LLeaves Blog https://lleavesg.top// LLeaves的小窝 Sun, 10 May 2026 03:33:49 GMT https://validator.w3.org/feed/docs/rss2.html https://github.com/jpmonette/feed zh-CN All rights reserved 2026, LLeaves <![CDATA[CVE-2024-31317 Zygote命令注入提权system分析]]> https://lleavesg.top//article/CVE-2024-31317-Zygote https://lleavesg.top//article/CVE-2024-31317-Zygote Thu, 22 Aug 2024 00:00:00 GMT
 
 
0x00 漏洞说明1. Zygote2. 漏洞信息0x01 漏洞利用1. 攻击场景2. Android11-3. Android12+0x02 漏洞修复参考
 
💡
参考:https://rtx.meta.security/exploitation/2024/06/03/Android-Zygote-injection.html
https://mp.weixin.qq.com/s/PoGRFwUD736nkLocRGvP_g
特别鸣谢:s1nk
 

0x00 漏洞说明

首先回顾CVE-2024-0044漏洞,在Android 12和13中,存在一个安全漏洞,即通过pm install命令的-i标志设置的安装程序包名没有经过适当的校验和清理。这意味着攻击者可以利用特殊字符(如换行符和空格)来注入恶意数据,从而影响系统文件/data/system/packages.list的内容。之后可以通过伪造的条目欺骗run-as从而获得受害应用的权限,可以操作内部目录等。
然而,这种方法需要攻击者能够访问 ADB shell,这通常对攻击者来说是一个很高的门槛。为了降低这个门槛,尝试利用 Zygote进程,因为Zygote是另一个可以更改UID的进程。通过利用 Zygote 进程的这一特性,攻击者可以尝试模拟具有更高权限的应用程序,从而更容易地实现他们的目标。
于是就引出了该漏洞(编号CVE-2024-31317),该漏洞允许拥有WRITE_SECURE_SETTINGS权限的攻击者(该权限由ADB shell和某些特权应用持有)以任意应用的身份执行任意代码。通过这种方式,攻击者可以读取和写入任何应用的数据,更改大多数系统配置,取消注册或绕过移动设备管理等。这个漏洞的利用不涉及内存的破坏,这意味着它可以在几乎任何运行Android 9或更高版本的设备上不加修改地工作,并且在重启后仍然有效。
Zygote是 Android 系统中的一个重要进程,它在系统启动时创建,并负责预加载许多常用的类和资源,以便应用程序可以快速启动。与其他进程不同,Zygote 进程允许更改其用户 ID(UID),这使得它成为潜在的攻击目标。

1. Zygote

Zygote负责创建应用的主进程并设置该进程的身份。尽管只有system_server可以向Zygote发送命令,但这些命令的源头可以是普通应用,例如启动Activty或是Service等,这些普通的请求可以传递到system_server再传递到Zygotesystem_server收到一个尚未运行的应用的请求时,它通过告诉Zygote生成一个具有适当包名、数据目录、UID、SELinux域等的进程来启动该应用。
值得注意的是,系统服务器控制着像新应用UID这样的安全关键参数。Zygote可能因为其在启动序列中处在较早期的时期,并不会从Android包数据库中查询这些参数。这意味着如果我们能控制系统服务器发送的命令,就可以冒充任意应用。
Zygote作为守护进程运行,并在/dev/socket/zygote的UNIX流套接字上接受命令。流套接字不是面向消息的,因此Zygote的线协议必须定义一个命令结束和下一个命令开始的位置。它的实现非常简单:每个命令是UTF-8文本,由一个十进制数字和相应数量的参数组成,每个参数占一行。最后一个参数后的行开始下一个命令。
一个命令仅由一系列参数组成。与大多数命令协议不同,Zygote的协议没有“命令类型”的概念。默认情况下,每个命令都会生成一个新进程,参数指定该进程的详细信息。某些特殊参数会覆盖默认行为,使Zygote执行其他操作。
以下是一个典型的进程生成命令的示例(省略了许多参数以简洁)(括号中的文本是解释性的,不是协议的一部分)。然后是一个特殊的set API denylist exemptions命令。

2. 漏洞信息

在Android中发现的一个全局设置hidden_api_blacklist_exemptions ,其值会直接包含在Zygote命令中。system_server并不期望该设置包含换行符,因此既不会对其进行转义,也不会在命令的参数计数中标注它们。通过向该设置写入恶意值,攻击者可以在最后一个声明的参数之后插入自己选择的行。当Zygote看到这些行时,会将其视为一个单独的命令并执行。
漏洞的代码路径始于系统服务器中的一个ContentObserver回调,当hidden_api_blacklist_exemptions因任何原因发生变化时,该回调会被触发。从下面的代码中可以看出,将该设置的值通过逗号分隔后传入setApiDenylistExemptions ,但是并没有对其他符号进行处理。
setApiDenylistExemptions内部调用了maybeSetApiDenylistExemptions ,其中向 state.mZygoteOutputWriter 写入数据,该变量类型为BufferedWriter ,其缓存区大小为8192字节。

0x01 漏洞利用

 

1. 攻击场景

原文提供三种攻击场景
场景 1:权限提升
任何具有 android.permission.WRITE_SECURE_SETTINGS 权限的应用程序都可以写入 hidden_api_blacklist_exemptions 并触发漏洞。虽然 Android 将该权限的保护级别声明为 signature|privileged|development|role|installer,这意味着非特权应用无法请求该权限,但某些预装应用持有该权限。如果攻击者能够入侵这些预装应用之一,就可以利用这个漏洞进一步提升权限。
场景 2:ADB Shell
ADB shell 也可以读取和写入设置;它甚至有一个 settings 命令来简化这一操作。拥有物理访问权限的攻击者可以通过解锁设备来触发漏洞,或者用户可以在自己拥有的设备上绕过系统策略(例如 MDM 限制)来触发漏洞。
场景 3:签名配置
还有一种设置 hidden_api_blacklist_exemptions 的方法,这也是它存在的原因:任何应用(即使是即时应用)都可以在其清单中包含一对特殊的 <meta-data> 标签,其中包含:
  1. 要存储在 hidden_api_blacklist_exemptions 中的 Base64 编码值;
  1. 由硬编码的 Google 控制密钥对该值进行的 ECDSA 签名。
如果安装了这样的应用并且签名有效,Android 会立即应用该设置值,可能会触发漏洞。我们认为签名验证和周围的逻辑是正确实现的,因此可能只有 Google 自己能够通过这种方式利用设备。然而,大多数 Android 设备不是 Google 的一方设备,这个漏洞可能会使 Google 对这些设备的访问权限比 OEM 和用户预期的更大。值得注意的是,CTS 要求接受 Google 签名的元数据,这意味着即使 OEM 想要移除这种利用路径也无法做到。
 

2. Android11-

在Android 11及以下版本中,利用漏洞的过程相对简单。假设在shell用户下进行利用,只需要通过settings命令设置属性即可,其中payload.txt 是上传到/data/local/tmp 中的文本。
其中payload.txt的内容解释为:其开始有5个换行,之后的8代表后续有8个参数,关键是--invoke-with 后面跟着需要执行的命令,并且注意到在结束有# 符号,用于注释掉后续的命令,后面分析这部分内容的解析时会提到。(为了便于测试,后面的命令执行内容可以替换为/system/bin/logwrapper echo zYg0te $(id) 然后通过logcat即可知道是否利用成功)
当这部分内容通过settings设置后会被setApiDenylistExemptions 解析为五部分
并且进一步在头部添加两个字段 ,分别是参数数量6--set-api-denylist-exemptions传入zygotesocket中,最终传入到zygote socket中的数据其实是,而其中的换行符会被zygote直接忽略,所以造成了命令注入。设置后需要打开任意App以触发zygote的读取解析操作,从而执行注入的命令。在注入之后打开任何App都会失败,只需要重新设置hidden_api_blacklist_exemptionsnull 即可
以及为什么最后一个entry不是空的:Note that the last delay entry isn’t empty like the rest. That’s to work around the fact that Java’s String.split() function, used by System Server to parse the setting value, discards trailing empty strings.
notion image
然后分析--invoke-with 的解析部分可以发现其实就是拼接了一些命令来创建新的进程,如果使用井号注释即可避免后面命令的执行,以避免异常情况的产生。
同理也可以伪造蓝牙用户,读取其中的数据文件
notion image
 
反弹shell
在反弹shell这里遇到了一些问题,在常规情况下可以使用管道的方式去实现安卓环境下的反弹shell,但是很不幸,由于SELinux的限制无法创建管道pipe文件。除此之外还尝试直接写入可执行文件执行,但是也被SELinux拒绝了,因为system写入文件时写入的对象是system_file 类型,不具备执行权限。直到京东flanker发了公众号文章后发现还是大佬玩的骚,直接装一个新的App,在新App的lib目录中放置一个可执行的二进制文件,在安装时会释放到/data/app/xxx/xxx/lib/arm64目录下,此时这个可执行文件的对象类型是apk_data_file 可以被执行,system用户可直接访问这个目录下的内容并且执行,从而实现反弹shell
notion image
还有很多骚操作可以看flanker大佬的公众号文章,这里不再赘述。

3. Android12+

下面的内容翻译自原文
然而,在Android 12中,Google增强了Zygote的Java命令解析器,增加了一个快速路径的C++解析器,并通过一个新的类NativeCommandBuffer从套接字读取数据,使得这个漏洞更难利用,不是因为其架构,而是因为一个bug。readLine()方法从套接字读取字节,将字节填充到本地缓冲区,然后从缓冲区中提取行,并在必要时重新填充缓冲区。但在解析完所有命令行后,Zygote会丢弃缓冲区中剩余的字节,并从套接字读取下一个命令。这种行为导致了三个问题:
  1. 如果客户端连续写入两个命令,而Zygote还没来得及读取,Zygote会忽略第二个命令。
  1. 如果客户端写入一个半命令(例如,因为第二个命令需要多次write调用),Zygote会忽略第二个命令的开始部分,并将其结尾部分解析为新的命令,这本身就是一个安全漏洞。然而,系统服务器(Zygote的唯一客户端)从不一次写入多个命令,因此这种情况(以及前一种情况)在实践中不会发生。
尽管有这个障碍,我们仍然可以在Android 12+上利用这个漏洞!我们需要的是一种方法来避免我们的恶意命令被Zygote的第一次read调用读取。我们最初尝试通过延长payload来超过Zygote传递给read的缓冲区长度限制,但不幸的是,完全填满其缓冲区(在Android 13中扩展到32768字节),Zygote会中止。
因此,我们只能寻找时机:我们可以假设Zygote大部分时间都被阻塞在read,这意味着我们进行的任何写入都可能触发一个立即的短读取,即使我们在第一次read不久后就进行另一次写入。
  • BufferedWritermaybeSetApiDenylistExemptions() 方法多次调用 state.mZygoteOutputWriter.write()mZygoteOutputWriter 是一个 BufferedWriter,它在写入到底层传输之前会在内部缓冲区中聚合写入操作。
  • 缓冲区大小BufferedWriter 的缓冲区大小为 8192 字节,比 Zygote 的缓冲区小。这提供了一种方法,可以在两次套接字写入之间产生适当的延迟。
所以原文给出的解决方案是:
  1. 通过将 System Server 的命令填充到正好 8192 字节,然后插入恶意命令,强制 BufferedWriter 先写入这 8192 字节。Zygote 会忽略填充部分,但不会忽略新到达的恶意命令,因为它会在一个单独的 read() 调用中到达。
  1. 增加延迟:在设置值的末尾插入大量逗号,使 maybeSetApiDenylistExemptions() 在第一次写入后但在第二次写入前花费时间循环。这些逗号还增加了合法命令的参数数量,但只要确保前 8192 字节包含足够多的换行符号。
Payload如下,需要将执行结果设置为hidden_api_blacklist_exemptions
经过反复实验发现确实如文中所提到的,必须首先填满8192字节的mZygoteOutputWriter ,然后等待flush 再次写入,这个过程中需要填充大量逗号(需要添加等量的换行符)来使其在maybeSetApiDenylistExemptions中间的循环过程中耗费时间,从而使得Zygote读取端在这个过程中完成了之前写入的8192字节内容的读取,此时read阻塞,等待下一次的输入。
下一次的读取从构造好的恶意参数开始,即第一个字节就是恶意命令参数的数目
notion image
 
这里还有一个payload维持的问题,直接粘贴原文,意思就是使注入的命令参数数目超过在scoket中末尾写入的换行数量,强制Zygote 解析额外的东西,以一直保持恶意命令的注入并且不影响设备正常运行,但是在原文提出的概念POC中并没有关于这部分的说明。但是我试了很多改法(比如下面的这种改法),都没成功维持,但是由于不会导致设备crash并且能够成功利用,所以暂且搁置。
A successful exploit degrades or prevents subsequent process launches until a reboot. That’s because the injected Zygote command outputs extra result bytes that System Server doesn’t consume. System Server uses a single connection to Zygote for all non-USAP commands, so those bytes stick around until it tries to spawn another process, at which point it reads them instead of that process’s PID. System Server won’t bind a process without record of its PID, and processes that fail to bind get killed.
We avoided this issue on Android 12+ by slightly modifying our exploit: we declared an argument count for our injected command that exceeded the number of newlines in our final socket write, which forced Zygote to perform an additional socket read while parsing it. That read ate whatever command happened to follow ours (overwhelmingly likely to be a process spawn) and prevented Zygote from executing it. Our malicious command in effect replaced that legitimate command, and System Server consumed its PID (actually our PID) as normal, allowing subsequent PIDs to remain in sync.
This modification also made persistence feasible, as the setting can retain its malicious value across reboots without disrupting the boot process.
 

0x02 漏洞修复

直接改了HiddenApiSettings.update() 添加了对非法字符的过滤,除此之外还添加了在处理进程启动时的非法字符null 过滤。
Refuse to deal with newlines and null characters in HiddenApiSettings.update(). Also disallow nulls in process start arguments.
notion image
 
但是同样的,漏洞发现者认为着治标不治本,给出了建议
Today’s patch does not address the architectural weaknesses we identified, like Zygote’s use of a hand-rolled stream protocol or ZygoteProcess’s lack of a reusable function to safely serialize commands, as those entail bigger changes and are not directly exploitable. Google has has communicated that they’re considering such changes going forwards, though.
 

参考

  1. https://rtx.meta.security/exploitation/2024/06/03/Android-Zygote-injection.html
  1. https://mp.weixin.qq.com/s/PoGRFwUD736nkLocRGvP_g
 
]]> <![CDATA[Android Data Encryption-从百草园Patch到三味书屋]]> https://lleavesg.top//article/Android-Data-Encryption https://lleavesg.top//article/Android-Data-Encryption Wed, 10 Jul 2024 00:00:00 GMT
 
0x01 文件级加密FBE(File-Based Encryption)1. 概念2. 应用处理3.更新处理4. 存储类别和密钥存储0x02 TrustZone与CE密钥的派生1. TrustZone 2. CE密钥派生流程#身份验证#CE密钥派生完整流程和相关文件#使用 Gatekeeper 进行身份验证#合成密码Synthetic Password0x03 漏洞利用1. 设备2. 利用过程3. Patch PreLoader4. Patching LK5. Patching TEEGRIS#TEEGRIS以及修补方案概述#Trust Applet(TA)修补#TrustZone ARchive(TZAR)修补#Trusted execution environment1 (tee1)修补6. Patching Gatekeeper7. Patch Android boot#Magisk boot设备外修补#开机自启adb shell#默认允许root权限授权#TA的动态挂载8. 利用脚本和结果0x0X 参考
 
💡
本文的完整思路来源与Quarkslab的文章及其汇报,再次表达对http://twitter.com/DamianoMelottihttp://twitter.com/max_r_b出色工作的感谢!博客可能存在错误,恳请大佬们留言指正,以防误人子弟。
 
The complete source of ideas for this article is extremely reported with Quarkslab's article, expressing once again the interest in http://twitter.com/DamianoMelotti and http://twitter.com/max_r_b

0x01 文件级加密FBE(File-Based Encryption)

 

1. 概念

notion image
在设备重启后且并未输入密码解锁设备时文件时加密的,ls -al /data/data 能够发现文件夹名称均为加密的并且文件不可读取。
notion image
notion image
💡
为了安全地使用 AOSP 的 FBE 实现,设备需要满足以下依赖关系:
  • 对 Ext4 加密或 F2FS 加密的内核支持
  • 基于 1.0 或更高版本 HAL 的 Keymaster 支持。不支持 Keymaster 0.3,因为它既不提供必要的功能,也不能保证为加密密钥提供充分保护。
  • 必须在可信执行环境 (TEE) 中实现 Keymaster/Keystore 和 Gatekeeper,以便为 DE 密钥提供保护,从而使未经授权的操作系统(刷写到设备上的定制操作系统)无法直接请求 DE 密钥。
  • 硬件信任根启动时验证需要绑定到 Keymaster 初始化进程,以确保未经授权的操作系统无法获取 DE 密钥。
凭据加密(Credential Encrypted, CE)存储空间和设备加密(Device Encrypted, DE)存储空间是Android设备上用于保护用户数据安全的两种加密存储方式。它们的主要区别在于数据可访问性的时机:
  1. 凭据加密(CE)存储空间:这种加密方式设计用来保护那些需要设备被用户解锁后才能访问的敏感数据。只有在用户输入正确的解锁凭据(如密码、PIN码或图案)后,加密的数据才会被解密并变得可访问,例如/data/data目录下内容即为凭据加密(CE)存储空间。这意味着,如果设备未解锁,即使攻击者物理获取了设备,也无法访问这部分加密的数据。这也就解释了为什么/data/data 在重启未解锁的情况下是无法访问的。
  1. 设备加密(DE)存储空间:DE存储空间的数据在设备启动时就被解密,因此在直接启动模式(Direct Boot mode)期间,即使设备还没有被用户解锁,这部分数据也是可访问的。这允许某些基本功能和应用(如闹钟、电话接收和紧急呼叫)在用户未解锁设备的情况下正常工作。然而,这也意味着这部分数据的安全性相对较低,因为它们在设备启动后即可访问。

2. 应用处理

为了实现系统应用的快速迁移,新增了两个可在应用级别设置的属性。defaultToDeviceProtectedStorage 属性仅适用于系统应用,directBootAware 属性则适用于所有应用。
应用级别的 directBootAware 属性的含义是将相应应用中的所有组件均标记为加密感知型组件。
defaultToDeviceProtectedStorage 属性用于将默认的应用存储位置重定向到 DE 存储空间(而非 CE 存储空间)。使用此标记的系统应用必须仔细审核存储在默认位置的所有数据,并将敏感数据的路径更改为使用 CE 存储空间。使用此选项的设备制造商应仔细检查要存储的数据,以确保其中不含任何个人信息。
在这种模式下运行时,以下系统 API 可在需要时用于明确管理由 CE 存储空间支持的 Context(这些 API 与设备保护存储空间适用的同类 API 相对应)。
  • Context.createCredentialProtectedStorageContext()
  • Context.isCredentialProtectedStorage()

3.更新处理

恢复分区无法访问 userdata 分区中采用 DE 保护的存储空间。强烈建议实现 FBE 的设备使用 A/B 系统更新来支持 OTA 机制。由于可以在正常操作期间安装 OTA 更新,因此恢复分区无需访问已加密存储卷中的数据。
如果使用旧版 OTA 解决方案(该解决方案要求恢复分区访问 userdata 分区中的 OTA 文件),则需要执行以下操作:
  1. 在 userdata 分区中创建一个顶级目录(例如 misc_ne)。
  1. 将该顶级目录配置为非加密(请参阅排除目录)。
  1. 在顶级目录中创建一个用于存放 OTA 更新包的目录。
  1. 添加 SELinux 规则和文件环境,以便控制对该目录及其内容的访问。应当只有接收 OTA 更新的进程或应用能够对该目录进行读取和写入操作。任何其他应用或进程都不应具有访问该目录的权限。

4. 存储类别和密钥存储

notion image
 
notion image
如上表所示,大多数 FBE 密钥都存储在由另一个 FBE 密钥加密的目录中。只有先解锁包含这些密钥的存储类别,才能解锁这些密钥。
此外,vold 还会对所有 FBE 密钥应用一层加密。除了用于内部存储设备的 CE 密钥之外,每个密钥都使用自己的 Keystore 密钥(该密钥不在 TEE 外部公开)以 AES-256-GCM 加密。这样一来,除非受信任的操作系统已启动(正如启动时验证所强制执行的那样),否则便无法解锁 FBE 密钥此外,Keystore 密钥还需要设置抗回滚,以便在 Keymaster 支持抗回滚的设备上也能安全地删除 FBE 密钥。为了在抗回滚不可用时能够尽力回退,系统使用存储在与密钥一起存储的 secdiscardable 文件中的 16384 个随机字节的 SHA-512 哈希作为 Keystore 密钥的应用 ID 标记。只有将这些字节全部恢复,才能恢复 FBE 密钥。
用于内部存储设备的 CE 密钥将获得更高级别的保护,以确保在未掌握用户的锁屏知识因素 (LSKF)(PIN 码、图案或密码)、安全密码重置令牌重新启动时恢复操作的客户端密钥及服务器端密钥的情况下,CE 密钥无法解锁。只允许为工作资料完全受管设备创建密码重置令牌。
为此,vold 会使用从用户的合成密码派生的 AES-256-GCM 密钥加密每个用于内部存储设备的 CE 密钥。合成密码是为每个用户随机生成的不可变的高熵加密密钥。system_server 中的 LockSettingsService 用于管理合成密码及其保护方式。
为了使用 LSKF 保护合成密码,LockSettingsService 首先会扩展 LSKF(方法是通过 scrypt 传递 LSKF,目标时间约为 25 毫秒且内存用量约为 2 MiB)。由于 LSKF 通常较短,因此该步骤通常无法提供多少安全性。主要的安全保障是下文所述的安全元件 (SE) 或由 TEE 强制执行的速率限制。
如果设备具有安全元件 (SE),则 LockSettingsService 使用 Weaver HAL 将经过扩展的 LSKF 映射到存储在 SE 中的高熵随机密钥。然后,LockSettingsService 将对合成密码进行两次加密:第一次使用从经过扩展的 LSKF 和 Weaver 密钥派生的软件密钥,第二次使用未经身份验证绑定的 Keystore 密钥。这样即可对 LSKF 猜测施加 SE 强制速率限制。
如果设备没有 SE,则 LockSettingsService 会改为使用经过扩展的 LSKF 作为 Gatekeeper 密码。然后,LockSettingsService 将对合成密码进行两次加密:第一次使用从经过扩展的 LSKF 和 secdiscardable 文件的哈希派生的软件密钥,第二次使用经过身份验证绑定至 Gatekeeper 注册的 Keystore 密钥。这样即可对 LSKF 猜测施加 TEE 强制速率限制。
更改 LSKF 后,LockSettingsService 会删除与合成密码和旧 LSKF 的绑定相关的所有信息。在支持 Weaver 或可抗回滚的 Keystore 密钥的设备上,这样做可以保证安全地删除旧绑定。因此,即使用户没有 LSKF,系统也会应用此处所述的保护措施。
FBE 适用于搭载 Android 9.0 或更高版本和 Knox 3.3 或更高版本的所有三星 Galaxy 设备,可保护用户数据 分区中的文件。每个文件均使用AES-256-XTS单独加密,并使用从主密钥派生的唯一文件加密密钥。在 FBE 中,主密钥由基于 TEE 的 Keymaster 组件随机生成和保护,类似于 FDE 实现。
 

0x02 TrustZone与CE密钥的派生

1. TrustZone

TrustZone是ARM针对消费电子设备设计的一种硬件架构,其目的是为消费电子产品构建一个安全框架来抵御各种可能的攻击。
notion image
TrustZone在概念上将SoC的硬件和软件资源划分为安全(Secure World)和非安全(Normal World)两个世界,所有需要保密的操作在安全世界执行(如指纹识别、密码处理、数据加解密、安全认证等),其余操作在非安全世界执行(如用户操作系统、各种应用程序等),安全世界和非安全世界通过一个名为Monitor Mode的模式进行转换
处理器架构上,TrustZone将每个物理核虚拟为两个核,一个非安全核(Non-secure Core, NS Core),运行非安全世界的代码;和另一个安全核(Secure Core),运行安全世界的代码。
两个虚拟的核以基于时间片的方式运行,根据需要实时占用物理核,并通过Monitor Mode在安全世界和非安全世界之间切换,类似同一CPU下的多应用程序环境,不同的是多应用程序环境下操作系统实现的是进程间切换,而Trustzone下的Monitor Mode实现了同一CPU上两个操作系统间的切换。
notion image
 
以三星设备为例
  1. Samsung Knox:这是三星的一套安全解决方案,包括受信任的组件和普通世界的应用程序组件,如Android应用和库。Knox旨在提供一个小而安全的执行环境,即受信任的计算基础(TCB)。
  1. TEEgris:这是三星在一些基于Exynos的设备上提供的受信任操作系统TEE。在过去,三星曾使用Kinibi作为不同的受信任操作系统,该系统已经成为安全研究的主题。即使是三星的模型也可能搭载高通的SoC和其自己的受信任操作系统QSEE。TEEgris组成部分包括内核、TA和驱动程序。其中内核运行在S-EL1,TA运行在S-EL0。
虽然完全隔离的环境非常安全,但为了实际使用,它需要与 Android 中运行的其他不受信任的组件进行通信。REE 和 TEE 之间的通信是使用名为Secure Monitor CallSMC)的专用指令触发的。当 EL > 0 时,两个世界都可以调用此指令,这意味着 Android 应用程序无法直接发起与安全 TEE 的通信。通常情况下,Linux 内核充当代理并公开驱动程序,应用程序可以使用该驱动程序与 TEE 进行交互。这种设计的优势在于,可以应用访问限制策略(例如使用 SELinux)来访问驱动程序,以便只有一部分应用程序可以与 TEE 通信,从而限制攻击面。
notion image
 
 

2. CE密钥派生流程

 

#身份验证

首先关注Android身份验证的宏观流程。
https://source.android.com/docs/security/features/authentication?hl=zh-cn
notion image
  1. 用户提供身份验证方法,然后关联的服务向关联的守护程序发出请求。
      • 对于 PIN 码、解锁图案或密码,LockSettingsService 会向 gatekeeperd 发出请求。
      • 基于生物识别技术的身份验证流程取决于 Android 版本。在搭载 Android 8.x 及更低版本的设备上,FingerprintService 会向 fingerprintd 发出请求。在搭载 Android 9 及更高版本的设备上,BiometricPrompt 会使用合适的 BiometricManager 类(如 FingerprintManager 或 FaceManager)向相应的生物识别守护程序发出请求(例如,若是指纹识别身份验证,则向 fingerprintd 发出请求;若是人脸识别身份验证,则向 faced 发出请求)。无论什么版本,生物识别身份验证都会在请求发出后异步进行。
  1. 守护程序将数据发至其副本,后者生成 AuthToken:
      • 对于 PIN 码/解锁图案/密码身份验证,gatekeeperd 将 PIN 码、解锁图案或密码哈希发送到 TEE 中的 Gatekeeper。如果 TEE 中的身份验证成功,TEE 中的 Gatekeeper 会将包含相应用户 SID(已使用 AuthToken HMAC 密钥签名)的 AuthToken 发送到它在 Android 操作系统中的副本。
      • 对于指纹识别身份验证,fingerprintd 会监听指纹事件并将数据发送到 TEE 中的 Fingerprint。如果 TEE 中的身份验证成功,TEE 中的 Fingerprint 会将 AuthToken(已使用 AuthToken HMAC 密钥签名)发送到它在 Android 操作系统中的副本。
      • 对于其他生物识别身份验证,相应的生物识别守护程序会监听生物识别事件,并将其发送到相应的生物识别 TEE 组件。
  1. 守护程序收到经过签名的 AuthToken,并通过密钥库服务 Binder 接口的扩展程序将 AuthToken 传递给密钥库服务。(gatekeeperd 还会在设备被重新锁定以及设备密码发生变化时通知密钥库服务。)
  1. 密钥库服务将 AuthToken 传递给 Keymaster,并使用与 Gatekeeper 和支持的生物识别 TEE 组件共用的密钥来验证这些 AuthToken。Keymaster 会将令牌中的时间戳视为最后一次身份验证的时间,并根据该时间戳做出密钥发布决定(以允许应用使用相应密钥)。
为了确保在各种语言和组件之间实现令牌的共用和兼容,hw_auth_token.h 中规定了 AuthToken 的格式。
 
💡
总结: 当用户凭据从ROS传递到TEE中,TEE 内部做真正的比对成功后,TEE 组件会用一把在 TEE 内共享的 HMAC 密钥对 AuthToken 签名,然后把这个 AuthToken(含 SID、时间戳等)返回到 Android OS 对应守护进程。SID 是用户在 TEE 世界的“安全身份”,AuthToken 是带签名的“这次确实通过了的凭据票据”,Keymaster据此放行或拒绝密钥操作;若没有旧凭据就改密,会换 SID,从而与旧密钥“断绝亲缘”。注意:设备重新启动后,AuthToken 即作废。
 

#CE密钥派生完整流程和相关文件

上面解释了Android身份验证的宏观流程,但是还有很多问题没有解决,比如在TEE中是如何对比的?返回authToken到Android OS后的流程又是什么?仅仅在TEE侧校验通过就完成了设备的解锁吗?
首先回答最后一个问题,在获得AuthToken后就意味着设备解锁了吗,当然不是这样的。上文提到了用户数据在FBE机制下会被加密,而设备解锁就是解开用户数据的一把钥匙,在用户输入了正确的密钥的那一刻不仅仅进入了桌面,还完成了用户数据的解锁,否则那么多App就无法使用了,所以就涉及到了用户数据解密的流程,那么就从CE密钥派生的完整流程谈起。
 
使用TrustZone 进行CE密钥派生的完整过程如下(以非生物特征解密为例),流程很复杂所以拆分几个部分进行说明。
  • 使用 Gatekeeper 进行身份验证
  • 生成合成密码Synthetic Password
 
notion image
 
/data/system_de/0/spblob 目录是 Synthetic Password(合成密码)持久化仓,放在设备加密(DE)空间里。它必须在用户未解锁前就能被访问到,所以存放在 system_de 而不是 system_ce/CE,下面的文件有三个比较重要,分别是<handle>.pwd <handle>.secdis 以及<handle>.spblob
 
  • <handle>.pwd 存储了进行scrypt哈希的N R P以及salt值,除此之外还存储了注册时生成的密钥handle ,其计算方式是HMAC(SHA512("user-gk-authentication" || scrypt(credentials, N, R, P, salt)) ,在gatekeeper进行密钥校验时会读取改handle进行比较。但是需要注意这里的HMAC并未常规的,而是使用依赖于/dev/cryptoKDF实现,由于是硬件相关的,其复杂程度使得爆破handle变得不现实。
  • <handle>.secdis 是密钥注册时随机生成的一组值,用于加密和解密凭据<handle>.spblob
  • <handle>.spblob 存储了合成密码Synthetic Password的两次AES的加密结果,只要获取合成密码就可以获取CE密钥。
notion image
 

#使用 Gatekeeper 进行身份验证

首先需要明确Gatekeeper 是如何进行凭据注册和验证的。
Gatekeeper是TEE(受信任执行环境)中的一个受信任应用程序(TA,在验证用户凭证以进行身份验证方面发挥着关键作用。它通过与相应的Android守护进程和硬件抽象层(HAL)通信来实现这一点。需要注意的是,Gatekeeper仅涉及通过PIN、密码或图案进行的身份验证,而其他TA用于支持生物识别技术。然而,在设备启动时用户首次进行身份验证时,不能使用生物识别技术,这与数据加密直接相关。
Gatekeeper实现了两个概念上简单的命令:Enroll(注册)和Verify(验证)。
  • Enroll:当用户首次设置认证因素或更改时通常会调用此命令。该命令根据注册时的密码凭据创建blob并对其进行签名,并将其转换为密码句柄<handle>.pwd。具体的流程是首先使用scrypt进行扩展,然后与散列字符串组合HMAC(SHA512("user-gk-authentication" || scrypt(credentials, N, R, P, salt))
  • Verify:当用户尝试进行身份验证时调用此命令,它验证当前身份验证尝试的密码是否有效。它通过计算HMAC并将其与原始密码句柄进行比较来实现。
这里其实回答了上面三联问中的第一个问题,即校验是怎么实现的
💡
Scrypt是一个密钥派生函数,需要大量内存,用于减缓自定义硬件攻击。其参数与凭证的盐一起存储在文件中。这个非常简单的步骤对每次身份验证尝试造成的延迟可以忽略不计,但对需要多次进行此操作的攻击者来说,却大大减缓了速度。
 
下图截取自上面流程图的左上角,其包含了Gatekeeper 的验证和applicationId的生成。最左侧的credentials是用户输入的凭据,Gatekeeper 读取<handle>.pwd 中的参数后计算token并进行两次散列,与原本存储在<handle>.pwd中的散列结果比较,如果一致说明身份验证成功,不一致则校验失败,不进行后续的操作。将token<handle>.secdis 中的内容做哈希后得到applicationId ,这个值是随着用户输入的凭据变化而变化的。
notion image
💡
AuthToken和这里的Token不是一个东西 上图的token是scrypt(credentials, N, R, P, salt)得到的结果,计算出的token会在两次哈希后得到handle并与存储在pwd文件中注册时生成的哈希进行校验HMAC(SHA512("user-gk-authentication" || token))是否等于写在pwd文件中注册时生成的handle),以此判断用户输入凭据是否是正确的,如果正确会根据次token生成applicationId,并且只有校验正确的情况下TEE才会返回一个AuthToken表明校验通过,用于解锁在KeyStore中的一个密钥,这个AuthToken仅仅是一种凭证,而不是用户输入凭据的哈希。
notion image
总结就是 authtoken不会随着用户输入的变化而变化,而token会。authToken仅是校验过程中产生的一种凭证,如果校验失败不会产生此凭证。所以如果想要爆破密码关注的不应该是authToken,而是对用户凭据做运算后的token或哈希后的handle,或由其计算得到的applicationId。
 
这里的 || 操作是personalised_hash 的意思。也就是“带上下文标签的哈希”(也叫域分离的哈希)。它把一段固定的个性化字符串(personalization)当作“命名空间/上下文”,与要哈希的数据一起送进 SHA-512,这样同一份原始材料在不同用途下会得到完全不同的哈希结果,避免密钥用途混淆与交叉攻击。例如先把 personalization(如 "fbe-key", "pw-hash", "secdiscardable-transform" 等)填充到 128 字节;先喂入这段 personalization,再依次喂入后续数据,做 SHA-512
notion image
这里还有一些细节需要了解。如果身份验证成功,Gatekeeper会创建一个认证令牌(authtoken)。这是一个标准格式的签名令牌,旨在防止重放攻击,其实就是上面提到的AuthToken。该令牌证明用户已经通过身份验证,并需要发送给Keymaster TA以解锁绑定认证的密钥,因为这个密钥是存储在Keystore中的SecretKey,在一般情况下无法通过其他手段读取,后面会再次提到。如果身份验证尝试失败,Gatekeeper的节流机制将启动,使得暴力破解变得不可能。
notion image
这部分对应在/system/framework/services.jar中的实现如下
首先是unwrapPasswordBasedSyntheticPassword 中将输入的credential 传递给gatekeeper 校验,如果校验成功则transformUnderSecdiscardable 生成applicationId
transformUnderSecdiscardable 实现就是流程图中靠右的部分,第二个参数为/data/system_de/0/<handle>.secdis 文件内容,第一个参数pwdToken 是通过computePasswordToken 计算得到的
由此可见,上面的整个流程都是可以离线计算的,所以假设如果能获取到这些密钥相关文件,就可以通过任意的输入密码计算applicationId

#合成密码Synthetic Password

notion image
一旦用户通过身份验证,系统就会获得一个有效的applicationId。这需要经过几个步骤,才能真正成为 CE 密钥。首先就需要生成一个合成密码Synthetic Password,但是得到该密码后仍需执行一些其他步骤。重点关注Synthetic Password的生成
合成密码存储在 Android 文件系统中,必须使用两个不同的密钥解密。
  • 第一个是存储在Android Keystore中的常规密钥,受 TEE 保护并与身份验证绑定。由于这些密钥永远不会离开 TEE,因此它们以加密形式存储,需要在 Keymaster TA 内解密,即在上面提到的,只有在Gatekeeper校验成功后才会解密
  • 完成第一次解密(在 TEE 中)后,将使用applicationId 的散列值作为密钥再次解密中间值。此处的 AES 是使用GCM 模式完成的:如果密钥出现问题,会因MAC标签不匹配而失败导致异常,利用这一特性就可以进行密钥爆破。
相关的源码实现如下
decryptBlobDEFAULT_KEYSTORE 获取一个SecretKey ,而这个keyAlias 其实就是synthetic_password_<handle> 该key值无法直接获取,必须Gatekeeper校验成功后才会解密并且由system_server获取。之后进行两次decrypt
第一次的密钥是decryptionKey固定的,也就是前面提到的SecretKey 的值,两次解密的iv都是<handle>.spblob的前12个字节
第二次的密钥是applicationId 经过personalisedHash 后的哈希值,解密的密文是第一次解密的结果intermediate
可以发现这整个环节中,第一次解密的密钥是无法获取的,必须Gatekeeper校验通过才会由KeyMaster解密,那就导致无法离线计算。从而保证了密钥的安全性。为了能够绕过这一限制,有两个解决方案:
  • 修改KeyMaster 使攻击者能获取到第一次解密的密钥
  • 修改Gatekeeper 使其校验永远成功,永远返回token,这样KeyMaster 也会解密密钥,只需要在第一次解密后Hook即可获取到第一次解密后的密文,进而完全解密。
这里选择第二种方案,但是无论是采取哪一种方案,攻击的前提是必须要获取这些密钥相关文件,那么设备就必须要root,除此之外还需要具备修补可信应用的能力。

0x03 漏洞利用

1. 设备

该设备关机状态下同时按住上下音量后插入usb数据线进入下载模式。
关机状态下同时按音量上+电源长按启动,到看到第一个logo后放手到rec模式。
notion image
使用MTKClient 工具,首先启动脚本等待设备连接,这里直接使用Ubuntu 22.04系统,Windows系统可能存在各种各样的问题。然后短接背板上的两个测试点进入强刷模式(BROM),MTKClient 检测到设备并且进行指定操作。
notion image
notion image
 

2. 利用过程

首先是Android的启动过程如下
notion image
实现了ATF(Arm Trust Firmware)的启动过程如下
notion image
为了发起攻击,我们需要修补以下组件:
  • PreLoaderPreLoader介于boot rombootloader之间的桥梁,主要工作是初始化环境,包括c环境,timer,gpio,pmic,uart,i2c等以及装载lk镜像至DRAM中,建立起最基本的运行环境,最重要的就是初始化DRAM。因为要修改后面的镜像,所以需要现修补PreLoader 以绕过对LK等的镜像校验检查。
  • the next bootloader BL3,称为 Little Kernel(简称 LK),作为一个小型内核(SMP-aware),提供线程/调度等最小运行环境;作为引导器,完成硬件早期初始化、启动模式选择(正常/Recovery/Fastboot)、加载并跳转内核等。因为想要启动修改后的 Android boot.img,所以需要在这个阶段禁用 Android 安全启动的一系列检查
  • Android系统的boot镜像,授予 root权限,并设置动态挂载,为替换TA做准备。
  • TEEGRIS,作为三星某些设备的TEE,需要修改内核以用于禁用受信任应用程序的验证,还需要修改其内部的TA,通过动态挂载能够实现这一目标。
而真正的攻击入口是Boot ROM,通过利用联发科芯片的BROM漏洞从最底层开始攻击,逐层向上攻击,以突破安全边界。
notion image
 

3. Patch PreLoader

通过mtkclient提取PreLoader ,然后查看mtkclient 是如何解析PreLoader 二进制的结构,发现其jump_offset0x30:0x34 的四字节,daaddr0x1C:0x20 的四字节加上jump_offset
notion image
IDA加载时加载地址设为0x201000,文件偏移设为0xF0 ,同时同步上下两个size ,在入口处按c将会自动开始分析,过程和下面LK的加载一致,可以看下面。
在Patch LK镜像时输入发现无法开机,但是又没有日志,去查资料才发现,联发科的芯片可以直接dump expdb分区获取日志信息。这里还是使用mtkclientdump,问题似乎出在sbc校验,但是通过修改lk中相关字符串,发现这个报错不在这里,而是在preloader,所以才需要去patch preloader 绕过相关校验。
notion image
patch sbc_img_auth 以绕过对lk镜像的校验,避免无法开机的情况
notion image
notion image
使用patch后的二进制启动设备,发现能够成功出现三星log 说明绕过了lk镜像校验,之后启动设备都需要使用补丁后的preloader来启动
 

4. Patching LK

首先需要说明IDA如何正确加载LK 镜像并进行分析
💡
IDA如何正确加载LK 镜像并进行分析
首先LK位于BL_xxxx.tar 解压得到lk-verified.img.lz4 再次解压得到img 。为了能让IDA正确的加载img并进行分析必须获取的值
  • ROM Start Address/Loading Address对应LK镜像而言,0x002C偏移位置是镜像的加载地址,在这里为0xFFFFFFFF ,即为-1,所以是无效的地址,这是因为新的联发科镜像不会从这里选取地址加载,直接搜索10 FF 2F E1 十六进制字节,跳过其后四个字节,再取四字节即为Loading Address ,这里小端序,所以加载地址即为0x4C400000
      • notion image
  • File Offset联发科的所有分区镜像都有0x200字节的头部,从0x200开始为可执行的部分。
      • notion image
 
IDA 32bit打开后选择ARM小端序架构,然后填写参数信息,其中Loading size会根据填入的值自动调整,调整完成后将其复制到ROM size 保持同步即可。
notion image
代码从文件偏移量0x200 开始,但 IDA 不知道它是入口点。在IDA-View A中单击行DCB 7at ROM:4C400000。将光标移到那里后,按键盘上的[C] 。之后IDA会自动分析出更多内容。
之前查找的4字节特征即为BX R0指令,可以发现在后面8字节即为ROM加载的地址
notion image
 
  • patch在load_and_verify_vbmeta中的avb_safe_memcmp 绕过LK镜像的Hash校验
      • notion image
      notion image
      包括patch sub_4C4A61B4内部的avb_safe_memcmp
      notion image
      patch avb_slot_verify 中的avb_memcmpvbmate的哈希校验
      notion image
      patch load_and_verify_vbmeta中的另一处avb_safe_memcmp
      notion image
  • patch调用show_dm_verity_error 的位置,否则会出现dm_verity 错误并且在5s后关机。
      • notion image
  • patch get_efuse_blow_status ,使其返回0,以使上面检测保险丝熔断状态时返回正常的状态。
      • notion image
  • patch do_decision 中的三个内容,保证其返回值为0,且不会出现关机的情况
      • notion image
  • patch avb校验时的逻辑,NOP掉一个跳转
      • notion image
  • patch擦除数据的函数,防止意外清除用户数据(例如在测试解锁时会自动调用擦除数据的函数)
      • notion image
  • patch is_sbc 返回0以绕过sbc检查
      • notion image
  • patch set_warrant_bit 使其返回0
      • notion image
 
  • patch 其他镜像的sha256校验
      • notion image
      notion image
  • patch启动时的安全检查check_secure_boot,将authinfo的两个字段修改为0,并且将函数返回值强制设置为0。
      • notion image
 
下面的两块拓展内容可以跳过,但是如果想更全面的学习,还是需要了解一下。
由于设备是未解锁的(攻击场景就是未解锁设备),刷入boot镜像进行root会显示不允许刷入非官方的镜像。所以可以直接patch LK中获取设备锁状态的部分,一般解锁后设备会自动擦除数据,为了避免数据被擦除也需要patch擦除数据的部分。
但是更好的办法是直接patch 检查镜像的部分,即上面提到的authinfo ,但是随之而来的问题是如果不采用解锁的Patch方案,刷入第三方REC镜像会导致开不了机并且也无法进入REC模式查看日志信息。
为了方便学习调试可以先直接给设备解锁,等到攻击验证阶段再把锁加回来,这样就不会出现因为没解锁导致的日志难以查看的问题。
下面的解锁内容属于题外话,前面提到的无法开机的原因是加密分区挂载失败,加密分区挂载失败就是因为设备安全验证没通过,所以为了方便直接处理authinfo 即可,所以这部分仅当拓展。
在解锁状态下直接刷入magisk修补的boot会开机失败并且自动进入rec模式,原因是fs_mgr_mount_all 。尝试禁用vbmeta 也无效。刷入TWRP然后使用adb查看/proc/last_kmsg 发现其实也是挂载加密分区/data失败导致的问题,而本质是因为检测到设备损坏,和上面的结论一致,即安全检测未通过。解决方案就是patch 掉/vendor/tee/00000000-0000-0000-0000-4b45594d5354 (Keymaster)这个可信应用 ,使其认为设备是正常的,从而正常解密,后面修补部分详细展开。
notion image
联发科机型使用 seccfg分区存储设备BL锁等状态关键信息,分区大小一般为8MB,实际使用空间远小于此,1024字节都用不完。其中MTK定义的seccfg头部结构仅为60B ,包括28字节数据部分和32字节的校验部分。剩下的32位校验码因为使用了设备硬件相关的加密,除非设备密钥泄露否则没有办法脱机计算(实现可以参照https://github.com/bkerler/mtkclient/blob/main/mtkclient/Library/Hardware/hwcrypto_sej.py)。
  • 如果设备已解锁,lock_state = 3
  • 如果设备未解锁,lock_state = 4或1
如下图提取设备中的seccfg分区,观察第0xc开始的四个字节,值为1符合未解锁的定义。但是mtkclient的解锁功能是Patch此处的两个DWORD ,也就是将dm_verity_state Patch为1为解锁,这样就会导致dm_verity 是校验失败的,查看mtkclient 源码此处的字段被解读为critical_lock_state ,通过逆向可以发现显然是dm_verity_state ,所以认为实现可能有问题。而无论是通过mtkclient解锁还是Patch LK都需要擦除用户数据,因为默认keymaster是可信的,其检测到设备损坏后强制要求擦除数据。
notion image
根据这些已知知识对LK符号进行恢复,能够发现seccfg_get_lock_state是获取设备锁状态的函数,通过读取的ROM内存偏移来识别。
notion image
Patch该函数,使其a1读取的值永远为3,以实现使LK认为设备已经解锁,从而不对镜像进行检查。虽然能够进入rec模式,但是开机出现问题,这就和前面说的加密分区挂在失败是一个事情了,不再赘述。
notion image
 
 

5. Patching TEEGRIS

#TEEGRIS以及修补方案概述

TEEGRIS内核是一个在安全EL1中运行的小型组件。即使小,但它从严格意义上说并不是微内核。举例来说,其中集成了很多可以由TA使用的驱动程序。它以64位模式运行,并支持在用户空间中运行的64位和32位TA和驱动程序。由于内核以明文存储在引导分区中,因此我们可以轻松提取它并进行反汇编。内核实现了许多POSIX兼容的系统调用,还添加了一些TEEGRIS特定的系统调用。在Alexander Tarasikov的文章中我们注意到,有两个共享库中实现的系统调用包装器(请参考下面的TA章节,详细介绍了如何处理共享库),分别是libtzsl.solibteesl.so。这让我们可以快速地识别内核中的两个表,分别适用于64位和32位TA的系统调用处理程序。
  • libtzsl.so “TZ System Library”。给 TA 提供系统调用封装(wrapper):把 TA 的 POSIX 风格调用(如 open/read/write/mmap/epoll/sendmsg/recvmsg 等)按 TEEGRIS 约定打包成内核系统调用并进入 TEEGRIS 内核(S-EL1)。研究者在 S10 的镜像中看到,三星把每个 syscall 的封装函数都放在这库里,甚至可据此恢复 syscall 表;AArch64 下还约定 X7 寄存器携带系统调用号。
  • libteesl.so “TEE System Library”。更像 TA 的运行时框架:很多 TA 的 main() 实际实现在这库中,它会完成与根任务/内核的消息通道初始化,用 epoll 驱动的事件循环接收来自 REE/其他 TA 的请求,然后把事件转发到 TA 的 GP 入口函数TA_Create/OpenSession/Invoke/Close/Destroy)。因此,TA 的业务代码主要写在这些入口里,而调度/收发在 libteesl.so
 
这两库通常随 startup.tzar 或系统分区一起下发,供 TA 动态链接;它们把 POSIX 子集 + TEEGRIS 专用调用统一给 TA 使用。libtzsl.so 是“进内核”的门(syscall ABI/封装),libteesl.so“跑 TA”的脚手架(入口与事件循环/IPC)。
 
引导分区中包含一个特殊的压缩包(startup.tzar)一般存放在tzar.img (TrustZone ARchive, TZAR),其中包含TA所需的所有共享库以及在Android完全引导之前早期系统所需的一些特殊TA和驱动程序,包括TSS(用于管理共享内存)、ACSD(用于支持TA身份验证的驱动程序)和root_task(用于加载TA,与ACSD共同对其进行验证)。tzar压缩包中的二进制文件是标准的ELF文件,可以直接加载到反汇编程序中进行分析。由于压缩包是启用映像的一部分,因此在启动时会验证它的签名。 TA也可以在运行时从Android加载。可加载的TA存储在/vendor/tee/system/tee分区中。提取压缩包并且解压可以得到完整的文件系统,可以看到其中存在root_task和其他可能用到的动态链接库,包括libtzsl.solibteesl.so
 
TEEGRIS的修补涉及到下面几个镜像
  • tee1.img: it contains the Arm Trusted Firmware (which is executed in monitor mode with the highest privileges - EL3), the Secure World kernel, and a binary called userboot.so. This last one is quite important for us, as it is used to load and verify the root filesystem of TEEGRIS.
  • tzar.img: this is the root filesystem of TEEGRIS, stored in a custom archive format that has been reversed engineered. It contains libraries that can be used by other libraries but also by the TAs, and binaries including one called root_task, that is in charge of verifying and running the TAs provided by Android.
  • super.img which is the Android main partition containing several logical partitions. One of them is the vendor partition and contains most of the TAs, including Gatekeeper.
notion image
 
 
采取倒着修补的方法,逐步往上patch·
  • 首先TA的修补可以通过与magiskmagic_mount类似的挂载动态分区实现。可以利用到设备中的一个spu分区,该分区是一个ext4文件系统,一般情况下不存储内容,可以直接在该文件系统下创建同样的目录结构,然后修改Magisk源码,将spu分区提前挂载,然后动态挂载到根目录,这样就会将spu分区底下的文件挂载到对应的目录,但是还需要处理的是selinux 标签,因为magisk daemon是root权限的并且Selinux允许设置标签,所以可以通过chcon设置。
  • 其次修补tzar ,修补其中的root_task以绕过对可信应用的校验
  • 最后修补tee1,修补其中的userboot.so绕过对tzar的校验
  • 需要注意的是preloader负责对tee1进行加载校验,所以还是需要使用mtkclient绕过对tee1分区的校验(使用自定义preloader完成分区的装载)
 

#Trust Applet(TA)修补

实际只需要修补一个可信应用GateKeeper ,二进制文件均放置于/vendor/tee下。命名如下:
  • 00000000-0000-0000-0000-474154454b45 同理后面的数字为GATEKE的ascii码
但是在这一节不谈如何修补GateKeeper ,放到最后一节,先按顺序介绍基本知识和修补流程
 
TA文件格式为SEC头 + 标准ELF文件内容 + 附加信息(Metadata + Signature)。
  • 头部长 8 个字节,包含 4 个字节的版本(SEC2、SEC3或SEC4)和4字节内容部分的长度。
  • 在SEC4的情况下,ELF文件为加密格式,否则为明文。
  • 其中附加信息包含签名信息等内容。从版本SEC3开始,有一个包含版本号的附加字段。root_task 将此版本字段与 ACSD 结合使用,以管理 TA 防回滚保护。每当加载 SEC3 或 SEC4 TA 时,都会提取版本号并将其与存储在 RPMB 存储中的版本进行比较。如果版本号较低,则无法加载 TA,并返回错误。如果版本号较高,则 RPMB 中的版本号会增加以匹配 TA 版本,以便无法再加载同一 TA 的旧副本。签名部分包含对图像其余部分的 RSA 签名。它遵循 X.509 格式,并由 ACSD 解析
notion image
notion image
在对TA进行分析的时候可以直接删去开头的前八字节拖入IDA分析,对TA的修补直接在二进制文件上直接修补即可,但是修补完直接加载肯定是失败的,这就需要patch tzar中的root_task以绕过对TA的校验。
notion image
在探索TA的过程中也可以直接使用下面的脚本将TA文件直接转为可以分析的二进制文件
💡
拓展:在前期探索的过程中也动过另一个TA,就是00000000-0000-0000-0000-4b45594d5354keymaster,用于密钥分发等等一系列功能,在前期修补LK镜像时有的地方没有修补并且在解锁状态下刷入了第三方REC,导致无法开机,查看日志发现是keymaster的问题
notion image
出现了解密失败的问题,而这里的解密失败和之前的问题一致。libfs_mgr尝试挂载data分区,但是是加密的所以跳过,然后由vdc使用cryptfs mountFstab命令挂载加密的文件系统。这里的/dev/block/platform/bootdevice/by-name/userdata/data分别是加密分区的设备路径和挂载点。 找到第一个错误[274:tz_iwlog_thread]SW> keymaster [ERR] (tz_check_oem:72) Device is compromized: status=0, value=1
notion image
从IDA中索引找到逻辑后直接patch check_compromized原本从TEES_GetIrsFlagValue 获取一个state和一个value,如果两者有一者为1就说明设备出现了损坏,后面的解密就会失败,直接patch,让这两个值均为0即可。这里需要注意,这两个全局变量虽然在IDA看起来没有更多引用,但是既然其作为全局变量,大概率存在其他引用,认为IDA可能出现识别问题。
notion image
notion image
notion image
成功挂载加密分区
notion image
 

#TrustZone ARchive(TZAR)修补

首先需要了解TrustZone ARchive TZAR分区镜像的格式
提取tzar.img镜像后需要进行简单的处理,即去除三星镜像的固定格式,这里去除到0x204 ,剩余部分即为镜像的实际内容部分,但是还需要进行一次lz4解压才能得到真正的内容。需要注意的是这里的lz4magic number0x184c2102,也就是旧(legacy)的格式,其中0x002e2781是压缩的字节,要从0x20C开始(因为lz4头部占8字节)往后数0x002e2781 结束,取这部分数据作为lz4,结尾还有一些其他数据不在解压的范畴。然后使用脚本以特定的格式解压文件能得到完整的文件目录和结构
notion image
解压后即可找到root_task 等文件内容。
notion image
修改root_task的汇编相当于直接在特殊归档文件之上进行修改,修改完成之后重新使用lz4 -l -9 tzar tzar_new进行压缩,然后重新打包进入tzar分区镜像中,这里还需要处理联发科镜像的固定格式的问题。因为lz4重新压缩后和原本的压缩件大小不一致,但是联发科镜像固定格式中存在长度字段,那么在重新打包时必须要修改分区字段,这样才能使其成功加载。
联发科镜像头部定义如下,需要修改的就是dsize 字段,这个字段指明了分区的大小,但是不包括头部的512字节。
也就是下图中的0x2E917B 需要根据新的压缩部分的大小变化进行修改
notion image
patch的完整脚本如下,输出镜像为tzar_new.img 如果刷写后日志有 [tzar] start sp, ret=-22 就说明tzar镜像格式有问题。
然后修补tzar,主要修补其中的root_task 中的ta_pkg_verify 调用,将其patch掉,patch为MOV W0, #0 ,修补方法就是直接修补在lz4解压后的tzar ,然后重新lz4 -l -9 tzar tzar_new压缩,然后运行上面的脚本打包为tzar_new.img
notion image
 
刷入修补后的tzar开机瞬间关机,查看日志提示hash mismatch,就说明已经成功加载tzar了,只是tee1中的userboot还对tzar进行了校验,这就需要patch tee1。
notion image
 

#Trusted execution environment1 (tee1)修补

接上节,已经成功加载tzar了,只是tee1中的userboot还对tzar进行了校验。从tee1分区镜像中能够直接脱出一个ARM 64 ELF文件。查找字符串引用,patch memcmp的参数。
notion image
直接赋使第一个参数和第二个参数一致绕过检测。
notion image
修补的方法就是直接在tee1.img中找对应的汇编改掉就行,因为tee1.img中的该elf并未进行任何加密或压缩处理。
notion image

6. Patching Gatekeeper

到这里就是最关键的一步,前面提到修改Gatekeeper 使其校验永远成功,永远返回AuthToken,这样KeyMaster 也会解密密钥,只需要在第一次解密后Hook即可获取到第一次解密后的密文,进而完全解密。
 
notion image
找到Gatekeeper TA中的相关逻辑,下面的函数是在计算HMAC,查找其引用
notion image
找到前面有一个MemCompare的调用,直接修改,使其前两个参数一致。
notion image
在二进制层面的修补如下
notion image
修补完成后就可以直接使用较高的权限覆盖/vendor/tee/下面的二进制文件吗?答案是否定的,因为/vendor目录是只读的,为了更加安全便捷的替换,采用动态挂载的方式。即使用mount 挂载修改后的TA到目标挂载点。这就需要探究Android boot 的修补了,顺便还可以root设备,获取密钥相关文件。

7. Patch Android boot

 
为了实现下面两个目标,就需要ROOT设备:
  • 获取/data/system_de/0/spblob下的文件,并且由于需要Hook,所以采用frida来Hook system_server
  • 动态挂载文件以实现替换TA
 
为了方便直接使用成熟的ROOT方案Magisk,但是不是开箱即用的,我们需要对其进行一些修改以适应我们的攻击场景:
  • 在PC设备上修补boot.imgMagisk原本支持在设备上的Magisk App内对boot.img的修补,但是攻击场景的设备屏幕未解锁且不能安装App,必须在外部设备实现修补。
  • 必须在未解锁屏幕的情况下获取adb shell,一般情况下获取adb shell需要手动打开开关并且授权相应设备访问权限,在屏幕未解锁的情况下无法开启调试选项以及点击授权。
  • adb shell必须能够直接获取root权限而不需要任何点击允许,在现成的Magisk方案中,授权应用使用root权限需要用户手动点击弹窗以允许,但是在屏幕未解锁的情况下无法点击。
  • 实现对TA的动态挂载
 

#Magisk boot设备外修补

编译Magisk,将编译后的部分产物移动到工作目录,除此之外还需要移动scripts 目录下的util_functions.shboot_patch.sh
修改util_functions.sh脚本的内容,因为里面含有一些在设备上才能执行的命令,直接强制指定即可。
notion image
修改boot_patch.sh
notion image
 

#开机自启adb shell

native/src/core/daemon.cppdaemon_entry 设置ro.debuggable=1以开启adb,设置ro.adb.secure=0 以禁用adb的校验,从而不需要任何授权使用adb
notion image
除此之外,由于设置了ro.adb.secure=0 ,在重启adbd时会出现selinux拒绝的问题,需要在native/src/init/selinux.cpphijack_sepolicy 中添加一些权限的允许规则,否则adbd重启会失败
notion image
 

#默认允许root权限授权

注释掉native/src/core/daemon.cpphandle_request 中部分权限拒绝代码
notion image
注释掉native/src/core/su/su_daemon.cppsu_daemon_handler 中的部分代码,默认允许授权。
notion image
 

#TA的动态挂载

首先在native/src/init/rootdir.cpp 中的patch_ro_root添加部分代码用于挂载SPU分区,首先makedevxmknod创建设备节点,然后将其挂载到根目录,magic_mount 会暂时的将同样目录下的文件挂载到对应的位置,但是这在后面会被取消挂载,需要再次进行挂载。
notion image
native/src/core/bootstages.cpppost_fs_data 中添加load_ta的调用,其挂载/spu/vendor/tee/ 下的可信二进制文件到/vendor/tee 中,并且设置权限和Selinux标签。
notion image
对应的要在spu镜像中创建指定文件夹并且复制对应的二进制文件,然后刷入
notion image
 

8. 利用脚本和结果

刷入各种镜像
Frida Hook脚本如下
在完成第一次解密后进行第二次解密,但是由于密码错误,出现异常,导致crash,但是已经获取到第一次解密后的结果intermediate
notion image
爆破成功获取密钥为2356
notion image
 

0x0X 参考

  1. https://blog.quarkslab.com/android-data-encryption-in-depth.html
  1. 文件级加密 | source.android.google
  1. 文件系统级加密(fscrypt)| kernel.org
  1. Android FBE
  1. https://kernel.meizu.com/2018/07/12//android-p-fbe.html/
  1. Loading lk.img from Mediatek devices into IDA for analysis
  1. https://www.synacktiv.com/sites/default/files/2022-04/THCON22_Android_Encryption.pdf
  1. Android AVB启动vbmeta如何确保安全?
  1. 修补联发科引导加载程序映像 (LK)
  1. 议题学习:MOSEC2022 MediAttack - break the boot chain of MediaTek SoC
  1. MTK6735 pre-loader源代码分析
  1. [MT6765]Preloader_流程分析--基于android 10
  1. MTK平台的seccfg分区和dm-verity error
  1. 联发科通用解锁工具流程分析
  1. 逆向修改安卓内核 x64 过TracerPID反调试
  1. (原创)Android FBE加密源码分析(一)
  1. Bootloop after ODIN flash (update) #6230
  1. https://media.defcon.org/DEF CON 31/DEF CON 31 presentations/Christopher Wade - Physical Attacks Against Smartphones.pdf
  1. Connection between PIN/password and encryption keys in Android
  1. https://github.com/salvogiangri/KnoxPatch
  1. 对三星 S10 TEEGRIS TrustZone OS 进行逆向工程
  1. keybuster - writeup.md
  1. https://github.com/tcc0lin/awsome-magisk/blob/main/重读Magisk内部实现细节2.md
  1. Magisk 环境下增加 adb root 功能
 
[!important]
由于设备是未解锁的(攻击场景就是未解锁设备),刷入boot镜像进行root会显示不允许刷入非官方的镜像。所以可以直接patch LK中获取设备锁状态的部分,一般解锁后设备会自动擦除数据,为了避免数据被擦除也需要patch擦除数据的部分。
但是更好的办法是直接patch 检查镜像的部分,即上面提到的authinfo ,但是随之而来的问题是如果不采用解锁的Patch方案,刷入第三方REC镜像会导致开不了机并且也无法进入REC模式查看日志信息。
为了方便学习调试可以先直接给设备解锁,等到攻击验证阶段再把锁加回来,这样就不会出现因为没解锁导致的日志难以查看的问题。
下面的解锁内容属于题外话,前面提到的无法开机的原因是加密分区挂载失败,加密分区挂载失败就是因为设备安全验证没通过,所以为了方便直接处理authinfo 即可,所以这部分仅当拓展。
在解锁状态下直接刷入magisk修补的boot会开机失败并且自动进入rec模式,原因是fs_mgr_mount_all 。尝试禁用vbmeta 也无效。刷入TWRP然后使用adb查看/proc/last_kmsg 发现其实也是挂载加密分区/data失败导致的问题,而本质是因为检测到设备损坏,和上面的结论一致,即安全检测未通过。解决方案就是patch 掉/vendor/tee/00000000-0000-0000-0000-4b45594d5354 (Keymaster)这个可信应用 ,使其认为设备是正常的,从而正常解密,后面修补部分详细展开。
![[TEE安全/Android Data Encryption-从百草园Patch到三味书屋/attachments/Untitled 44.png]]
联发科机型使用 seccfg分区存储设备BL锁等状态关键信息,分区大小一般为8MB,实际使用空间远小于此,1024字节都用不完。其中MTK定义的seccfg头部结构仅为60B ,包括28字节数据部分和32字节的校验部分。剩下的32位校验码因为使用了设备硬件相关的加密,除非设备密钥泄露否则没有办法脱机计算(实现可以参照https://github.com/bkerler/mtkclient/blob/main/mtkclient/Library/Hardware/hwcrypto_sej.py)。
  • 如果设备已解锁,lock_state = 3
  • 如果设备未解锁,lock_state = 4或1
如下图提取设备中的seccfg分区,观察第0xc开始的四个字节,值为1符合未解锁的定义。但是mtkclient的解锁功能是Patch此处的两个DWORD ,也就是将dm_verity_state Patch为1为解锁,这样就会导致dm_verity 是校验失败的,查看mtkclient 源码此处的字段被解读为critical_lock_state ,通过逆向可以发现显然是dm_verity_state ,所以认为实现可能有问题。而无论是通过mtkclient解锁还是Patch LK都需要擦除用户数据,因为默认keymaster是可信的,其检测到设备损坏后强制要求擦除数据。
![[TEE安全/Android Data Encryption-从百草园Patch到三味书屋/attachments/Untitled 45.png]]
根据这些已知知识对LK符号进行恢复,能够发现seccfg_get_lock_state是获取设备锁状态的函数,通过读取的ROM内存偏移来识别。
![[TEE安全/Android Data Encryption-从百草园Patch到三味书屋/attachments/Untitled 46.png]]
Patch该函数,使其a1读取的值永远为3,以实现使LK认为设备已经解锁,从而不对镜像进行检查。虽然能够进入rec模式,但是开机出现问题,这就和前面说的加密分区挂在失败是一个事情了,不再赘述。 ![[TEE安全/Android Data Encryption-从百草园Patch到三味书屋/attachments/Untitled 47.png]]
]]> <![CDATA[Magisk V26.1源码分析]]> https://lleavesg.top//article/Magisk-src https://lleavesg.top//article/Magisk-src Sun, 16 Jul 2023 00:00:00 GMT
 
 
一、正常Android启动流程二、几种Boot方式三、boot_patch.sh打补丁四、Magisk-Preinit预初始化1.magisk劫持init第一阶段执行2. init第一阶段执行3. Magisk劫持init第二阶段执行4. init第二阶段5. 流程总结五、Magisk-post-fs-data1. init.rc2. magisk启动六、Magisk-late_start 七、Magisk-boot-complete参考:
 
⚠️
Magisk的Patch操作和实际的工作流程涉及到Android启动的不同方法,对不同设备不同系统有着不同的启动方式,这是一个很复杂的问题,将会直接决定Magisk的工作流程,有时间需要进行细致分析。在这里仅给出一种实现方式的解析,其他类比起来看就行。
💡
测试设备为RedMI Note7(lavender),非A/B分区设备,刷入Android 12类原生系统。
 

一、正常Android启动流程

notion image
Step1 BootROM
启动ROM代码从预先定义的位置开始执行。它将引导加载程序加载到RAM中并开始执行。
  • A.引导ROM代码将使用映射到ASIC上的一些物理球的系统寄存器来检测引导介质。这是为了确定在何处找到引导加载程序的第一阶段。
  • B.一旦引导介质序列建立,引导ROM将尝试加载第一阶段的引导加载程序到内部RAM。一旦引导加载程序就位,引导ROM代码将执行跳转并继续在引导加载程序中执行。
notion image
Step2 BootLoader
引导加载程序的执行分为两个阶段,第一阶段是检测外部RAM并加载程序以帮助第二阶段的执行。在第二阶段,引导加载程序设置网络、内存等,这些都需要运行内核。引导加载程序能够为特定目的向内核提供配置参数或输入。
  • A. 第一阶段引导加载程序将检测并设置外部RAM。
  • B. 一旦外部RAM可用并且系统已准备好运行更重要的东西,第一阶段将加载主引导加载程序并将其放置在外部RAM中。
  • C. 引导加载程序的第二阶段是第一个将运行的主要程序。它可能包含用于设置文件系统、附加内存、网络支持和其他事项的代码。在手机上,它还可能负责加载调制解调器CPU的代码并设置低级内存保护和安全选项。
  • D. 一旦引导加载程序完成了任何特殊任务,它将寻找要引导的Linux内核。它将从引导介质(或其他依赖于系统配置的来源)加载内核并将其放置在RAM中。它还会将一些引导参数放置在内存中,供内核在启动时读取。
  • E. 一旦引导加载程序完成,它将执行跳转到Linux内核,通常是一些解压缩例程,然后内核就承担了系统责任。
notion image
 
Step3 Linux kernel
Linux内核在Android系统上的启动方式与其他系统类似。它会设置系统运行所需的所有内容,包括初始化中断控制器、设置内存保护、缓存和调度。
  • A. 一旦内存管理单元和缓存已经初始化,系统将能够使用虚拟内存并启动用户空间进程。
  • B. 内核将在根文件系统中查找init进程(在Android开源树中的system/core/init目录下)并将其启动为初始的用户空间进程。
notion image
Step4 Init Process
init是非常重要的第一个进程,可以说它是所有进程的祖先进程。init进程有两个责任:1. 挂载目录,如/sys,/dev,/proc等;2. 运行init.rc脚本。
notion image
Step5 Zygote and Dalvik(ART)
notion image
notion image
Step6 system server
notion image
 

二、几种Boot方式

💡
由于测试机为RedMI Note7(lavender)(非A/B分区设备,即A-only设备),即使刷入了Android12的类原生系统,但是其出场Android版本API=28,即LV=28,设备属于第三类设备,分区中没有包含有ramdisk但是后面会讲到测试设备刚好是红米,幸运的是它居然可以接受手动添加到boot中的ramdisk,但是Magisk 实际上不可能知道设备引导加载程序是否接受虚拟硬盘,因此假设始终通知用户使用恢复模式,因此在Magsik界面Ramdisk后面显示否。 理论上来说测设设备启动是采用MethodB: Legacy SAR方式进行启动,内核直接挂载到system分区作为根目录并且直接运行/init进行启动。通过后面日志分析也可以发现,[2.686814] magiskinit: LegacySARInit 这里第一阶段进入了LegacySARInit 分支。因此本文重点分析这种启动方式,其次Method C是现如今Android设备常规启动方式,因此也进行分析。

三、boot_patch.sh打补丁

在该Shell脚本中有如下代码,就是使用magiskboot对Android的ramdisk进行patch重点替换initmagiskinit然后创建一些文件夹以用于临时存放Magisk相关的文件。
在绝大多数设备上,Magisk可以通过直接对boot分区进行补丁操作或在自定义Recovery中刷入zip包来安装。这是因为这些设备的分区中都包含有ramdisk,可以在其中安装Magisk。
但是,在某些设备类型(Type III)中,因为boot分区中没有包含有ramdisk,因此无法在其中安装Magisk。在这种情况下,Magisk只能安装到recovery分区中,而不能直接安装到boot分区中。这些设备在正常启动时无法访问Magisk,需要每次重启都进入recovery模式才能使用Magisk。
在下面的节选部分脚本中,除了使用magiskboot 替换init→magiskinit、创建overlay.d文件夹、放入magisk守护进程和壳APP并且进行备份外,还需要将skip_initramfs修改为want_initramfs
linux调用populate_rootfs默认会并加载boot分区自带的ramdisk(recovery),但如果do_skip_initramfs被设置为1,则会调用default_rootfs生成一个极小的rootfs,并在其中创建出/dev/console文件,除此之外没有其他文件。正因如此,当设备正常启动到系统时读取/proc/cmdline,其中会出现skip_initramfs 的参数,但是启动到recovery时不会有此参数。
⚠️
重点来了,某些Type III设备的引导程序仍然会接受手动添加到boot中的ramdisk,例如部分小米手机,但许多设备不会,例如三星S10,Note 10等。测试设备刚好是红米,它居然可以接受手动添加到boot中的ramdisk,因此我们无需每次重启到rec模式才能使用Magisk,可以直将Magisk装入ramdisk。(根据看雪论坛“残页”大佬的说法,小米Type III设备都可以直接修补boot.img,而非需要修补Recovery )
boot_patch.sh
boot_patch.sh脚本将kernel中的skip_initramfs修改为want_initramfs,因为如果设置了skip_initramfs代表着Method B启动方式中进入到正常系统而不是recovery,magisk也就无法启动了,修改为want_initramfs屏蔽掉skip_initramfs让系统可以从恢复模式中的ramdisk中启动。
⚠️
但是需要注意:skip_initramfs修改为want_initramfs的操作发生了两次,但是patch的位置不同,目的也不同。
第一次发生在./magiskboot dtb $dt patch; then 即通过magiskboot对dtb进行patch,在其中调用dtb_patch对dtb中的skip_initramfs修改为want_initramfs ,但是注意这里修改的目的是因为三星部分机型不支持 SAR 但是 cmdline 里却有这个参数,正常启动的时候内核会直接忽略,但是 Magisk 会因为有这个参数而判断这台设备是 Legacy SAR,进入 Legacy SAR 流程导致手机循环启动。这里 Patch 的本质是不让 magisk 自己看到错误的参数 https://github.com/topjohnwu/Magisk/pull/4788(看雪论坛“残雪”)。
第二次Patch才是对kernel内部skip_initramfs 进行修改,从而使得在legacy SAR devices设备中Magisk能正常启动。
从boot.img解出的kernel来看,确实对skip进行了patch,patch为want
notion image
⚠️
因为测试设备是小米手机,所以magisk直接修补boot.img,无法对“Magisk修补Recovery分区的ramdisk,每次启动从rec模式启动,然后init执行再启动到系统”这一情况进行测试摘自参考1
  • 如果要启动的是正常系统,直接进入无magisk的原始系统。
  • 如果要启动的是recovery模式,会导致magiskinit执行,magiskinit读取/.backup/.magisk配置文件得到RECOVERYMODE=true知道它自己是在recovery分区启动,然后调用check_key_combo()判断是否长按音量键上,如果长按则进入REC系统,否则进入到带有Magisk的正常系统。进入magisk系统仍然进入到init = new LegacySARInit(argv, &config);进入recovery模式会进入init = new RecoveryInit(argv, &config);
这部分在Magisk官方安装文档中也有提及:Installation | Magisk (topjohnwu.github.io)
 
 
⚠️
Magisk启动整体分为三个阶段 Pre-Init→post-fs-data→late_start→boot_complete

四、Magisk-Preinit预初始化

源码位于native/src/init/init.cpp ,由于在补丁阶段将magiskinit替换为init,所以系统启动时会启动实际上的magiskinit。然后是使用Debug版本Magisk进行测试时系统在启动时的日志输出(主要关注标红加粗位置),通过输出分析具体的流程。
 
⚠️
以下提到的第一阶段与第二阶段是Magiskinit的阶段而言,而非系统init正常的阶段,千万不要搞混了

1.magisk劫持init第一阶段执行

如果按MethodB的方法启动,整个init过程实际上分为两个阶段,第一阶段直接执行magiskinit,即劫持了init在main内存在一个if else判断 ,如果是第一个阶段则会执行到else内部。如果按MethodB的方法启动,则第一阶段调用流程应当是:
  • prepare_data 将会将创建data目录并且将magisk挂载到data,然后将关键文件和文件夹复制到/data目录下。这里的init 实际是patch到ramdisk中的magiskinit,这里 cp_afc("/init", "/data/magiskinit");实际上就是将magiskinit本身放到/data/magiskinit
    • 然后mount_system_root 尝试挂载系统根目录并且通过apex判断是否进行第二阶段的init,通过日志分析可以发现is_two_stage: [1]即需要进入第二阶段init。
      • first_stage_prep 实际就是将/dev/root根目录的init进行patch操作,将其内部的/system/bin/init 字符串改为/data/magiskinit ,这里根目录的init是原始的系统init二进制文件,[2.815494] magiskinit: Patch @ 0001C840 [/system/bin/init] -> [/data/magiskinit]输出到/data/init ,并且挂载到/init
         
        • 完成上述操作后exec_init 通过execv执行init,这里的init是经过patch的系统init,实际是/data/init,而非magiskinit,但是注意这里的参数还是空的,所以在执行系统init时还是第一阶段,相对于在原本的init执行之前magiskinit劫持了一会,但是完事后还是会将控制权交还原本init进行执行。

          2. init第一阶段执行

          根据日志和前面分析可知,magiskinit打完patch后执行patch后的init
          下面两个代码块为Android源码中init部分源码,可以看到init会查看是否有参数。如果没有参数,也就是当前的这种情况,执行FirstStageMain,执行原本的第一阶段初始化操作(省略)。
          然后再次通过execv执行"/system/bin/init" ,并且将参数设置selinux_setup, 但是由于对其进行了patch,所以这里执行完初始化操作后会到/data/magiskinit进行执行,并且带有参数selinux_setup
           

          3. Magisk劫持init第二阶段执行

          在执行到FirstStageMain结尾时会带selinux_setup 参数再次执行/system/bin/init ,但是由于对init进行了patch,所以这里字符串实际是/data/magiskinit ,因此magisk会再次劫持。日志也显示magiskinit接着执行并输出SecondStageInit
          • 在Magisk的main中new了一个SecondStageInit, 接着执行流程应当是
            • prepare 取消挂载 init,这里的init实际上是/data/init,而/data/init实际是经过Patch的系统init为了防止 init 的 dmesg 日志被干扰,将 argv[0] 参数设置为 /system/bin/init然后检查当前根文件系统是否为 RAMFS TMPFS,如果是,说明当前仍然在 rootfs下,需要在第二阶段重新执行 init,删除 /init链接并创建一个符号链接,指向第二阶段的 init程序,这里的init程序实际是未经过Patch的系统init,其位置是/system/bin/init,以便在第二阶段执行 init。否则返回false。
              • patch_ro_root 则进行一些初始化任务,主要是在系统启动时对文件系统进行修改和挂载,以便 Magisk 可以正确地运行和隐藏自己。它涉及的操作包括创建临时目录、加载 overlay 文件、修改 init.rc 文件、提取 Magisk 文件、修改 sepolicy 文件等。
                  • patch_init_rc实现了对 init.rc 文件的修改。具体来说,它使用 file_readline 函数逐行读取源文件 init.rc,并根据不同的匹配规则进行不同的修改,然后将修改后的内容写入目标文件 。除了修改 init.rc 文件外,这段代码还向目标文件 dest 中注入了一些自定义的 rc 脚本,这些脚本用于执行一些 Magisk 相关的操作,如在 post-fs-data 阶段启动 Magisk、在系统启动完成后启动 Magisk 等。当然如果在目录下寻找init.rc是找不到的,因为等待注入完成后magisk就会删除rootdir目录以及下面的东西,防止被检测到。如果想要保留就需要native/src/core/daemon.cpp 中patchrm_rf((MAGISKTMP + "/" ROOTOVL).data());
                  patch_ro_root里还调用了一个函数hijack_sepolicy(), 这个函数就是劫持sepolicy作用。
                  💡
                  在使用 monolithic 策略的设备上,Magisk 直接从 /sepolicy文件中加载 sepolicy 规则。这个文件通常位于系统的根目录下,用于存储 selinux 策略。这种方式比较简单直接,不需要进行额外的 hook 操作。
                  在其他的设备上,Magisk 使用 FIFO(命名管道)劫持 selinuxfs 中的节点,以实现 selinux hook。具体来说,Magisk 会创建一个 FIFO 文件,并挂载到 selinuxfs 中的 "load" 和 "enforce" 节点上,用于接收 selinux 策略和 enforce 值。这样一来,即使系统中没有 /sepolicy 文件,Magisk 也可以通过劫持 selinuxfs 中的节点,来实现 selinux hook。
                  在 2SI 设备上,由于第二阶段的 init 文件是一个动态可执行文件,而不是静态的 /init 可执行文件,因此 Magisk 还需要协助劫持 selinuxfs。具体来说,Magisk 会在 init 进程启动之前,通过 LD_PRELOAD 的方式,将自己的 preload.so 库注入到 init 进程中,并替换 security_load_policy 函数为自己的实现,以实现 selinux hook。然后,Magisk 启动守护程序,等待 init 进程尝试加载 selinux 策略文件。当 init 进程启动时,Magisk 的钩子函数会拦截 security_load_policy 的调用,并将 selinux 策略文件和 enforce 值写入 FIFO 文件中,以实现自定义的 selinux 策略。
                  selinux.cpp中,加粗部分较为重要,其中hijack则是通过FIFO劫持 selinuxfs 中的节点,以实现selinux hook 。之后通过xfork() 创建子进程,父进程直接返回继续执行,执行到exec_init 后继续执行系统未经过patch的init, 在执行init的过程中会触发security_getenforce ,此时子进程才会从xopen的阻塞中脱离继续执行,也就是此时以及可以获取到selinux 策略和 enforce 值
               

              4. init第二阶段

              由于这次execv带有参数selinux_setup 因此会执行源码中的SetupSelinux
              SetupSelinux执行完成后,又会再次通过execv到init执行,参数为second_stage ,这里的init是系统原本的未经过patch的init,当magiskinit父进程执行完execv后就会退出,之后的初始化都是系统自己的初始化init
               

              5. 流程总结

              notion image
              PS: SELinux劫持和父子进程分叉就不画进去了

              五、Magisk-post-fs-data

              当 /data 被解密和装载时会在 post-fs-data 上触发。守护程序 magiskd 将被启动,执行 post-fs-data 脚本,并安装模块文件。

              1. init.rc

              上文讲到magisk在初始化阶段也就是preinit阶段对init.rc进行修改,在原本的init.rc后添加下面的内容。"u:r:magisk:s0 0 0" 表示 Magisk 进程的安全上下文,表示该进程在用户空间中扮演 "magisk" 角色,类型级别为默认级别,用户 ID 和组 ID 均为 0,即以 root 用户身份运行。在不同时机触发magisk进行不同的活动,例如在post-fs-data 阶段运行magisk --post-fs-data
               

              2. magisk启动

              native/src/core/magisk.cppmagisk_main即为magisk入口。
              • 通过connect_daemon 创建守护进程daemon进程,由于此时守护进程还未建立,所以if中的connect会返回-1,从而进入if成功的分支进入后进行一次fork,父进程会继续向下等待连接,子进程则通过daemon_entry 成为守护进程,之后父进程连接到守护进程后到write_int(fd, req),守护进程会一直监听请求。
                • boot_stage_handler 来处理POST_FS_DATA LATE_START BOOT_COMPLETE三种请求
                    • unlock_blocks 将解锁所有块设备的写保护,mount_mirrors 挂载各种镜像文件系统,prune_su_access 用于在数据库中检查授权的APP并对已经不存在的APP的数据进行删除。magisk_env 对Magisk环境进行初始化。最后load_modules对模块进行加载。
                    这段代码首先调用了get_prop()函数来获取系统属性persist.sys.safemodero.sys.safemode的值。如果get_prop()函数的第二个参数为true,表示在没有找到这些属性时返回默认值"1"。如果获取到的值为"1",或者按键组合被触发(通过调用check_key_combo()函数),则将boot_stateFLAG_SAFE_MODE位置1,表示启动处于安全模式,将会禁用所有模块并且禁用禁止列表,这有助于在手机安装一些模块导致手机无法正常启动时对系统进行修复。
                    如果启动不处于安全模式,那么首先调用exec_common_scripts()函数执行/data/adb/post-fs-data.d目录下的脚本。接着,定义了一个名为dbsdb_settings结构体,调用get_db_settings()函数将系统属性ZYGISK_CONFIG的值存储在dbs中。然后,通过检查dbs[ZYGISK_CONFIG]的值来确定是否启用了zygisk。最后,调用initialize_denylist()函数初始化拒绝列表,并调用handle_modules()函数处理模块的post-fs-data 脚本、收集模块以及创建模块动态链接库内存描述符为后续模块动态链接库加载做准备
                    mount_mirrors 进行镜像的挂载操作,如果当前系统版本小于24或者安全目录SECURE_DIR(/data/adb)存在,则执行绑定重新挂载的操作。具体来说,函数创建MAGISKTMP + "/" MODULEMNT(/debug_ramdisk/.magisk/modules)目录,然后将模块根目录MODULEROOT(/data/adb/modules)绑定挂载到该目录中,并将挂载点重新挂载为只读文件系统,最后将挂载点设置为私有的,并将/data/adb的权限设置为0700。
                    💡
                    Magisk官方文档中提到使用/data/adb作为安全目录的原因:
                    一些二进制文件和文件应存储在 /data 中的非易失性存储中。为了防止检测,所有东西都必须存储在 /data 中安全且不可检测的地方。选 /data/adb 文件夹是因为其具有以下优点:
                    • 它是现代安卓系统上的一个现有文件夹,因此不能作为 Magisk 存在的标志。
                    • 文件夹的权限默认为 700,所有者为 root,因此非 root 进程无法以任何可能的方式进入、读取和写入文件夹。
                    • 文件夹 secontext 标记为 u:object_r:adb_data_file:s0,很少有进程有权与该 secontext 进行任何交互。
                    • 该文件夹位于设备加密存储区中,因此一旦数据正确装载到 FBE(File-Based Encryption,基于文件的加密)设备中,即可访问该文件夹。
                    然后检查是否需要挂载预初始化镜像文件系统。如果预初始化镜像文件系统的块设备文件存在,则尝试在当前的挂载信息中查找已经挂载了该块设备的目录,并将目标目录绑定挂载到预初始化镜像文件系统的目录中。然后挂载worker目录,最后函数通过递归绑定挂载的方式将根目录"/"绑定挂载到一个名为MAGISKTMP + "/" MIRRDIR(/debug_magisk/.magisk/mirror)的目录中。
                    MagiskV26.0更新了 Magic Mount 功能的后端,支持将模块加载到系统中并注入 overlayfs 文件。Magic Mount是指通过模块修改系统文件的功能。在这个更新之前,Magisk 通过叠加文件系统来实现 Magic Mount 功能,但是一些设备厂商在他们的系统中注入了 overlayfs 文件,导致 Magic Mount出现问题。
                    需要注意的是,Magisk 的模块挂载是在 Android 系统启动时进行的,因此在安装或卸载 Magisk 模块时需要重启系统才能生效。
                    这里对zygisk进行挂载 ,成功实现了对/system/bin/app_process32/system/bin/app_process64 的替换,替换为对应的magisk,分析日志也可以发现,通过系统目录的挂载root->mount();将会实现这种替换。官方之前的说法:尽管安装逻辑非常复杂,但Magic挂载的最终结果实际上非常简单。对于每个模块,目录/system将被递归地合并到真实的/system中;即:将真实system中的现有文件替换为模块“system”中的文件,并将模块“system”中的新文件添加到真实system中。
                 

                六、Magisk-late_start 

                在稍后的引导过程中,将触发 late_start ,并启动 Magisk “服务”模式。在此模式下,执行服务(service)脚本。在这个阶段将会对service.d目录下的以及模块中的service脚本进行执行。
                 
                 

                七、Magisk-boot-complete

                启动完成时sys.boot_completed=1 触发boot-complete
                 
                 

                参考:

                1. [原创] 云手机底层技术揭密 : Android系统启动与Magisk原理-Android安全-看雪-安全社区|安全招聘|kanxue.com
                1. Android Booting Shenanigans | Magisk (topjohnwu.github.io)
                1. 内部细节 | Magisk 中文文档 (jesse205.github.io)
                1. (71条消息) Magisk内部实现原理_magisk原理_疯人院的院长大人的博客-CSDN博客
                1. LINUX KERNEL INTERNALS: Android Boot Sequence (learnlinuxconcepts.blogspot.com)
                1. Android操作系统启动过程概览 - 知乎 (zhihu.com)
                1. Magisk源码分析(二) | Shocker (pshocker.github.io)
                1. Magisk源码分析(三) | Shocker (pshocker.github.io)
                1. main.cpp - Android Code Search
                1. selinux.cpp - Android Code Search
                 
                ]]>                                 <![CDATA[Android ART虚拟机执行流程示意图]]> https://lleavesg.top//article/ART https://lleavesg.top//article/ART Tue, 26 Aug 2025 00:00:00 GMT
                从Linkcode设置方法开始阐述
                但是可能存在一些问题或错误,感谢指正
                notion image
                 
                如果走Nterp模式以直接跳转的方式解释执行指令,那么在调用函数的过程中会执行到nterp_op_invoke_* 最终会执行到中间的10个绿色框中的函数。
                notion image
                 
                ]]>                                 <![CDATA[eBPFDexDumper更新-添加抽取代码dump功能]]> https://lleavesg.top//article/eBPFDexDumper-dump https://lleavesg.top//article/eBPFDexDumper-dump Tue, 26 Aug 2025 00:00:00 GMT
                eBPFDexDumper
                LLeavesGUpdated Aug 27, 2025
                之前写的基于eBPF的Android应用程序脱壳工具有一些bug和问题,包括但不限于
                • 未开启CONFIG_DEBUG_INFO_BTF的设备无法使用
                • 执行路径覆盖不全导致部分dex无法成功dump
                • 高版本Android去除了libart.so的符号,工具兼容做的不好
                • 工具使用起来不人性化,参数选定困难
                • 仅能脱整体Dex,无法dump抽取方法的代码
                 
                在更新版本中解决了上述问题。
                • 参考Stackplz将btf文件嵌入到二进制可执行程序,动态加载btf文件,避免了没开启CONFIG_DEBUG_INFO_BTF的内核无法使用的问题
                • 重新理顺了ART虚拟机的执行路径,覆盖全执行路径,以避免漏掉方法的执行
                • 自动寻找函数偏移,但是关于Execute函数的偏移还是需要通过IDA手动找
                • 重构了项目代码,包括参数解析部分
                • 引入了ArtMethod的code item的dump以及Dex修复功能。这样就能把应用场景拓展到抽取壳的dump。
                • 引入了方法的追踪,在完全覆盖执行路径后就能准确的捕获每一个方法的执行,只需要在bpf侧获取方法的idx,然后即可通过解析dex文件获取方法签名,实现方法的追踪
                 
                 
                ]]>                                 <![CDATA[ByteCTF2021 EasyDroid复现]]> https://lleavesg.top//article/ByteCTF-2021-EasyDroid https://lleavesg.top//article/ByteCTF-2021-EasyDroid Sun, 23 Jul 2023 00:00:00 GMT
                 
                一、漏洞APP分析1. AndroidManifest.xml分析2. MainActivity3. TestActivity4.FlagReceiver二、攻击APP构造1. 构造demo验证可行性2. 攻击方案三、总结四、参考
                 

                一、漏洞APP分析

                1. AndroidManifest.xml分析

                notion image
                AndroidManifest.xml 中声明了三个组件,两个Activity和一个Receiver ,其中只有MainActivity是导出的
                 

                2. MainActivity

                MainActivity 先是获取intent的数据,然后经过校验后使用webView.loadUrl(data.toString())进行加载,而且设置了setJavaScriptEnabled(true) 这意味着启用了JavaScript 。除此之外设置了setWebViewClient ,并且通过shouldOverrideUrlLoading 拦截请求,在内部校验intent 并且可以进行跳转。因此这里存在攻击点,即可以绕过getAuthority 校验加载恶意html,在html内部使用JavaScript 构造重定向请求,然后跳转到指定的非导出Activity
                 

                3. TestActivity

                TestActivity 则通过getStringExtra("url") 直接拿到一个url并且使用webview进行加载,没有进行任何校验,因此存在攻击点,即通过TestActivity进行恶意网页的加载。

                4.FlagReceiver

                FlagReceiver 则通过cookieManager 设置了一个cookie值,该值就是flag ,而该cookie值存储在/data/data/com.bytectf.easydroid/app_webview/Cookies中,该组件在环境启动时收到flag从而设置flag,因此攻击目标即为获取该Cookies文件
                 
                 

                二、攻击APP构造

                 

                1. 构造demo验证可行性

                首先编写一个APP用于验证攻击的可行性,设置三个Activity,验证能否绕过url校验并且顺利实现跳转。
                绕过方案:http://toutiao.com@xxx.xxx.xxx.xxx/evil.html 则可以实现对getAuthority().contains("toutiao.com") 的绕过,并且实际访问的是xxx.xxx.xxx.xxx/evil.html, 而访问的evil.html 中可以通过location.href 使app获取到Intent Url
                "intent:pwneasydroid#Intent;launchFlags=0x3;package=com.bytectf.pwneasydroid;component=com.bytectf.pwneasydroid/.Third;end"
                shouldOverrideUrlLoading 拦截到该url时通过startActivity(Intent.parseUri(url,1)) 跳转到目标Activity。
                编写evil.html 使APP跳转到Third
                logcat输出验证了绕过方案的可行性并且能够成功跳转至Third
                在实际攻击中可以设置S.url,控制被攻击APP 跳转到百度,因为在被攻击的TestActivity中获取了额外的属性url并且进行加载
                 

                2. 攻击方案

                总的来说,首先肯定是绕过校验并且使被攻击APP跳转至TestActivity然后加载不经过任何校验的恶意网页,然后想办法窃取被攻击APP私有目录下的Cookies文件
                 
                方案一:符号链接延迟跨源攻击,操纵WebView去访问一个攻击APP自己公开出来的网页,然后这个网页执行的内容其实就是延时去读取自身。在延时读取自身的时间窗口内,这个文件悄悄被进行了替换,替换成了软链接,指向受害APP的一个私有文件,最终读取窃取其内容。
                notion image
                限制:该漏洞在Android7.0及以上修复,而题目环境为Android8.1,因此无法使用该方法进行攻击,但是在搭建的Android6.0环境上成功实施了攻击
                方法
                作用/风险
                默认策略
                setAllowFileAccess(true)
                设置是否允许 WebView 使用 File 协议访问文件系统
                在API29及以下默认设置为 true
                setAllowFileAccessFromFileURLs(true)
                方法用于设置是否允许在文件方案URL的上下文中的跨源请求访问其他文件URL的内容。该方法在API级别30中已被弃用,并且不安全。相反,应使用androidx.webkit.WebViewAssetLoader以安全方式加载文件内容
                在 Android 4.1 后默认禁止 在API30中已被弃用
                setAllowUniversalAccessFromFileURLs(true)
                用于设置是否允许在文件方案URL的上下文中的跨源请求访问任何其他来源的内容。如果应用程序需要访问文件系统,最好避免使用file://URL。而是使用通过HTTPS加载文件的替代方法,例如androidx.webkit.WebViewAssetLoader
                在 Android 4.1 后默认禁止
                setJavaScriptEnabled(true)
                设置是否允许 WebView 使用 JavaScript
                默认不允许
                💡
                注意:在Android10及以下默认setAllowFileAccess(true) ,而该漏洞不需要setAllowFileAccessFromFileURLssetAllowUniversalAccessFromFileURLs 设置为True即可进行攻击,即绕过了同源检测(必须File读取File本身,读取其他文件还是无法绕过同源策略),但是依旧需要setJavaScriptEnabled设置为True
                MainActivity源码
                evil.html源码
                Android6.0攻击结果
                notion image
                 
                 
                方案二:污染Cookies窃取数据
                在这个方案里,需要先通过访问恶意HTML将恶意js插入Cookies中,然后控制被攻击APP访问Cookies本身,触发恶意代码造成数据泄露
                notion image
                具体的攻击思路: 首先攻击者APP跳转到被攻击APP的MainActivity,使其访问evil.html 在该恶意html中设置cookies并且延时40s执行intent跳转,设置cookies即设置恶意代码,等待后续被读取渲染时运行恶意代码,即等待cookies写入到被攻击APP目录下的Cookies文件中后跳转到TestActivity ,然后TestActivity 加载url:file:///data/data/com.bytectf.pwneasydroid/files/symlink.html ,这个url将会读取pwneasydroid 数据目录下的一个symlin.html,该html创建于跳转到被攻击MainActivity 至跳转到TestActivity 这段时间,使其指向/data/data/com.bytectf.easydroid/app_webview/Cookies ,然后TestActivitywebview加载时触发到插入到Cookies里的恶意代码,使其读取Cookies本身并且发送到远程,即可成功实现Cookies泄露,flag就在Cookies中
                💡
                这里需要格外注意权限问题:不仅需要给/data/data/com.bytectf.pwneasydroid/files 及目录下的文件777权限,而且还要给/data/data/com.bytectf.pwneasydroid 这个目录的777权限,否则将会访问失败
                MainActivity
                evil.html
                Android8.1攻击效果
                notion image
                notion image
                 
                 
                 

                三、总结

                notion image
                💡
                虽然题目本身考点不难,但是操作起来很费劲,尤其需要关注Android环境 然后就是目录的权限问题,如果不设置/data/data/packagename 为777,那被攻击APP就无法读取到目录下的恶意html,导致攻击失败
                 

                四、参考

                1. Docs (feishu.cn)
                1. (72条消息) Android安全检测-WebView File域同源策略绕过漏洞_webview同源策略漏洞_asjhan的博客-CSDN博客
                1. [原创]Android APP漏洞之战(13)——WebView漏洞详解-Android安全-看雪-安全社区|安全招聘|kanxue.com
                 
                 
                ]]>