google 8.1.0 本地拒绝服务的思考?

0x01 :切入点

       在测试google 8.1版本的时候发现系统预留的service 接口存在一个本地拒绝服务漏洞。从捕获到的崩溃log信息作为切入点,来分析binder 通信机制。

这里就是错误原因,v30 变量没有判断空值,这是google 8.1.0版本

华为的8.0.0版本已经做了初步修复。

 

      看到这里,有点疑问的地方,不是很了解binder 通信这块细节代码的处理。不知道这个地方除了传一个null地址之外,如果传进去一个可控地址会怎么样?具体怎么尝试还在学习中。还有就是这部分代码怎么去调用?传值不会~~~

0x01:代码调用顺序

参考安卓8.0源码

http://androidxref.com/8.0.0_r4/xref/frameworks/native/libs/sensor/ISensorServer.cpp#199

 

 

http://androidxref.com/8.0.0_r4/xref/frameworks/native/libs/sensor/ISensorServer.cpp#118

http://androidxref.com/8.0.0_r4/xref/frameworks/native/libs/sensor/SensorManager.cpp#267

 

http://androidxref.com/8.0.0_r4/xref/frameworks/native/services/sensorservice/SensorService.cpp#953

 

http://androidxref.com/8.0.0_r4/xref/system/core/libcutils/native_handle.c#92

 0x02:最终结果

      上部分代码调用顺序可以发现,这块代码是在处理传感器直连过程中,传入的data数据为null时,解析Parcel的过程中null指针引用造成的。本来想找到这个指针在哪里赋值的操作,分析了部分代码后,还是没有找到可以人为构造这部分data数据的方法。这个漏洞的分析就暂告一段落吧。

       函数内部的调用顺序差不多搞清楚了,然而还是没有直接上层应用执行到这部分的代码,突然发现这个漏洞已经报过了,google没修复应该是本地拒绝服务这种影响比较低。

贴张图,在我发现之前,就已经公开这个了。。。

0x03:写在结尾

       虽然看起来做了无用功,不过也收获了点经验积累,比如代码调用顺序,是在别人帮助下才完整找到的。之后这种公开fuzz脚本扫描出来的漏洞第一时间要在网上查一下有没有人提交,大部分都被提交了,像是这种显然是漏洞的。所以自己写自己的fuzz脚本这个需求就很重要了,不然很难产生什么可用的效益。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值