利用安卓系统PATH顺序劫持系统调用
起因是最近在分析安卓平台的一个小玩意儿,需要过它的网络验证。这个app要了root权限和xposed模块才能正常运行,验证则是使用了http://1.1.1.1的形式,很容易想到用iptables劫持。
iptables -t nat -A OUTPUT -d 119.188.245.15 -j DNAT --to-destination 192.168.31.106
没想到这次这个app也学聪明了,在关键功能的地方(so层)调用了清空iptables的指令
su -c iptables -F
su -c iptables -X
如何解决呢?
修改app不太现实,这个app签名效验之类的做得很死,而且混淆严重,不太能理清验证逻辑。
hook system调用呢?这个app发挥作用的本身就是一个magisk的riru模块。此外清空iptables在很多地方都做了,不一定能hook干净。
我尝试了用magisk模块直接替换掉/system/bin/iptables,可是替换后系统就无法正常联网了(原因未知)。最后,我终于找到了一种不修改原来iptables实现劫持调用的方法:利用系统PATH的优先级。
在我的安卓11设备上,在adb shell中输入$PATH获取的的PATH如下:
/product/bin
/apex/com.android.runtime/bin
/apex/com.android.art/bin
/system_ext/bin
/system/bin
/system/xbin
/odm/bin
/vendor/bin
需要指出的是,系统在查找可执行文件时是依照PATH顺序从前往后查找的。原本的iptables在/system/bin目录下,可见/product/bin,/system_ext/bin优先级都比它高,而恰恰magisk提供了挂载文件到这两个目录的能力。经过我的测试,确实可以将自己写的iptables挂载到/product/bin来实现劫持对iptables的调用。
自己写的iptables代码也很简单,在对传入的参数进行审查后再使用绝对路径调用/system/bin/iptables
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
int main(int argc, char *argv[])
{
char *cmd = (char *)malloc(1024);
memset(cmd, 0, 1024);
strcpy(cmd, "/system/bin/iptables");
for (int i = 1; i < argc; i++)
{
strcat(cmd, " ");
strcat(cmd, argv[i]);
}
if (strstr(cmd, "-F") ||strstr(cmd, "-X") || strstr(cmd, "-t nat -F") ||strstr(cmd, "-t nat -X"))
{
printf("Permission denied--From fake iptables\n");
return 0;
}
// printf("%s", cmd);
system(cmd);
free(cmd);
return 0;
}
将c程序使用ndk编译即可。另外提一点就是编译好的程序要放在magisk模块的\system\product\bin路径中,magisk会自动将其挂载到\product\bin。
在安卓11以下,magisk的su存储在最高优先级的/sbin路径中,而安卓11之后取消了这个路径,所以利用这一点,我们甚至可以劫持magisk的su来实现更多元而相对修改magisk更简单的定制。
防范这种劫持的方法也很简单,在调用时使用绝对路径/system/bin/iptables即可,当然,这不免失去了一些兼容性。
[复制链接]
发表于 2021-10-4 11:19
