安卓漏洞 CVE 2017-13287 復現詳解

2020-02-15 10:55:00 暗網視界

可領全套安全課程、配套攻防靶場

2018年4月，Android安全公告公佈了CVE-2017-13287漏洞。

與同期披露的其他漏洞一起，同屬於框架中Parcelable對象的寫入(序列化)與讀出(反序列化)的不一致所造成的漏洞。

在剛看到谷歌對於漏洞給出的補丁時一頭霧水，

在這裡要感謝heeeeen@MS509Team在這個問題上的成果，啟發了我的進一步研究。

原理

谷歌在Android中提供了Parcelable作為高效的序列化實現，用來支持IPC調用中多樣的對象傳遞需求。

但是序列化和反序列化的過程依舊依靠程序員編寫的代碼進行同步。

那麼當不同步的時候，漏洞就產生了。

<strong>Bundle

傳輸的時候Parcelable對象按照鍵值對的形式存儲在Bundle內，Bundle內部有一個ArrayMap用hash表進行管理。

反序列化過程如下：

<code>    /* package */ void unparcel() {        synchronized (this) {           final Parcel parcelledData = mParcelledData;           int N = parcelledData.readInt();           if (N < 0) {               return;           }           ArrayMap<string> map = mMap;           try {               parcelledData.readArrayMapInternal(map, N, mClassLoader);           } catch (BadParcelableException e) {           } finally {               mMap = map;               parcelledData.recycle();               mParcelledData = null;           }        }    }/<string>/<code>

首先讀取一個int指示裡面有多少對鍵值對。

<code>    /* package */ void readArrayMapInternal(ArrayMap outVal, int N,        ClassLoader loader) {        if (DEBUG_ARRAY_MAP) {           RuntimeException here =  new RuntimeException("here");           here.fillInStackTrace();           Log.d(TAG, "Reading " + N + " ArrayMap entries", here);        }        int startPos;        while (N > 0) {           if (DEBUG_ARRAY_MAP) startPos = dataPosition();           String key = readString();           Object value = readValue(loader);           outVal.append(key, value);           N--;        }        outVal.validate();    }/<code>

之後的每一對先是Key的字符串，然後是對應的Value。

<code>    public final Object readValue(ClassLoader loader) {        int type = readInt();        switch (type) {        case VAL_NULL:           return null;        case VAL_STRING:           return readString();        case VAL_INTEGER:           return readInt();        case VAL_MAP:           return readHashMap(loader);        case VAL_PARCELABLE:           return readParcelable(loader);        case VAL_SHORT:           return (short) readInt();        case VAL_LONG:           return readLong();/<code>

值內部先是一個int指示值的類型，再存儲實際值。

當Bundle被寫入Parcel時：

<code>    void writeToParcelInner(Parcel parcel, int flags) {        final ArrayMap<string> map;        synchronized (this) {           if (mParcelledData != null) {               if (mParcelledData == NoImagePreloadHolder.EMPTY_PARCEL) {                  parcel.writeInt(0);               } else {                  int length = mParcelledData.dataSize();                  parcel.writeInt(length);                  parcel.writeInt(BUNDLE_MAGIC);                  parcel.appendFrom(mParcelledData, 0, length);               }               return;           }           map = mMap;        }    }/<string>/<code>

先寫入Bundle總共的字節數，再寫入魔數，之後是指示鍵值對數的N，還有相應的鍵值對。

<strong>LaunchAnyWhere

弄明白Bundle的內部結構後，先來看看漏洞觸發的地方：

這個流程是AppA在請求添加一個帳號：

AppA請求添加一個帳號
System_server接受到請求，找到可以提供帳號服務的AppB，併發起請求
AppB返回了一個Bundle給系統，系統把Bundle轉發給AppA
AccountManagerResponse在AppA的進程空間中調用startActivity(intent)調起一個Activity。

在第4步中，如果AppA的權限較高，比如Settings，那麼AppA可以調用正常App無法調用的未導出Activity。

並且在第3步中，AppB提供的Bundle在system_server端被反序列化，之後system_server根據之前得到的內容再序列化並傳遞給AppA。

那麼如果對應的傳遞內容的序列化和反序列化代碼不一樣，就會影響到自己以及之後的內容的結果。

傳遞的Bundle對象中包含一個重要鍵值對{KEY_INTENT:intent}，指定了AppA稍後調用的Activity。

如果這個被指定成Setting中的com.android.settings.password.ChooseLockPassword,就可以在不需要原本鎖屏密碼的情況下重新設置鎖屏密碼。

谷歌在這個過程中進行了檢查，保證Intent中包含的Activity所屬的簽名和AppB一致，並且不是未導出的系統Actiivity。

<code>protected void checkKeyIntent(int authUid, Intent intent) throws SecurityException {    long bid = Binder.clearCallingIdentity();    try {        PackageManager pm = mContext.getPackageManager();        ResolveInfo resolveInfo = pm.resolveActivityAsUser(intent, 0, mAccounts.userId);        ActivityInfo targetActivityInfo = resolveInfo.activityInfo;        int targetUid = targetActivityInfo.applicationInfo.uid;        if (!isExportedSystemActivity(targetActivityInfo)            && (PackageManager.SIGNATURE_MATCH != pm.checkSignatures(authUid, targetUid))) {            String pkgName = targetActivityInfo.packageName;            String activityName = targetActivityInfo.name;            String tmpl = "KEY_INTENT resolved to an Activity (%s) in a package (%s) that "                + "does not share a signature with the supplying authenticator (%s).";            throw new SecurityException(                   String.format(tmpl, activityName, pkgName, mAccountType));               }    } finally {           Binder.restoreCallingIdentity(bid);    }}/<code>

攻擊思路便是在system_server進行檢查時Bundle中的惡意{KEY_INTENT:intent}看不到，但是在重新序列化之後在Setting出現，這樣就繞過了檢查。

利用

首先來看看漏洞所在的代碼

<code>    public static final Parcelable.Creator<verifycredentialresponse> CREATOR            = new Parcelable.Creator<verifycredentialresponse>() {        @Override        public VerifyCredentialResponse createFromParcel(Parcel source) {            int responseCode = source.readInt();            VerifyCredentialResponse response = new VerifyCredentialResponse(responseCode, 0, null);            if (responseCode == RESPONSE_RETRY) {                response.setTimeout(source.readInt());            } else if (responseCode == RESPONSE_OK) {                int size = source.readInt();                if (size > 0) {                    byte[] payload = new byte[size];                    source.readByteArray(payload);                    response.setPayload(payload);                }            }            return response;        }        @Override        public VerifyCredentialResponse[] newArray(int size) {            return new VerifyCredentialResponse[size];        }    };    @Override    public void writeToParcel(Parcel dest, int flags) {        dest.writeInt(mResponseCode);        if (mResponseCode == RESPONSE_RETRY) {            dest.writeInt(mTimeout);        } else if (mResponseCode == RESPONSE_OK) {            if (mPayload != null) {                dest.writeInt(mPayload.length);                dest.writeByteArray(mPayload);            }        }    }/<verifycredentialresponse>/<verifycredentialresponse>/<code>

仔細閱讀，會發現在mResponseCode為RESPONSE_OK時，

如果mPayload為null，那麼writeToParcel不會在末尾寫入0來正確的指示Payload部分的長度。

而在createFromParcel中是需要readInt來獲知的，這個就帶來了序列化與反序列化過程的不一致。

可以通過精心構造的payload來繞過檢查。

難點在於和已經有人公開過的CVE-2017-13288和CVE-2017-13315不同，

它們是重新序列化之後會多出來4個字節。這裡是重新序列化之後會少4個字節。

<strong>】

利用String的結構，把惡意intent隱藏在String裡。上圖每段註釋的括號裡寫了其所佔用的字節數。

在第一次反序列化時，VerifyCredentialResponse內部的0還在，惡意intent被包裝在第二對的Key中。

第二對的值的類型被制定為VAL_NULL，也就是什麼都沒有，常量值為-1。

再次序列化時writeToParcel沒有writeInt(0)，所以到達Setting的Bundle在RESPONSE_OK之後沒有0，原本的String length被視作payload length，調用readByteArray讀取。

<code>static jbyteArray android_os_Parcel_createByteArray(JNIEnv* env, jclass clazz, jlong nativePtr)    {    jbyteArray ret = NULL;    Parcel* parcel = reinterpret_cast<parcel>(nativePtr);    if (parcel != NULL) {        int32_t len = parcel->readInt32();        // sanity check the stored length against the true data size        if (len >= 0 && len <= (int32_t)parcel->dataAvail()) {           ret = env->NewByteArray(len);           if (ret != NULL) {               jbyte* a2 = (jbyte*)env->GetPrimitiveArrayCritical(ret, 0);               if (a2) {                  const void* data = parcel->readInplace(len);                  memcpy(a2, data, len);                  env->ReleasePrimitiveArrayCritical(ret, a2, 0);               }           }        }    }    return ret;}/<parcel>/<code>

再次調用readInt32讀取長度，之後截取數組內容。相應的從Payload length開始的指定長度的內容都被視作payload。

只要設置得當，惡意intent就會顯露出來成為實質上的第二對鍵值對。

那麼之前作為第二對值的VAL_NULL怎麼辦？之前提過它的常量值是-1，上一對惡意intent剛結束，在這裡調用的是readString這個函數。

<code>const char16_t* Parcel::readString16Inplace(size_t* outLen) const{    int32_t size = readInt32();    // watch for potential int overflow from size+1    if (size >= 0 && size < INT32_MAX) {        *outLen = size;        const char16_t* str = (const char16_t*)readInplace((size+1)*sizeof(char16_t));        if (str != NULL) {           return str;        }    }    *outLen = 0;    return NULL;}/<code>

再次的readInt32，得到-1,直接返回null，長度為0,會在JNI層中創建一個空字符串返回到java層。那麼就是說：VAL_NULL單獨作為一個空字符串被讀取，之後的三個藍色塊被視作值。

這裡因為之後的字符串是123456，所以string_length是6.

這個很關鍵，因為在Settings這裡被readValue視作type，而6正好是VAL_STRING，也即字符串類型。於是ord('1')= 0x31被視作String length正常使用，正常讀取字符串。

至此Settings側正常讀取完畢，惡意intent被讀取並執行。

假String的構造

之前略過了包含惡意intent的假String的具體padding過程，這裡展開：

String_length(4) + Payload_length(4) + PADDING(Size + 16) + EVIL_INTENT(Size) + PADDING(8)String_length = Payload_length = (4 + 4 + Size + 16 + Size + 8) / 2 – 1 = Size + 15

這裡先給出公式，Size在這裡就是Evil_intent部分的長度，String_length和Payload_length在Setting側都被視作payload的長度使用，故相同。

<strong>從兩個視角去審視這個公式：

system_server側

對於system_server來說，從String_length開始的部分就是單純的一個字符串，那麼它先讀取String_length並套用readString16Inplace中的公式。

它會從String_length之後讀取$ 2(1 + Size + 15)=2Size + 32 $，正好包括總長。

Settings側

對於Settings來說，從Payload_length之後會直接截取對應長度的內容作為數組，即Payload_length之後$Size + 15$，

因為Parcel底層的操作對4向上湊整，所以正好露出EVIL_INTENT。

這樣就可以達成效果。

結果

POC: https://github.com/FXTi/CVE201713287POC

總結

在IPC這塊就算谷歌引入了AIDL這種方式來規定接口，哪怕只是中間所用到的類的序列化過程出現一點失誤都會造成如此嚴重的漏洞。

可見安全編程以及代碼審計的必要性，沒準以後還會有類似機理的漏洞被髮掘出來。

轉載自 https://www.anquanke.com/post/id/197710

今天你知道了嗎？

加群，黑客技術大咖在線解答(群號評論區見）

分享到:

閱讀更多 暗網視界 的文章

關鍵字: 黑客程序員安卓

第二章 IoC容器和Bean配置

bean是一個對象，它是由Spring

運算裡不得不說的python模塊—math

Help

Devops度量--DevOps 現狀快速檢查表

今天主要分享一個DevOps

SOP是什麼（解讀）

SOP不是單個的，是一個體系，雖然我們可以單獨地定義每一個SOP，但真正從企業管理來看，SOP不可能只是單個的，必然是一個整體和體系，也是企業不可或缺的。

還不知道交換機上如何配置DHCP，趕緊過來圍觀吧，一分鐘包你學會

隨著終端設備的越來越多，人工干預配置IP地址，不僅工作效率低，而且，還很容易導致IP衝突，影響正常的網絡訪問。到此已經完成了，DHCP服務的配置了，我們可以在終端驗證。

還在手動配置IP地址嗎？太Low了，一分鐘教會您如何配置DHCP

Python爬蟲自學筆記：分析頭條文章網頁源文件

這兩天分析了一下頭條文章網頁的源文件，現在將分析的結果分享給大家。首先以一篇文章為例，其網址如下：https://www.toutiao.com/i6822245428176617998/如上圖網頁所示，文章中包含文字和圖片。

DNS偵查工具

我們只需要打開瀏覽器輸入例如:www.baidu.com就可以解析到該網站.為了便於記住不需要輸入長長的IP地址去訪問這就是DNS域名解析.關於域名域名的層次劃分用點來分割這時DNS把相對應的域名解析成IP地址高的在右邊.例如:www. NS簡介訪問某網站的時候最低在左邊

國人開源的異步 Python ORM：GINO

程序測評：Create React App 3.3中有哪些酷炫新功能？

Create

“明學”的魅力？我只要我覺得：駕馭終端，提高生產力

最後一個要介紹的命令是

（必收藏系列）Linux面試題——命令集

關注，後臺私信【Linux】分享Linux入門到進階電子書、Linux入門到精通視頻教程（免費）。文件管理命令cat

五分鐘學會如何在 IPFS 上部署網站

原文標題:五分鐘學會如何在

「正點原子NANO STM32F103開發板資料連載」第29章內存管理實驗

1）實驗平臺：【正點原子】

小白怎麼學Web前端開發如何成為技術達人

Web前端開發工程師已經成為了很多年輕人心中的理想工作，不僅入行門檻低、而且薪資待遇和發展前景都不錯，自然吸引了大批人加入行業。

如何開發一個web靜態服務器

我們都知道如今的web服務器有很多，比如著名的有apache，有nginx，有tomcat，有resin服務器，有sphere，有iis服務器等等，這些服務器都能提供web服務，並且幾乎都能和多種語言進行搭配使用，那麼一個web服務器都需要那些功能，開發一個web服務器都需要那些

學Java編程還有前景嗎如何才能拿到高薪

需求大、薪資高似乎是Java開發人員的標籤，不過學Java編程還有前景嗎？它架構在操作系統之上，屏蔽了底層的差異，真正實現了“Writeonce run

Python網絡爬蟲之配置篇（一）

pip

SpringBoot 整合SpringSecurity示例實現前後分離權限註解+JWT登錄認證

serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8&zeroDateTimeBehavior=convertTo&useSSL=falseusername:rootpassword:

Python的運行效率太低？幾行代碼快速提升！

return的就是是你所需要的結果2.3、運行這一步就是最後一步了，只要像下面一樣輸入上述函數名，賦予參數值，點擊運行Run，就能得到你想要的結果arg1=5

python的優點是什麼？最新Python400集視頻（附教程）

2020，最新Python零基礎到精通資料教材，乾貨分享，新基礎Python教材，穩穩找到過萬工作，看這裡，這裡有你想要的所有資源哦，最強筆記，教你怎麼入門提升！獲取方式：私信小編“

MySQL中OOM故障應如何下手-愛可生

作者：孫祚龍愛可生南區分公司交付服務部成員，實習工程師。負責公司產品問題排查及日常運維工作。本文來源：原創投稿*愛可生開源社區出品，原創內容未經授權不得隨意使用，轉載請聯繫小編並註明來源。

像專家一樣使用 panic

|go

30種不同的編程語言怎麼寫“Hello, World”

printfn

percona QAN 介紹

一、背景QAN慢查詢日誌分析工具是PMM

面試官：你可以用純CSS判斷鼠標進入的方向嗎？

雖然沒什麼軟用，但是對付面試官應該是夠用了。感謝面試官提出的問題，讓我實現了這個功能，對CSS

網絡工程師職業生涯中，哪兩點是最重要的？

網絡工程師最重要的技能是紮實的基礎和非常開放的思維，微觀知識紮實、宏觀能力突出。項目經驗也會讓網絡工程師基礎更牢靠，網絡工程師是要實戰的，要避免紙上談兵，我認為對基礎理論的理解，比你清楚配置更重要。

交換機中相關術語代表什麼意思，有必要弄清楚

由淺入深瞭解以太坊 2.0：最常見問題和最全學習清單

有關以太坊2.0

【Linux簡單實用小命令001】CentOS 7、8的防火牆端口開放

yuminstall

吃透這些IPFS硬核知識點，日後搶頭礦隨時“彎道超車”

今天的你捉住IPFS機遇了嗎？我們都知道在Filecoin網絡中作為一名存儲礦工，信譽對於我們是非常重要的——信譽越高，爆塊幾率越大。那麼信譽系統現在怎麼樣了呢？

Hive分桶表

fieldsterminated

Spring中資源的加載原來是這麼一回事啊！

自己動手搭建郵件系統：怎樣讓Exchange Server 發出第一封郵件？

編輯Exchange

$【MySQL】RDS物理備份文件(.idb\.frm)恢復到MySQL自建數據庫$

【MySQL】RDS物理備份文件(.idb\.frm)恢復到MySQL自建數據庫

在阿里雲控制檯，我們能下載的文件是一個壓縮包，解壓之後，是.idb和.frm文件，你可能要問了，我可以直接把解壓好的問題件覆蓋到MySQL的data目錄下嗎？

NLP算法入門系列：隱含馬爾可夫鏈(HMM)模型的簡單介紹

即，最大化

第一章 Spring Framework概述

您可以在任何web

opencv人工智能深度學習這樣實現人臉的年齡檢測

前期的文章我們分享了人臉的識別以及如何進行人臉數據的訓練，本期文章我們結合人臉識別的模型進行人臉年齡的檢測人臉年齡的檢測步驟1、首先需要進行人臉的檢測2、把檢測到的人臉數據給年齡檢測模型去檢測3、把檢測結果呈現到圖片上人臉年齡檢測import

嵌入式linux網絡編程之——5年程序員給你深度講解socket套接字

圖8-1

深入瞭解ProcessFunction的狀態操作(Flink-1.10)

先反思為何會有上述疑惑上述疑惑產生的原因，應該是受到平時使用HashMap的影響，HashMap獲取值就是在調用get方法時指定key，設置值也是在put時指定key，所以看到state.value，看懂了這些，其實也是在瞭解DataStream/DataSetAPI的設計思路：

Redis內存分析工具--rdr安裝與使用

分析Redis

資深架構師教你源碼講解zookeeper實現分佈式鎖以及集群搭建步驟

//getData發現前一個子節點被刪除，拋出異常

一行代碼提升遷移性能

論文原址：https://arxiv.org/pdf/2003.12237.pdf開源地址：https://github.com/cuishuhao/BNM在發表在CVPR2020

利用相似幾何信息，做可泛化3D形狀分割模型

更具體的有以下三種典型的分割方案：FullyConvolutional-Like

這麼好用的開源計算器SpeedCrunch，沒有不嘗試一下的道理

介紹SpeedCrunch是一款高精度科學計算器，具有快速，鍵盤驅動的用戶界面。獲取方式在GitHub上搜索SpeedCrunch，就可以去到

分佈式緩存，真香

他是前易寶支付架構師、阿里雲MVP、騰訊雲

特徵工程的力量

在本文中，我希望教給您一些有關特徵工程的知識，以及如何使用它來對非線性決策邊界進行建模。為了說明這一點，假設恢復時間與身高和體重具有以下關係：Y=β₀+β₁+β2+β₃+noise從第三項來看，我們可以看到Y與身高和體重沒有線性關係。

java架構：天天寫面向接口編程，你考慮過性能嗎？大神都是這麼寫

public

SpringBoot如何優雅的使用RocketMQ

源碼編譯需要Maven3.2x，JDK8在根目錄進行打包:Copymvn-Prelease-all

css代碼規範工具stylelint

"mixin"