iOS冰与火之歌(番外篇) - 基于PEGASUS(Trident三叉戟)的OS X 10.11.6本地提权

最新推荐文章于 2024-05-15 09:40:20 发布
最新推荐文章于 2024-05-15 09:40:20 发布
阅读量1k 收藏
点赞数
分类专栏: ios安全 文章标签: ios apt攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AliMobileSecurity/article/details/52701802
版权
本文深入剖析了iOS PEGASUS(Trident三叉戟)0day漏洞,特别是如何在OS X 10.11.6上利用CVE-2016-4655和CVE-2016-4656进行本地提权。通过内核信息泄露和内核代码执行,配合ROP链实现root权限获取。
摘要由CSDN通过智能技术生成

0x00 序

这段时间最火的漏洞当属阿联酋的人权活动人士被apt攻击所使用的iOS PEGASUS(又称Trident三叉戟)0day漏洞了。为了修复该漏洞,苹果专门发布了一个iOS 9.3.5版本。这个漏洞的厉害之处在于可以直接从沙盒内对内核进行攻击(无需沙盒逃逸),并且同时影响iOS(9.3.4)和OS X (10.11.6)。因此,本篇文章将会从PEGASUS漏洞形成的原因开始分析,然后一步一步教大家写出OS X上利用PEGASUS提权的攻击代码

《iOS冰与火之歌》这一系列文章的目录如下:

  1. Objective-C Pwn and iOS arm64 ROP

  2. 在非越狱的iOS上进行App Hook(番外篇)

  3. App Hook答疑以及iOS 9砸壳(番外篇)

  4. 利用XPC过App沙盒

  5. UAF and Kernel PWN

  6. 基于PEGASUS(三叉戟)的OS X 10.11.6本地提权 (番外篇)

另外文中涉及代码可在我的github下载: https://github.com/zhengmin1989/iOS_ICE_AND_FIRE

0x01 漏洞分析

PEGASUS(三叉戟)实际上是由三个漏洞组成,分别是:

CVE-2016-4657:Safari的Webkit内核上的内存破坏漏洞。

CVE-2016-4655:内核信息泄露漏洞,可用于绕过KASLR。

CVE-2016-4656:内核UAF漏洞,可用于控制内核并执行任意代码。

关于CVE-2016-4657目前还没有公开的资料,但Stefan Esser和Pangu分别爆出了另外两个漏洞CVE-2016-4655和CVE-2016-4656的细节。利用已经曝光的这两个漏洞,其实已经可以做到iOS非完美越狱和OS X本地提权了。下面我们就来讲解一下这两个漏洞形成的原因以及如何利用。

0x02 CVE-2016-4655 内核信息泄露

CVE-2016-4655这个漏洞形成的原因是内核在序列化和反序列化OSNumber的时候没有验证长度的正确性。因此,如果我们将number的长度设置的非常长,并用io_registry_entry_get_property()去获取number数据的话,就会造成内核的信息泄露。

最低0.47元/天 解锁文章
阿里安全
关注
专栏目录
iOS三叉戟漏洞补丁分析、利用代码 公布(POC)
SAKAISON的博客
09-03 2002
1.介绍 2016年8月25日,针对最近出现的iOS监视工具PEGASUS,苹果发布了重要的安全更新:iOS 9.3.5。与之前发现的iOS恶意软件不同,这个工具包使用了三个不同的iOS 0 day漏洞,可以让所有打了补丁(iOS 9.3.5之前的版本)的iOS设备妥协。不幸的是,有关这些漏洞的公开信息很少,这是因为Citizenlab and Lookout (漏洞发现者)和苹果已经决
蒸米-XcodeGhost事件全程回顾
10-20
该文档来自MDCC 2015中国移动开发者大会。蒸米发表了题为“XcodeGhost事件全程回顾”的主题演讲,欢迎下载!
iOS“远程越狱”间谍软件Pegasus技术分析
Osumail的博客
05-07 1899
关注我的博客,访问更多内容! 背景:通过研究发现,用户点击短信内的链接后,攻击者就会利用3个0day漏洞,对用户手机“远程越狱”,然后安装间谍软件,随后就能对设备进行全面控制,还能获取设备中的数据,通过麦克风监听对话,跟踪即时通讯应用的对话内容等。 PEGASUS(三叉戟攻击影响的系统范围非常广泛,从iOS 7.0以上直至8月8日发布的9.3.4都受到波及。 攻击过程: 攻击共分为三个阶段: ...
探索移动安全边界:《iOS火之歌》开源项目推荐
最新发布
gitblog_00006的博客
05-15 284
探索移动安全边界:《iOS火之歌》开源项目推荐 项目地址:https://gitcode.com/zhengmin1989/iOS_ICE_AND_FIRE 1、项目介绍 在信息安全的世界里,有一个独特的角落,名叫《iOS火之歌》。这不仅仅是一篇文章,而是一个深度探索iOS系统安全的开源项目,由知名安全研究者蒸米spark倾力打造。这个项目通过一系列的技术教程,引领读者从用户态的“”深入...
《HarmonyOS开发 – OpenHarmony开发笔记(基于小型系统)》第1章 OpenHarmony与Pegasus物联网开发套件简介
不问归期的博客
05-28 1054
1.1 OpenHarmony简介 OpenHarmony是由开放原子开源基金会(OpenAtom Foundation)孵化及运营的开源项目,目标是面向全场景、全连接、全智能时代,基于开源的方式,搭建一个智能终端设备操作系统的框架和平台,促进万物互联产业的繁荣发展。OpenHarmony可以说是一种新的平台,采用分层思想,从下向上依次为:内核层、系统服务层、框架层和应用层。 内核层::采用多内核(Linux内核或者LiteOS)设计,支持针对不同资源受限设备选用适合的OS内核。 驱动子系统:驱动框架(H
iOS火之歌番外篇 - 基于PEGASUS的OS X 10.11.6本地提权1
08-08
在描述中提到的“iOS火之歌”系列文章,主要关注iOSOS X的安全问题,包括Objective-C编程、App Hook技术、XPC沙盒穿越、内核利用等。这一篇是关于PEGASUS漏洞的详细分析和利用。 首先,我们要了解PEGASUS...
swift-通过PEGASUS提升OSX10.11.6本地权限
08-14
本文将详细探讨如何通过PEGASUS工具来提升OS X 10.11.6系统的本地权限,从而深入理解这一过程中的技术细节和潜在的安全风险。 首先,我们需要了解PEGASUS。PEGASUS是一个已知的安全漏洞利用工具,它被设计用来攻击...
iOS游戏应用源代码——jonathanellis-pegasus-11680fc.zip
07-05
iOS游戏应用源代码解析——jonathanellis-pegasus-11680fc.zip》 在iOS开发领域,源代码是开发者洞察应用程序工作原理、学习新技能和优化性能的重要工具。jonathanellis-pegasus-11680fc.zip是一个专门针对iOS...
基于IDEA-CCNL/Randeng-Pegasus-238M-Summary-Chines微调的中文文本摘要任务源码+数据集
04-26
标题中的“基于IDEA-CCNL/Randeng-Pegasus-238M-Summary-Chinese微调的中文文本摘要任务源码+数据集”表明这是一个利用IntelliJ IDEA开发的项目,它针对中文文本摘要任务进行了特定的模型微调。这里的关键词包括IDEA...
APT攻击基础科普
weixin_30552811的博客
12-21 5504
0x00 APT的历史起源背景 APT这个词汇最早起源于:2005年英国和美国的CERT组织发布了关于有针对性的社交工程电子邮件,放弃特洛伊木马以泄露敏感信息的第一个警告,尽管没有使用“APT”这个名字。但 “先进的持续威胁”一词被广泛引用,2006年的美国空军Greg Rattray上校经常被引用为创造该术语的个人。后来,在Stuxnet震网事件就是专门针对伊朗的核计划的黑客攻击就...
科普 | 你必须了解的漏洞利用缓解及对抗技术
AliMobileSecurity的博客
12-21 1357
本文简单介绍了android和ios中广泛使用的一些漏洞缓解及可能的绕过技术。也包含一些相关联的安全限制,而非真正意义的缓解技术。
移动APP外挂攻防实战
AliMobileSecurity的博客
01-25 1337
前言 近日,某某龙在2018年的一次会议上发表了一个演讲,4000多人聚集在现场玩“跳一跳”游戏。随着他们指尖的翻飞跳跃,大屏幕上的现场排名也在不断刷新……而在全场的惊叹声中,最高分出现了,967分!而这位最高分得主,就是某某龙本人。 在随后的演讲中,某某龙也表示,这款DAU在一点几个亿的小游戏,网上居然出现了非常多的外挂。笔者以“跳一跳”为关键词在全球最大的同性社交平台github上
《阿里聚安全2016年报》
AliMobileSecurity的博客
03-09 1323
阿里聚安全 2016 年报,展示了阿里聚安全在业务安全防控方面做的一些努力和观点,帮助企业在建设互联网业务安全时,考虑安全策略和防护应该往哪部分倾斜。
细数iOS上的那些安全防护
AliMobileSecurity的博客
08-24 1309
0x00 序随着苹果对iOS系统多年的研发,iOS上的安全防护机制也是越来越多,越来越复杂。这对于刚接触iOS安全的研究人员来说非常不友好,往往不知从何入手。因此,为了让大家能够更加系统性的了解iOS上的安全机制,我们从三个方面着眼:代码签名(CodeSign)、沙盒机制(SandBox) 和利用缓解(Exploit Mitigation),对iOS的系统安全机制做了一个总结。希望能够给大家的学习以
减小ipa体积之删除frameWork中无用mach-O文件
AliMobileSecurity的博客
04-14 1118
本文除了一些常规的方法之外, 还研究了一些有趣的新思路,抛砖引玉,希望大家能共同探讨!
黑云压城城欲摧 - 2016iOS公开可利用漏洞总结
AliMobileSecurity的博客
12-27 928
本报告总结了2016年比较严重的iOS漏洞(可用于远程代码执行或越狱),希望能够对大家移动安全方面的工作和研究带来一些帮助。
iOS PEGASUS漏洞详解:OS X 10.11.6本地提权与内核攻击
iOS火之歌番外篇——基于PEGASUS(Trident三叉戟)的OS X 10.11.6本地提权深入解析 这篇文章主要探讨了在iOS 9.3.4和OS X 10.11.6系统中出现的严重漏洞,即被称为PEGASUS或Trident三叉戟的漏洞。这一系列漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值