浅析cve-2011-1823(Gingerbreak)

最新推荐文章于 2021-03-31 23:44:36 发布
最新推荐文章于 2021-03-31 23:44:36 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: Android安全-Root漏洞分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/py_panyu/article/details/46013631
版权

 

 

0x0 漏洞信息

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-1823

 

0x1 漏洞描述

在Android 3.0版本和2.3.4之前的2.x版本上的volume守护进程(vold)由于信任从PF_NETLINK套接字接收到的消息,因此允许以root权限执行任意代码,利用方法是通过一个负数索引绕过只针对最大值的有符号整数检测.

 

0x2 代码分析

 

//未修复的handlePartitionAdded代码
void DirectVolume::handlePartitionAdded(const char *devpath, NetlinkEvent *evt) 
{
    int major = atoi(evt->findParam("MAJOR"));
    int minor = atoi(evt->findParam("MINOR"));

    int part_num;

    //从NETLINK消息中获取PARTN参数
    const char *tmp = evt->findParam("PARTN");

    if (tmp) 
    {
        part_num = atoi(tmp);
    } 
    else 
    {
        SLOGW("Kernel block uevent missing 'PARTN'");
        part_num = 1;
    }

    //检查动态增长的成员变量,但是并没有定义绝对的数组边界
    if (part_num > MAX_PARTITIONS)
    {
       mDiskNumParts = part_num;
    }

    if (major != mDiskMajor) 
    {
        SLOGE("Partition '%s' has a different major than its disk!", devpath);
        return;
    }
	
	
    //将用户控制的值存在了用户控制的下标所对应的数组元素中,只检查了上界
    if (part_num >= MAX_PARTITIONS) 
    {
        SLOGE("Dv:partAdd: ignoring part_num = %d (max: %d)\n", part_num, MAX_PARTITIONS-1);
    } 
	
	//....
}

 

函数没有正确的检查 part_num 变量的边界,攻击者可以通过NETLINK消息中的PARTN参数来传入part_num变量的值.在上述表现语句中,part_num变量被解释为有符号整数,并且被用作数组下标来访问数组.函数没有检查下标是否为负数,这导致了程序访问mPartMinors数组位于堆上之前的元素.

 

0x3 如何利用

Gingerbreak首先要获得全局偏移表(GOT表)到DirectVolume类mPartMinors数组的偏移.由于受影响的Android版本还未引入ALSR,因此vold进程无论如何重启,这个偏移都会保持不变,而且vold崩溃后会自动重启.利用就是要用无效的偏移来让它崩溃,然后读取崩溃的日志信息,获取地址信息.这样GOT举例mPartMinor数组的偏移就可以计算出来.GOT的地址可以通过解析磁盘上的vold的ELF文件头来得到.

 

 

 

为了实现有效代码执行,漏洞利用把GOT表中的strcmp函数项覆盖为libc中的system函数.同样,系统没有开启ALSR,所以可以使用当前进程libc中system函数的地址,这和目标进程中的system地址是相同的.当vold进程下次调用strcmp时,就会执行system函数.利用发送了一个NETLINK请求,所以利用只需在传入的参数字符串中提供一个二进制程序的路径.这样在vold进程对字符串进行比较的时候,就会运行这个二进制程序.

 

0x4 Poc

/* android 2.2-3.0 vold root exploit "mPartMinors[] (NPARTS) out of bounds write"
 * (checked for upper limit but not against negative values).
 *
 * Exploited by changing GOT entry of strcmp(),atoi() etc. to system()
 * and then triggering such call with provided pointer. :D
 * We nevermind NX protections and what they call ROP.
 *
 * (C) 2010-2011 The Android Exploid Crew
 *
 * Before using, insert empty formatted sdcard. USE IT AT YOUR OWN RISK, THIS PROGRAM
 * MIGHT NOT WORK OR MAKES YOUR DEVICE USELESS/BRICKED. SO BE WARNED!
 * I AM NOT RESPONSIBLE FOR ANY DAMAGE IT MIGHT CAUSE!
 *
 * It only works if called from adb shell since we need
 * group log.
 *
 */
#include <stdio.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <sys/mount.h>
#include <sys/time.h>
#include <linux/netlink.h>
#include <sys/socket.h>
#include <sys/un.h>
#include <arpa/inet.h>
#include <unistd.h>
#include <fcntl.h>
#include <errno.h>
#include <string.h>
#include <signal.h>
#include <stdlib.h>
#include <math.h>
#include <dlfcn.h>
#include <elf.h>
#include <sys/system_properties.h>


static struct {
	pid_t pid;
	uint32_t got_start, got_end;
	uint32_t
最低0.47元/天 解锁文章
少仲_
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
刷机利器GingerBreak-v1.20.apk
03-22
关于“宏基a500怎么root?”相关问题,库巴帮助小助手为您解答:   关于ROOT的用途,我想玩过Android手机的同学都应该非常熟悉,获取ROOT之后,就可以对系统文件和设置进行任意的操作,使用不少需要ROOT的软件,用途还是很大的。由于A500采用的是Android3.0系统,以前诸如Z4ROOT等ROOT软件在上面并不起作用,需要其他的获取ROOT软件,方法上也略有区别,下面介绍一下A500获取ROOT的方法。   1、在获取ROOT前,首先要确保“USB调试”与“未知来源”都被开启。这两个选项都在“设置”—“应用程序”的界面中。   2、这里破解ROOT使用的是“GingerBreak-v1.20”这个一键ROOT软件,是在XDA论坛找到的。   3、A500机身中必须插入一张TF内存卡,因为GingerBreak需要使用TF卡,在破解过程中可能会将TF卡中的数据清除,所以事先做好备份工作。   4、将A500至于竖屏显示状态,然后锁住屏幕方向(锁屏键在音量开关的旁边)。   5、做好上面工作后,安装并执行GingerBreak-v1.20,选择第二项,这时开始破解,等待几分钟,机器会自动重启。   重启后ROOT权限获取成功,这时程序列表中会多了一个“授权管理”。
Android Root方法原理解析及Hook(四) GingerBreak
热门推荐
Mind In Chaos
02-23 2万+
和zergRush的攻击原理是一样的,其实zergRush的code部分源于GingerBreak,都是先使vold进程崩溃,从logcat拿到调试信息,然后让vold进程以root权限执行恶意的shellcode(boomsh),        利用了android的/system/vold/DirectVolume.cpp中handlePartitionAdded()函数的漏洞 void
AndroidRoot的本质和常用工具及软件,包括知名漏洞zergRush和Gingerbreak
记录和分享程序人生的点点滴滴
12-14 1726
对于Android系统来说,应用程序可以通过获取Androidroot权限,来越过Android系统的限制,从而访问到系统底层或其它应用程序的数据或文件,进程等。这和iOS的越狱的概念差不多。
GingerBreak 手机一键root源码
02-27
GingerBreak 手机一键root源码
关于Android的root提权漏洞
Tesi1a的充电桩
09-09 1万+
以下两个转自于知乎少仲哥 和flanker_hqd的回答:1.CVE-2009-2692(Wunderbar/asroot)sock_sendpage()的空指针解引用.因为sock_sendpage 没有对 socket_file_ops 结构的 sendpage 字段做指针检查,有些模块不具备sendpage 功能,初始时赋为 NULL,这样,没有做检查的sock_sendpage 有可能直接调
CVE-2011-0816, CVE-2011-0831, CVE-2011-0832, CVE-2011-0835
06-20
CVE-2011-0816, CVE-2011-0831, CVE-2011-0832, CVE-2011-0835, CVE-2011-0838, CVE-2011-0848, CVE-2011-0870, CVE-2011-0876, CVE-2011-0879, CVE-2011-0880, CVE-2011-2230, CVE-2011-2231, CVE-2011...
MS11-049:Microsoft XML Editor 信息泄露漏洞(2543893)(CVE-2011-1280)
02-09
该资源只提供sqlserver2008r2补丁安装...Microsoft 已发布一系列用于 SQL Server 2005、2008 和 2008 R2 的修补程序,详请参考:https://docs.microsoft.com/en-us/security-updates/securitybulletins/2011/ms11-049
CVE-2017-12615-master.zip
09-04
**CVE-2017-12615:Apache Struts2远程代码执行漏洞详解** CVE-2017-12615是一个针对Apache Struts2框架的严重安全漏洞,它允许攻击者通过恶意构造的HTTP请求在目标服务器上执行任意代码,从而可能导致数据泄露、...
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
最新发布
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包 CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
Nmap的漏洞利用脚本初探
夫君子之行,静以修身,俭以养德,非淡泊无以明志,非宁静无以致远.
01-13 4886
Nmap的漏洞利用脚本初探 made by tdcoming!1 1.概述   使用nmap进行扫描的时候,总会去结合者使用一些漏洞发现利用的脚本!但是呢,namp到底还有多少“秘密”!今天打算去研究一波,看看会不会舔到什么包,至少学习的路上不停的“跑毒”还是很有必要的! 2.开启脚本封印  正确的解开封印的姿势: cd /usr/share/nmap/scripts  #进入nma...
【Vulnhub靶机】DC-6
qq_40863723的博客
02-15 2906
多喝热水:http://hackergu.com 主机发现 ​ 使用netdiscover命令,发现主机IP为192.168.203.132 端口探测 ​ 使用Nmap,nmap -sV -A 192.168.203.132 --script=vuln。 ​ 探测结果: root@kali:~# nmap -sV -A 192.168.203.132 --script=vuln Starti...
CVE-2012-1823学习
公众号shadow sock7
03-27 1320
参考: https://pentesterlab.com/exercises/cve-2012-1823/courseuser@debian:~$ php-cgi -h Usage: php [-q] [-h] [-s] [-v] [-i] [-f ] php [args...] -a Run interactively -b | Bind Pa
KaliLinux-nmap(众神之眼)高级应用-IDS与防火墙规避及漏洞利用脚本篇
易编橙 · 终身成长社群,相遇已是上上签!
03-31 2869
文章目录IDS与防火墙规避篇NSE脚本篇常用的脚本攻击案例扫描服务器常见的漏洞检查FTP是否存在匿名登陆利用DNS进行子域名暴力破解对MySQL进行暴力破解对MsSQL进行暴力破解对Oracle进行暴力破解对SSH进行暴力破解修改Nmap默认的UserAgentHTTP管道 IDS与防火墙规避篇 在实际应用场景中,Nmap提供了多种规避技巧用于IDS和防火墙的检测和屏蔽 下面是一些常用的规避方式 命令参数 参数详解 -f 将发送的检测数据包以分片碎片化的方式进行传输,用以规避IDS和防火
Android手机一键Root原理分析(作者:非虫,文章来自:《黑客防线》2012年7月)
hikame的专栏
03-24 3195
之前几天都在做Android漏洞分析的项目,万幸发现了这篇文章。废话不多说,上文章! 《Android手机一键Root原理分析》 (作者:非虫,文章来自:《黑客防线》2012年7月) 一直以来,刷机与Root是Android手机爱好者最热衷的事情。即使国行手机的用户也不惜冒着失去保修的风险对Root手机乐此不疲。就在前天晚上,一年一度的Google I/O大会拉开了帷幕,最新
CVE-2012-1889漏洞利用
enjoy5512的博客
09-25 3731
ROP技术绕过DEP保护 Heap Spray技术绕过ASLR保护 CVE-2012-1889
CVE-2011-1473
01-04
CVE-2011-1473是一个与Java安全性相关的漏洞,该漏洞可能允许攻击者绕过TLS/SSL协议的安全性保护措施。攻击者可以利用此漏洞进行中间人攻击或窃取敏感信息。 为了修复CVE-2011-1473漏洞,您需要对RocketMQ的name ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值