[原创]Something about CVE-2015-3636-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]Something about CVE-2015-3636

发表于: 2015-7-7 11:19 33522

[原创]Something about CVE-2015-3636

QEver

2015-7-7 11:19

33522

分享一下pingpongroot漏洞成因，只到poc部分。后续的exp和利用原理，由于没有人发，我也不好发出来。等有人爆过之后，我再（看心情）把后续的内容补充上来吧。

这份文档是按照之前的分析笔记整理出来的。我以前也没有碰过内核网络模块的代码。所以整个分析思路还是可以借鉴一下的。

里面所有的源码来自
http://androidxref.com/kernel_3.4/
虽然和android内核源码有些差异，但是不影响分析过程。

最后，关于uaf的稳定利用，欢迎私下讨论。

再最后~~~北京上市安全公司招移动安全相关人员(各个方向都有)，有意者可以直接发简历到QEver.cn@gmail.com，有顾虑的话，也可以先来和我聊聊天。

======================================================================================

2015.7.8 更新

早上起来看到给精华了，就先简单补充一下如何利用吧

其实最先看到这个漏洞的时候，我一直以为是跟内核写0x00200200这个地址有关，可能造成遍历链表的时候错误的解析到用户空间。
但是当仔细研究过后就发现，这种想法根本就是不可能的。

实际上0x00200200这个地址存在的意义，就是为了该漏洞可以被利用。
在分析文章的末尾有一段POC，这份POC直接运行会造成内核crash，但是如果在0x00200200这个地址映射一块内存的话，就不会有crash出现。这样才能进行后续的提权操作。
至于利用，就是uaf通用的办法，想办法覆盖释放的sk内存空间，然后调用接口，由于sk里面包含很多函数指针，可以指向自己的函数，达到提权的目的。

就这样吧。

登录后可查看完整内容

上传的附件：

CVE-2015-3636.pdf （663.34kb，925次下载）

收藏・13

免费・3

支持

最新回复 (31) 1 2 ▶
mingxuan三千雪币： 76 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 195 粉丝 0 关注私信	mingxuan三千 2 楼 s6系列？期待后续 2015-7-7 11:27 0
adslxyz 雪币： 64 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 34 粉丝 0 关注私信	adslxyz 3 楼赞一个，期待后续 2015-7-7 11:58 0
我是小牛牛雪币： 112 活跃值： (293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 238 粉丝 0 关注私信	我是小牛牛 4 楼楼主厉害呀，我连阅读内核代码都很吃力 2015-7-7 14:33 0
ThomasKing 雪币： 370 活跃值： (1175) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 168 关注私信	ThomasKing 6 5 楼感谢分享！ 2015-7-8 08:53 0
JoenChen 雪币： 6976 活跃值： (1412) 能力值： ( LV11，RANK：180 ) 在线值：发帖 12 回帖 171 粉丝 45 关注私信	JoenChen 4 6 楼坐等漏洞利用POC 2015-7-8 09:22 0
hqdvista 雪币： 8 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	hqdvista 7 楼刚开始写的不太对哦，不过补充完的的思路就差不多是对的了。小文8月份bh和woot会公开细节的，到时候大家去听听就知道了，哈哈 2015-7-8 10:48 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 8 楼看看补充内容吧。 2015-7-8 11:00 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 9 楼因为这个是分析笔记整理的啊。按照分析流程来，刚开始什么都不知道，想到什么就记录什么，前面有错误是很正常的哈。 2015-7-8 11:13 0
LifeVscen 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 146 粉丝 0 关注私信	LifeVscen 10 楼约炮吗？ 2015-7-8 11:17 0
KCG 雪币： 38 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	KCG 11 楼 sk->sk_prot->close(sk, timeout); 想办法覆盖sk, 然后close 掉 ,会去调用inet_release，还有注意在inet_release --> ip_mc_drop_socket 中的这个判断if (inet->mc_list == NULL)。我们构造的覆盖数据需要把mc_list这里填0.让它直接return. 2015-7-8 11:42 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 13 关注私信	Ericky 6 12 楼 mark..hok za 2015-7-8 16:11 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 13 楼不太理解你在说什么哦我曾经尝试过用close触发unhash。但是socket被close之后就没办法继续用于提权。所以认为是不可行的 2015-7-8 16:29 0
KCG 雪币： 38 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	KCG 14 楼 sk->sk_prot->close(sk, timeout); 都被你覆盖成了提权代码了，你close的时候自然就可以提权啊。 2015-7-8 18:02 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 15 楼哦。也可以。其实覆盖掉sk之后，随便调用哪个函数都可以。关键是判断哪个sk已经被覆盖了。 2015-7-8 19:03 0
starwalker 雪币： 281 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	starwalker 16 楼这个漏洞主要会影响哪些手机呢 2015-7-29 14:52 0
hmbhmb 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	hmbhmb 17 楼大神，这个软件能ROOT 三星S6的机型，但是NOTE4和S5的居然不行，这是为什么啊？ 2015-8-6 19:27 0
cglxa 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	cglxa 18 楼有可以运行的软件吗？我在我机子上测试下？谢谢。 2015-8-7 14:08 0
kenlf 雪币： 64 活跃值： (134) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 70 粉丝 0 关注私信	kenlf 19 楼好牛的分析！膜拜！ 2015-8-9 17:07 0
jieniruyan 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 1 关注私信	jieniruyan 20 楼 exp原理在Blackhat上已经公布了，你的利用方法跟他们一样吗？不一样的话可以公开了吧。 2015-8-10 09:25 0
lookzo 雪币： 6 活跃值： (1120) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 1 关注私信	lookzo 21 楼前面分析的不错，poc不完整 2015-10-21 15:49 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 23 楼有事直接给我发邮件吧~QEver.cn@gmail.com 2015-11-24 15:33 0
北极冰封雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	北极冰封 24 楼有没有大神解答下，我的uid=0了，执行system("mount -o rw,remount /system")时没错误信息，而system("chmod 777 /system/framework")会出现Read-only file system。并且执行system("/system/bin/sh")可以看到前面的用户是root，测试的是android手机 2015-11-27 18:13 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 25 楼请关闭SELinux再进行测试。 2015-11-27 22:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

QEver

发帖

581

回帖

270

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (31) 1 2 ▶
mingxuan三千雪币： 76 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 195 粉丝 0 关注私信	mingxuan三千 2 楼 s6系列？期待后续 2015-7-7 11:27 0
adslxyz 雪币： 64 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 34 粉丝 0 关注私信	adslxyz 3 楼赞一个，期待后续 2015-7-7 11:58 0
我是小牛牛雪币： 112 活跃值： (293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 238 粉丝 0 关注私信	我是小牛牛 4 楼楼主厉害呀，我连阅读内核代码都很吃力 2015-7-7 14:33 0
ThomasKing 雪币： 370 活跃值： (1175) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 168 关注私信	ThomasKing 6 5 楼感谢分享！ 2015-7-8 08:53 0
JoenChen 雪币： 6976 活跃值： (1412) 能力值： ( LV11，RANK：180 ) 在线值：发帖 12 回帖 171 粉丝 45 关注私信	JoenChen 4 6 楼坐等漏洞利用POC 2015-7-8 09:22 0
hqdvista 雪币： 8 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	hqdvista 7 楼刚开始写的不太对哦，不过补充完的的思路就差不多是对的了。小文8月份bh和woot会公开细节的，到时候大家去听听就知道了，哈哈 2015-7-8 10:48 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 8 楼看看补充内容吧。 2015-7-8 11:00 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 9 楼因为这个是分析笔记整理的啊。按照分析流程来，刚开始什么都不知道，想到什么就记录什么，前面有错误是很正常的哈。 2015-7-8 11:13 0
LifeVscen 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 146 粉丝 0 关注私信	LifeVscen 10 楼约炮吗？ 2015-7-8 11:17 0
KCG 雪币： 38 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	KCG 11 楼 sk->sk_prot->close(sk, timeout); 想办法覆盖sk, 然后close 掉 ,会去调用inet_release，还有注意在inet_release --> ip_mc_drop_socket 中的这个判断if (inet->mc_list == NULL)。我们构造的覆盖数据需要把mc_list这里填0.让它直接return. 2015-7-8 11:42 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 13 关注私信	Ericky 6 12 楼 mark..hok za 2015-7-8 16:11 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 13 楼不太理解你在说什么哦我曾经尝试过用close触发unhash。但是socket被close之后就没办法继续用于提权。所以认为是不可行的 2015-7-8 16:29 0
KCG 雪币： 38 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	KCG 14 楼 sk->sk_prot->close(sk, timeout); 都被你覆盖成了提权代码了，你close的时候自然就可以提权啊。 2015-7-8 18:02 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 15 楼哦。也可以。其实覆盖掉sk之后，随便调用哪个函数都可以。关键是判断哪个sk已经被覆盖了。 2015-7-8 19:03 0
starwalker 雪币： 281 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	starwalker 16 楼这个漏洞主要会影响哪些手机呢 2015-7-29 14:52 0
hmbhmb 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	hmbhmb 17 楼大神，这个软件能ROOT 三星S6的机型，但是NOTE4和S5的居然不行，这是为什么啊？ 2015-8-6 19:27 0
cglxa 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	cglxa 18 楼有可以运行的软件吗？我在我机子上测试下？谢谢。 2015-8-7 14:08 0
kenlf 雪币： 64 活跃值： (134) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 70 粉丝 0 关注私信	kenlf 19 楼好牛的分析！膜拜！ 2015-8-9 17:07 0
jieniruyan 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 1 关注私信	jieniruyan 20 楼 exp原理在Blackhat上已经公布了，你的利用方法跟他们一样吗？不一样的话可以公开了吧。 2015-8-10 09:25 0
lookzo 雪币： 6 活跃值： (1120) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 1 关注私信	lookzo 21 楼前面分析的不错，poc不完整 2015-10-21 15:49 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 23 楼有事直接给我发邮件吧~QEver.cn@gmail.com 2015-11-24 15:33 0
北极冰封雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	北极冰封 24 楼有没有大神解答下，我的uid=0了，执行system("mount -o rw,remount /system")时没错误信息，而system("chmod 777 /system/framework")会出现Read-only file system。并且执行system("/system/bin/sh")可以看到前面的用户是root，测试的是android手机 2015-11-27 18:13 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 25 楼请关闭SELinux再进行测试。 2015-11-27 22:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复