码迷,mamicode.com
首页 > 移动开发 > 详细

Android栈溢出漏洞利用练习

时间:2020-01-19 22:20:06      阅读:101      评论:0      收藏:0      [点我收藏+]

标签:adt   name   设置   wap   blob   star   lis   inf   shu   

在Github上看到一个Linux系统上的栈溢出漏洞利用练习项目: easy-linux-pwn。在原项目基础上,我稍微做了一些改动,将这个项目移植到了Android 9.0系统上: easy-android-pwn。对Android漏洞利用有兴趣的可以练习一下。

由于Android系统与其他Linux桌面系统在安全配置上有下面两方面的差异,导致此项目不能直接在Android系统上使用。需要对系统做一些改动,重新编译ROM(或者仅编译替换linker程序)。

  1. 即使通过echo 0 | sudo tee /proc/sys/kernel/randomize_va_space命令关闭ASLR,Android系统上lib库加载地址仍然是随机化的,这是由Android linker额外实现的机制
  2. Android NDK编译系统强制使用-z noexecstack选项,导致编译出来的二进制文件无法开启栈上执行权限

按照如下步骤进行设置:

  1. 按照原项目easy-linux-pwn中的说明进行设置

  2. 按照以下改动修改linker代码,重新编译ROM

    diff --git a/linker/linker.cpp b/linker/linker.cpp
index c78b9aba6..d20995162 100644
--- a/linker/linker.cpp
+++ b/linker/linker.cpp
@@ -1493,13 +1493,13 @@ static bool find_library_internal(android_namespace_t* ns,

 static void soinfo_unload(soinfo* si);

-static void shuffle(std::vector<LoadTask*>* v) {
-  for (size_t i = 0, size = v->size(); i < size; ++i) {
-    size_t n = size - i;
-    size_t r = arc4random_uniform(n);
-    std::swap((*v)[n-1], (*v)[r]);
-  }
-}
+// static void shuffle(std::vector<LoadTask*>* v) {
+//   for (size_t i = 0, size = v->size(); i < size; ++i) {
+//     size_t n = size - i;
+//     size_t r = arc4random_uniform(n);
+//     std::swap((*v)[n-1], (*v)[r]);
+//   }
+// }

 // add_as_children - add first-level loaded libraries (i.e. library_names[], but
 // not their transitive dependencies) as children of the start_with library.
@@ -1603,7 +1603,7 @@ bool find_libraries(android_namespace_t* ns,
       load_list.push_back(task);
     }
   }
-  shuffle(&load_list);
+  // shuffle(&load_list);

   for (auto&& task : load_list) {
     if (!task->load()) {
diff --git a/linker/linker_phdr.cpp b/linker/linker_phdr.cpp
index a5eab44ec..4c6cdf494 100644
--- a/linker/linker_phdr.cpp
+++ b/linker/linker_phdr.cpp
@@ -548,6 +548,7 @@ static void* ReserveAligned(void* hint, size_t size, size_t align) {
   uint8_t* first = align_up(mmap_ptr, align);
   uint8_t* last = align_down(mmap_ptr + mmap_size, align) - size;
   size_t n = arc4random_uniform((last - first) / PAGE_SIZE + 1);
+  n = 1;
   uint8_t* start = first + n * PAGE_SIZE;
   munmap(mmap_ptr, start - mmap_ptr);
   munmap(start + size, mmap_ptr + mmap_size - (start + size));
  3. 使用 switch_execstack工具开启04和05两个练习的栈执行权限。

  4. 关闭ASLR:adb shell ‘echo 0 > /proc/sys/kernel/randomize_va_space

Android栈溢出漏洞利用练习

标签:adt   name   设置   wap   blob   star   lis   inf   shu   

原文地址:https://www.cnblogs.com/ntiger/p/12215630.html
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!