原文地址:http://drops.wooyun.org/tips/7764

作者: 陵轩,美成,宋杨

Linux安全机制简介


近些年来,由于Android系统的兴起,作为Android 底层实现的 Linux内核其安全问题也是越来越被人们所关注。为了减小漏洞给用户带来的危害和损失,Linux 内核增加了一系列的漏洞缓解技术。其中包括DEPALSR,更强的 Selinux,内核代码段只读,PXN等等。 Linux 中这些安全特性的增加,使得黑客们对漏洞的利用越来越困难。其中,DEPALSRSelinux 等技术在 PC 时代就已经比较成熟了。内核代码段只读也是可以通过修改ptmx_fops 指针表等方案来绕过。那么,PXN是什么?它又该如何绕过呢?

PXN简介


PXN其实就是 Privileged Execute-Never 的缩写,按字面翻译就是“特权执行从不”。它的开启与否主要由页表属性的PXN位来控制,如图所示。

在没有PXN安全机制的Android机器上,我们一般的提权思路大致可分为如下几步:

  1. 修改ptmx_fops表的fsync指针地址,使其指向我们用户态的提权代码。
  2. 应用层调用fsync函数,使得系统触发我们的提权代码。
  3. 获取root权限。
  4. ptmx_fops表的fsync指针置为NULL,主要防止其他进程调用 fsync而使系统崩溃。

上述说到的提权步骤是在没有PXN影响下的一般思路。那么在带有PXN的机器上表现又是如何呢?经过我们的多番测试,在不同的机型上表现各不相同。在有的机器上会卡住,shellcode不会继续执行;有的机器上会产生 Kernel Panic,机器直接重启。 所以说,PXN的大致工作原理就是在内核状态下,系统是无法直接执行用户态代码的。因此,我们常用的提权思路也就行不通了。更加坑爹的是在绝大部分的arm64系统机型(如三星 s6,华为 p8),和一些 arm32位机型(如三星 note3,三星 s5 等主流机型)的最新 ROM 都默认开启了PXN

PXN初探


在CVE-2015-3636漏洞的一种利用方式中,我们最终可以控制inet_release函数中 sk->sk_prot->close 指针的值。对应汇编代码如图所示。

图2中X2寄存器的值即为sk->sk_prot->close指针的地址,这里的X2对应着32位系统中的R2。BLR X2指令就是跳转到X2所指向的地址处执行。 在开启了PXN的机型上,如果我们将sk_prot->close指针的地址指向用户态的提权代码,那么系统就直接panic重启了,错误信息如下图所示。在这个panic信息中可以看到PC寄存器的值为0x558d15a2a8,是一个用户态地址。

既然在内核状态下PXN机制能阻止系统运行用户态的代码,那么它会不会阻止内核层的代码执行呢?我们将sk_prot->close指针的地址指向了inet_release函数的返回处。代码如图所示。

此时再触发漏洞,函数能正确返回到用户态,并且系统也没有panic,从而验证了PXN是不会阻止内核态代码执行的。这和PXN自身的原理也是一致的。

再战PXN


基本思路

在带有PXN的机器上虽然不能执行用户态的shellcode,但是依然可以执行内核态的代码。因此,我们的策略就是使用内核ROP:构建内核gadget,使得栈指针sp泄露,然后通过sp计算得到thread_info结构的地址,之后patch thread_info结构的addr_limit字段,从而达到用户态任意读写内核态的目的。

构建gadget

接下来,我们的主要目的就是验证上述方案的可行性。首要任务就是寻找合适的内核gadget。 假设我们现在已经可以利用漏洞控制X1寄存器的值,如图所示。

因此,在寻找ROP需要的gadget时,我们以X1所指向的内存区域为基础来控制其他寄存器的值。在触发漏洞前,通过mmap函数来创建一块用户态可以控制的内存空间。如下所示

void *map_addr_tmp = mmap((void*) 0x30303000, 0x10000, 
PROT_WRITE|PROT_READ|PROT_EXEC, 
MAP_SHARED|MAP_ANONYMOUS|MAP_FIXED, -1, 0);

做完了上面的准备工作,接下来,我将上述方案分解成下面三步来完成:

  1. 泄露sp的值;
  2. 计算addr_limit的地址;
  3. patch addr_limit。

首先,用ROP来完成sp的泄露。因为寄存器X1所指向的地址是我们在用户态自己分配出来,并且可以随意控制的内存块,所以我们在第一段gadget中借由X1来布局各个跳转的地址,然后跳转到下一段gadget开始执行。 第二段gadget主要是将sp栈指针的值赋给X0,然后跳转到下一段gadget。在这个例子里面,用户态是无法直接通过X0来获得sp的。所以我们在gadget3里面通过一条STR指令将X0的值保存到用户态。ROP的大致思路如下图所示。 找gadget在某种程度上是一个体力活,当然也可以通过一些工具来Make life easier,大家可以自行Google。注意这里描述的gadget只是一个大致的思路,和实际中可能会有一些区别。

我们得到sp的值后,就可以计算出addr_limit字段的地址了。在arm64系统上,栈的最大深度为16K。其次,addr_limit字段位于thread_info结构+8的位置。因此,计算方式如下所示:

unsigned long thread_info_addr = sp & 0xFFFFFFFFFFFFC000;
unsigned long addr_limit_addr = thread_info_addr + 8;
printf("addr_limit_addr: %p\n", addr_limit_addr); 

最后,我们通过ROP来设置addr_limit的值为0xFFFFFFFFFFFFFFFF。同样,X1寄存器我们可以随意控制其内容。第一段gadget用来设置各个跳转地址。第二段gadget完成主要任务,即通过一个STR指令来完成patch addr_limit的目的。最后跳转到inet_release的函数返回处。ROP的大致思路如图所示。

完成了addr_limit字段的patch之后,那么用户态就可以任意读写内核态了。接下来的选择就很多了,一种方法是先确定task_struct的地址,它是在thread_info+0x10的位置。得到了task_struct的地址之后,就可以定位到cred字段,之后patch uid、gid、capability、selinux等即可。 实践中,通过结合已知的漏洞,上述方案在近期发布的一些64位旗舰机型上均能测试成功,如图所示。当然,这个思路在32位机型上也同样适用。

假设我们所使用的是一个任意写的漏洞,那么绕过PXN的方式其实是类似的。首先通过任意写的洞控制Kernel的一个函数指针,指向我们的gadget,泄露出sp的值。接下来,可以直接通过任意写的能力去patch addr_limit(不需要再通过ROP去patch了)。

总结


近些年来随着对Android、Linux的研究越来越深入,通用的Linux平台漏洞,例如:CVE-2013-6282、CVE-2014-3153 (towelroot)以及最新的CVE-2015-3636(pingpong)纷纷被公之于众。 同时,Linux上运用的最新的漏洞缓解机制让系统漏洞的利用越发困难,但绕过这些缓解机制的技术也在推陈出新。攻与防的博弈永远不会结束。

参考文章:

http://git.kernel.org/cgit/linux/kernel/git/davem/net.git/commit/?id=1d4d37159d013a4c54d785407dd8902f901d7bc5

http://infocenter.arm.com/help/index.jsp?topic=/com.arm.doc.subset.architecture.reference/index.html

https://bugzilla.redhat.com/show_bug.cgi?id=1218074