Android 2020 安全报告,CVE-2020-0423 android内核提权漏洞分析

最新推荐文章于 2024-09-12 10:44:33 发布
最新推荐文章于 2024-09-12 10:44:33 发布
阅读量908 收藏 3
点赞数
文章标签: Android 2020 安全报告
本文详细分析了Android 2020年10月披露的CVE-2020-0423安全漏洞,该漏洞源于binder组件中的race condition,可能导致用户态权限提升。通过多线程竞争,binder_work结构体被不正确地释放并引发UAF,最终绕过kASLR和CFI保护。作者在Pixel 4的Android 10设备上进行了PoC验证,并介绍了利用过程,包括堆喷、double free以及ksma机制,展示了如何通过内核内存操作实现任意读写,以获取root权限。
摘要由CSDN通过智能技术生成

简介

2020年10月公布了bulletin,这是最近新的提权漏洞,存在于binder中。

这个漏洞大致上是binder的sender和receive端的对binder_node结构体的race condition转化为uaf漏洞,作者进一步触发了double free,结合后续巧妙的堆喷分配,利用slub和ksma机制,绕过kalsr和cfi保护,官方给出影响的版本在Android 8-11之间,详细的英文文章请参考这里https://blog.longterm.io/cve-2020-0423.html

poc的触发

其poc触发形式为:

Thread 1: enter binder_release_work from binder_thread_release

Thread 2: binder_update_ref_for_handle() -> binder_dec_node_ilocked()

Thread 2: dec nodeA --> 0 (will free node)

Thread 1: ACQ inner_proc_lock

Thread 2: block on inner_proc_lock

Thread 1: dequeue work (BINDER_WORK_NODE, part of nodeA)

Thread 1: REL inner_proc_lock

Thread 2: ACQ inner_proc_lock

Thread 2: todo list cleanup, but work was already dequeued

Thread 2: free node

Thread 2: REL inner_proc_lock

Thread 1: deref w->type (UAF)

分开来看的话,

Thread 1: enter binder_release_work from binder_thread_release

Thread 1: ACQ inner_proc_lock 获取锁

Thread 1: dequeue work (BINDER_WORK_NODE, part of nodeA) 从链表中摘除binder_work

Thread 1: REL inner_proc_lock 释放锁

Thread 1: deref w->type (UAF) 引用binder_work->type

再来看Thread 2

Thread 2: binder_update_ref_for_handle() -> binder_dec_node_ilocked()

Thread 2: dec nodeA --> 0 (will free node)

Thread 2: block on inner_proc_lock 等待锁被thread释放

Thread 2: ACQ inner_proc_lock 获取锁

Thread 2: todo list cleanup, but work was already dequeued 清空链表

Thread 2: free node 释放binder_node

Thread 2: REL inner_proc_lock 释放锁

可以看到binder_work拿到之后, 但是另一个线程紧接这free掉了它,但后续还直接使用它,造成了uaf。

binder_work又是binder_node的成员

patch前后

通过patch前后的对比,主要增大了binder_inner_proc_lock(proc);锁的范围。所以这个漏洞也可以说是开发时没有考虑到锁的范围导致的。

poc可以分为三个阶段触发:

生成一个transaction来触发bug

发送BINDER_THREAD_EXIT

多线程来竞争

在步骤1中必须包含BINDER_TYPE_BINDER 或者

最低0.47元/天 解锁文章
humphry huang
关注
Android提权root漏洞,Android Binder Driver UAF 漏洞实现 Root 提权分析CVE-2019-2215) - 嘶吼 RoarTalk – 回归最本质的信息安全,互...
weixin_28679635的博客
05-29 1280
0x00 漏洞描述当Project Zero紧急发布CVE-2019-2215漏洞公告时,我决定将漏洞利用代码复制到本地设备上进行复现分析。我正好有一个存在漏洞的Pixel 2手机。我需要做的就是编译漏洞exp并通过ADB运行exp代码。我下载了最新的Android NDK并编译了PoC:[grant~/Downloads/android-ndk-r20>>./toolchai...
Android系统漏洞提权
08-13
提权 Android系统漏洞提权
CVE-2020-0423
qq_37439229的博客
02-09 5064
CVE-2020-0423 漏洞简介 2020年10月公布了bulletin,这是最近新的提权漏洞,存在于binder中。 这个漏洞大致上是binder的sender和receive端的对binder_node结构体的race condition转化为uaf漏洞,作者进一步触发了double free,结合后续巧妙的堆喷分配,利用slub和ksma机制,绕过kalsr和cfi保护,官方给出影响的版本在Android 8-11之间 漏洞原理 我们从patch来明白漏洞点 这是patch前 // Before
Android 提权工具及原理解析
最新发布
m0_57836225的博客
09-12 479
它利用了 Android 的启动流程中的漏洞,实现了在不修改系统分区的情况下进行系统定制和权限提升。需要强调的是,未经授权对 Android 设备进行提权是不合法的行为,可能会导致设备安全风险增加以及违反法律规定。同时,随着 Android 系统的不断更新和安全机制的加强,提权也变得越来越困难。在 Android 设备的探索中,提权工具一直备受关注。优点:相对安全,对系统的修改较为灵活,支持模块扩展,能够在一定程度上躲避安全检测。优点:功能强大,权限管理细致,能够有效控制应用程序的 root 权限使用。
Android Superuser 提权漏洞分析
移动安全研究和Android/iOS/小程序隐私合规
11-22 4816
博文作者:riusksk&popey[TSRC]发布日期:2013-11-20博文内容:      近日,国外安全研究人员揭露多款Android平台下的授权应用管理软件存在3个安全漏洞,利用漏洞可进行root提权,详见链接:http://forum.xda-developers.com/showthread.php?t=2525552。 TSRC也对这3个Android Superuser 提权
android 提权漏洞,【转】android提权漏洞CVE
weixin_31976493的博客
05-30 875
承接上一篇博客CVE-2010-EASY漏洞android两大提权漏洞之一,它的修复方法很简单只需要给system/core/init/devices.c文件打个补丁就可以了,具体内容如下static int open_uevent_socket(void){+ setsockopt(s, SOL_SOCKET, SO_PASSCRED, &on, sizeof(on));//在o...
CVE-2020-0108 安卓前台服务特权提升漏洞
道阻且长,行则将至。
08-21 2555
CVE-2020-0108 是 AMS 中一个对前台服务的处理中逻辑漏洞,成功利用该漏洞的攻击者可以绕过前台服务的通知显示并持续在后台运行。
DirtyCow提权漏洞复现(CVE-2016-5195)1
08-08
脏牛(Dirty Cow)漏洞,全称为“竞争条件写入时复制”(Copy-on-Write Race Condition),在2016年被发现,其安全漏洞编号为CVE-2016-5195。这个漏洞主要影响的是Linux内核,特别是从2007年的2.6.22版本到修复前的...
Android代码-Androidroot源码利用CVE-2013-6282漏洞.zip
08-02
这部分代码可能涉及系统级别的权限提升,如利用内核漏洞或者寻找其他已知的提权路径。 4. **后门安装**:获取root权限后,攻击者可能会安装一个后门程序,以便长期控制设备。这可能包括隐藏服务、自启动项或伪装成...
Android root源码(利用CVE-2013-6282漏洞
08-25
CVE-2013-6282是一个漏洞编号,该漏洞属于Linux内核级别的漏洞,在android 2.x至4.3之前的版本中同样存在, 可以用于系统提权,获得root权限,属于Linux系统API缺陷。 利用该漏洞,开发Android root程序。
关于Android的root提权漏洞
热门推荐
Tesi1a的充电桩
09-09 1万+
以下两个转自于知乎少仲哥 和flanker_hqd的回答:1.CVE-2009-2692(Wunderbar/asroot)sock_sendpage()的空指针解引用.因为sock_sendpage 没有对 socket_file_ops 结构的 sendpage 字段做指针检查,有些模块不具备sendpage 功能,初始时赋为 NULL,这样,没有做检查的sock_sendpage 有可能直接调
android 提权 跨进程注入,Android 系统漏洞提权分析
weixin_36329818的博客
05-28 1232
(一) 序言1.1什么是rootRoot——也就是我们这里说的系统提权,通常是针对Android系统的手机而言,它使得用户可以获取Android操作系统的超级用户权限。root通常用于帮助用户越过手机制造商的限制,使得用户可以卸载手机制造商预装在手机中某些应用程序,以及运行一些需要超级用户权限的应用程序。Android系统的root与AppleiOS系统的越狱类似。1.2如何实现root一般roo...
App恶意提权,可随意窃取用户信息!!
白帽黑客鹏哥的博客
06-22 875
3月初有关于利用Android漏洞在发布的移动应用中植入恶意程序代码获取用户敏感信息和数据这一恶劣事件,严重危害用户隐私权益。我司技术人员对该问题进行分析和研究如下:和Java反序列化漏洞一样,Android的序列化和反序列化也会被利用,由于在序列化阶段存储的Key-Value,这导致在读取阶段如果数据没有被准确校验就会被构造的数据在反序列化阶段被利用。根据。
Android内核层驱动程序UAF漏洞提权实例
道阻且长,行则将至。
02-28 7610
文章目录前言UAF漏洞 前言 自 2021 年 11 月从国企离职并入职互联网私企后,发现博客很少更新了……自然不是因为开始躺平了(菜鸡的学习之路还很漫长…),而是新的平台充满挑战,需要学习的东西实在太多了(所以一直加班中…),加上很多内部学习材料和内容不可在公司外网传播,所以就很少写 CSDN 博文了。但是稍有时间还是要保持写博文习惯的hh,个人觉得这不仅是对个人技术成长的记录,也是一种促使自己不断保持学习状态的好习惯。 换工作后开始从事移动终端安全的方向,最近在学习 Android 内核层和驱动的漏洞
android 提权 跨进程注入,新方法可利用 Android 脏牛漏洞提权窃取敏感信息、执行恶意操作...
weixin_28909503的博客
05-28 355
Dirty COW (研究员又发现了一种新的方法针对脏牛漏洞提升操作权限。该新方法可以直接将恶意代码注入正在运行的进程。PoC 验证该验证过程被上传到研究人员在一部 Android 手机上,安装了一个特殊验证应用。一旦运行,攻击者就可以利用脏牛漏洞窃取设备信息、更改系统设置(开启蓝牙和Wi-Fi热点)、获取地理位置,并可静默安装谷歌应用商店以外的应用。原因当执行一个 ELF 文件时,Linux 内...
android 提权 跨进程注入,Android Binder Driver UAF 漏洞实现 Root 提权分析CVE-2019-2215)...
weixin_39715460的博客
05-28 516
0x00 漏洞描述当 Project Zero 紧急发布 CVE-2019-2215 漏洞公告时,我决定将漏洞利用代码复制到本地设备上进行复现分析。我正好有一个存在漏洞的 Pixel 2 手机。我需要做的就是编译漏洞 exp 并通过 ADB 运行 exp 代码。我下载了最新的Android NDK并编译了 PoC:[ grant ~/Downloads/android-ndk-r20 >&g...
Android提权root漏洞,【转】结合init源码剖析android root提权漏洞CVE
weixin_42602241的博客
05-29 990
这篇文章是上一篇博客的后续分析,主要介绍向init进程发送热拔插信息后init进程的处理流程首先我们来了解一个数据结构,uevent,如下struct uevent {const char *action;const char *path;const char *subsystem;const char *firmware;int major;int minor;};内核收到的信息如下,ACTIO...
安卓应用漏洞学习case8–CVE-2020-6828
人饭子的博客
02-06 396
安卓应用漏洞学习case8–CVE-2020-6828 前期回顾 漏洞免费实战部分-安卓应用层getLastPathSegment函数问题 漏洞实战部分2-安卓应用ZipEntry对象问题实战 漏洞实战部分3-ContentProvider组件的openFile接口问题 漏洞学习之PWN-easyheap分析 漏洞学习之PWN-HITCON_CTF_2016:Secret Holder 漏洞学...
安卓系统漏洞
s13166803785的博客
06-09 1406
这是一个android提权漏洞,在android进行系统 更新时才能触发,看似比较鸡肋,但也可能造成很 严重的后果,毕竟,谁都不想让自己手机里的隐私 公诸于众。 来自印第安纳州立大学和微软安全团队的安全研究 人员最近纰漏了6个android漏洞,这些漏洞可以在 用户升级系统的时候把无害的应用,变成恶意软 件。 团队中的某个研究人员指出“用户往往认为,升级操 作系统会让自己的手机变的更安全,因为新的系统 往往修补了以往的漏洞, 并应用了更加健壮的安全机制。但是,新发现的漏 洞Pileup(privile
Android系统漏洞检测与提权利用深度研究及VTS工具设计
通过对高危漏洞CVE-2014-7911、CVE-2014-4322和CVE-2015-3636的研究,作者揭示了攻击者可能利用这些漏洞进行提权攻击的方式。通过实例分析,论文提供了实用的漏洞利用策略,并对它们进行了总结。 为了应对这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值