0x00 序
这段时间最火的漏洞当属阿联酋的人权活动人士被apt攻击所使用的iOS PEGASUS(又称Trident三叉戟)0day漏洞了。为了修复该漏洞,苹果专门发布了一个iOS 9.3.5版本。这个漏洞的厉害之处在于可以直接从沙盒内对内核进行攻击(无需沙盒逃逸),并且同时影响iOS(9.3.4)和OS X (10.11.6)。因此,本篇文章将会从PEGASUS漏洞形成的原因开始分析,然后一步一步教大家写出OS X上利用PEGASUS提权的攻击代码。
《iOS冰与火之歌》这一系列文章的目录如下:
Objective-C Pwn and iOS arm64 ROP
在非越狱的iOS上进行App Hook(番外篇)
App Hook答疑以及iOS 9砸壳(番外篇)
利用XPC过App沙盒
UAF and Kernel PWN
基于PEGASUS(三叉戟)的OS X 10.11.6本地提权 (番外篇)
另外文中涉及代码可在我的github下载: https://github.com/zhengmin1989/iOS_ICE_AND_FIRE
0x01 漏洞分析
PEGASUS(三叉戟)实际上是由三个漏洞组成,分别是:
CVE-2016-4657:Safari的Webkit内核上的内存破坏漏洞。
CVE-2016-4655:内核信息泄露漏洞,可用于绕过KASLR。
CVE-2016-4656:内核UAF漏洞,可用于控制内核并执行任意代码。
关于CVE-2016-4657目前还没有公开的资料,但Stefan Esser和Pangu分别爆出了另外两个漏洞CVE-2016-4655和CVE-2016-4656的细节。利用已经曝光的这两个漏洞,其实已经可以做到iOS非完美越狱和OS X本地提权了。下面我们就来讲解一下这两个漏洞形成的原因以及如何利用。
0x02 CVE-2016-4655 内核信息泄露
CVE-2016-4655这个漏洞形成的原因是内核在序列化和反序列化OSNumber的时候没有验证长度的正确性。因此,如果我们将number的长度设置的非常长,并用io_registry_entry_get_property()去获取number数据的话,就会造成内核的信息泄露。