[讨论]水滴-cve-2019-2025的利用-Android安全-看雪-安全社区|安全招聘|kanxue.com

[讨论]水滴-cve-2019-2025的利用

2019-3-20 11:11 9258

[讨论]水滴-cve-2019-2025的利用

wule

2019-3-20 11:11

9258

最近在看爆出来的水滴cve-2019-2025的利用，发现内核写的这个思路时间窗口太小了，而且并不好控制，代码如下：

t->buffer = binder_alloc_new_buf(&target_proc->alloc, tr->data_size,

tr->offsets_size, extra_buffers_size,

!reply && (t->flags & TF_ONE_WAY));

if (IS_ERR(t->buffer)) {

* -ESRCH indicates VMA cleared. The target is dying.

return_error_param = PTR_ERR(t->buffer);

return_error = return_error_param == -ESRCH ?

BR_DEAD_REPLY : BR_FAILED_REPLY;

return_error_line = __LINE__;

t->buffer = NULL;

goto err_binder_alloc_buf_failed;

}

//msleep(10);

t->buffer->allow_user_free = 0;

//t->buffer->tmp = 111;

t->buffer->debug_id = t->debug_id;

t->buffer->transaction = t;

t->buffer->target_node = target_node;

基本上就是从binder_alloc_new_buf出来之后就直接到allow_user_free=0处了，这个时间窗口很短。不过，实际上，race的情况是会出现的，只要进行free 目标binder_buffer的线程多一点，cpu分散一些，很大概率能够race进去。

race进去了之后，其实并不会直接把目标binder_buffer给kfree掉，想要成功kfree必须保证前面的相邻binder_buffer是一个free的，这个就很难满足，因为如果前面的binder_buffer是一个free的话，那在binder_alloc_new_buf的时候自然会去分配到前面的binder_buffer，而不是这个目标binder_buffer。。。之前想通过不同的buffer_size来做一些事情，但是都没成功，感觉陷入了一个矛盾的循环。。。

现在假设已经成功的把目标binder_buffer给free掉了，那还需要在时间窗口期间把堆喷给做了。

一直搞不明白这块是如何成功利用的，感觉自己的思路可能是受限制了，不知道有什么其他的思路大家可以一起讨论一下。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・2

点赞・4

打赏

最新回复 (15)
缘分挖洞哥雪币： 210 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	缘分挖洞哥 2019-3-20 16:39 2 楼 0 不加patch我也没搞出来,网上有爆的相关代码么
Lucaks 雪币： 319 活跃值： (239) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 73 粉丝 0 关注私信	Lucaks 1 2019-3-20 16:47 3 楼 0 不知道这个时序怎么控制，tw上问了大佬。说的要过一段时间才公开细节
云才哥雪币： 222 活跃值： (140) 能力值： ( LV2，RANK：15 ) 在线值：发帖 11 回帖 285 粉丝 2 关注私信	云才哥 2019-3-22 00:13 4 楼 0 看成滴水了
wule 雪币： 270 活跃值： (234) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 91 粉丝 11 关注私信	wule 2 2019-3-22 14:00 5 楼 0 我猜这里mutex和其他地方的锁可能会是一个点，进程被mutex挂起来，然后后面的调度部分，是不是能有一些东西。。 google的说明：https://bugs.chromium.org/p/project-zero/issues/detail?id=1720 这里面是root权限跑的一个poc，得先做这个binder_become_context_manager的操作，android上没有能力这样搞，因为已经有一个servicemanager了，
缘分挖洞哥雪币： 210 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	缘分挖洞哥 2019-3-23 21:05 6 楼 0 @wule 大佬加个微信么,交流一下2025? 看雪不让我发私信, Vx:apologizeilostyou
皮豪雪币： 314 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	皮豪 2019-3-24 11:34 7 楼 0 感谢分享
牛maomao 雪币： 593 活跃值： (812) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 16 粉丝 6 关注私信	牛maomao 2019-4-12 18:12 8 楼 0 楼主，感觉你把binder_buffer和binder_buffer.data弄混淆了吧，各个binder_buffer.data是内存相邻的，但binder_buffer结构体本身的内存是不相邻的，而是用红黑树关联起来的 360文章中说的堆喷也是喷binder_buffer，而不是binder_buffer.data 不过我这里也没什么进展，希望多交流
wule 雪币： 270 活跃值： (234) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 91 粉丝 11 关注私信	wule 2 2019-5-10 23:15 9 楼 0 http://192.168.43.165/h.html
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 269 粉丝 12 关注私信	Ericky 6 2019-5-12 15:47 10 楼 0 前来帮顶
wule 雪币： 270 活跃值： (234) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 91 粉丝 11 关注私信	wule 2 2019-5-13 20:50 11 楼 0 Ericky 前来帮顶感谢Ericky大佬帮顶！360的文章都出来了，只能说还太嫩了。
牛maomao 雪币： 593 活跃值： (812) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 16 粉丝 6 关注私信	牛maomao 2019-9-9 11:58 12 楼 0 按照360的PPT，我已经成功实现了时间窗口的竞争，堆喷也成功了。但内核信息泄露那步，发现PPT里的sync_fence_create和sync_pt_create用的是很老的代码（git上看是2014年的）,新安卓版本早就改变了。也许是360仅仅用这个老代码来举例？ PPT里还写道要用Syzkaller/monkey 来寻找合适的内存结构体来实现泄露，但Syzkaller貌似只能对虚拟机X86内核进行fuzz，安卓这边也能用Syzkaller吗？希望几位大佬能略微指点下我这个新来的菜鸟，感谢！
jltxgcy 雪币： 7816 活跃值： (1068) 能力值： ( LV7，RANK：110 ) 在线值：发帖 8 回帖 82 粉丝 47 关注私信	jltxgcy 2 2019-9-9 16:47 13 楼 0 牛maomao 按照360的PPT，我已经成功实现了时间窗口的竞争，堆喷也成功了。但内核信息泄露那步，发现PPT里的sync_fence_create和sync_pt_create用的是很老的代码（git上看是2 ... 堆喷成功已经可以任意地址写了，利用内核镜像攻击，可提权了。
牛maomao 雪币： 593 活跃值： (812) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 16 粉丝 6 关注私信	牛maomao 2019-9-9 17:18 14 楼 0 jltxgcy 堆喷成功已经可以任意地址写了，利用内核镜像攻击，可提权了。只是验证堆喷而已，随便填了些数据，首先要先泄露cred地址，才能知道往哪里写
jltxgcy 雪币： 7816 活跃值： (1068) 能力值： ( LV7，RANK：110 ) 在线值：发帖 8 回帖 82 粉丝 47 关注私信	jltxgcy 2 2019-9-9 19:12 15 楼 0 牛maomao 只是验证堆喷而已，随便填了些数据，首先要先泄露cred地址，才能知道往哪里写内核镜像攻击直接patch ns_capable，不过你要做到通用，也需要泄露ns_capable的地址。
牛maomao 雪币： 593 活跃值： (812) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 16 粉丝 6 关注私信	牛maomao 2019-9-10 08:59 16 楼 0 jltxgcy 内核镜像攻击直接patch ns_capable，不过你要做到通用，也需要泄露ns_capable的地址。现在就是泄露这步搞不定
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

wule

发帖

回帖

100

RANK

关注

私信

他的文章

[求助]ubertooth嗅探ble通信数据

[原创]cve-2018-9568

[讨论]水滴-cve-2019-2025的利用

[讨论]CVE-2018-9568，这个洞看起来问题很大，但是就是不知道怎么用？？？

[原创]2017-8890堆喷的一些思考

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
缘分挖洞哥雪币： 210 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	缘分挖洞哥 2019-3-20 16:39 2 楼 0 不加patch我也没搞出来,网上有爆的相关代码么
Lucaks 雪币： 319 活跃值： (239) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 73 粉丝 0 关注私信	Lucaks 1 2019-3-20 16:47 3 楼 0 不知道这个时序怎么控制，tw上问了大佬。说的要过一段时间才公开细节
云才哥雪币： 222 活跃值： (140) 能力值： ( LV2，RANK：15 ) 在线值：发帖 11 回帖 285 粉丝 2 关注私信	云才哥 2019-3-22 00:13 4 楼 0 看成滴水了
wule 雪币： 270 活跃值： (234) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 91 粉丝 11 关注私信	wule 2 2019-3-22 14:00 5 楼 0 我猜这里mutex和其他地方的锁可能会是一个点，进程被mutex挂起来，然后后面的调度部分，是不是能有一些东西。。 google的说明：https://bugs.chromium.org/p/project-zero/issues/detail?id=1720 这里面是root权限跑的一个poc，得先做这个binder_become_context_manager的操作，android上没有能力这样搞，因为已经有一个servicemanager了，
缘分挖洞哥雪币： 210 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	缘分挖洞哥 2019-3-23 21:05 6 楼 0 @wule 大佬加个微信么,交流一下2025? 看雪不让我发私信, Vx:apologizeilostyou
皮豪雪币： 314 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	皮豪 2019-3-24 11:34 7 楼 0 感谢分享
牛maomao 雪币： 593 活跃值： (812) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 16 粉丝 6 关注私信	牛maomao 2019-4-12 18:12 8 楼 0 楼主，感觉你把binder_buffer和binder_buffer.data弄混淆了吧，各个binder_buffer.data是内存相邻的，但binder_buffer结构体本身的内存是不相邻的，而是用红黑树关联起来的 360文章中说的堆喷也是喷binder_buffer，而不是binder_buffer.data 不过我这里也没什么进展，希望多交流
wule 雪币： 270 活跃值： (234) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 91 粉丝 11 关注私信	wule 2 2019-5-10 23:15 9 楼 0 http://192.168.43.165/h.html
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 269 粉丝 12 关注私信	Ericky 6 2019-5-12 15:47 10 楼 0 前来帮顶
wule 雪币： 270 活跃值： (234) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 91 粉丝 11 关注私信	wule 2 2019-5-13 20:50 11 楼 0 Ericky 前来帮顶感谢Ericky大佬帮顶！360的文章都出来了，只能说还太嫩了。
牛maomao 雪币： 593 活跃值： (812) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 16 粉丝 6 关注私信	牛maomao 2019-9-9 11:58 12 楼 0 按照360的PPT，我已经成功实现了时间窗口的竞争，堆喷也成功了。但内核信息泄露那步，发现PPT里的sync_fence_create和sync_pt_create用的是很老的代码（git上看是2014年的）,新安卓版本早就改变了。也许是360仅仅用这个老代码来举例？ PPT里还写道要用Syzkaller/monkey 来寻找合适的内存结构体来实现泄露，但Syzkaller貌似只能对虚拟机X86内核进行fuzz，安卓这边也能用Syzkaller吗？希望几位大佬能略微指点下我这个新来的菜鸟，感谢！
jltxgcy 雪币： 7816 活跃值： (1068) 能力值： ( LV7，RANK：110 ) 在线值：发帖 8 回帖 82 粉丝 47 关注私信	jltxgcy 2 2019-9-9 16:47 13 楼 0 牛maomao 按照360的PPT，我已经成功实现了时间窗口的竞争，堆喷也成功了。但内核信息泄露那步，发现PPT里的sync_fence_create和sync_pt_create用的是很老的代码（git上看是2 ... 堆喷成功已经可以任意地址写了，利用内核镜像攻击，可提权了。
牛maomao 雪币： 593 活跃值： (812) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 16 粉丝 6 关注私信	牛maomao 2019-9-9 17:18 14 楼 0 jltxgcy 堆喷成功已经可以任意地址写了，利用内核镜像攻击，可提权了。只是验证堆喷而已，随便填了些数据，首先要先泄露cred地址，才能知道往哪里写
jltxgcy 雪币： 7816 活跃值： (1068) 能力值： ( LV7，RANK：110 ) 在线值：发帖 8 回帖 82 粉丝 47 关注私信	jltxgcy 2 2019-9-9 19:12 15 楼 0 牛maomao 只是验证堆喷而已，随便填了些数据，首先要先泄露cred地址，才能知道往哪里写内核镜像攻击直接patch ns_capable，不过你要做到通用，也需要泄露ns_capable的地址。
牛maomao 雪币： 593 活跃值： (812) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 16 粉丝 6 关注私信	牛maomao 2019-9-10 08:59 16 楼 0 jltxgcy 内核镜像攻击直接patch ns_capable，不过你要做到通用，也需要泄露ns_capable的地址。现在就是泄露这步搞不定
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复