[原创]结合init源码剖析android root提权漏洞（CVE-2010-EASY）-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]结合init源码剖析android root提权漏洞（CVE-2010-EASY）

2011-9-4 21:41 18565

[原创]结合init源码剖析android root提权漏洞（CVE-2010-EASY）

androider

活跃值

2011-9-4 21:41

18565

转载请注明出处:http://hi.baidu.com/androidhacker/blog/item/59faabfda34b71f57709d707.html

这篇文章是上一篇博客的后续分析，主要介绍向init进程发送热拔插信息后init进程的处理流程

首先我们来了解一个数据结构，uevent，如下

struct uevent {                                                                                

    const char *action;                                                                        

    const char *path;                                                                          

    const char *subsystem;                                                                     

    const char *firmware;                                                                      

    int major;                                                                                 

    int minor;                                                                                 

};

内核收到的信息如下，ACTION=addDEVPATH=/../data/local/tmpSUBSYSTEM=firmwareFIRMWARE=../../../data/local/tmp/hotplug
通过如下函数parse_event进行解析

static void parse_event(const char *msg, struct uevent *uevent) 

{

 

    while(*msg) {                                                                              

        if(!strncmp(msg, "ACTION=", 7)) {                                                      

            msg += 7;                                                                          

            uevent->action = msg;                                                              

        } else if(!strncmp(msg, "DEVPATH=", 8)) {                                              

            msg += 8;                                                                          

            uevent->path = msg;                                                                

        } else if(!strncmp(msg, "SUBSYSTEM=", 10)) {                                           

            msg += 10;                                                                         

            uevent->subsystem = msg;                                                           

        } else if(!strncmp(msg, "FIRMWARE=", 9)) {                                             

            msg += 9;                                                                          

            uevent->firmware = msg;                                                            

        } else if(!strncmp(msg, "MAJOR=", 6)) {                                                

            msg += 6;                                                                          

            uevent->major = atoi(msg);                                                         

        } else if(!strncmp(msg, "MINOR=", 6)) {                                                

            msg += 6;                                                                          

            uevent->minor = atoi(msg);                                                         

        }

         while(*msg++)；

    }           

}

经过解析之后，uevent的结构为：
action="add"
path="/../data/local/tmp"
subsystem="firmware"
firmware="../../../data/local/tmp/hotplug"

之后来到处理firmware的核心函数

static void process_firmware_event(struct uevent *uevent)

{

    l = asprintf(&root, SYSFS_PREFIX"%s/", uevent->path);

    //root为/sys/../data/local/tmp/=/data/local/tmp/

    

    l = asprintf(&loading, "%sloading", root);

    //loading为/data/local/tmp/loading

    

    l = asprintf(&data, "%sdata", root);

    //data为/data/local/tmp/data   其内容为指向/proc/sys/kernel/hotplug的符号链接

    

    l = asprintf(&file, FIRMWARE_DIR"/%s", uevent->firmware);

    //file为/etc/firmware/../../../data/local/tmp/hotplug=/data/local/tmp/hotplug

    

    loading_fd = open(loading, O_WRONLY);

    

    data_fd = open(data, O_WRONLY); 

    

    fw_fd = open(file, O_RDONLY);

    

    load_firmware(fw_fd, loading_fd, data_fd)；

}

最后来到load_firmware函数,把hotplug中的数据写到/proc/sys/kernel/hotplug中
其内容变为/data/local/tmp/exploid

static int load_firmware(int fw_fd, int loading_fd, int data_fd)

{

    while (len_to_copy > 0) {

        char buf[PAGE_SIZE];

 

 

        nr = read(fw_fd, buf, sizeof(buf));

                                                                         

        len_to_copy -= nr;                                                                     

        while (nr > 0) {                                                                       

                                                                                               

            nw = write(data_fd, buf + nw, nr);                                                 

 

            nr -= nw;

        }

    }

}

终于/proc/sys/kernel/hotplug中写入了我们的恶意程序了，只要再次受到如wifi打开、usb插入等热拔插信息，内核就会以root权限加载我们的程序再一次执行，从而达到提权的目的

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・13

点赞・5

打赏

分享

最新回复 (7)
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 186 回帖 1106 粉丝 4 关注私信	loongzyd 10 2011-9-4 21:51 2 楼 0 支持楼主
pandaforum 雪币： 321 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 66 粉丝 0 关注私信	pandaforum 2011-9-8 16:57 3 楼 0 楼主很专业。
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 2011-9-9 23:45 4 楼 0 嗯不得不赞一个
dywenwen 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	dywenwen 2011-9-14 17:24 5 楼 0 支持，好文章
赤子Anatta 雪币： 761 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	赤子Anatta 2013-1-22 11:18 6 楼 0 很好的东西，不知道现在漏洞修复了否？
处处潇洒雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	处处潇洒 2014-9-28 12:19 7 楼 0 目前rootAndroid4.3系统的方式比较好理解，然后续版本的系统怎么root？求大神指点（PC端工具或Android侧应用、脚本等）
netsniffer 雪币： 53 活跃值： (255) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 335 粉丝 4 关注私信	netsniffer 2014-9-29 21:27 8 楼 0 后续都是利用kernel或驱动的漏洞，各种栈溢出、数组越界、mmap漏洞，网上搜搜很多
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

返回

androider

发帖

回帖

RANK

关注

他的文章

[原创]结合init源码剖析android root提权漏洞（CVE-2010-EASY）

[原创]Android root源代码剖析--基于CVE - 2010 - EASY

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区