
02-15 1135
文章来源:https://blog.seclibs.com/基于数组越界的缓冲区溢出/ 上一篇文章说了函数调用时候的堆栈变化,这里就基于这个内容来验证一下基于数组越界的缓冲区溢出。 在c语言中,数组必须是静态的,也就是在定义的时候必须明确数组的大小,在根本上来说,这个是堆栈提升的原因,只有在数组的大小确定的时候,才能明确堆栈到底要提升多少,如果数组的大小是动态变化的,就极容易发生缓冲区溢出;而且c...
关于CVE-2019-0708 - 数组越界
yusakul的博客
05-17 360
给数组赋值的索引没有做检查,可以修改传入的参数a2, a3给设计好任意的地址赋值 对比网上资料,补丁做了参数检查
zergRush源码
记录和分享程序人生的点点滴滴
12-22 3104
zergRush用于对Android手机进行root提权, 适用于android 2.2/2.3版本,代码可以从下面这个网址获得: https://github.com/revolutionary/zergRush/downloads 这里,将zergRush.c的代码发布出来,仅供参考:
Android提权代码zergRush分析
记录和分享程序人生的点点滴滴
12-22 2641
来源于: http://blog.claudxiao.net/2011/10/zergrush/ Android提权代码zergRush分析 一、背景和原理 Revolutionary工具开发小组在2011年10月发布了一个在Android 2.2和2.3上获得root权限的方法[1],并公布了漏洞利用代码zergRush.c[2]。tomken_zhang已经在其博客上发
CVE-2011-1473
01-04
CVE-2011-1473是一个与Java安全性相关的漏洞,该漏洞可能允许攻击者绕过TLS/SSL协议的安全性保护措施。攻击者可以利用此漏洞进行中间人攻击或窃取敏感信息。 为了修复CVE-2011-1473漏洞,您需要对RocketMQ的name ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值