[求助] 大神救我。。CVE-2019-2215 root提权之人造页表，kernel代码区域依然只能读不能写-Android安全-看雪-安全社区|安全招聘|kanxue.com

[求助] 大神救我。。CVE-2019-2215 root提权之人造页表，kernel代码区域依然只能读不能写

发表于: 2020-4-6 21:40 7651

[求助] 大神救我。。CVE-2019-2215 root提权之人造页表，kernel代码区域依然只能读不能写

酒肉和尚

2020-4-6 21:40

7651

近日研究 CVE-2019-2215 漏洞提权，漏洞本身我并没有去关心，因为下了个利用代码，提权流程已经能跑到修改进程 Cred 结构成员了，

现在卡在了，过不了selinux（这中间有很多怪毛病：举例 patch

struct task_security_struct {
	u32 osid;		/* SID prior to last execve */
	u32 sid;		/* current SID */
	u32 exec_sid;		/* exec SID */
	u32 create_sid;		/* fscreate SID */
	u32 keycreate_sid;	/* keycreate SID */
	u32 sockcreate_sid;	/* fscreate SID */
};

成员后程序卡死；执行 system("/system/bin/sh") 程序被Killed，调用 pipe write 修改内核代码一样被Killed等毛病）。

翻阅了很多帖子教程，翻了很久的MMU 页表文档，修改selinux_enforcing selinux_enabled这两个东西，此路不通，我的内核没有 selinux_enforcing这个全局变量，内核已被强制不允许关闭selinux，所以只能采取修改 selinux_enforcing 相关的函数， static noinline int avc_denied(u32 ssid, u32 tsid,u16 tclass, u32 requested,u8 driver, u8 xperm, unsigned flags,struct av_decision *avd) ，经我用别的android 机器测试，采用《KSMA -- Android 通用 Root 技术》进行人造MMU 页表，然后patch 掉该函数是可以的。现在悲剧的是，我这真正需要提权的设备，采用人造页表也不能对kernel 代码区域进行内存修改。你敢修改，程序就敢Killed

~~挤眉~~ 大神大神求支个招哇， MMU 机制看了老久，kernel 的create_page_tables函数也看了很久，头大

补充下，测试能成功提权的机器是 android 8.0 的已经root ，真正需要root的机器是android 8.1

贴个链接： bcbK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Z5k6i4u0F1j5h3&6Q4x3X3g2V1k6g2)9J5c8X3u0D9L8$3N6Q4x3V1j5J5x3o6p5&6i4K6u0r3x3e0m8Q4x3V1j5I4y4g2)9J5c8Y4c8S2K9h3I4G2M7X3W2F1k6#2)9J5k6r3y4$3k6g2)9J5k6o6t1H3x3e0W2Q4x3X3b7J5x3U0p5#2i4K6u0V1N6r3!0Q4x3X3c8S2j5$3S2A6k6i4k6W2i4K6u0V1M7X3!0G2N6q4)9J5c8R3`.`.

里边两个工具 droidimg miasm 好东西，在只有2进制 kernel 文件的时候，这工具可以把内核符号和不考虑kasr的地址给遍历出来，方便后续分析

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

最后于 2020-4-7 11:18 被酒肉和尚编辑，原因：

上传的附件：

su98.c （60.17kb，25次下载）

收藏・1

免费・0

支持

最新回复 (18)
酒肉和尚雪币： 444 活跃值： (3478) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 51 粉丝 4 关注私信	酒肉和尚 2 楼大神们不要潜水呀，多出来透透气 2020-4-7 10:54 0
jltxgcy 雪币： 7818 活跃值： (1083) 能力值： ( LV7，RANK：110 ) 在线值：发帖 8 回帖 87 粉丝 50 关注私信	jltxgcy 2 3 楼你的问题是已经构造了人工页表，也不能对内核任意读写？看下系统崩溃日志，为什么程序会crash。反复检查和理解人工页表是否理解和使用正确。最后看下内核版本，是否该内核版本已经把内核镜像攻击这个洞给修复了。 2020-4-7 14:16 1
酒肉和尚雪币： 444 活跃值： (3478) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 51 粉丝 4 关注私信	酒肉和尚 4 楼仅仅只是代码区域不能写，全局变量什么的是可以写的，读是可以的，看不了crash， logcat 这边没日志， dmsg 内核层日志没有root不让看 2020-4-7 15:55 0
大帅锅雪币： 16752 活跃值： (7281) 能力值： ( LV13，RANK：923 ) 在线值：发帖 38 回帖 219 粉丝 89 关注私信	大帅锅 4 5 楼拿着root的8.0，刷入改了的8.1。不就可以了，不过我这只是嘴上说的轻巧 2020-4-7 16:24 0
酒肉和尚雪币： 444 活跃值： (3478) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 51 粉丝 4 关注私信	酒肉和尚 6 楼不能刷机哦， ~~挤眉~~ 2020-4-7 16:51 0
湘北三井同学雪币： 232 活跃值： (949) 能力值： ( LV4，RANK：44 ) 在线值：发帖 7 回帖 42 粉丝 2 关注私信	湘北三井同学 7 楼漏洞能触发不，2215之前适配过，有些内核结构体偏移是不一样的 2020-4-10 16:15 0
酒肉和尚雪币： 444 活跃值： (3478) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 51 粉丝 4 关注私信	酒肉和尚 8 楼湘北三井同学漏洞能触发不，2215之前适配过，有些内核结构体偏移是不一样的能触发，都能读内核内存了 2020-4-10 21:09 0
酒肉和尚雪币： 444 活跃值： (3478) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 51 粉丝 4 关注私信	酒肉和尚 9 楼湘北三井同学漏洞能触发不，2215之前适配过，有些内核结构体偏移是不一样的接下来只能看看能不能通过avc_search_node 函数修改avc_cache结构成员，使其权限审核为允许。 2020-4-10 21:12 0
酒肉和尚雪币： 444 活跃值： (3478) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 51 粉丝 4 关注私信	酒肉和尚 10 楼湘北三井同学漏洞能触发不，2215之前适配过，有些内核结构体偏移是不一样的湘北三井同学吾爱的帖子是你发的？ 2020-4-12 15:29 0
湘北三井同学雪币： 232 活跃值： (949) 能力值： ( LV4，RANK：44 ) 在线值：发帖 7 回帖 42 粉丝 2 关注私信	湘北三井同学 11 楼酒肉和尚湘北三井同学吾爱的帖子是你发的？嗯，你到compute_sid_handle_invalid_context和selinux_is_enabled找selinux_enforcing ，selinux_enabled这两个变量看看，但应该不是这里的问题 2020-4-13 12:29 0
酒肉和尚雪币： 444 活跃值： (3478) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 51 粉丝 4 关注私信	酒肉和尚 12 楼没有哦~~~ 直接返回 -EACCES （0xFFFFFFFF3）了 2020-4-13 13:51 0
酒肉和尚雪币： 444 活跃值： (3478) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 51 粉丝 4 关注私信	酒肉和尚 13 楼 @ 湘北三井同学。。。。。。。 2020-4-13 18:05 0
湘北三井同学雪币： 232 活跃值： (949) 能力值： ( LV4，RANK：44 ) 在线值：发帖 7 回帖 42 粉丝 2 关注私信	湘北三井同学 14 楼如果内核改掉的化，那avc_denied里应该也没这变量，但不清楚patch不了的具体原因，前面伪造的页表已经写入成功了？直接用漏洞写可不可以 2020-4-14 10:51 0
酒肉和尚雪币： 444 活跃值： (3478) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 51 粉丝 4 关注私信	酒肉和尚 15 楼湘北三井同学如果内核改掉的化，那avc_denied里应该也没这变量，但不清楚patch不了的具体原因，前面伪造的页表已经写入成功了？直接用漏洞写可不可以伪造的也表写入成功了（代码区域，全局变量区域也不能改，前边说错了，能改的貌似只有堆栈内存），用漏洞写，尝试过一次，映像中也是 killed ，还有什么Bus error 的错误提示感觉只能熟读selinux代码，然后在内存里修改策略最后于 2020-4-14 13:46 被酒肉和尚编辑，原因： 2020-4-14 13:43 0
tewilove 雪币： 28 活跃值： (51) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 15 粉丝 2 关注私信	tewilove 16 楼三星？ 2020-4-17 11:40 0
kasa_ 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	kasa_ 17 楼大佬后来有方法解决吗？小白也遇到同样问题了 2021-3-12 17:47 0
酒肉和尚雪币： 444 活跃值： (3478) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 51 粉丝 4 关注私信	酒肉和尚 18 楼 kasa_ 大佬后来有方法解决吗？小白也遇到同样问题了[em_10] 你才是大佬，解决了告诉小白一下 2021-3-18 21:05 0
kasa_ 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	kasa_ 19 楼我这边遇到一样问题，也是bus error，最终你解决了嘛？最后于 2021-3-19 15:34 被kasa_编辑，原因： 2021-3-19 15:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

酒肉和尚

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
酒肉和尚雪币： 444 活跃值： (3478) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 51 粉丝 4 关注私信	酒肉和尚 2 楼大神们不要潜水呀，多出来透透气 2020-4-7 10:54 0
jltxgcy 雪币： 7818 活跃值： (1083) 能力值： ( LV7，RANK：110 ) 在线值：发帖 8 回帖 87 粉丝 50 关注私信	jltxgcy 2 3 楼你的问题是已经构造了人工页表，也不能对内核任意读写？看下系统崩溃日志，为什么程序会crash。反复检查和理解人工页表是否理解和使用正确。最后看下内核版本，是否该内核版本已经把内核镜像攻击这个洞给修复了。 2020-4-7 14:16 1
酒肉和尚雪币： 444 活跃值： (3478) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 51 粉丝 4 关注私信	酒肉和尚 4 楼仅仅只是代码区域不能写，全局变量什么的是可以写的，读是可以的，看不了crash， logcat 这边没日志， dmsg 内核层日志没有root不让看 2020-4-7 15:55 0
大帅锅雪币： 16752 活跃值： (7281) 能力值： ( LV13，RANK：923 ) 在线值：发帖 38 回帖 219 粉丝 89 关注私信	大帅锅 4 5 楼拿着root的8.0，刷入改了的8.1。不就可以了，不过我这只是嘴上说的轻巧 2020-4-7 16:24 0
酒肉和尚雪币： 444 活跃值： (3478) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 51 粉丝 4 关注私信	酒肉和尚 6 楼不能刷机哦， ~~挤眉~~ 2020-4-7 16:51 0
湘北三井同学雪币： 232 活跃值： (949) 能力值： ( LV4，RANK：44 ) 在线值：发帖 7 回帖 42 粉丝 2 关注私信	湘北三井同学 7 楼漏洞能触发不，2215之前适配过，有些内核结构体偏移是不一样的 2020-4-10 16:15 0
酒肉和尚雪币： 444 活跃值： (3478) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 51 粉丝 4 关注私信	酒肉和尚 8 楼湘北三井同学漏洞能触发不，2215之前适配过，有些内核结构体偏移是不一样的能触发，都能读内核内存了 2020-4-10 21:09 0
酒肉和尚雪币： 444 活跃值： (3478) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 51 粉丝 4 关注私信	酒肉和尚 9 楼湘北三井同学漏洞能触发不，2215之前适配过，有些内核结构体偏移是不一样的接下来只能看看能不能通过avc_search_node 函数修改avc_cache结构成员，使其权限审核为允许。 2020-4-10 21:12 0
酒肉和尚雪币： 444 活跃值： (3478) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 51 粉丝 4 关注私信	酒肉和尚 10 楼湘北三井同学漏洞能触发不，2215之前适配过，有些内核结构体偏移是不一样的湘北三井同学吾爱的帖子是你发的？ 2020-4-12 15:29 0
湘北三井同学雪币： 232 活跃值： (949) 能力值： ( LV4，RANK：44 ) 在线值：发帖 7 回帖 42 粉丝 2 关注私信	湘北三井同学 11 楼酒肉和尚湘北三井同学吾爱的帖子是你发的？嗯，你到compute_sid_handle_invalid_context和selinux_is_enabled找selinux_enforcing ，selinux_enabled这两个变量看看，但应该不是这里的问题 2020-4-13 12:29 0
酒肉和尚雪币： 444 活跃值： (3478) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 51 粉丝 4 关注私信	酒肉和尚 12 楼没有哦~~~ 直接返回 -EACCES （0xFFFFFFFF3）了 2020-4-13 13:51 0
酒肉和尚雪币： 444 活跃值： (3478) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 51 粉丝 4 关注私信	酒肉和尚 13 楼 @ 湘北三井同学。。。。。。。 2020-4-13 18:05 0
湘北三井同学雪币： 232 活跃值： (949) 能力值： ( LV4，RANK：44 ) 在线值：发帖 7 回帖 42 粉丝 2 关注私信	湘北三井同学 14 楼如果内核改掉的化，那avc_denied里应该也没这变量，但不清楚patch不了的具体原因，前面伪造的页表已经写入成功了？直接用漏洞写可不可以 2020-4-14 10:51 0
酒肉和尚雪币： 444 活跃值： (3478) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 51 粉丝 4 关注私信	酒肉和尚 15 楼湘北三井同学如果内核改掉的化，那avc_denied里应该也没这变量，但不清楚patch不了的具体原因，前面伪造的页表已经写入成功了？直接用漏洞写可不可以伪造的也表写入成功了（代码区域，全局变量区域也不能改，前边说错了，能改的貌似只有堆栈内存），用漏洞写，尝试过一次，映像中也是 killed ，还有什么Bus error 的错误提示感觉只能熟读selinux代码，然后在内存里修改策略最后于 2020-4-14 13:46 被酒肉和尚编辑，原因： 2020-4-14 13:43 0
tewilove 雪币： 28 活跃值： (51) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 15 粉丝 2 关注私信	tewilove 16 楼三星？ 2020-4-17 11:40 0
kasa_ 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	kasa_ 17 楼大佬后来有方法解决吗？小白也遇到同样问题了 2021-3-12 17:47 0
酒肉和尚雪币： 444 活跃值： (3478) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 51 粉丝 4 关注私信	酒肉和尚 18 楼 kasa_ 大佬后来有方法解决吗？小白也遇到同样问题了[em_10] 你才是大佬，解决了告诉小白一下 2021-3-18 21:05 0
kasa_ 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	kasa_ 19 楼我这边遇到一样问题，也是bus error，最终你解决了嘛？最后于 2021-3-19 15:34 被kasa_编辑，原因： 2021-3-19 15:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复