android 注入system_server,Android system_server Code Loading Bypass

最新推荐文章于 2023-01-11 00:14:11 发布
最新推荐文章于 2023-01-11 00:14:11 发布
阅读量225 收藏
点赞数
文章标签: android 注入system_server

Android: Code loading bypasses in system_server

As of Android Nougat, a new set of SELinux rules have been added which are designed to prevent system_server from loading arbitrary code into its address-space. This has been enforced by adding the following rules to system_server's SELinux policy:

neverallow system_server self:process execmem;

neverallow system_server ashmem_device:chr_file execute;

neverallow system_server system_server_tmpfs:file execute;

However, as system_server is extremely privileged, there are a few vectors through which it may still load arbitrary code, thus bypassing the mitigation mentioned above.

1. The system user has read-write access to /data/app/*/oat/*. However, this directory and all files created within it have the SELinux context:

u:object_r:dalvikcache_data_file:s0

(see http://androidxref.com/7.0.0_r1/xref/system/sepolicy/file_contexts#252)

Since system_server is required to execute dalvik-cache files, its SELinux policy explicitly allows this by adding the rule:

allow system_server dalvikcache_data_file:file execute;

This means that system_server may create a file under the aforementioned path and mmap it with PROT_EXEC in order to load arbitrary code.

2. Much in the same way, system_server has read-write access to /data/app, including /data/app/vmdl*.tmp/*/oat/*. However, this directory and all files created within it have the SELinux context:

u:object_r:dalvikcache_data_file:s0

(see http://androidxref.com/7.0.0_r1/xref/system/sepolicy/file_contexts#254)

This allows the attacker to follow the same steps as in (1.) in order to map in arbitrary code.

Note that removing RW access to the oat directories is not always sufficient to fix this issue. For example, an attacker can also choose to store his code within the his application (i.e., in a large byte[] within the source code). This in turn will be compiled into the ODEX file under the "oat" directory, and can then be used to map in arbitrary code once more into system_server.

This bug is subject to a 90 day disclosure deadline. If 90 days elapse without a broadly available patch, then the bug report will automatically become visible to the public.

Found by: laginimaineb

芒果加柠檬
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android下通过root实现对system_server中binder的ioctl调用拦截
passion的专栏
10-18 4508
Android下通过root实现对system_server中binder的ioctl调用拦截 作者:passion 2012-10-17 关键字:Android, Hook, API, Binder, 注入, 拦截 (转载请注明出处) 〇、引言     Linux下的远程注入与HOOK网上已有不少文章与代码实现,而对于Android平台,注入有不少,但HOOK却不多。经过了两
android 注入system_server,Android P添加一个可以让system_server进程访问的hal service需要改动的sepolicy文件...
weixin_28932441的博客
05-27 435
在device/sepolicy/common目录中:修改文件attributes:attribute hal_newXX;attribute hal_newXX_client;attribute hal_newXX_server;修改文件file_contexts:/(vendor|system/vendor)/bin/hw/android\.hardware\.newXX@1\.0-servi...
android读取APP私有文件,为何Android普通APP可以执行私有数据中的so文件,而system app却不可以?...
weixin_33108105的博客
05-28 544
本文基于Android 10的Sepolicy进行分析。在热更新或者减少安装包的大小实践中,可以看到普通APP可以在安装以后下载共享库文件,也就是.so文件,然后进行动态加载动作。同样的,如果是一个system app,想要执行类似地加载动态库的动作为什么会不行?首先你需要知道的是:如果APP要加载一个so库,必须拥有该库文件标签的execute权限。1. 普通APP的私有数据区的数据标签为app...
节点写入报avc权限问题
youthking1314的博客
12-28 633
节点写入报avc权限问题
基于Android13的系统启动流程分析(一)之SeLinux权限介绍
q1210249579的博客
01-11 4527
SeLinux,SeAndroid,init进程启动
Latihan 1_android_account_
09-30
source to bypass micloud account through adb
Bypass_1.13.79.zip
03-27
Bypass_1.13.79.zip
bypass_bypass_
09-29
適用於近期之xccode之過渡偵測方式之檔案
BypassDanielCorrea (1)_bypass_XignCode_
09-28
Bypass Daniel Correa Xigncode
WAF_Bypass_技术讨论.pdf
08-08
一、WAF分类及原理解析 二、WAF指纹识别及探测 三、WAF Bypass姿势
史上最全datadalvik-cache 下可删除的文件对应列表
04-12
史上最全datadalvik-cache 下可删除的文件对应列表
如何反编译 android 中 /data/dalvik-cache/arm 下的文件
Hiro's Blog
09-24 7215
首先我要讲的第一件事情就是,最近在调奇酷手机大Q上的一个bug:使用 installPackage 这条 API 安装系统应用的时候总是失败,但是 pm install 又是成功的。没办法,我只有把系统的 pm 反编译来看一看了。然后无奈手机太过于奇葩,一般 pm.jar 是放在 /system/framework/ 下的,偏偏这台手机里边的 pm.jar 只有30
Android 8.0 system app加载so Permission denied 解决
lb5761311的专栏
11-06 1万+
在预置包含react native 的Android app 预置到mtk 6739的系统中,此app 具体 platform 签名。此app启动会加载一些 facebook的so库 发现此app 如果预置到system/app下,启动会报错。开始以为是没有把相关的so库 放到 system/app/xx/lib 下。在Android 6.0我都是可以正常启动的。发现在8.0 仍然会报错。 报...
细说dex2oat(1)
weixin_34187822的博客
03-24 417
细说dex2oat(1) dex2oat的命令行参数 首先我们先看一下dex2oat都支持一些什么样的命令行参数: 通用类 -j<线程数>:编译时使用多少个线程。缺省值为默认的CPU核数。例:-j8 输入输出的文件类 --dex-file=:待编译的.dex, .jar或者.apk文件 --dex-location=:dex文件的路径 --...
解决android内部存储空间/data/dalvik-cache存储问题
大漠苍狼----不抛弃,不放弃
05-18 2751
       U880系统的内部存储空间总是不足,发现/data/dalvik-cache占据了100M的内存,/data总共才有200M啊,决定将它移走,移动到哪里?        /cache只有60M不够,放到sdcard需要先格式化sd卡再分区,麻烦。        发现/dev有200MB的空间,决定放到这里面,这是命令 cp -a /data/dalvik-cache /dev/...
Android SELinux avc dennied权限问题解决方法
热门推荐
缥缈孤鸿影的专栏
05-25 8万+
这篇文字本人原创于2015年,并作为原厂发布文档release,当时并未上传博客,估计已经被很多网友发表了。 1. 概述 SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。 然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。本文旨在结合具
android 全局注入,一种简单的Android全局注入方案
weixin_29048309的博客
05-30 1113
Xposed和CydiaSubstrate是android上两款比较知名的全局Hook框架,但都不尽善尽美,有时为了实现某个功能往往要绕许多弯路去配合框架,结果也差强人意,与其浪费精力去熟悉框架不如自己实现一套框架。既然Xposed可以通过修改app_process源码实现全局注入,那自然我们也可通过修改app_process的ELF结构达成相同目的,简单观察发现app_process普遍存在一个...
Android O selinux违反Neverallow解决办法
yxw0609131056的博客
04-02 2万+
因工作需要移植fastmmi到Android O,其中会涉及selinux权限配置,现将自己的理解总结如下:1、Android O selinux相关配置文件所在路径      system/sepolicy/*                      AOSP device和APPS相关selinux配置      device/qcom/sepolicy/*            平台和板卡...
在AWS EC2上部署k_server服务
最新发布
06-08
好的,下面是一个部署 Ktor 的 k_server 服务于 AWS EC2 实例上的简单步骤: 1. 创建 AWS EC2 实例并连接到实例上: 首先,您需要在 AWS 上创建 EC2 实例并连接到实例。您可以使用 SSH 客户端连接到实例。对于 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值