[讨论]LBE免root的分析-Android安全-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
xJJuno 雪币： 14278 活跃值： (5301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 2 楼据说LBE公开之后 250+110成了第一个免root的 2013-10-14 16:47 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 12 关注私信	地狱怪客 2 3 楼这么碉堡啊我更新去。。 2013-10-14 19:15 0
limitemp 雪币： 77 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 47 粉丝 0 关注私信	limitemp 4 楼 LBE公开？它是开源的吗？ 2013-10-15 09:29 0
bunnyrene 雪币： 158 活跃值： (216) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 199 粉丝 2 关注私信	bunnyrene 5 楼修改原始APK文件中的DEX或其他文件，然后利用文件名重复导致签名绕过文件名重复这个在对新版本的系统没啥影响了都修复了 2013-10-16 09:22 0
wdfa 雪币： 115 活跃值： (45) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 39 粉丝 1 关注私信	wdfa 6 楼没有人分析过吗？还是没弄出来LBE是怎么利用master-key漏洞的 2013-10-16 11:23 0
MindMac 雪币： 293 活跃值： (225) 能力值： (RANK：250 ) 在线值：发帖 9 回帖 67 粉丝 13 关注私信	MindMac 5 7 楼 LBE应该用的是 944K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4S2N6i4u0A6K9#2)9J5k6h3y4G2L8g2)9J5c8X3W2V1i4K6u0r3x3e0S2Q4x3V1j5`. 这篇所说的方法。我获得lbe_patch里确实没有重复的文件，但是这个lbe_patch的zip格式是有问题的： CERT.RSA的Central Directory结构里，其file comment length为32768，根据cc0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4S2N6i4u0A6K9#2)9J5k6h3y4G2L8g2)9J5c8X3W2V1i4K6u0r3x3e0S2Q4x3V1j5`.所说，java用的是readShort()，这样读的长度是0，但是C++里读的仍然是32768。所以java层的签名校验是，解析Central Directory的时候，会直接读取接下来的那个Central Directory, 接下来两个Central Directory结构的file name都是以"/"结尾的，如下图：而在PackageParser.java (/frameworks/base/core/java/android/content/pm/PackageParser.java)中： isDirectory()函数如下：所以遇到文件名以"/"结尾的就直接pass了。这样LBE就在java层的校验上通过了，同时在C++层面，解析完CERT.RSA Central Directory 后是正确的AndroidManifest.xml和classes.dex， 46 + filename_length + filecomment_length(32768) + extra_field_length会正好跳到AndroidManifest.xml，这样代码加载没有问题，同时又绕过了签名校验。不知道讲清楚没。上传的附件： LBE Master Key Exploit.png （179.30kb，31次下载） PackageParser.png （11.93kb，19次下载） ZipEntry.png （5.80kb，17次下载） 2013-10-16 14:53 0
MindMac 雪币： 293 活跃值： (225) 能力值： (RANK：250 ) 在线值：发帖 9 回帖 67 粉丝 13 关注私信	MindMac 5 8 楼 LBE应该用的是 699K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4S2N6i4u0A6K9#2)9J5k6h3y4G2L8g2)9J5c8X3W2V1i4K6u0r3x3e0S2Q4x3V1j5`. 这篇所说的方法。我获得lbe_patch里确实没有重复的文件，但是这个lbe_patch的zip格式是有问题的： CERT.RSA的Central Directory结构里，其file comment length为32768，根据7e5K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4S2N6i4u0A6K9#2)9J5k6h3y4G2L8g2)9J5c8X3W2V1i4K6u0r3x3e0S2Q4x3V1j5`.所说，java用的是readShort()，这样读的长度是0，但是C++里读的仍然是32768。所以java层的签名校验是，解析Central Directory的时候，会直接读取接下来的那个Central Directory, 接下来两个Central Directory结构的file name都是以"/"结尾的，如下图：而在PackageParser.java (/frameworks/base/core/java/android/content/pm/PackageParser.java)中： isDirectory()函数如下：所以遇到文件名以"/"结尾的就直接pass了。这样LBE就在java层的校验上通过了，同时在C++层面，解析完CERT.RSA Central Directory 后是正确的AndroidManifest.xml和classes.dex， 46 + filename_length + filecomment_length(32768) + extra_field_length会正好跳到AndroidManifest.xml，这样代码加载没有问题，同时又绕过了签名校验。不知道讲清楚没。上传的附件： LBE Master Key Exploit.png （179.30kb，9次下载） PackageParser.png （11.93kb，3次下载） ZipEntry.png （5.80kb，3次下载） 2013-10-16 14:55 0
jasonzhou 雪币： 213 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 289 粉丝 1 关注私信	jasonzhou 9 楼漏洞的原理，可以参考我的文章： f4dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4G2L8r3!0J5k6r3q4F1j5$3g2J5i4K6u0W2L8X3g2@1i4K6u0r3j5X3I4G2k6#2)9J5c8U0t1H3x3e0y4Q4x3V1j5H3z5q4)9J5c8U0t1$3i4K6u0r3j5h3&6V1M7X3!0A6k6q4)9J5k6q4)9J5y4f1f1%4i4K6t1#2b7f1y4Q4x3U0g2m8b7#2)9J5y4f1f1@1i4K6t1#2b7V1q4Q4x3U0f1^5b7#2)9J5y4f1f1@1i4K6t1#2b7U0S2Q4x3U0g2m8b7g2)9J5y4f1f1%4i4K6t1#2b7f1c8Q4x3U0g2n7c8g2)9J5y4f1f1#2i4K6t1#2z5e0m8Q4x3U0f1^5c8q4)9J5y4f1f1$3i4K6t1#2b7V1y4Q4x3U0f1^5c8W2)9J5y4f1f1$3i4K6t1#2b7U0c8Q4x3U0f1&6c8g2)9J5k6o6V1$3z5e0f1^5y4U0m8Q4x3X3c8Q4x3U0g2q4y4W2)9J5y4e0S2r3i4K6t1#2b7f1c8Q4x3U0g2q4y4#2)9J5y4f1p5%4i4K6t1#2z5e0S2Q4x3V1j5`. leb怎么利用这个漏洞的，提示一下：patch 2013-10-16 15:18 0
limitemp 雪币： 77 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 47 粉丝 0 关注私信	limitemp 10 楼看了博主的文章，还有一些不明白的地方，求博主修改index绕过签名的apk 2013-10-24 00:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
xJJuno 雪币： 14278 活跃值： (5301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 2 楼据说LBE公开之后 250+110成了第一个免root的 2013-10-14 16:47 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 12 关注私信	地狱怪客 2 3 楼这么碉堡啊我更新去。。 2013-10-14 19:15 0
limitemp 雪币： 77 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 47 粉丝 0 关注私信	limitemp 4 楼 LBE公开？它是开源的吗？ 2013-10-15 09:29 0
bunnyrene 雪币： 158 活跃值： (216) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 199 粉丝 2 关注私信	bunnyrene 5 楼修改原始APK文件中的DEX或其他文件，然后利用文件名重复导致签名绕过文件名重复这个在对新版本的系统没啥影响了都修复了 2013-10-16 09:22 0
wdfa 雪币： 115 活跃值： (45) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 39 粉丝 1 关注私信	wdfa 6 楼没有人分析过吗？还是没弄出来LBE是怎么利用master-key漏洞的 2013-10-16 11:23 0
MindMac 雪币： 293 活跃值： (225) 能力值： (RANK：250 ) 在线值：发帖 9 回帖 67 粉丝 13 关注私信	MindMac 5 7 楼 LBE应该用的是 944K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4S2N6i4u0A6K9#2)9J5k6h3y4G2L8g2)9J5c8X3W2V1i4K6u0r3x3e0S2Q4x3V1j5`. 这篇所说的方法。我获得lbe_patch里确实没有重复的文件，但是这个lbe_patch的zip格式是有问题的： CERT.RSA的Central Directory结构里，其file comment length为32768，根据cc0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4S2N6i4u0A6K9#2)9J5k6h3y4G2L8g2)9J5c8X3W2V1i4K6u0r3x3e0S2Q4x3V1j5`.所说，java用的是readShort()，这样读的长度是0，但是C++里读的仍然是32768。所以java层的签名校验是，解析Central Directory的时候，会直接读取接下来的那个Central Directory, 接下来两个Central Directory结构的file name都是以"/"结尾的，如下图：而在PackageParser.java (/frameworks/base/core/java/android/content/pm/PackageParser.java)中： isDirectory()函数如下：所以遇到文件名以"/"结尾的就直接pass了。这样LBE就在java层的校验上通过了，同时在C++层面，解析完CERT.RSA Central Directory 后是正确的AndroidManifest.xml和classes.dex， 46 + filename_length + filecomment_length(32768) + extra_field_length会正好跳到AndroidManifest.xml，这样代码加载没有问题，同时又绕过了签名校验。不知道讲清楚没。上传的附件： LBE Master Key Exploit.png （179.30kb，31次下载） PackageParser.png （11.93kb，19次下载） ZipEntry.png （5.80kb，17次下载） 2013-10-16 14:53 0
MindMac 雪币： 293 活跃值： (225) 能力值： (RANK：250 ) 在线值：发帖 9 回帖 67 粉丝 13 关注私信	MindMac 5 8 楼 LBE应该用的是 699K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4S2N6i4u0A6K9#2)9J5k6h3y4G2L8g2)9J5c8X3W2V1i4K6u0r3x3e0S2Q4x3V1j5`. 这篇所说的方法。我获得lbe_patch里确实没有重复的文件，但是这个lbe_patch的zip格式是有问题的： CERT.RSA的Central Directory结构里，其file comment length为32768，根据7e5K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4S2N6i4u0A6K9#2)9J5k6h3y4G2L8g2)9J5c8X3W2V1i4K6u0r3x3e0S2Q4x3V1j5`.所说，java用的是readShort()，这样读的长度是0，但是C++里读的仍然是32768。所以java层的签名校验是，解析Central Directory的时候，会直接读取接下来的那个Central Directory, 接下来两个Central Directory结构的file name都是以"/"结尾的，如下图：而在PackageParser.java (/frameworks/base/core/java/android/content/pm/PackageParser.java)中： isDirectory()函数如下：所以遇到文件名以"/"结尾的就直接pass了。这样LBE就在java层的校验上通过了，同时在C++层面，解析完CERT.RSA Central Directory 后是正确的AndroidManifest.xml和classes.dex， 46 + filename_length + filecomment_length(32768) + extra_field_length会正好跳到AndroidManifest.xml，这样代码加载没有问题，同时又绕过了签名校验。不知道讲清楚没。上传的附件： LBE Master Key Exploit.png （179.30kb，9次下载） PackageParser.png （11.93kb，3次下载） ZipEntry.png （5.80kb，3次下载） 2013-10-16 14:55 0
jasonzhou 雪币： 213 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 289 粉丝 1 关注私信	jasonzhou 9 楼漏洞的原理，可以参考我的文章： f4dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4G2L8r3!0J5k6r3q4F1j5$3g2J5i4K6u0W2L8X3g2@1i4K6u0r3j5X3I4G2k6#2)9J5c8U0t1H3x3e0y4Q4x3V1j5H3z5q4)9J5c8U0t1$3i4K6u0r3j5h3&6V1M7X3!0A6k6q4)9J5k6q4)9J5y4f1f1%4i4K6t1#2b7f1y4Q4x3U0g2m8b7#2)9J5y4f1f1@1i4K6t1#2b7V1q4Q4x3U0f1^5b7#2)9J5y4f1f1@1i4K6t1#2b7U0S2Q4x3U0g2m8b7g2)9J5y4f1f1%4i4K6t1#2b7f1c8Q4x3U0g2n7c8g2)9J5y4f1f1#2i4K6t1#2z5e0m8Q4x3U0f1^5c8q4)9J5y4f1f1$3i4K6t1#2b7V1y4Q4x3U0f1^5c8W2)9J5y4f1f1$3i4K6t1#2b7U0c8Q4x3U0f1&6c8g2)9J5k6o6V1$3z5e0f1^5y4U0m8Q4x3X3c8Q4x3U0g2q4y4W2)9J5y4e0S2r3i4K6t1#2b7f1c8Q4x3U0g2q4y4#2)9J5y4f1p5%4i4K6t1#2z5e0S2Q4x3V1j5`. leb怎么利用这个漏洞的，提示一下：patch 2013-10-16 15:18 0
limitemp 雪币： 77 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 47 粉丝 0 关注私信	limitemp 10 楼看了博主的文章，还有一些不明白的地方，求博主修改index绕过签名的apk 2013-10-24 00:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复