《Android安全攻防权威指南》读书笔记

好书推荐:

《Android安全攻防权威指南》

1 前言

当阅读一本好书,意会作者思路比学习一个知识点更具价值。因此多总结作者套路,悟其思想。

以上一点小体会。其实总体来说,Android平台的漏洞攻防与Linux上并无二致,不过书中作者提到的几个观点仍很有价值,所以做一备忘。

2 漏洞利用Tips

一个难点是Intel指令集到ARM指令集的变化

1.要理解内存破坏漏洞的利用技术,最关键的是抽象。作为攻击者,应将目标机器的内存看作有限数量的内存单元,由目标程序的语义进行操作。

2.栈的本质只是不同函数之间的ABI约定。

3.与栈相关的溢出有关注的价值,因其附近有与控制相关的数据:已保存的函数返回地址。

这一点很重要,Exploit执行的结果就是,控制或劫持程序的执行流程。而寻找与控制相关的数据,是极关键一步。

但栈溢出通常难以利用,因Android从第一个版本开始,就开启了Stack Cookie的保护

4.堆溢出利用,与之前博客总结的Linux堆溢出利用一致。但需理清一个概念。操作系统只提供基于页的内存分配机制,堆分配器基于页分配机制将页再分成块,一般由C运行时库实现,如Android系统中Bionic libc库实现的dlmalloc分配器。

5.我们依然寻找堆中与控制相关的数据,可以发现有两种。一种是用于堆结构组织的控制指针,即链表指针。一种则是应用相关指针,如C++虚函数表指针。

第一种也很难利用了,因为目前dlmalloc等堆分配器实现中,UNLINK操作时会进行安全检查。主要检查的是,1)当前内存块向前指针指向的块的向后指针,指向当前块。2)当前内存块向后指针指向的块的向前指针,指向当前块。

而第二种应用相关指针,更加容易利用。

6.针对5我们可以举一反三,程序会定制为自身优化过的分配器,如WebKit中的RenderArena,很容易发现其中也有可被利用的虚函数表指针。

3 一个实例

看一个GingerBreak漏洞利用实例,漏洞本身很简单,是一个未校验数组下标下界,导致可传入负值造成任意写4字节内存。但漏洞利用分析的方法,可以总结一下。

经典漏洞利用过程:

1.获取内存读写权限(本例中任意写4字节)

2.泄漏内存指针(本例使用全局偏移表GOT,将strcmp项写为system地址)

3.通过内存读写能力,修改泄漏地址。并触发exp执行。(本例中发送一个NETLINK请求)

我们将几种最常见的漏洞利用过程,向这个步骤对齐。

一、栈溢出

1.获取内存读写权限。——栈空间由strcpy()等写入

2.泄漏内存指针。——通过调试崩溃,可直接取函数返回地址位置。

3.触发exp执行。——函数退栈返回时自动触发。

二、堆溢出

1.获取内存读写权限。——堆空间由strcpy()等写入。

2.泄漏内存指针。——直接计算堆内存块向前及向后指针。

3.触发exp执行。——unlink时触发。

三、逻辑漏洞

1.获取内存读写权限。——mmap/get_user/set_user未校验边界,导致读写任意内存。

2.泄漏内存指针。——通过搜索/proc/kallsyms,查看崩溃日志打印等获得如setresuid等符号地址。

3.解发exp执行。——函数调用。

四、UAF(CVE-2015-3636为例 pingpong)

1.获取内存读写权限。——由用户控制的数据占用内核对象(slab块/socket对象)。

2.泄漏内存指针。——用户态的一个悬挂指针。如socket fd.

3.触发exp执行。——函数调用。构造一次connect()。

你可能感兴趣的:(《Android安全攻防权威指南》读书笔记)