Pwn2own 2022 Tesla 利用链 （ConnMan 堆越界写 RCE）

• Opening the doors and windows 0-click RCE on the Tesla Model3
• HEXACON2022 - 0-click RCE on the Tesla Model 3 by David Berard & Vincent Dehors

漏洞分析

ConnMan 处理 WIFI Portal 时的堆越界写，这部分协议特性称作：WISPR

WISPR 特性和漏洞：

​​

​​

‍
Exploit 使用的漏洞为 CVE-2022-32292， count 和 pos 的计算有问题导致会修改相邻内存块中的 \x0a --> \x00

​​

‍

漏洞利用

堆布局原语：利用 http header 作为内存申请和释放原语
​​

信息泄露

思路： byte 越界写 --> 劫持指针 --> DOUBLE FREE --> 1'st free & realloc with dhcp --> 2'st free && write libc ptr to dhcp mem --> leak.

​​

1. 通过布局让 receive_buffer 后面跟着一个 hashtable.values 指针数组，利用漏洞修改指针的 \x0a --> \x00，让两个指针指向同一块内存。

   1. ​​

2. 然后用 dhcp hostname 占位重叠内存。

3. 利用 hashtable.values 的引用释放 hostname 所在内存，将块放到 unsorted bin --> 写入 libc 地址到 hostname

   1. ​​

4. dhcp 返回 hostname 给攻击者

代码执行

‍

方案一 （LIBC 2.29）

构造重叠堆块，然后劫持 tcache next 指针，任意地址写。

​

‍
​​​​

方案二 （LIBC 2.34）

劫持其他函数指针.

​​

‍

发送 CAN 报文

connman 可以用 raw socket 发送 can 报文，实现特定功能。

​​

‍

本栏目推荐文章
• AtCoder World Tour 2022 B The Greatest Two
• 2021-2022 ICPC Northwestern European Regional Programming Contest (NWERC 2021)
• 多态和虚函数 [补档-2022-10-23]
• 深拷贝和浅拷贝的问题 [补档-2022-10-22]
• P8368 [LNOI2022] 串
• origin2022导出图有水印
• 【专题】2022云上新型电力系统报告PDF合集分享（附原数据表）
• 2022 Jiangsu Collegiate Programming Contest
• VS2013项目升级VS2022
• Visual Studio 2022密钥

Pwn2own ConnMan Tesla 2own 2022pwn2own connman tesla 2own 摘要pwn2own tesla 2own pwn2own 漏洞pwn2own austin cisco connman 2own tesla 管理工具buildroot connman工具 显卡centos系统tesla wanna_pwn wanna 2own pwn