android 9 蓝牙源码_CVE-2017-13258 Android 蓝牙BNEP漏洞分析

最新推荐文章于 2022-09-05 14:43:22 发布
最新推荐文章于 2022-09-05 14:43:22 发布
阅读量290 收藏
点赞数
文章标签: android 9 蓝牙源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29217235/article/details/112137673
版权

本文为看雪论坛优秀文章

看雪论坛作者ID:ID蝴蝶

1、概述

三月份的Android安全公告中披露了多个蓝牙方面的系统层漏洞,漏洞多出现在BNEP中,涉及的源码版本为5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1,覆盖范围较广。本文以CVE-2017-13258漏洞为例进行分析,该漏洞类型为内存信息泄露,危害等级为High。

2、协议简介

>>>>2.1 介绍

BNEP(Bluetooth Network Encapsulation Protocol)为蓝牙网络封装协议。BNEP将多种通过蓝牙L2CAP(逻辑链路控制与适配协议)传输的网络协议数据包进行封装处理。L2CAP为蓝牙提供数据链路层。BNEP被用于通过蓝牙来传输控制和数据包以此为蓝牙设备提供联网功能。BNEP提供的功能类似于以太网(EthernetII/DIX/Framing /IEEE 802.3)提供的。

>>>>2.2 协议栈

如下图所示:

466151a3819556cb367f2b80324035d0.png

>>>>2.3 BNEP头部格式

所有的BNEP 头部格式都遵从下图所描述的格式。所有支持BNEP的设备必须具备能够解析定义好的BNEP包类型的能力。

支持BNEP的设备有可能会处理压缩的BNEP头部,也有可能不会。任何包含保留的BNEP头数据包类型的数据包必须下放到处理扩展头部的过程中进行处理。

e171a3c17496796e3d67a00f1e26e27e.png

前一个字节中,BNEP Type大小为7bit,Extension Flag 为 1 bit。BNEP Type的值如下图所示。

0c11666581402a7fc5c8da4f8e3c5528.png

BNEP Type的value设置为0x01,也即是BNEP_CONTROL,属于控制包。E标志置0表示BNEP头部后面紧跟着就是Payload,置1表示BNEP头部后面是扩展头部,需要进一步解析。

由于本案例中触发漏洞的数据包是控制包,这里就直接讲解BNEP_CONTROL包的格式。BNEP_CONTROL包是用来交换控制信息,包格式如下图所示。

d38fa02eb462eeb589457e7d5dd7e07e.png

从8到15位属于BNEP Control Type域,占一个字节大小。BNEP Control Type分为多种,具体值如下图所示。

9ca32cd1dbe18c450d6df162e9b013f8.png

BNEP Contrl Type值为0x00表示BNEP_CONTROL_COMMAND_NOT_UNDERSTOOD类型。大致理解为该控制包发送的控制指令无法被解析或理解。该数据包最终格式如下图所示:

c9da134c3e48042a64b298dd188834ab.png

最后再简单提一下扩展包格式。我们前面讲到,只要是E 标志位被置1后,BNEP头部后面紧跟着就是扩展包头部。扩展包格式如下图所示。

29ceda22118f4888d347b70171879bd3.png

前一个字节依然是类型,第二个字节是扩展包长度,后面从第三个字节开始就是扩展包载荷。这里的Extension Type取值如下图所示。

359f5c1d14296b5625dfe35ef9b9cf55.png

Extension Type取值为0x00表示BNEP_EXTENSION_CONTROL。这里需要表明一下,BNEP_EXTENSION_CONTROL数据包类型头和BNEP_CONTROL数据包类型头可以互换使用。

3、漏洞原理

该漏洞出现在bnep_data_ind函数中,当从L2CAP层接收到数据时,该函数被调用。文件路径为systembtstackbnepbnep_main.c。本文以8.0.0_r4版本为例。

56e0845d02a1cd2863c2492e149a7b4d.png

p_buf指针指向的一个BT_HDR数据块,行434,计算存放数据包的地址,p指向数据包起始地址。BT_HDR结构体如下所示:

bdbc1fbe68b54134e50e2103469d8971.png

Len存放数据包的长度,offset存放偏移地址,用于计算数据包的起始地址。接着向下分析。

c50ffa594e0391c56e986ec4b225fa85.png

行450,取TYPE,然后p跳过一个字节。行451,计算E标志位。行453,判断数据包长度, 最小值不能小于头部长度和最大值不能大于BNEP的MTU值。然后数据包长度减一。

ee3cd6e53382687c7b3d8e5ef437a475.png

行469,如果E标志位为真,就进入扩展头解析。行481,取扩展头的E标志位,行482,取扩展包包含的payload长度,这个长度不包括头部域和长度域的两个字节。这个length域是用户可控的。行483,p指针跳过第一个扩展包的payload数据域,指向下一个数据包。

行485,判断没有下一个扩展包并且发送的BNEP_CONTROL_TYPE不属于已有定义类型,进入bnep_send_command_not_understood(p_bcb,*p),该函数是将错误指令回写到数据包中,并返给客户端。如下图所示。

3f745b5c2c1b1a27d095a038bac6c233.png

根据以上分析,就可以构造特定数据包绕过检测进行内存信息泄漏。

4、漏洞复现

Exploit-db网站已经发布了利用代码,链接地址在文末。关键利用代码,如下图所示。

f8f114bf053d979c6e0a9469391de68a.png

在刷入版本8.0AOSP的nexus5x上测试,结果如下图所示。

bb04eaca1739be338c5baa25206d9537.png

5、漏洞调试

在bnep_data_ind函数上下断点。如下图所示。

a1512bf7ef02cce1c40d7fe2dd5971ba.png

执行利用代码,命中断点后。打印相关数据,如下图所示:

38a1c905e6e1219d90d58b0aed04a566.png 
地址0x7a408d8a58为存放数据包的地址。执行到行486处,即将写入返回数据。X1寄存器存放着泄漏的数据,该值为0xc9。如下图所示。

af17d5d8da299527c11be383c66bc367.png

从0x7a408d8a58开始,跳过三字节数据包头部,跳过扩展包一个字节的payload,0x7a408d8a5c处的0xc9作为Unknown Control Type返回给客户端。结束。

调试过程的一些小tips:
Cat /proc/`pid`/maps |
grep bluetooth.default.so 确定调用的so是32位还是64位。以免gdbclient挂载不上。
prebuilts/misc/android-arm64/gdbserver64 推到手机里面
Adb root
adb remount 重新挂在文件系统。
 Cp /sdcard/gdbserver64 /system/bin/
 
Gdbclient `pid`
 
Info sharedlibrary 查看加载模块,找基地址。
 list bnep_data_ind 直接列出函数
计算函数偏移:
lib_start_addr + 相对虚拟地址(虚拟地址-区段起始地址),

相关链接:https://www.exploit-db.com/exploits/44326/http://grouper.ieee.org/groups/802/15/Bluetooth/BNEP.pdf

3072bec6f7503a5fb375457cf0c3b73e.gif

707b9a8f6610a971e41c6417b00536c2.png

- End -

看雪ID:ID蝴蝶

https://bbs.pediy.com/user-611407.htm

*本文由看雪论坛 ID蝴蝶 原创,转载请注明来自看雪社区

推荐文章++++

* 动态过DSE代码以及原理

* ollvm源码分析 - Pass之SplitBaiscBlocks

* Linux内核驱动调试遇到的一些坑以及解决方法(新手必看指南)

* 记一起 kthroltlds 挖矿蠕虫变种分析

* Metasploit后门以及跨平台后门生成

3c818cda162dece4c0ce46bd754adf60.png
长笛小号
关注
android9.0ble补丁蓝牙语音遥控器支持补丁.rar
07-21
ble audio补丁原理是利用hidraw节点捕捉协议栈发送的语音数据,目前Android Blueroid将ble语音数据和按键信息通过hid发送出去,通过建立hidraw节点,可以从中捕捉到语音数据。目前通过ble hal实现从hidraw中读取遥控器语音数据,在Android框架层上就通过配置文件将ble hal导入到音频框架中,并通过绑定Android原生已有的耳麦设备来完成audio音频策略选择,通过apk检测ble连接状态,通知audio服务耳麦设备的状态就可以使得录音通路切换至ble hal,实现从ble获取录音数据功能。 打补丁前最好使用干净的环境,不要有别家方案ble补丁,否则可能会有不兼容问题。 补丁如若不能使用首先检查节点是否存在和其权限,正常节点权限如下: ls -l /dev/hidraw* crw-rw---- 1 system audio 241, 0 2018-12-18 13:42 /dev/hidraw0 audio用户组有读写权限。 2、如果selinux模式为Enforcing,可以通过logcat搜索avc关键字。有如下类似提示则为异常,提示进程没有权限,检查sepolicy是否设置正常: avc: denied { read } for name="/" dev="tmpfs" ino=6145 scontext=u:r:mediaserver:s0 tcontext=u:object_r:device:s0 tclass=dir permissive=0 //Android 5.0和6.0版本,audio hal被mediaserver进程加载 avc: denied { read } for name="/" dev="tmpfs" ino=8125 scontext=u:r:audioserver:s0 tcontext=u:object_r:device:s0 tclass=dir permissive=0 //Android 7.0版本,audio hal被audioserver进程加载 avc: denied { read } for name="hidraw" dev="sysfs" ino=16332 scontext=u:r:hal_audio_default:s0 tcontext=u:object_r:sysfs:s0 tclass=dir permissive=0 //Android 8.0和9.0版本,audio hal被android.hardware.audio@2.0-service进程加载 3、检查audio的配置,打上patch后,首先确认小机上文件是否有修改到,目前文件可能位于/vendor/etc或/system/etc目录下,其中/vendor/etc下的配置文件是优先解析的。确保文件无误后,通过dumpsys media.audio_policy查看ble hal是否正常加载。 以下是相关说明: AudioPolicyManager: 0xf20c5200 Command Thread: 0xf20af140 Tones Thread: 0xf20af020 ... - Available input devices: Device 1: - id: 3 - type: AUDIO_DEVICE_IN_BUILTIN_MIC - Profiles: Profile 0: - format: AUDIO_FORMAT_PCM_16_BIT - sampling rates:8000, 11025, 12000, 16000, 22050, 24000, 32000, 44100, 48000 - channel masks:0x000c, 0x0010 Device 2: - id: 20 - type: AUDIO_DEVICE_IN_WIRED_HEADSET //对应的数值是0x80000010 - name: RemoteDM1204 - Profiles: Available input devices指示当前可用设备,目前ble hal是和AUDIO_DEVICE_IN_WIRED_HEADSET设备绑定,如果需要录音走ble hal,AUDIO_DEVICE_IN_WIRED_HEADSET设备必须出现在可用设备中,如果没有,就可能是补丁中hidaudio.apk的问题。 HW Modules dump: ... - H
android蓝牙安全,[原创]CVE-2017-13258 Android 蓝牙BNEP漏洞分析
weixin_30340109的博客
05-31 242
1、概述三月份的Android 安全公告中披露了多个蓝牙方面的系统层漏洞漏洞多出现在BNEP中,涉及的源码版本为5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1,覆盖范围较广。本文以CVE-2017-13258漏洞为例进行分析,该漏洞类型为内存信息泄露,危害等级为High。2、协议简介2.1介绍BNEP(Bluetooth Network Encaps...
android蓝牙通信_Android蓝牙子系统“BlueFrag”漏洞分析CVE20200022)
weixin_39762478的博客
11-27 604
更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)一、漏洞背景2020年2月,Android安全公告中披露并修复了一个严重漏洞漏洞编号为CVE-2020-0022,又称BlueFrag,可影响Android蓝牙子系统。该漏洞是一个远程代码执行漏洞,出现在Bluedroid蓝牙协议栈的HCI层,当无线模块处于活动状态时,攻击...
android cmd命令左键_快速理解Android中的三个蓝牙漏洞
weixin_32487647的博客
12-29 225
两个内存泄漏和一个数组索引越界漏洞简介Issue 74882215: Bluetooth L2CAP L2CAP_CMD_CONN_REQ Remote Memory Disclosure(蓝牙L2CAP L2CAP_CMD_CONN_REQ远程内存泄漏)Issue 74889513: Bluetooth L2CAP L2CAP_CMD_DISC_REQ Remote Memory Disclos...
蓝牙 sig base uuid_蓝牙,从系统开机说起
weixin_39929153的博客
12-08 124
完了,本号已经好久不更新了,怎么也木有人念叨,是被抛弃了吗..要哭了..童鞋,你还记得大明湖畔的程序媛儿饭饭么~经常会有一些同行问我,怎么学习蓝牙?既然你这么认真的发问了,那我也认真的回答一下:我真的不知道…只能给你分享一张美图了~说实话我也是不知道如何回答一方面是我也是自学来的,学习的也不系统,也一直在摸着石头过河,踩过的坑不见得少。我也没办法说出多么博大精深的东西来另一方面蓝牙涉及到的东西太多...
hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip
05-20
标题 "hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip" 指向的是一个与海康威视(Hikvision)设备相关的安全漏洞,具体是CVE-2017-7921认证绕过漏洞。这个压缩包可能包含一个工具或指南,用于解析...
CVE-2017-3506-Poc.zip_CVE-2017-3506_CVE-2017-3506 poc_CVE-2017-3
09-24
**CVE-2017-3506:Apache Struts2远程代码执行漏洞** Apache Struts2是一款广泛使用的开源Web应用框架,它为开发者提供了一种构建基于MVC(Model-View-Controller)模式的Java Web应用程序的方式。在2017年,Apache...
hikvision_CVE-2017-7921配置文件解密.rar
05-20
具体影响产品型号,请参考CVE-...CVE-2017-7922漏洞详情。 该程序发布,意在警醒相关单位及时更新相关设备,网络安全需要大家共同监督。 本程序需和配置文件存放在同一目录下运行exe即可配置文件名configurationFile
xalanjava源码-study-struts2-s2-054_055-jackson-cve-2017-7525_cve-2017-150
06-05
CVE-2017-7525、CVE-2017-15095 调查报告 我们发表了一篇总结文章,只总结了要点,便于阅读。推荐给那些想要获得概览或没有空闲时间的人。 SSTtechlog 08 S2-054、S2-055 和 jackson-databind 漏洞 CVE-2017-7525、...
44913_sale3ho_CVE-2017-12636_POC_
09-30
标题 "44913_sale3ho_CVE-2017-12636_POC_" 提供的信息表明,这是一个与安全漏洞CVE-2017-12636相关的PoC(Proof of Concept)代码。POC通常是由安全研究人员或黑客创建的,用于证明一个特定漏洞确实存在并且可以被...
安卓9.0蓝牙主从切换方案.rar
08-26
1设置蓝牙模式前,请将声音输出模式设置为蓝牙模式 2 设置系统属性,必须把蓝牙进程干掉,不然切换不了,杀进程目的切换蓝牙service。 只需要杀掉下面的进行即可,蓝牙库进行不需要杀掉。 调试用两条命令setprop persist.sys.bt_switch 0 ps –A | grep blue 在system/core/rootdir/init.rc 最下方增加 on property:persist.sys.bt_switch=0 exec u:r:shell:s0 shell shell input log adb sdcard_rw sdcard_r net_bt_
蓝牙手机补丁,让手机蓝牙更爽!
09-29
蓝牙手机补丁安装包,让您的蓝牙手机支持蓝牙立体声!让您的手机立刻跳动起来,让耳朵更加健康,让大脑更加舒服!
蓝牙补丁zip
06-06
中兴手机刷机包之后的蓝牙通用补丁。保证好用
Android九大漏洞,附解决建议
liuye066的专栏
06-08 5544
第一大类:Android Manifest配置相关的风险或漏洞       程序可被任意调试       风险详情:安卓应用apk配置文件Android Manifest.xml中android:debuggable=true,调试开关被打开。       危害情况:app可以被调试。       修复建议:把Android Manifest.xml配置文件中调试开关属性关掉,即设置android...
Android 9.0 Pie以下全中招的安卓新漏洞!可致设备被追踪
weixin_30336061的博客
09-04 148
Nightwatch Cybersecurity于8月29日发布消息称,发现Android漏洞,它使恶意应用程序得以绕过权限检查和现有的防护,访问系统广播信息。根据该通报,安全漏洞CVE-2018-9489不太可能得到任何修复。这一漏洞能影响安卓9.0 Pie以前的所有安卓版本。 具体来说,这一漏洞CVE-2018-9489)能将有关用户设备的信息暴露给设备上运行的所有应用程...
Android 9.0 蓝牙协议总结
wq892373445的博客
08-17 3274
一、蓝牙免提协议 HFP HFP(Hands-Free Profile),通俗点翻译就是免提协议,说白了就是蓝牙电话协议,可以让蓝牙设备通过协议定义好的 AT command 控制电话,如接听、挂断、拒接、语音拨号等。每个功能都有特定的 AT command 和 response.。 1、HFP 协议在整个蓝牙中的架构图如下: 我们通常叫做 AG,HF,举一个最简单的例子,我们平时用的手机中的 HFP 的角色就是 AG,我们平时用的蓝牙耳机中的 HFP 角色就是 HF。 二、蓝牙音乐控制协议(AVRCP)
android 9 蓝牙源码_爱码哥|低功耗蓝牙技术连接的那些事
weixin_31976493的博客
12-08 233
低功耗蓝牙技术(Bluetooth low energytechnology)是蓝牙经典标准的演进,专注于为设备间提供可靠、高效且低功耗的链路连接。它具有超低的功耗,满足超长的续航能力。2014年年底,蓝牙技术核心规范4.2版本正式发布。在该版本中,引入了最新的隐私保护机制,此外,该版本还大大提升了低功耗蓝牙技术设备间数据传输的速度与可靠性。由于低功耗蓝牙技术封包容量增加,设备之间的数据传输速度可...
安卓10蓝牙问题_CVE20200022:安卓蓝牙非交互漏洞
weixin_39522423的博客
10-28 279
2019年11月3日,ERNW研究人员向谷歌安卓团队报告了一个影响安卓系统蓝牙组件的关键漏洞。该漏洞CVE编号为CVE-2020-0022,在本月发布的安全补丁中已经修复了该安全漏洞。该漏洞的安全影响如下:· 在安卓8.0到9.0系统中,在蓝牙开启的情况下,远程攻击者在一定距离范围内可以以蓝牙守护程序的权限静默执行任意代码。整个过程无需用户交互,只需要知道目标设备的蓝牙MAC地址就可以了...
Android 9 原生设置关于蓝牙设置(三)
suwen8100的博客
09-05 1467
Android 9原生设置关于打开关闭蓝牙的流程
Tomact_CVE-2020-1938漏洞复现
最新发布
08-31
要复现Tomact_CVE-2020-1938漏洞,可以按照以下步骤进行操作: 1. 下载POC:可以使用以下命令下载POC文件: git clone https://github.com/sv3nbeast/CVE-2020-1938-Tomact-file_include-file_read/ 2. 在攻击机上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值