-
-
[原创]一个内核驱动的数组越界访问漏洞
-
发表于: 2018-6-4 09:24
-
昨天弄了下这个驱动,写了个文章,可能水平不高,想了想还是拿出来分享下吧,大佬们别笑我。。。
我想给大家介绍一个安卓内核驱动的数组访问越界漏洞。关于如何搭建漏洞环境可以看我的相关博文,里面介绍了如何获得相关源码以及模拟器内核等的环境设置。
你也可以看我其他的博文,有关于如何编译内核模块的,可以帮你更好地完成实验。
同时,我也录了一个视频,如果不想看文章的朋友可以直接看视频。
好了,先让我来看看那个杂项驱动的源码。
我这里就不介绍杂项设备了,网上有不少资料。这里的漏洞就是我们调用
handlers[handler_index].runHandler();
时,代码没有检测我们输入的handler_index,我们就可以访问数组外的地址,从而有可能使其调到我们指定的位置执行代码。这里有张图很好,可以看下。
基本的想法就是这里我们输入0的话,它会访问handlers[0]所指向的函数,这里就是0xC00C1000。 如果我们输入4,它就会访问0xDEADBEEF处的函数了。
让我们看下solution的源码。里面有这个get_sysmbol函数。
这个函数就是为了获得commit_creds 和 prepare_kernel_cred的地址,从而在shellcode里面运行commit_creds(prepare_kernel_cred)从而变成root id。Main函数也非常简单。
这里首先mmap了一段内存,然后清空了内存,在内存最后面复制上我们的shellcode。这保证了我们jump到指定地址后可以一路通过nop指令滑到我们那个shellcode。好了,大致原理就是这个,听起来很简单吧,但是实际操作起来却又会有不少问题。
好了,让我们动手吧。
首先,改变一下驱动源代码。
这里我们打印出array后面200个地址内存的数值,从中选择一个合理的基地址mmap。这里因为只是用这个介绍漏洞所以我们偷下懒。实际上我们需要一个个去试index直到我们找到合适的mmap地址为止。我有尝试写一个脚本自动化选择那个基址,但是因为涉及到多线程什么的,还要考虑那个脚本里面启动模拟器等等问题,最终没弄成,所以直接偷懒找了个基址。有兴趣的朋友也可以自己去写下脚本。
好了,我们看下加载驱动时它打印出来的那些地址。
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
博客挂了。。现在的是52bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6I4K9i4g2K6K9s2g2A6y4K6M7%4i4K6u0W2k6$3W2@1K9s2g2T1i4K6u0W2K9h3!0Q4x3V1k6Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0c8Q4b7U0S2Q4z5p5c8Q4c8e0S2Q4b7V1k6Q4z5o6N6Q4c8e0g2Q4b7V1g2Q4z5o6S2Q4c8e0g2Q4b7U0m8Q4z5e0q4Q4c8e0g2Q4z5o6S2Q4z5o6k6Q4c8e0c8Q4b7V1q4Q4b7f1u0Q4c8e0g2Q4b7f1g2Q4z5o6W2Q4c8e0g2Q4z5o6g2Q4b7e0S2Q4c8e0g2Q4z5o6k6Q4z5o6g2Q4c8e0g2Q4b7f1g2Q4b7U0W2Q4c8e0c8Q4b7V1q4Q4z5o6k6Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0g2Q4z5e0m8Q4z5p5g2Q4c8e0k6Q4z5f1y4Q4z5f1k6Q4c8e0g2Q4z5p5k6Q4b7f1k6Q4c8e0S2Q4z5o6y4Q4b7V1c8Q4c8e0c8Q4b7V1y4Q4z5f1q4Q4c8e0g2Q4z5o6k6Q4z5p5c8Q4c8e0g2Q4z5o6q4Q4z5f1q4Q4c8e0c8Q4b7V1q4Q4z5f1u0Q4c8e0g2Q4b7f1g2Q4z5o6W2Q4c8e0g2Q4z5p5c8Q4z5e0y4Q4c8e0N6Q4b7e0m8Q4z5e0c8Q4c8e0N6Q4b7e0W2Q4b7U0j5`. |
|
|
|
