2018 马上过去，给大家拜个早年啦。祝大家新的一年里事事顺心，早日成为技术大咖。这一年里，陆续看到一些朋友不再从事 Android 漏洞方面的工作，笔者也已在年初弃坑，不禁感慨 Android 平台的漏洞研究可能只属于那些 geeker 了。

2018 年 blackhat asia 会议上，阿里巴巴的安全研究员 ThomasKing 做了 Android Root 方面的主题演讲，题为《KSMA-Breaking-Android-kernel-isolation-and-Rooting-with-ARM-MMU-features》。笔者对这样的通用 Root 方式是比较感兴趣的，便着手复现了一下。

ThomasKing 为这种通用 root 方式起了个不错的名字 KSMA(Kernel Space Mirroring Attack)，意为内核空间镜像攻击。简单的说，在内核的一级页表中伪造一个 d_block 类型的 descriptor (内存描述符)，将内核镜像所在的 PA (物理地址) 映射到 descriptor 所对应的 VA (虚拟地址) 处。通过修改 d_block 中的一些内存属性，就可以做到对 VA 处映射的内核镜像做读写操作，从而可以任意修改内核代码。

linux 内核采用分页机制管理 VA，并使用 MMU（内存管理单元） 完成 VA 到 PA 的转换。page (内存页) 大小一般为 4KB 16KB 或者 64 KB，为了更有效率的管理 page，内核使用 page table（页表）来组织所有page。页表是分级的，pc 系统一般使用4级页表，现阶段 android 系统采用3级页表，页大小 4KB。以下均以 4KB 3级页表作为讨论基础。

下面图表搭配着看比较好理解一些，下图位于 armv8 手册 D4-1744 处，下表位于内核 Documentation/arm64/memory.txt 处。

对于3级页表，Level 0 table 并未采用，通过 Level 1 table 可以获取 Level 2 table 的内存位置，通过 Level 2 table 可以获取 Level 3 table 的内存位置，Level 3 table 又可以获取具体 page 所在的内存位置。

比如 0xffffffc000080030 这个 VA 按照上述翻译表的计算方式，可获知

ttbr1 表明这是一个内核地址，poffseet 表明内存在页内偏移为 0x30，L0页表没采用，数值没意义，是一级页表(pgd)的第 0x100 项，二级页表(pmd)的第0项，三级页表(pte)的第0x80项。

需要说明的是内核与用户态进程使用的不是同一份页表，内核拥有自己单独的页表，内核线程共享，用户态进程分别拥有自己的页表。

内核页表在内核初始化时静态创建，如下 init_mm。pgd 指向 swapper_pg_dir，在没有 KASLR 的情况下，该全局变量是一个固定值 0xffffffc00007d000，所以内核一级页表位于固定内存位置

用户程序页表是在创建用户态程序时动态分配在内核堆中，这一点，可以从 execve 的内核实现中看出，调用关系如下：

一级页表有两种描述符（64bit），table类型和 block 类型，如下图所示，block 类型指向指定的 1GB 内存区域，table 类型描述下一级页表的起始地址。对于伪造页表攻击，我们关心的是一级页表中 block 类型的页表
项。

关键在于要理解 d_block 描述符各 bit 意义，各 bit 详情参见 arm 手册，D4-1796，需要说明 AP[2:1] 和 output address：

理解上述页表的过程，伪造 d_block 页表就很简单了，前提是拥有至少一次内核地址写操作。所以，这种利用方法需要搭配某些地址写的漏洞使用。

拥有一次写地址权限后，在特定位置上写上 d_block 即可。

特定位置也就是伪造的 d_block 描述符应该在内存什么位置。该内存位置是可以计算出来的。内核 VA 中有很多的地址空间是没有被使用的，准确的说，没有被映射过。这些内存空洞就可以用来重新映射内核镜像 PA。不考虑 KASLR 的情形，内核镜像加载的起始地址一般为 0xffffffc000000000，镜像大小 1Gb
（0x40000000 Byte） 左右。0xffffffc200000000 开始的区域通常为内存空洞区域，我们可以将该地址开始的 1Gb 空间，作为再次映射内核 PA 的 VA。当然也是可以采用其他区域的，比如 0xffffffc300000000 开始的 VA，这里以 0xffffffc200000000 作为示例

计算 0xffffffc200000000（vaddr） 对应的一级页表 d_block 描述符位置的过程如下：

确定好位置后，按照上述 d_block 各 bit 意义构造好fake_d_block，用地址写漏洞写入指定位置。

之后，内核 PA 就会被映射到 vaddr 处，直接使用指针操作 vaddr 内存即可。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)