國產操作系統漏洞研究_阮奐斌.pdf

1、國產操作系統的漏洞研究國產操作系統總線服務與應用安全的研究By 阮奐斌自我介紹About Me id：doudoudedi IoT漏洞挖掘 CTF 業余愛好者 二進制安全研究者研究動機01目標選擇02系統初探03提權與RCE04好奇與機遇大概是在2022年的某一個月，我同事參加了虎符CTF，并且進入了線下賽賽制是PKS（針對麒麟操作系統安全機制繞過）有一些挑戰需要權限提升AWDP （CTFer 應該比較熟悉）針對國產操作系統的安全性研究的師傅好像不多，但是它同樣有研究的價值我想在這次研究中提高自身能力提高自己的代碼審計能力檢驗逆向能力能否支撐起我的代碼審計發現漏洞，后續利用的能力研究動機國產操

2、作系統（我主要研究了前兩者）目標選擇銀河麒麟（KylinOS）原是在“863計劃”和國家核高基科技重大專項支持下，國防科技大學研發的操作系統。UOS 由深度操作系統為基礎，經過定制而來的產品?？紤]到后者是基于 Linux 的國產操作系統的一員。華為鴻蒙系統（HUAWEI Harmony OS），是華為公司在2019年8月9日于東莞舉行的華為開發者大會（HDC.2019）上正式發布的操作系統。銀河麒麟操作系統目標系統鏡像：Kylin-Desktop-V10-Release-2203-x86_64操作環境：Vmware Workstation（有條件的同學可以用真機）一路安裝我成功啟動了麒麟操作系

3、統系統初探安裝與系統經過系列操作系統我發現，這款桌面級的操作系統底層是linux，類似于debian，可以執行apt等命令（PWN手狂喜）系統初探相較與正常的開源ubuntu，多了很多麒麟生態的軟件。內核:Linux文件系統：ext4查閱漏洞報告系統初探研究第一步永遠都是查資料，于是我開始查閱此款操作系統的歷史漏洞與漏洞報告，不知是不是國產的原因，網上的信息寥寥無幾https:/ 但是我需要攻破的是最新版本，它修復了此CVE，但是它給了我信心，依然相信還有其它方法可以導致提權于是同事與我們把關注點放到了麒麟系統的DbusDbus簡介系統研究D-Bus 分為兩個主要的總線：系統總線（System

4、 Bus）：用于系統級的服務，比如硬件狀態改變或者系統守護進程。會話總線（Session Bus）：用于用戶會話內的進程通信，通常是一個用戶登錄會話中運行的應用程序間的通信。D-Bus 的設計遵循最小的原則，只提供必要的功能，以降低開銷并保持接口簡潔。它在Linux系統中被廣泛應用，是現代Linux桌面環境和系統服務的核心組件之一。KylinOS特有的Dbus服務系統研究如果服務被注冊進Dbus系統總線那么在/etc/dbus-1/system.d/會存在對應的文件，我嘗試列出kylinOS的此目錄進行查看發現了一些有趣的服務，麒麟系統的開發者似乎自己開發一些服務注冊到了Dbus總線上安裝測試

5、工具d-feet列出所有的會話總線與系統總線，相對于會話總線我們應該對系統總線更加感興趣，因為那意味這進程的權限更高，然后嘗試過濾kylinOS特有的總線服務Dbus服務的Interface與Method系統研究在測試Dbus總線中的服務時，我們要關注的是對象路徑、interface、method。Interface（接口）接口定義了一組可以調用的方法（以及發出的信號和可以訪問的屬性）。Method（方法）方法是在接口中定義的操作，它可以被調用來執行特定的任務簡單來講Method就是功能的實現Dbus通信數據系統研究由于Dbus是為應用程序與服務間通信服務的，所以底層并不是使用的傳統的TCP/

6、IP流量，而是本地的進程通信的協議（IPC）。它使用的通信方式不依賴于網絡協議，而是依賴于本地系統上的消息總線。它允許不同進程之間通過消息來交換數據，而不需要經過網絡堆棧。最終我們使用bustle將通信的數據捕獲并放入了wireshark進行分析系統研究endianness 機器的大小端信息機器的大小端信息Methcall 指明D-Bus消息的類型。在這個例子中，是“Method call”（方法調用），表示客戶端正在請求服務執行一個操作。Message Flags 提供消息的詳細信息，如是否期望回復。Protocol Version 正在使用的D-Bus協議的版本。Message Body

7、Length 消息體的字節長度。Message Serial 消息的唯一標識符。Header Field Array 消息的詳細信息Body 消息的正文Dbus協議的結構系統研究Dbus通信協議結構Dbus通信協議的結構中比較重要的兩個地方是，消息的詳細信息與消息的正文（這段流量是麒麟系統的軟件商店中安裝“華宇拼音”產生的）Dbus通信協議的Header Field ArraynPath（路徑）：方法調用的目的地路徑。nDestination（目的地）：消息發送到的服務的唯一名稱。nInterface（接口）：方法調用所屬的接口。nMember（成員）：正在被調用的特定方法。nSignatur

8、e（簽名）：方法參數的數據類型簽名。nSender（發送者）：消息發送者的唯一名稱。Dbus通信協議的Body，消息中發送的實際數據。包含方法調用的參數?？蛻舳税l送的數據KylinOS特有的Dbus服務系統研究再舉個列子：當我們打開麒麟的安全中心開啟或者關閉一些保護，那么軟件就會向Dbus系統總線中已經注冊服務的接口的對應Method發送信息監聽安全中心應用與Dbus總線的傳遞的數據KylinOS特有的Dbus服務系統研究通過系統應用向Dbus的系統總線服務中發送消息是正常流程，但如果需要測試系統總線中的服務，那么最好是使用過三方工具或者代碼的方式進行發送消息。使用python腳本的形式使用d

9、-feet工具關于Dbus的歷史漏洞一番尋找與搜索，找到一些Dbus相關的漏洞CVE-2021-3560漏洞存在于系統服務Polkit中，同時因為Polkit被Systemd所調用，因此所有默認安裝了Systemd的Linux發行版都會使用Polkit。該漏洞的成因是執行dbus-send命令后在認證完成前強制終止引發錯誤，而Polkit未正確處理錯誤而導致允許無特權的用戶添加一個sudo用戶進行權限提升。）USBCreator D-Bus漏洞（攻擊者利用該漏洞可以繞過sudo的密碼安全策略以sudoer組用戶權限訪問。漏洞允許攻擊者以root權限用任意內容覆寫任意文件。）讀完詳細文章后大概對

10、dbus相關漏洞可能出現的攻擊面點有了一定的了解，嘗試對麒麟系統特有的Dbus總線服務進行漏洞挖掘系統研究未授權訪問？提權我們將注冊進Dbus系統總線的服務對應的二進制文件與python源文件列出與取出，然后進行代碼審計于是我們發現在銀河麒麟操作系統中存在一些服務，比如kysec，應用中心，系統更新等系統級的服務被注冊到系統總線上，但是其功能實現并沒有做完整的鑒權，導致普通用戶可以去調用系統級的服務，這將導致權限提升等系列影響。比如：在控制中心相關的Dbus系統總線服務它的接口中的設置默認登入功能方法沒有做鑒權，普通用戶可以將root用戶設置為默認登入且不需要密碼通過d-feet向服務發送消息

11、未授權訪問？命令注入？提權！提權在銀河麒麟2203的操作系統中的更新管理服務以python-dbus方式注冊到了Dbus系統總線中，但是安裝本地snap包的方法沒有鑒權，且存在命令注入，這將導致權限提升。于是通過此漏洞完成了比賽的挑戰。這里最終提權使用的是用命令篡改/etc/sudoer，來使用sudo提權接口替換為存在漏洞的接口，然后執行存在漏洞的method即可觸發關于漏洞的思考與總結提權在發現漏洞與漏洞完成利用之后，我們發現總的來說kylinOS與UOS自研Dbus總線服務大致分有三種開發框架python-dbusQtDbusgo（https:/ 人工審計再次介入，我發現了程序是基于Qt

12、開發的，底層走的是TCP與UDP發送數據，通過gdb等調試工具我定位到了漏洞觸發的地方，對其抓包，使用wireshark捕獲了TCP流量，然后使用socket或者pwn等模塊腳本構造惡意TCP流量達到了遠程命令執行（由于可以匿名發送消息所以漏洞是無需認證的）RCE麒麟傳書（漏洞二）RCE“麒麟傳書”在發送文件以及消息后再查找歷史記錄的功能中，一旦記錄中有存在帶有惡意命令的惡意文件，便可能主動觸發命令的執行。如果用戶接收到了惡意文件并點擊歷史記錄就會主動觸發命令執行以上便可以形成一條利用鏈從RCE到提權，同時上面提及的漏洞官方大部分都已經修補（未修復的漏洞請不要進行非法利用）漏洞公開信息綜上所訴，我們在對國產桌面級的操作系統的Dbus總線服務與應用程序進行了安全測試，總結如下兩點：u 國產操作系統的自研的Dbus系統總線服務存在安全隱患u 國產操作系統的生態軟件可能被用于攻擊利用要點總結THANKS