Android netlink&svc 获取 Mac方法深入分析
前文:
随着市面上获取指纹的方式越来越多,获取的方式也千奇百怪。
比如最开始的system_property_get , system_property_find , system_property_read 直接调用native底层获取。
到后来的进阶包括svc读取boot_id 文件,内存反射mValues 的 map 变量获取android id
(需要过掉反射限制) , 都是很不错的方法指纹获取方法。
今天主要介绍的是通过内核通讯的方式获取设备网卡mac指纹,主要通过netlink的方式和内核通讯去获取mac网卡地址 。
这种方式可以直接绕过android的权限。
在不给app授权的时候也可以直接获取到网卡信息。因为很难进行mock,所以很多大厂app也都是采用这种办法去获取。
我在原有的基础上继续完善了一下逻辑,在接收消息的时候通过内联svc的方式处理接收收到的数据包,大大增加了数据的安全性。
也防止有人通过inlinehook 直接hook recv ,recvform,recvmsg 直接在收到数据包的时候被拦截和替换掉。
理论上这种方式可以过掉99%以上的改机软件。
netlink简介:
- Netlink是linux提供的用于内核和用户态进程之间的通信方式。
- 但是注意虽然Netlink主要用于用户空间和内核空间的通信,但是也能用于用户空间的两个进程通信。
- 只是进程间通信有其他很多方式,一般不用Netlink。除非需要用到Netlink的广播特性时。
- NetLink机制是一种特殊的socket,它是Linux特有的,由于传送的消息是暂存在socket接收缓存中,并不为接受者立即处理,所以netlink是一种异步通信机制。系统调用和ioctl是同步通信机制。
一般来说用户空间和内核空间的通信方式有三种:
proc
ioctl
Netlink
而前两种都是单向的,但是Netlink可以实现双工通信。
Netlink协议基于BSD socket和AF_NETLINK地址簇(address family)。
使用32位的端口号寻址(以前称为PID),每个Netlink协议(或称作总线,man手册中则称之为netlink family),通常与一个或者一组内核服务/组件相关联,如NETLINK_ROUTE用于获取和设置路由与链路信息、NETLINK_KOBJECT_UEVENT用于内核向用户空间的udev进程发送通知等。
netlink特点:
1,支持全双工、异步通信
2,用户空间可以使用标准的BSD socket接口(但netlink并没有屏蔽掉协议包的构造与解析过程,推荐使用libnl等第三方库)
3,在内核空间使用专用的内核API接口
4,支持多播(因此支持“总线”式通信,可实现消息订阅)
5,在内核端可用于进程上下文与中断上下文
netlink优点:
- netlink使用简单,只需要在include/linux/netlink.h中增加一个新类型的 netlink 协议定义即可,(如 #define NETLINK_TEST 20 然后,内核和用户态应用就可以立即通过 socket API 使用该 netlink 协议类型进行数据交换);
- netlink是一种异步通信机制,在内核与用户态应用之间传递的消息保存在socket缓存队列中,发送消息只是把消息保存在接收者的socket的接收队列,而不需要等待接收者收到消息;
- 使用 netlink 的内核部分可以采用模块的方式实现,使用 netlink 的应用部分和内核部分没有编译时依赖;
- netlink 支持多播,内核模块或应用可以把消息多播给一个netlink组,属于该neilink 组的任何内核模块或应用都能接收到该消息,内核事件向用户态的通知机制就使用了这一特性;
- 内核可以使用 netlink 首先发起会话;
如何通过netlink获取网卡信息?
android 是如何通过netlink获取网卡地址的?
不管是ip命令行还是Java的network接口,最终都是调用到ifaddrs.cpp -> getifaddrs
getifaddrs方法介绍
源码摘抄自:
3c6K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4G2M7%4m8^5M7X3g2X3i4K6u0W2j5$3!0E0i4K6u0r3j5h3&6V1M7X3!0A6k6q4)9J5k6o6p5H3i4K6u0W2x3q4)9J5k6e0m8Q4y4h3k6J5y4o6N6Q4x3V1k6^5M7X3g2X3i4K6u0r3j5X3W2G2L8X3W2U0i4K6u0r3L8r3W2T1j5#2)9J5c8X3u0A6L8$3&6A6j5#2)9J5c8X3W2X3j5h3c8V1M7Y4y4Q4x3X3g2U0M7s2m8Q4x3U0x3J5x3K6j5`.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
|
/ / 传入对应的结构体指针
int getifaddrs(ifaddrs * * out) {
/ / We construct the result directly into `out`, so terminate the list .
* out = nullptr;
/ / Open the netlink socket and ask for all the links and addresses.
NetlinkConnection nc;
/ / 判断get addresses 和 get link是否打开成功,返回成功则返回 0
bool okay = nc.SendRequest(RTM_GETLINK) && nc.ReadResponses(__getifaddrs_callback, out) &&
nc.SendRequest(RTM_GETADDR) && nc.ReadResponses(__getifaddrs_callback, out);
if (!okay) {
out = nullptr;
freeifaddrs( * out);
/ / Ensure that callers crash if they forget to check for success.
* out = nullptr;
return - 1 ;
}
return 0 ;
}
|
NetlinkConnection这个结构体是一个netlink的封装类
重点看一下ReadResponses的实现过程
代码摘抄自:
a58K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4G2M7%4m8^5M7X3g2X3i4K6u0W2j5$3!0E0i4K6u0r3j5h3&6V1M7X3!0A6k6q4)9J5k6o6p5H3i4K6u0W2x3q4)9J5k6e0m8Q4y4h3k6J5y4o6N6Q4x3V1k6^5M7X3g2X3i4K6u0r3j5X3W2G2L8X3W2U0i4K6u0r3L8r3W2T1j5#2)9J5c8X3u0A6L8$3&6A6j5#2)9J5c8X3u0A6L8$3&6A6j5#2)9#2k6X3&6W2N6r3I4A6L8X3E0Q4x3X3g2U0M7s2l9`.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
|
/ * *
* @param type 发送参数的类型,具体获取的内容参考
* @see rtnetlink.h
* @ return
* /
bool NetlinkConnection::SendRequest( int type ) {
/ / Rather than force all callers to check for the unlikely event of being
/ / unable to allocate 8KiB , check here.
/ / NetlinkConnection构造方法 的时候生成的 8kb 的data内存
if (data_ = = nullptr) return false;
/ / Did we open a netlink socket yet?
if (fd_ = = - 1 ) {
/ / 尝试建立socket netlink 链接
fd_ = socket(PF_NETLINK, SOCK_RAW | SOCK_CLOEXEC, NETLINK_ROUTE);
if (fd_ = = - 1 ) return false;
}
/ / Construct and send the message.
/ / 构造要发送的消息
struct NetlinkMessage {
nlmsghdr hdr;
rtgenmsg msg;
} request;
memset(&request, 0 , sizeof(request));
request.hdr.nlmsg_flags = NLM_F_DUMP | NLM_F_REQUEST;
request.hdr.nlmsg_type = type ;
request.hdr.nlmsg_len = sizeof(request);
/ / All families
request.msg.rtgen_family = AF_UNSPEC;
/ / 使用socket数据发送
return (TEMP_FAILURE_RETRY(send(fd_, &request, sizeof(request), 0 )) = = sizeof(request));
}
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
|
/ *
* 获取socket的返回结果
* /
bool NetlinkConnection::ReadResponses(void callback(void * , nlmsghdr * ), void * context) {
/ / Read through all the responses, handing interesting ones to the callback.
ssize_t bytes_read;
while ((bytes_read = TEMP_FAILURE_RETRY(recv(fd_, data_, size_, 0 ))) > 0 ) {
/ / 将拿到的data数据进行赋值
auto * hdr = reinterpret_cast* >(data_);
for (; NLMSG_OK(hdr, static_cast(bytes_read)); hdr = NLMSG_NEXT(hdr, bytes_read)) {
/ / 判断是否读取结束,否则读取callback
if (hdr - >nlmsg_type = = NLMSG_DONE) return true;
if (hdr - >nlmsg_type = = NLMSG_ERROR) {
auto * err = reinterpret_cast* >(NLMSG_DATA(hdr));
errno = (hdr - >nlmsg_len > = NLMSG_LENGTH(sizeof(nlmsgerr))) ? - err - >error : EIO;
return false;
}
/ / 处理具体逻辑
callback(context, hdr);
}
}
/ / We only get here if recv fails before we see a NLMSG_DONE.
return false;
}
|
使用流程:
通过遍历拿到我们需要的内容,输出即可。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
|
int listmacaddrs(void) {
struct ifaddrs * ifap, * ifaptr;
if (myGetifaddrs(&ifap) = = 0 ) {
for (ifaptr = ifap; ifaptr ! = NULL; ifaptr = (ifaptr) - >ifa_next) {
char macp[INET6_ADDRSTRLEN];
if (ifaptr - >ifa_addr! = nullptr) {
if (((ifaptr) - >ifa_addr) - >sa_family = = AF_PACKET) {
auto * sockadd = (struct sockaddr_ll * ) (ifaptr - >ifa_addr);
int i;
int len = 0 ;
for (i = 0 ; i < 6 ; i + + ) {
len + = sprintf(macp + len , "%02X%s" , sockadd - >sll_addr[i],( i < 5 ? ":" : ""));
}
/ / LOGE( "%s %s " ,(ifaptr) - >ifa_name,macp)
if (strcmp(ifaptr - >ifa_name, "wlan0" ) = = 0 ){
LOGE( "%s %s " ,(ifaptr) - >ifa_name,macp)
freeifaddrs(ifap);
return 1 ;
}
}
}
}
freeifaddrs(ifap);
return 0 ;
} else {
return 0 ;
}
}
|
SVC内联安全封装:
在接受消息的时候android源码是采用recv去接受的消息
通过循环的方式去判断结束位置。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
|
/ *
* 获取socket的返回结果
* /
bool NetlinkConnection::ReadResponses(void callback(void * , nlmsghdr * ), void * out) {
/ / Read through all the responses, handing interesting ones to the callback.
ssize_t bytes_read;
/ / while ((bytes_read = TEMP_FAILURE_RETRY(recv(fd_, data_, size_, 0 ))) > 0 ) {
/ / while ((bytes_read = TEMP_FAILURE_RETRY(recvfrom(fd_, data_, size_, 0 ,NULL, 0 ))) > 0 ) {
while ((bytes_read = TEMP_FAILURE_RETRY(raw_syscall(__NR_recvfrom,fd_, data_, size_, 0 , NULL, 0 ))) > 0 ) {
auto * hdr = reinterpret_cast* >(data_);
for (; NLMSG_OK(hdr, static_cast(bytes_read)); hdr = NLMSG_NEXT(hdr, bytes_read)) {
if (hdr - >nlmsg_type = = NLMSG_DONE) return true;
if (hdr - >nlmsg_type = = NLMSG_ERROR) {
auto * err = reinterpret_cast* >(NLMSG_DATA(hdr));
errno = (hdr - >nlmsg_len > = NLMSG_LENGTH(sizeof(nlmsgerr))) ? - err - >error : EIO;
return false;
}
callback(out, hdr);
}
}
/ / We only get here if recv fails before we see a NLMSG_DONE.
return false;
}
|
但是recv这种函数很容易被hook,inlinehook recv ,recvfrom ,recvmsg
在方法执行完毕以后直接就可以处理参数二的返回值。
[注意]看雪招聘,专注安全领域的专业人才平台!
最后于 2022-8-3 16:59
被珍惜Any编辑
,原因: