详细分析Binder中的单指令竞态标准漏洞(一)

访客4年前黑客工具652

在文中中,大家将为阅读者深层次详细介绍Binder中的单指令竞态标准漏洞以及利用方式。

在上年10月份的安卓系统安全性公示中,漏洞CVE-2020-0423被公布,实际叙述以下:

在binder.c的binder_release_work中,因为上锁不善,造成 UAF漏洞。这很有可能造成 核心中的当地提权漏洞,而不用附加的实行管理权限。而且,利用该漏洞时不用客户互动。

CVE-2020-0423是Android中另一个可造成 管理权限提高的漏洞。在本文中,大家将详细分析这一漏洞,并结构一个可用以在Android机器设备上获得root管理权限的exploit。

Android上的进程全是相互之间防护的,换句话说,他们没法立即浏览彼此之间的存储空间。殊不知,有时他们却必须那样做,比如,不论是在远程服务器和集群服务器互换数据信息,還是只是在2个进程中间共享资源信息内容的情况下。

Android上的进程间通信由Binder承担的。该核心部件出示了一个客户可浏览的标识符机器设备,可用以调用远程控制进程中的 *** ,并向其传送主要参数。事实上,Binder不但当做了2个每日任务中间的 *** 商,还承担在数据传输期内解决内存分配及其管理 *** 共享资源目标的生命期的每日任务。

假如您不了解Binder的内部构造,何不先参考这些方面的一些文章内容,比如Synacktiv编写的“Binder Transactions In The Bowels of the Linux Kernel”,这针对了解本文的一部分会很有协助。

CVE-2020-0423的补丁程序于10月10日upstream至Linux核心,并含有下列递交信息:

1.png

上边的文本粗略地简述了利用这一漏洞开启Use-After-Free或UAF漏洞需要的不一样流程。这种流程将在下一节中详尽多方面详细介绍,如今使我们先讨论一下补丁程序,以掌握漏洞的根本原因在哪儿。

实质上,这一补丁下载所做的事儿便是将涵数binder_dequeue_work_head的內容内联到binder_release_work涵数中。唯一的差别是,在依然对proc上锁的另外,载入binder_work结构体的type字段名。

// Before the patch

static struct binder_work *binder_dequeue_work_head(

struct binder_proc *proc,

struct list_head *list)

{

struct binder_work *w;

binder_inner_proc_lock(proc);

w=binder_dequeue_work_head_ilocked(list);

binder_inner_proc_unlock(proc);

return w;

}

static void binder_release_work(struct binder_proc *proc,

struct list_head *list)

{

struct binder_work *w;

while (1){

w=binder_dequeue_work_head(proc, list);

if (!w)

return;

switch (w->type){

//[...]

// After the patch

static void binder_release_work(struct binder_proc *proc,

struct list_head *list)

{

struct binder_work *w;

enum binder_work_type wtype;

while (1){

binder_inner_proc_lock(proc);

w=binder_dequeue_work_head_ilocked(list);

wtype=w ? w->type : 0;

binder_inner_proc_unlock(proc);

if (!w)

return;

switch (wtype){

//[...]

在这个补丁下载以前,能够让一个binder_work结构体撤出序列,释放出来另一个线程并分配,随后变更binder_release_work的控制流。下一节中,大家将更深层次地表述怎么会产生这类个人行为,及其它是怎样被随意开启的。

在这节中,做为一个实例,使我们想像有两个进程应用binder开展通讯,在其中,一个进程为推送方,另一个进程为接受方。

这时,开启该漏洞必须三个前提条件:

从推送方线程调用binder_release_work

从推送方线程的todo目录中出列的binder_work结构体

从接受方线程中释放出来的一个binder_work结构体

使我们逐一开展科学研究,并试着找到完成他们的方式。

完成这一必要条件比较简单。如前所述,当应用binder解决每日任务时,binder_release_work是清除 *** 的一部分。我们可以应用ioctl指令binder_thread_exit在线程中显式调用它。

// Userland code from the exploit

int binder_fd=open("/dev/binder", O_RDWR);

//[...]

ioctl(binder_fd, BINDER_THREAD_EXIT, 0);

这一ioctl最后将调用坐落于drivers/android/binder.c文档中的核心涵数binder_ioctl。

随后,binder_ioctl将抵达BINDER_THREAD_EXIT支系,并调用binder_thread_release涵数。在其中,thread是一个binder_thread结构体,储存当今开展ioctl调用的线程的信息内容。

static long binder_ioctl(struct file *filp, unsigned int cmd, unsigned long arg)

{

//[...]

case BINDER_THREAD_EXIT:

binder_debug(BINDER_DEBUG_THREADS, "%d:%d exit

",

proc->pid, thread->pid);

binder_thread_release(proc, thread);

thread=NULL;

break;

//[...]

在binder_thread_release涵数的尾端,发生了对binder_release_work涵数的调用。

static int binder_thread_release(struct binder_proc *proc,

struct binder_thread *thread)

{

//[...]

binder_release_work(proc, &thread->todo);

binder_thread_dec_tmpref(thread);

return active_transactions;

}

一定要注意,在调用bind_release_work时,主要参数list_head *list的数值&thread->todo。在我们试着用binder_work结构体添充该目录时,将涉及到一二节的內容。

static void binder_release_work(struct binder_proc *proc,

struct list_head *list)

{

struct binder_work *w;

while (1){

w=binder_dequeue_work_head(proc, list);

if (!w)

return;

//[...]

即然大家知道怎样开启易受攻击的涵数,那麼使我们来明确怎样用随意的binder_work结构体来添充线程的TODO目录。

binder_work结构体被安插到thread->todo的2个部位处:

binder_enqueue_deferred_thread_work_ilocked

static void

binder_enqueue_deferred_thread_work_ilocked(struct binder_thread *thread,

struct binder_work *work)

{

binder_enqueue_work_ilocked(work, &thread->todo);

}

binder_enqueue_thread_work_ilocked

static void

binder_enqueue_thread_work_ilocked(struct binder_thread *thread,

struct binder_work *work)

{

binder_enqueue_work_ilocked(work, &thread->todo);

thread->process_todo=true;

}

这种涵数在编码中的不一样地区都是有采用,可是大家很感兴趣的编码途径是以binder_translate_binder逐渐的那一个。当线程发送包含BINDER_TYPE_BINDER或BINDER_TYPE_WEAK_BINDER的事务时将调用该函数。

  之后,从binder对象创建一个binder节点,并令接收端进程的引用计数器加1。只要接收进程持有对该节点的引用,它就会在Binder的内存中保持活动状态。但是,如果进程释放该引用,那么该节点将被销毁,这也是我们稍后将尝试实现的触发UAF的功能。

  首先,让我们解释一下在调用binder_inc_ref_for_node的过程中,binder节点和thread -> todo列表的关系。

  static int binder_translate_binder(struct flat_binder_object *fp,

  struct binder_transaction *t,

  struct binder_thread *thread)

  {

  // [...]

  ret=binder_inc_ref_for_node(target_proc, node,

  fp->hdr.type==BINDER_TYPE_BINDER,

  &thread->todo, &rdata);

  // [...]

  }

  binding_inc_ref_for_node的参数如下所示:

  structinder_proc * proc:保存对节点的引用的进程

  struct binder_node * node:目标节点

  bool strong:true=强引用,false=弱引用

  struct list_head * target_list:如果节点增加,则使用的工作列表

  struct binder_ref_data * rdata:引用的ID/引用计数数据

  当前路径中的target_list是thread->todo。该参数仅在调用binder_inc_ref_olocked的binder_inc_ref_for_node中使用。

  static int binder_inc_ref_for_node(struct binder_proc *proc,

  struct binder_node *node,

  bool strong,

  struct list_head *target_list,

  struct binder_ref_data *rdata)

  {

  // [...]

  ret=binder_inc_ref_olocked(ref, strong, target_list);

  // [...]

  }

  然后,binder_inc_ref_olocked会调用binder_inc_node,不管它是弱引用还是强引用。

  static int binder_inc_ref_olocked(struct binder_ref *ref, int strong,

  struct list_head *target_list)

  {

  // [...]

  // Strong ref path

  ret=binder_inc_node(ref->node, 1, 1, target_list);

  // [...]

  // Weak ref path

  ret=binder_inc_node(ref->node, 0, 1, target_list);

  // [...]

  }

  binder_inc_node是binder_inc_node_nilocked的一个简单封装器,它在当前节点上持有一个锁。

  binder_inc_node_nilocked最后将调用:

  binder_enqueue_deferred_thread_work_ilocked,如果节点上有一个强引用的话;

  binder_enqueue_work_ilocked,如果节点上有弱引用的话。

  在实践中,引用是弱是强都无关紧要。

  static int binder_inc_node_nilocked(struct binder_node *node, int strong,

  int internal,

  struct list_head *target_list)

  {

  // [...]

  if (strong) {

  // [...]

  if (!node->has_strong_ref && target_list) {

  // [...]

  binder_enqueue_deferred_thread_work_ilocked(thread,

  &node->work);

  }

  } else {

  // [...]

  if (!node->has_weak_ref && list_empty(&node->work.entry)) {

  // [...]

  binder_enqueue_work_ilocked(&node->work, target_list);

  }

  }

  return 0;

  }

  这里需要注意的是,实际上是node->work字段被被安插在thread->todo列表中,因此,它并不是普通的binder_work结构体。这是因为binder_node嵌入了一个binder_work结构体。这意味着,要触发这个漏洞,我们要释放的不是一个单独的binder_work结构体,而是要释放整个binder_node。

  到目前为止,我们介绍了如何填充thread->todo列表,以及如何调用易受攻击的函数binder_release_work来访问可能被释放的binder_work/binder_node结构体。剩下的唯一一步就是想办法释放我们在线程中分配的binder_node。

  在本系列文章中,我们将为读者深入介绍Binder中的单指令竞态条件漏洞及其利用 *** 。由于篇幅过长,我们将分多篇文章发表,更多精彩内容,敬请期待!

  (未完待续)

相关文章

手机飞行模式是什么意思(飞行模式究竟有哪些用途)

手机飞行模式是什么意思(飞行模式究竟有哪些用途)

手机飞行模式是什么意思(飞行模式究竟有哪些用途)无论是iPhone手机還是安卓系统手机,都是有飞行模式这一作用。可是很多人要说我又不常常乘飞机,这一作用并没什么用,太可有可无了! 实际上飞行模式...

历史科技碾压流小说,找黑客修改数据,传奇黑客怎么找

}从上面的剖析咱们能留意到,遥控器只担任发送数据,无人机主机只担任接纳数据,两者之间并无射频上的交互。 这为咱们后边掩盖遥控器的信号打好了基础。 windows/foreign/reverse...

chane手表价格(吉林欧米茄手表促销的费用)

地陀chane手表价格表价格查询购买销售公司 chane手表花青款多少   157700/元     汕尾挠度以内商贸公司   吉林欧米茄手表浅青版什么价   368600/元     长春骸技...

za隔离霜多少钱,姬芮隔离霜多少钱

  ZA 68元 35g 爱莉 甜蜜润色断绝霜 218元 40ML 真空色泽细致断绝霜 138元 40g 梦妆 花怡舒柔断绝霜 115元 40ML 智能防晒断绝霜 135元 40ML 兰芝 紫色/绿色...

黑客入侵考试系统能改考生成绩吗(黑客可以进入学校系统改成绩吗)

黑客入侵考试系统能改考生成绩吗(黑客可以进入学校系统改成绩吗)

本文导读目录: 1、高考成绩能不能提前查啊,急的很 2、河北省教育考试院会被黑客攻击嘛,会篡改录取结果呢吗 3、护士资格证怎么改分?或者攻击内部系统使数据错乱? 4、网名为:中国黑豹联盟(...

怎么样查看兄弟开房信息

. 在宝宝转奶期选择合适的配方奶粉可以帮助宝宝减少转奶期的不适感,避免频繁转奶的情况出现,选择一款的好的配方奶粉能给予宝宝更多的营养,那么,怎么给宝宝选择合适的配方奶粉呢?接下来友谊长存小编就来说说...