2018 马上过去,给大家拜个早年啦。祝大家新的一年里事事顺心,早日成为技术大咖。这一年里,陆续看到一些朋友不再从事 Android 漏洞方面的工作,笔者也已在年初弃坑,不禁感慨 Android 平台的漏洞研究可能只属于那些 geeker 了。
正文
2018 年 blackhat asia 会议上,阿里巴巴的安全研究员 ThomasKing 做了 Android Root 方面的主题演讲,题为《KSMA-Breaking-Android-kernel-isolation-and-Rooting-with-ARM-MMU-features》。笔者对这样的通用 Root 方式是比较感兴趣的,便着手复现了一下。
ThomasKing 为这种通用 root 方式起了个不错的名字 KSMA(Kernel Space Mirroring Attack),意为内核空间镜像攻击。简单的说,在内核的一级页表中伪造一个 d_block 类型的 descriptor (内存描述符),将内核镜像所在的 PA (物理地址) 映射到 descriptor 所对应的 VA (虚拟地址) 处。通过修改 d_block 中的一些内存属性,就可以做到对 VA 处映射的内核镜像做读写操作,从而可以任意修改内核代码。
linux 页表介绍
linux 内核采用分页机制管理 VA,并使用 MMU(内存管理单元) 完成 VA 到 PA 的转换。page (内存页) 大小一般为 4KB 16KB 或者 64 KB,为了更有效率的管理 page,内核使用 page table(页表)来组织所有page。页表是分级的,pc 系统一般使用4级页表,现阶段 android 系统采用3级页表,页大小 4KB。以下均以 4KB 3级页表作为讨论基础。
下面图表搭配着看比较好理解一些,下图位于 armv8 手册 D4-1744 处,下表位于内核 Documentation/arm64/memory.txt 处。
AArch64 Linux memory layout with 4KB pages:
Start End Size Use
-----------------------------------------------------------------------
0000000000000000 0000007fffffffff 512GB user
ffffff8000000000 ffffffbbfffeffff ~240GB vmalloc
ffffffbbffff0000 ffffffbbffffffff 64KB [guard page]
ffffffbc00000000 ffffffbdffffffff 8GB vmemmap
ffffffbe00000000 ffffffbffbbfffff ~8GB [guard, future vmmemap]
ffffffbffa000000 ffffffbffaffffff 16MB PCI I/O space
ffffffbffb000000 ffffffbffbbfffff 12MB [guard]
ffffffbffbc00000 ffffffbffbdfffff 2MB fixed mappings
ffffffbffbe00000 ffffffbffbffffff 2MB [guard]
ffffffbffc000000 ffffffbfffffffff 64MB modules
ffffffc000000000 ffffffffffffffff 256GB kernel logical memory mapTranslation table lookup with 4KB pages:
+--------+--------+--------+--------+--------+--------+--------+--------+
|63 56|55 48|47 40|39 32|31 24|23 16|15 8|7 0|
+--------+--------+--------&