2. 程式人生 > >CVE-2015-1805漏洞解析及驗證

CVE-2015-1805漏洞解析及驗證

阿新 發佈:2018-11-03

轉載自:https://www.anquanke.com/post/id/83682

0x0  漏洞資訊

影響所有Nexus手機和部分Android手機的漏洞,Google於2016/03/18釋出了公告修復,具體請看連結.

http://www.cvedetails.com/cve-details.php?t=1&cve_id=cve-2015-1805X

http://source.android.com/security/advisory/2016-03-18.html

0x1  漏洞描述

在linux 核心3.16版本之前的fs/pipe.c當中,由於pipe_read和pipe_write沒有考慮到拷貝過程中資料沒有同步的一些臨界情況,造成了拷貝越界的問題,因此有可能導致系統crash以及系統許可權提升.這種漏洞又稱之為” I/O vector array overrun”

0x2  程式碼分析

//摘自fs/pipe.c:

static ssize_t
pipe_read(struct kiocb *iocb, const struct iovec *_iov,
       unsigned long nr_segs, loff_t pos)
{
    struct file *filp = iocb
 
->ki_filp;
    struct pipe_inode_info *pipe = filp->private_data;
    int do_wakeup;
    ssize_t ret;
    struct iovec *iov = (struct iovec *)_iov;
    size_t
 
 total_len;
    total_len = iov_length(iov, nr_segs);
    /* Null read succeeds. */
    if (unlikely(total_len == 0))
        return 0;
    do_wakeup = 0;
    ret = 0;
    __pipe_lock(pipe);
    for (;;) {
        int bufs = pipe->nrbufs;
        if (bufs) {
             int curbuf = pipe->curbuf;
             struct pipe_buffer *buf = pipe->bufs + curbuf;
             const struct pipe_buf_operations *ops = buf->ops;
             void *addr;
             size_t chars = buf->len;
             int error, atomic;
             if (chars > total_len)
                 chars = total_len;
             error = ops->confirm(pipe, buf);
             if (error) {
                 if (!ret)
                     ret = error;
                 break;
             }
             //(1)
             atomic = !iov_fault_in_pages_write(iov, chars);
redo:
             addr = ops->map(pipe, buf, atomic);
             //(2)
             error = pipe_iov_copy_to_user(iov, addr + buf->offset, chars, atomic);
             ops->unmap(pipe, buf, addr);
             if (unlikely(error)) {
                 /*
                  * Just retry with the slow path if we failed.
                  */
                 //(3)
                 if (atomic) {
                     atomic = 0;
                     goto redo;
                 }
                 if (!ret)
                     ret = error;
                 break;
             }
             ret += chars;
             buf->offset += chars;
             buf->len -= chars;
             /* Was it a packet buffer? Clean up and exit */
             if (buf->flags & PIPE_BUF_FLAG_PACKET) {
                 total_len = chars;
                 buf->len = 0;
             }
             if (!buf->len) {
                 buf->ops = NULL;
                 ops->release(pipe, buf);
                 curbuf = (curbuf + 1) & (pipe->buffers - 1);
                 pipe->curbuf = curbuf;
                 pipe->nrbufs = --bufs;
                 do_wakeup = 1;
             }

             (5)//在這裡更新total_len

            

total_len -= chars;
             if (!total_len)
                 break;  /* common path: read succeeded */
        }
        if (bufs)    /* More to do? */
             continue;
        if (!pipe->writers)
             break;
        if (!pipe->waiting_writers) {
             /* syscall merging: Usually we must not sleep
              * if O_NONBLOCK is set, or if we got some data.
              * But if a writer sleeps in kernel space, then
              * we can wait for that data without violating POSIX.
              */
             if (ret)
                 break;
             if (filp->f_flags & O_NONBLOCK) {
                 ret = -EAGAIN;
                 break;
             }
        }
        if (signal_pending(current)) {
             if (!ret)
                 ret = -ERESTARTSYS;
             break;
        }
        if (do_wakeup) {
             wake_up_interruptible_sync_poll(&pipe->wait, POLLOUT | POLLWRNORM);
             kill_fasync(&pipe->fasync_writers, SIGIO, POLL_OUT);
        }
        pipe_wait(pipe);
    }
    __pipe_unlock(pipe);
    /* Signal writers asynchronously that there is more room. */
    if (do_wakeup) {
        wake_up_interruptible_sync_poll(&pipe->wait, POLLOUT | POLLWRNORM);
        kill_fasync(&pipe->fasync_writers, SIGIO, POLL_OUT);
    }
    if (ret > 0)
        file_accessed(filp);
    return ret;
}

(1).首先pipe_read()函式會先迴圈讀取iovec結構,並且通過iov_fault_in_pages_write()函式判斷iov->len是否大於0,且iov->base指向的地址是否可寫且處於使用者態,之後返回atomic.

(2)如果atomic=1,則pipe_iov_copy_to_user -> __copy_to_user_inatomic ->

__copy_to_user_nocheck;如果atomic=0,則pipe_iov_copy_to_user -> copy_to_user -> access_ok.

(3).如果atomic為1,pipe_iov_copy_to_user拷貝出現錯誤,會進入redo的邏輯,將再次呼叫pipe_iov_copy_to_user函式進行拷貝,且將atomic置為0.但是pipe_iov_copy_to_user的第三個引數chars並沒有更新,還是會拷貝total_len大小的資料

static int
pipe_iov_copy_to_user(struct iovec *iov, const void *from, unsigned long len,
              int atomic)
{
    unsigned long copy;
    while (len > 0)
    {
        while (!iov->iov_len)
             iov++;
        copy = min_t(unsigned long, len, iov->iov_len);
        if (atomic)
        {
             if (__copy_to_user_inatomic(iov->iov_base, from, copy))
                 //(4)
                 return -EFAULT;
        }
        else
        {
             if (copy_to_user(iov->iov_base, from, copy))
                 //(4)
                 return -EFAULT;
        }
        from += copy;
        len -= copy;
        iov->iov_base += copy;
        //每次對iov->iov_len進行更新
        iov->iov_len -= copy;
    }
    return 0;
}

4. 如果copy到某種情況出錯返回,已經copy成功的iov->len會被減去但總長度total_len並不會同步減去.也就是說如果total_len是0x100,第一次消耗掉了x;再次進入redo邏輯後還是0x100,然而實際已經被消耗掉了x.

0x3  具體探究

假設有一個iov結構,total_len為0x40,len為0x20.

iov[0]: iov_base = 0xdead0000 iov_len = 0x10

iov[1]: iov_base = 0xdead1000 iov_len = 0x10

iov[2]: iov_base = 0xdead2000 iov_len = 0x10

iov[3]: iov_base = 0xdead3000 iov_len = 0x10

如果iov[1].iov_base的地址被設定成不可寫入.那麼第一次pipe_iov_copy_to_user()會返回失敗.而iov->iov_base += copy,iov->iov_len -= copy.

iov[0]: iov_base = 0xdead0010 iov_len = 0

iov[1]: iov_base = 0xdead1000 iov_len = 0x10

iov[2]: iov_base = 0xdead2000 iov_len = 0x10

iov[3]: iov_base = 0xdead3000 iov_len = 0x10

現在,redo的邏輯發生在0xdead0010,它以某種方式被設定成可寫,並且len仍未0x20.那麼iov[1]和iov[2]都將被用掉.

iov[0]: iov_base = 0xdead0010 iov_len = 0

iov[1]: iov_base = 0xdead1010 iov_len = 0

iov[2]: iov_base = 0xdead2010 iov_len = 0

iov[3]: iov_base = 0xdead3000 iov_len = 0x10

在註釋(5)中,根據total_len -= chars;那麼total_len的大小就被設定為0x20(0x40 -0x20).如果total_len變為了0x20,可我們iov[3]的大小隻有0x10.這就會導致pipe_iov_copy_to_user()函式有可能讀取到一個未知的iov[4].具體來檢視下程式碼

static int iov_fault_in_pages_write(struct iovec *iov, unsigned long len)
{
    //(6)
    while (!iov->iov_len)
        iov++;
    while (len > 0) {
        unsigned long this_len;
        this_len = min_t(unsigned long, len, iov->iov_len);
        if (fault_in_pages_writeable(iov->iov_base, this_len))
             break;
        len -= this_len;
        iov++;
    }
    return len;
}
static inline int fault_in_pages_writeable(char __user *uaddr, int size)
{
        int ret;
        if (unlikely(size == 0))
                return 0;
        /*
         * Writing zeroes into userspace here is OK, because we know that if
         * the zero gets there, we'll be overwriting it.
        */
        ret = __put_user(0, uaddr);
        if (ret == 0) {
                char __user *end = uaddr + size - 1;
                /*
                * If the page was already mapped, this will get a cache miss
                 * for sure, so try to avoid doing it.
                 */
                if (((unsigned long)uaddr & PAGE_MASK) !=
                                ((unsigned long)end & PAGE_MASK))
                        ret = __put_user(0, end);
       }
        return ret;
}

在iov_fault_in_pages_write()函式中的註釋(6),也就意味著iov[0],iov[1],iov[2]都會被跳過,iov[3]被用掉.之後len -= this_len;len被設定為0x10.iov的指標將指向一塊未知的記憶體區域.iov[4].iov_base將被__put_user使用.

0x4  如何利用

核心的思路就是想辦法觸發redo的邏輯,之後精心構造一個readv()呼叫.把payload結構定義在已經被校驗過的iov陣列後,讓它成為__put_user()等函式呼叫的目標地址.如果我們再以某種方式讓構造的slab結構在iov陣列後包含一個函式指標,讓它指向要寫的核心地址.

1.第一次迴圈要保證pipe_iov_copy_to_user()函式失敗,這樣會進入redo邏輯

2.第二次要保證pipe_iov_copy_to_user()成功,但是不能在這裡overrun,否則會走向copy_to_user,要校驗地址,所以還是無法寫核心地址

3.當iov->len走完之後,total_len還有剩餘,所以第三次迴圈的時候,atomic=1.可以overrun觸發

4.第一次要保證失敗,也就是說需要把iov_base的地址設定成不可寫,第二次要成功,就要保證iov_base的地址有效.所以這裡可以通過建立競爭關係的執行緒,呼叫mmap/munmap等函式來實現.

0x5  POC

http://p3.qhimg.com/t01ebd9b5d50d638d68.png

http://p0.qhimg.com/t018e7b7fe6ed88f8b4.png

我測試的Nexus 6p  6.0.1系統會crash掉.

Talk is cheap,show me the code…

漏洞驗證資源:https://download.csdn.net/download/qq_35559358/10420702

漏洞驗證程式碼

相關推薦

CVE-2015-1805漏洞解析驗證

轉載自:https://www.anquanke.com/post/id/83682 0x0  漏洞資訊 影響所有Nexus手機和部分Android手機的漏洞,Google於2016/03/18釋出了公告修復,具體請看連結. http://www.cvedetails.com/cve

谷歌釋放補丁修復影響Android作業系統的特權提升漏洞CVE-2015-1805

谷歌釋出了緊急安全補丁來修復影響Android作業系統的特權提升漏洞CVE-2015-1805。 影響所有Nexus裝置和部分安卓 谷歌已經發布了緊急安全補丁來修復影響Android 作業系統裝置核心的特權提升漏洞CVE-2015-1805。該漏洞屬高危漏洞,可用於提升許可權並在存在漏洞的裝置上執行

CVE-2015-3864漏洞利用分析(exploit_from_google)

內存布局 labs dep ase printf ram onf gad 之間 前言 接下來要學習安卓的漏洞利用相關的知識了,網上搜了搜,有大神推薦 stagefright 系列的漏洞。於是開幹,本文分析的是 google 的 exploit. 本文介紹的漏洞是 CVE-2

CVE-2015-2370漏洞成因分析

###漏洞成因分析### 這個漏洞是一種DCOM DCE/RPC協議中ntlm認證後資料包重放導致的許可權提升漏洞 分析的重點DCOM DCE/RPC協議原理,這個協議主要由2塊內容組成,dcom的遠端啟用機制和ntlm身份認證 ####1.dcom的遠端啟用機制#### 微軟官方解釋

OpenSSl HeartBleed 漏洞分析驗證

前段時間寫的漏洞的分析報告貼上來~ OpenSSlHeartBleed 漏洞分析及驗證 一.漏洞爆出 OpenSSL是一個使用非常廣泛的開源加密庫,用來實現網路通訊的加密。本次爆出的OpenSSL 是TLS心跳造成遠端資訊洩露漏洞 (CVE-2014-0160) 在處理

淺談文件解析上傳漏洞

文件上傳漏洞 文件解析漏洞 中國菜刀 在web滲透中,我最期待兩種漏洞,一種是任意命令執行漏洞,如struct2漏洞等;另一種是文件上傳漏洞,因為這兩種漏洞都是獲取服務器權限最快最直接的方法。而對於任意命令執行漏洞,如果是通過內網映射出來的,那麽可能還需要使用不同的手段進行木馬文件上傳,從而獲取

Microsoft Edge 瀏覽器遠程代碼執行漏洞POC細節(CVE-2017-8641)

ive buffer png serer virt pil binding nproc mil 2017年8月8日,CVE官網公布了CVE-2017-8641,在其網上的描述為: 意思是說,黑客可以通過在網頁中嵌入惡意構造的javascript代碼,使得微軟的瀏覽器(如E

Tomcat代碼執行漏洞(CVE-2017-12615)的演繹個人bypass

ros star quest odi -s 官方 argv 特性 ~~ 0x00 漏洞簡介 2017年9月19日,Apache Tomcat官方確認並修復了兩個高危漏洞。 漏洞CVE編號:CVE-2017-12615和CVE-2017-12616。 其中 遠程代碼執行漏洞(

ActiveMQ反序列化漏洞CVE-2015-5254)復現

  0x00 漏洞前言         Apache ActiveMQ是美國阿帕奇(Apache)軟體基金會所研發的一套開源的訊息中介軟體,它支援Java訊息服務,叢集,Spring Framework等。Apache ActiveMQ 5.13.0

PHP任意檔案上傳漏洞CVE-2015-2348)

安全研究人員今天釋出了一箇中危漏洞——PHP任意檔案上傳漏洞(CVE-2015-2348)。 在上傳檔案的時候只判斷檔名是合法的檔名就斷定這個檔案不是惡意檔案,這確實會導致其他安全問題。並且在這種情況下,在你自己的檔案中檢查漏洞很不現實,因為這個漏洞可以繞過你對檔名字尾、檔案型別(Content-Typ

HTTP.SYS遠端程式碼執行漏洞CVE-2015-1635,MS15-034)

漏洞描述及滲透過程 HTTP協議堆疊(HTTP.sys)中存在一個遠端執行程式碼漏洞,該漏洞是在HTTP.sys不正確地分析特製HTTP請求時引起的。   漏洞危害 攻擊者只需要傳送惡意的http請求資料包,就可能遠端讀取IIS伺服器的記憶體資料,或使伺服器系統藍屏崩潰

CVE-2017-7269 IIS6.0遠端程式碼執行漏洞分析Exploit

原帖地址:http://whereisk0shl.top/cve-2017-7269-iis6-interesting-exploit.html 感謝仙果和Wingdbg,我將我部落格的這篇分析轉到看雪和大家一起分享。我的部落格會長期更新二進位制分析的文章,希望能與

CVE-2015-2348(PHP任意檔案上傳漏洞

漏洞編號:CVE-2015-2348漏洞影響版本:PHP 5.4.38~5.6.6漏洞成因:        通常情況下,PHP的開發者會對檔案使用者上傳的檔案的型別、檔案大小、檔名字尾等進行嚴格的檢查來限制惡意的PHP指令碼檔案的上傳漏洞的產生,但是攻擊者有時候可以結合語言的

Linux漏洞分析入門筆記-CVE-2015-0235

Ubuntu 12.04 32位 ida 7.0 0x00:漏洞描述 1.glibc的__nss_hostname_digits_dots存在緩衝區溢位漏洞,導致使用gethostbyname系列函式的某些軟體存在程式碼執行或者資訊洩露的安全風險。 通過gethostbyname()函式或gethos

CVE-2015-1427(Groovy 沙盒繞過 && 程式碼執行漏洞

1、vulhub環境搭建 2、啟動docker環境 cd vulhub-master/elasticsearch/CVE-2015-1427/ sudo docker-compose up 3、訪

HTTP.sys 遠端執行程式碼漏洞(CVE-2015-1635)(MS15-034)簡單測試

        無意中用掃描器掃到了HTTP.sys 漏洞,因為之前寫過python單poc指令碼,感覺exp應該也是存在的。本著常識的心態找一下利用程式碼,如果能提權是再好不過的。    根據網上的記

CVE-2015-1635-HTTP.SYS遠端執行程式碼漏洞復現

CVE-2015-1635-HTTP.SYS遠端執行程式碼漏洞復現 一、漏洞描述 遠端執行程式碼漏洞存在於 HTTP 協議堆疊 (HTTP.sys) 中,當 HTTP.sys 未正確分析經特殊設計的 HTTP 請求時會導致此漏洞。 成功利用此漏洞的攻擊者可以在系統帳戶的上下文中執行任意程式碼。 微軟官方

DedeCMS 5.7 sp1遠端檔案包含漏洞(CVE-2015-4553)

DedeCMS 5.7 sp1遠端檔案包含漏洞(CVE-2015-4553) 一、漏洞描述 該漏洞在/install/index.php(index.php.bak)檔案中,漏洞起因是$$符號使用不當,導致變數覆蓋,以至於最後引起遠端檔案包含漏洞。 二、漏洞影響版本 DeDeCMS < 5.7-

CVE-2014-0195漏洞分析

auto ase dia sum messages handle cat lar specified Watching the industry respond to the Heartbleed vulnerability has been fascinating.

Qt5.5.1和Qt5.3.2編譯OCI驅動教程驗證方法

oracle下載 電腦 博客 size 版權 ring nbsp scott 所有 我們都知道oracle數據庫的強大,並且好多企業或者教學用到數據庫時都會推薦使用。但是Qt因為版權問題沒有封裝oracle數據庫專用驅動,網上也有一大堆說法和教程,但是或多或少的都有問題。下