内存喷射在安卓Root利用中-陈良.pdf

内存喷射在安卓Root利用中的应用 陈良@ KeenTeam 关于我 •  KeenTeam 高级研究员 •  主要研究漏洞利用技术 ： –  移动端提权、Root技术 –  Safari, Chrome, Internet Explorer –  沙盒逃逸技术 议程 •  内存喷射技术介绍 •  内存喷射与安卓Root利用 •  案例分析： –  漏洞介绍 –  利用策略 内存喷射技术的历史 •  最早提出于2001年 •  被广泛应用于浏览器漏洞利用 –  Heap Spraying •  系统内核提权(例如Windows) –  Pool Spray 为什么要内存喷射 •  内存随机化机制的引入 –  栈、堆的随机 –  ASLR 的引入 •  大大降低了传统利用的成功率 •  内存喷射技术 –  通过特定软件的机制，分配大量内容可控内存 –  使特定位置填入预期的内容 安卓Root利用技术 •  漏洞方面 –  安卓/Linux核心漏洞较少出现，但三方驱动漏洞较多 –  直接实现任意地址写的漏洞较多（相对浏览器漏洞） •  利用方面 –  利用任意写漏洞改写syscall table （大多数品牌的安卓手机） –  Patch setresuid –  DKOM (修改task_struct-cred) –  无ASLR –  许多机器无PXN （32位机型） 安卓Root与内存喷射 •  过去并不需要内存喷射技术 –  漏洞品质较好，任意内存读+写配合 –  可以写出稳定性很好的Root提权 •  近两年Android 内核安全有所改进 –  Kernel TEXT只读 （patch setresuid等方法无效） –  Syscall table 的地址无法轻易获取 –  容易利用的漏洞大幅减小 •  结果：内存喷射技术逐渐应用于安卓Root –  例如：Wen Xu@KeenTeam Blackhat USA 2015 议题AH! UNIVERSAL ANDROID ROOTING IS BACK 案例分析：mtk漏洞 In mtk.c •  漏洞介绍 –  由nforest@KeenTeam发现，已于 2015年年初报给厂商 –  适用所有mt658x mt6592机型的 安卓手机 –  目前许多设备必威体育精装版ROM上能触发 •  0day ！ –  /dev/graphics/0 •  shell可打开 问题在哪里？？？ crw-rw system graphics 29, 0 2015-07-09 15:08 0 mtkb漏洞细节 Cmd与arg通过ioctl调用传入 displayid是一个有符号整数