Android Root方法原理解析及Hook(三) FrameworkListener漏洞
2014-11-21 15:42
495 查看
转自: http://blog.csdn.net/jackaduma/article/details/7287926
Vold进程(root权限)在启动时会有一个CommandListener对象启动startListener线程,其继承自FrameworkListenr,
存在漏洞的函数为FrameworkListener::dispatchCommand(),其中的局部变量argv为固定大小的指针数组,
当输入参数的数量超过其大小时,会越界写入栈中。
恶意程序可据此将恶意指令写入,由root权限的vold进程执行构造的有效shellcode
ZergRush的攻击原理:
根据栈溢出的信息(vold进程崩溃时的调试信息会打印至logcat),构造有效的shellcode,发送给vold,
这样shellcode在vold进程将以root权限执行,通过system调用运行该程序的脚本/data/local/tmp/boomsh(root权限执行),
其主要做了两件事情:
1. 将/data/local/tmp/sh的属性设置为04711, S位被置位
2. 设置系统的ro.kernel.qemu属性为1,即将手机当成模拟器
这样,杀掉adb进程,init进程重启adb时,会去判断系统属性ro.kernel.qemu,若为模拟器,则adb不降权,得到root权限的adbd进程
Androidfixed patch:
在/system/core/libsysutils/src/FrameworkListener.cpp中的
1. 函数onDataAvailable()对read(c->getSocket(), buffer,sizeof(buffer)) 加了个
TEMP_FAILURE_RETRY宏的判断
2. 函数dispatchCommand()在给局部变量argv传值时候,对长度进行判断,若超过limit,则跳转退出。
Myhook code:
打log至logcat
#include <cutils/log.h>
#define LOG_TAG “FrameworkListener Hooker”
void FrameworkListener::dispatchCommand(SocketClient *cli, char *data) {
…
char *argv[FrameworkListener::CMD_ARGS_MAX]; //
char tmp[255];
char *p = data;
char *q = tmp;
char *qlimit = tmp + sizeof(tmp) - 1;
…
…
if (q >= qlimit){
LOGE(“unexpected overflow ”); //
goto overflow;
}
…
…
if (argc >= CMD_ARGS_MAX){
LOGE(“unexpected overflow ”);
goto overflow;
}
argv[argc++] = strdup(tmp); //zergRush 攻击的就是这个点,之前并未加判断
…
…
overflow:
cli->sendMsg(500, "Command too long", false);
goto out;
}
Vold进程(root权限)在启动时会有一个CommandListener对象启动startListener线程,其继承自FrameworkListenr,
存在漏洞的函数为FrameworkListener::dispatchCommand(),其中的局部变量argv为固定大小的指针数组,
当输入参数的数量超过其大小时,会越界写入栈中。
恶意程序可据此将恶意指令写入,由root权限的vold进程执行构造的有效shellcode
ZergRush的攻击原理:
根据栈溢出的信息(vold进程崩溃时的调试信息会打印至logcat),构造有效的shellcode,发送给vold,
这样shellcode在vold进程将以root权限执行,通过system调用运行该程序的脚本/data/local/tmp/boomsh(root权限执行),
其主要做了两件事情:
1. 将/data/local/tmp/sh的属性设置为04711, S位被置位
2. 设置系统的ro.kernel.qemu属性为1,即将手机当成模拟器
这样,杀掉adb进程,init进程重启adb时,会去判断系统属性ro.kernel.qemu,若为模拟器,则adb不降权,得到root权限的adbd进程
Androidfixed patch:
在/system/core/libsysutils/src/FrameworkListener.cpp中的
1. 函数onDataAvailable()对read(c->getSocket(), buffer,sizeof(buffer)) 加了个
TEMP_FAILURE_RETRY宏的判断
#define TEMP_FAILURE_RETRY(exp) ({ \ typeof (exp) _rc; \ do { \ _rc = (exp); \ } while (_rc == -1 && errno == EINTR); \ _rc; }) #endif
2. 函数dispatchCommand()在给局部变量argv传值时候,对长度进行判断,若超过limit,则跳转退出。
Myhook code:
打log至logcat
#include <cutils/log.h>
#define LOG_TAG “FrameworkListener Hooker”
void FrameworkListener::dispatchCommand(SocketClient *cli, char *data) {
…
char *argv[FrameworkListener::CMD_ARGS_MAX]; //
char tmp[255];
char *p = data;
char *q = tmp;
char *qlimit = tmp + sizeof(tmp) - 1;
…
…
if (q >= qlimit){
LOGE(“unexpected overflow ”); //
goto overflow;
}
…
…
if (argc >= CMD_ARGS_MAX){
LOGE(“unexpected overflow ”);
goto overflow;
}
argv[argc++] = strdup(tmp); //zergRush 攻击的就是这个点,之前并未加判断
…
…
overflow:
cli->sendMsg(500, "Command too long", false);
goto out;
}
相关文章推荐
- Android Root方法原理解析及Hook(四) GingerBreak
- Android Root方法原理解析及Hook(一) adbd漏洞
- Android Root方法原理解析及Hook(一) adbd漏洞
- Android Root方法原理解析及Hook(四) GingerBreak
- Android Root方法原理解析及Hook(二) udev漏洞
- Android Root方法原理解析及Hook(二) udev漏洞
- Android Root方法原理解析及Hook(一) adbd漏洞
- Android Root方法原理解析及Hook(三) FrameworkListener漏洞
- Android 中免 Root 实现 Hook 的 Dexposed 实现原理解析以及如何实现应用的热修复
- Android中免root的hook框架Legend原理解析
- Android中免Root实现Hook的Dexposed框架实现原理解析以及如何实现应用的热修复
- Android插件化原理解析——Hook机制之动态代理
- Android插件化原理解析——Hook机制之Binder Hook
- Android 插件化原理解析——Hook机制之AMS&PMS
- Android插件化原理解析——Hook机制之动态代理
- Android 手机Root 原理解析
- Android ListView 单条刷新方法实践及原理解析
- Android插件化原理解析——Hook机制之动态代理
- android ListView 单条刷新方法实践及原理解析
- Android插件化原理解析——Hook机制之Binder Hook