首页
社区
课程
招聘
[原创] CVE-2017-8890 漏洞利用(root nexus6p@kernel 3.10)
发表于: 2019-1-29 12:03 9490

[原创] CVE-2017-8890 漏洞利用(root nexus6p@kernel 3.10)

2019-1-29 12:03
9490

由于CVE-2017-8890属于linux kernel 4.10版本之前网络子系统中的问题,因此Android也受影响。hardenedlinux上曾收集了Jeremy Huang的部分exploit,经过测试在nexus6p上可以控制PC指针。本文内容多是别人的经验总结,对该exploit做简单分析并基于该exploit完成后续的利用工作。

###测试环境

控制PC的过程Jeremy的exploit已经完成了。利用的思路在Freebuf上云图信安的文章[1]已经详细分析过了。这里简单阐述一下,server端首先通过setsockopt 中的MCAST_JOIN_GROUP参数初始化一个带有vulnerable obj ip_mc_socklist的socket,设置server的 socket监听后,创建client线程connect两次,因此server端accept返回,在内核中将父socket复制,产生了两个带有vulnerable obj ip_mc_socklist的子socket。释放这两个socket时,ip_mc_socklist obj也会被释放两次。释放ip_mc_socklist obj的过程是在ip_mc_drop_socket中完成的,调用kfree_rcu注册回调函数,等待回调函数触发时来真正的释放这个obj。当rcu宽限期结束后,时钟中断触发时会调用rcu注册的回调函数。这时会kfree两次,造成double free。
Alt text
Alt text

注意:ip_mc_socklist obj 第二次free之前,由于kernel中的内存已经被释放了,正常不堆喷的情况下,可能会被其它的程序占位。在ip_mc_drop_socket中的ip_mc_leave_src中会对这个obj中的其它指针解引用,因此在ip_mc_leave_src中crash也是正常的。本质上crash的原因都是由于double free造成的。

了解了ip_mc_socklist obj 真正的释放过程后,就可以理解通过double free来控制PC的过程了。通常double free的利用有两种思路:一种是利用堆管理器的特性实现double free到代码执行,另一种就是通过占位把double free转化成UAF来使用。这里使用的是第二种。由于该漏洞的两次free的时机都是可控的,因此可以在第一次真正的kfree之后,通过堆喷射来占位释放的obj。通过构造占位的obj中的数据,控制ip_mc_socklist.rcu中的func(回调函数地址)即可劫持PC或控制next_rcu将ip_mc_socklist链中的next_rcu劫持到用户态再修改func指针来劫持PC。

利用思路二中直接控制func:之前在ubuntu上动态调试时,我尝试在ip_mc_drop_socket的kfree_rcu之前用gdb手工修改内存中的func几十次后,发现依然不能劫持PC,感觉对于回调函数保存和触发过程还是不熟悉。
利用思路二中劫持next_rcu:由于不存在SMAP或者是PAN,劫持next_rcu到用户态后,就可以为所欲为了。做一个循环不停地占位func,可以保证回调函数触发时,func是我们控制的值。

漏洞分析过程还可以参考之前的文章。

在Jeremy的exploit中,还用到了bind_on_cpu这个函数。一开始不明白这个函数的作用,讲与之相关的调用删除后,有大概率会出现
kernel page request error的log。

最终,使用Jeremy的exploit劫持PC后,就可以开始后续利用了。

addr_limit代表当前thread可以访问的地址空间大小,如果patch了该thread的task_struct的addr_limit为-1,该thread就可以访问全部地址空间的数据了。目前了解的patch addr_limit有两种方式。第一种在控制了一个寄存器和PC后,参考PXN的研究与绕过@莫灰灰的文章中,构造第一段jop来泄漏出SP到用户态。拿到SP,屏蔽低位后等于拿到了thread_union中的thread_info的地址,也就拿到了addr_limit的地址。用类似STR的指令将addr_limit的地址放在用户态后,再构造jop去patch addr_limit。这要求我们可以控制PC两次,或者能一次jop完成这些操作。

在实际利用中,找了很久的gadget勉强可以泄漏出SP到用户态。如果想要控制一次PC的情况下就使用jop来完成SP的泄漏,计算addr_limit地址,patch addr_limit,也是可以的。只不过泄漏SP之后的jop比较难找,因此就转向了第二种方法。
Alt text
Alt text

第二种方法是360冰刃实验室在mosec2016提出的。利用了来自内核的馈赠:set_fs()。跟踪set_fs()的实现可以看到该函数完成了patch addr_limit的操作。
Alt text

Alt text

在内核中有很多函数调用了set_fs(),执行一系列操作后会使用set_fs(oldfs)来恢复addr_limit,在恢复之前由于调用了函数指针,导致set_fs(oldfs)可以被绕过。这样的函数有:kernel_setsockopt、kernel_sock_ioctl等
Alt text

具体来看一下kernel_setsockopt函数的反汇编代码,控制了X0后,就可以伪造X5的值,控制X5是0xFFFFFFC000B07120,就可以绕过set_fs(oldfs)实现对addr_limit的patch。patch了addr_limit后,用户态就可以实现任意读写内核态地址了。
Alt text

用户态任意地址读写内核态需要借助pipe系统调用来实现。可以参考《Linux C一站式编程》感觉还是有点区别的,以后再研究。
Alt text

内核态任意地址读写后,为了实现找到exp进程完成patch工作,需要根据内核中的task_struct的双向链表来搜索到exp进程。init_task地址固定,内容在内核的二进制文件.data.rel段中,符号可以在/proc/kallsyms读到(需要有root权限)。当然也有非root就可以获取符号的方法,待补充。

struct list_head tasks在task_struct中定义,保存着当前task在task_struct双向链表中的前后节点。定义如下:
Alt text
Alt text
Alt text

在定位tasks时,由于下面的成员pushable_tasks.prio在手机上总是0x8c,因此可以作为标记来在init_task地址处开始搜索。

由于我们最终需要的是init和exp进程的cred的地址来做patch,而cred是在task_struct结构体中是在tasks后面的,因此通过tasks.next可以搜索下一个task_struct中tasks后面的成员,根据comm值判断当前task_struct是谁的,找到exp和init的task_struct后,减sizeof(void )就可以得到对应的cred的地址。
在搜索comm时,根据cpu_timers中两个相同的指针 和
cred、*real_cred相等作为特征来搜索,可以定位到当前task_struct的comm。

Alt text

有了exp进程的cred后,借助pipe系统调用来patch cred中的成员即可。patch了这些成员后,调用system("/system/bin/sh")就可以获取root权限了。但是exp的context还不是init的context,仍然受到selinux的限制。

1534079110996

init和exp的cred地址我们都已经搜索到了,因此将cred中的security.osid和security.sid patch为init的即可。这时exp的context就是init的context了。然后,patch selinux_enabled 和 selinux_enforcing 写0 即可关闭selinux。

利用效果:
Alt text
当前的exp的context已经是init的了,比较神奇的时候调用某些命令,如id看到的context是toolbox的。

下载地址

写exploit时遇到了很多问题,感谢geneblue前辈的指点。

[1] CVE-2017-8890漏洞分析与利用(Root Android 7.x) http://www.freebuf.com/articles/terminal/160041.html
[2] PXN的研究与绕过 https://blog.csdn.net/hu3167343/article/details/47394707
[3] Android PXN绕过技术研究https://geneblue.github.io/2016/07/27/Android%20PXN%E7%BB%95%E8%BF%87%E6%8A%80%E6%9C%AF%E7%A0%94%E7%A9%B6/
[4] 绕过PXN保护 http://blog.idhyt.com/2016/08/09/exploit-bypass-pxn/
[5] https://github.com/dosomder/iovyroot/blob/master/jni/getroot.c

 
 
 

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2019-1-29 12:24 被心许雪编辑 ,原因:
收藏
免费 7
支持
分享
打赏 + 5.00雪花
打赏次数 1 雪花 + 5.00
 
赞赏  aabiaobiao   +5.00 2019/01/31 非常想跟老哥认识认识
最新回复 (12)
雪    币: 438
活跃值: (239)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
2
赞。学习一下android上面的利用
2019-1-29 14:14
0
雪    币: 123
活跃值: (1675)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
2019-1-29 15:15
0
雪    币: 4366
活跃值: (353)
能力值: ( LV10,RANK:160 )
在线值:
发帖
回帖
粉丝
4
ID蝴蝶 赞。学习一下android上面的利用[em_63]
谢谢~ 一起学习
2019-1-29 23:52
0
雪    币: 4366
活跃值: (353)
能力值: ( LV10,RANK:160 )
在线值:
发帖
回帖
粉丝
5
许文伟爱工作 [em_63][em_60]
感谢支持。
2019-1-29 23:53
0
雪    币: 6573
活跃值: (3958)
能力值: (RANK:200 )
在线值:
发帖
回帖
粉丝
6
2019-1-30 10:45
1
雪    币: 94
活跃值: (228)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
厉害
2019-1-30 11:01
0
雪    币: 47
活跃值: (418)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
8
赞赞赞
2019-1-30 11:07
1
雪    币: 29
活跃值: (295)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
9
感谢分享 赞
2019-1-30 11:19
1
雪    币: 53
活跃值: (280)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
10
解释的很详细,赞!

"当前的exp的context已经是init的了,比较神奇的时候调用某些命令,如id看到的context是toolbox的。"
这是因为selinux策略toolbox.te中有定义
init_daemon_domain(toolbox)
即init domain的进程执行toolbox类型的可执行文件,会自动域转到toolbox domain上。
2019-1-30 12:07
3
雪    币: 4366
活跃值: (353)
能力值: ( LV10,RANK:160 )
在线值:
发帖
回帖
粉丝
11
netsniffer 解释的很详细,赞! "当前的exp的context已经是init的了,比较神奇的时候调用某些命令,如id看到的context是toolbox的。" 这是因为selinux策 ...
学习了。thanks!
2019-1-30 14:02
0
雪    币: 275
活跃值: (259)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
12
2019-1-30 20:56
0
雪    币: 444
活跃值: (2931)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
13
BLX X5  跳过setfs 后ret不会蹦吗?  奇怪, ummmmm... X30 由 ret上一行指令决定?  那x86 平台用的是call 调的指针, 这下返回时总该蹦了吧 
最后于 2019-8-26 23:41 被酒肉和尚编辑 ,原因:
2019-8-26 23:27
0
游客
登录 | 注册 方可回帖
返回
//