CVE-2013-3893 UAF Analysis

Intro

前段时间工作中一直在干一些乱七八糟的事情,重心基本都是在Android上,掐指一算大概也有几个月没在Windows上用过调试器了。昨天心血来潮分析了一下IE的CVE-2013-3893漏洞。

POC

POC来自这里,使用XP下的IE8作为调试对象:

More

稳定利用CVE-2012-4220的方法

CVE-2012-4220 原理分析中简单的描述了一下libdiagexploit存在的问题,经过实际的测试,android-rooting-tools使用libdiagexploit是没法将值修改正确的。下面给出一种修正的方案,经过测试可以在ZTE N798 (CT_CN_N798+V1.0.0B09)上获取到了Root权限。

注意事项

利用之前需要清楚这个漏洞的功能和限制。
1. 使用该漏洞可以向任意地址写入一个16位的值,范围是2~0xFFFF
2. 修改为特定值需要循环调用该漏洞直到delayed_rsp_id的值是目标值。 More

CVE-2012-4220 原理分析

漏洞信息

该漏洞的一些相关连接:
CodeAurora
NVD

上述连接中对该漏洞的描述:

漏洞分析

造成该漏洞的主要代码如下:

这代码两个问题:
1. 对于用户态传递的参数ioarg没有检验直接使用。传递一个无效指针即可造成拒绝服务。
2. 对delay_params中的rsp_ptr以及num_bytes_ptr两个用户态的指针仅做了非空判断就直接使用。传递无效指针可造成拒绝服务,传递其他地址可以造成任意地址写入攻击。 More

ARM和Thumb模式下的断点总结

脱壳或者调试SO的时候,需要在恰当的时机让进程停下来,以便于附加调试器到该进程上。被无视的壳虐待之后,总结出以下几种断点的方法。

死循环

ARM Mode
ARM Mode下每条指令长度为4个字节,对应跳转自身的Opcode是FE FF FF EA,对应的助记符是: More

某版本360加固保动态调试&DEX静态脱壳

Intro

360加固保是360针对Android app推出的加固服务。本文针对其DEX加密技术进行分析。

动态调试

动态调试过程略过。

文件结构&静态脱壳

这个版本的加固保中,加密后的DEX文件被附在了壳DEX的文件尾部,如图所示:
qihoo_dex_unpack
感谢QQ6.4提供的马赛克功能。

这块数据有个明显的文件头标志: More

Bluestacks配置不当引起的访问特定宿主机文件漏洞分析

Intro

BlueStacks是一个可以让Android应用程序运行在Windows系统上的模拟器/虚拟机。最近,偶然发现了Bluestacks上的一个漏洞,运行在Bluestacks中的Android应用程序,可以操作运行Bluestacks的宿主机上的特定文件夹。该漏洞成因是Bluestacks默认配置不当 More

某国产DEX加固原理

Intro

这个加固是来自国内某个公司的作品,虽然在强度不是太高,但思路却不错,很好的平衡了性能和保护效果。目前看来,分析的这个版本只是一个很初级的框架,如果再此之上进行更多的防护和保护,强度会更好。

加固效果

加固之后,其效果是DEX中某些函数被加上ACC_NATIVE标志,原始的DEX代码已经消失,使得反编译、二次打包等功能失效。而加固之后新增的Libt**.so则负责在运行的时候,还原那些被抽取的Dalvik虚拟机代码。 More