首页
社区
课程
招聘
[原创](Android Root)CVE-2017-7533 漏洞分析和复现
发表于: 2018-12-18 21:00 9587

[原创](Android Root)CVE-2017-7533 漏洞分析和复现

2018-12-18 21:00
9587

本篇主要是记录一下CVE-2017-7533是什么类型的漏洞,漏洞原理是什么,以及如何触发,又是如何被patch的。进一步,编译源码刷机(此步骤耗时最为长久),在pixel2上复现。此外,进一步思考如果想要从poc到exploit进一步需要做哪些事情?

欢迎对这个漏洞感兴趣的同学一起交流学习~

根据对该CVE的描述信息[1]我们可以知道,这是一个在linux kernel中fsnotify中的race condition漏洞。攻击者可以利用inotify_handle_event和vfs_rename同时执行,实现本地提权或者DoS。

Race condition in the fsnotify implementation in the Linux kernel through 4.12.4 allows local users to gain privileges or cause a denial of service (memory corruption) via a crafted application that leverages simultaneous execution of the inotify_handle_event and vfs_rename functions.

根据redhat mail[2]中对该漏洞的描述,这个漏洞由于race condition会溢出下一个slab的数据。摘录漏洞的触发过程如下图所示。
7B087962-407D-4B90-8E81-9237A3543205

linux kernel 4.4相关代码:
89B0271D-D0B0-40A9-945D-7D6489E8D9CF

inotify_event_info 结构体:
B161AA57-B03F-4AC7-B269-9F787DBC6FEA

在上图中,和漏洞相关的关键点有三个:

问题在于2和3之间,如果file_name被修改了,就可以造成heap overflow。而事实上,由于内核中有大量的线程在同时运行,file_name是可以通过sys_rename系统调用来修改的。

由于overflow的是kmalloc申请的buffer之后的内存,因此需要有效的控制该内存才可以DoS或者是提权。

根据redhat mailist[2],影响的linux kernel version:v3.14-rc1 - v4.12。
对于Android而言,根据Android security bulletin[3],影响的patch level: before 2017-12-01。

CVE-2017-7533这个漏洞的patch影响kernel 3.12-rc4到4.12。因此,nexus6p上是实现不了了,看了一下msm中angler的branch kernel都是3.10的。因此,在pixel 2 android 8.1 kernel 4.4上测试。通过git checkout 4.4.56-g594d847d09a1切换到对应的kernel版本。

分析漏洞原理时,我们已经明白了需要使用两个thread来触发漏洞:一个触发inotify_handle_event,一个触发sys_rename。hardenedlinux有该漏洞的POC[4]。

该POC中,main函数中的notify_thread_func线程,使用inotify机制监控test_dir/f文件的打开、关闭
访问行为。如果触发了该行为,调用handle_events函数,从inotify实例中read 所有的inofity_event事件,遍历时间判断当前触发事件的event->name是否为"b",如果是,则成功触发。

main函数中的trigger_rename_open线程中又开启了两个线程,callrename和openclose。callrename线程中构造longname "bbbb321032103210xxxxxxxx",并开始循环,循环调用两次rename系统调用,修改test_dir/f为longname再修改回来。

callrename线程比较简单,开始循环,循环打开test_dir/f,用于触发用户态中inotify_handle_event的监听事件,从而触发内核中的inotify_handle_event函数,从而竞争触发heap overflow。

漏洞触发的时候:

监听事件触发的时候read的buffer中是inotify_event结构体,其中len代表了name+padding的长度。
B074CE7C-B17B-4145-B47B-8C438E51734B

但是在内核中,inotify_handle_event中的event是inotify_event_info结构体,其中name_len就是代表name的长度。这个特别容易混淆。
D1DCEB13-62B9-4767-A53E-194293D9021D

因此,在漏洞触发时,虽然file_name已经被修改,但是内核中inotify_event_info的name_len依然还是1,name则是longname了。经过测试,用户态read的buffer中,inotify_event结构体的name似乎是根据内核中的name_len来获取的(纯属猜测),因此是漏洞触发时,用户态获取的name是b。

poc运行后,输出:3B85A428-5871-4FFF-A82F-6D2FA692FC00
图中已经检测到了event->name是b,

修改了kernel源码,在strcpy处加入pr_err 查看log:D145D699-1761-409F-9CE9-771605C4CD94

编译内核后查看,dmesg信息:058DF0B4-A950-4BE7-A52B-E0A018C9D562

可以看到,file_name已经被rename成了longname,strcpy给event->name成功溢出了。

该漏洞在linux kernel中的patch[5]如下所示,新增加了name_snapshot结构体,并增加了dentry中name的take和release的方法。原先对dentry中name的操作都要先获取一个快照(snap)再操作。

以fsnotify.c为例: A638163D-97F6-4F0A-BF22-F63C88AB2F2F

为什么漏洞在inotify_handle_event()却要patch fsnotify(..., file_name)呢?

看了一会儿源码发现inotify_handle_event()的触发链如下:fsnotify(...,file_name)->send_to_group(... ,file_name)->group->ops->handle_event(..., file_name, cookie)

根据ops的定义const struct fsnotify_ops *ops;,查看该结构体:

D04828E9-24FA-4A40-8E88-9F8F5A6D67CF

因此, group->ops->handle_event(..., file_name, cookie)是会调用inotify_handle_event()的。

patch了之后,fsnotify(..., file_name)中的file_name是snap的name,即使调用sys_rename使得dentry中的name改变了,但是fsnotify拿到的name依然没变,inotify_handle_event中也就不会发生对溢出了。

通过patch,我们可以更加清晰的发现,由于原先inotify_handle_event的file_name
实际上是一个指向dentry中name的一个指针,在race condition时就会发生问题。漏洞的本质是传入参数的改变,那么patch 自然也应该在上层函数中patch了。

写到这里,如何从poc到exp呢?其实目前我还不清楚。

既然是kmalloc发生了溢出,那么思路就是利用溢出后的数据来覆盖后面一个obj中的指针啊什么的来控制PC指针。所以溢出后面的数据是一个obj吗?如果是,这个obj可以控制吗?内核堆的管理方式又是什么样子的呢?如何查看内核堆中的数据呢?

最后,内核中这样由于竞争导致的问题肯定还有,如何发现呢?

带着这样的问题,继续上路吧。

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7533
[2] https://seclists.org/oss-sec/2017/q3/240
[3] https://source.android.com/security/bulletin/2017-12-01
[4] https://github.com/hardenedlinux/offensive_poc/tree/master/CVE-2017-7533
[5] https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=49d31c2f389acfe83417083e1208422b4091cd9


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2019-1-11 19:30 被kanxue编辑 ,原因:
收藏
免费 6
支持
分享
打赏 + 1.00雪花
打赏次数 1 雪花 + 1.00
 
赞赏  Imyang   +1.00 2019/02/18
最新回复 (5)
雪    币: 47
活跃值: (418)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
2
2018-12-19 10:38
0
雪    币: 26205
活跃值: (63302)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
3
赞!感谢分享!
2018-12-20 08:30
0
雪    币: 7818
活跃值: (1073)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
4
我试了在android内核4.4,poc运行,在内核态打印不出来,stren(filename)> len。我用的goldfish内核4.4,请问楼主有改过poc么?而且在非root权限,也监控不了那个文件。
最后于 2018-12-20 18:13 被jltxgcy编辑 ,原因:
2018-12-20 18:09
0
雪    币: 4366
活跃值: (353)
能力值: ( LV10,RANK:160 )
在线值:
发帖
回帖
粉丝
5
jltxgcy 我试了在android内核4.4,poc运行,在内核态打印不出来,stren(filename)> len。我用的goldfish内核4.4,请问楼主有改过poc么?而且在非root权限 ...
当时只是把POC看懂了,暂时没有改过POC。
监控的文件在/data/local/tmp/test_dir/,是有权限的呀。
2018-12-21 09:50
0
雪    币: 11716
活跃值: (133)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
#寻宝大战#祝看雪19岁快乐!
2019-1-11 21:59
0
游客
登录 | 注册 方可回帖
返回
//