让我们记住我们即将要做的事情
多年来,“越狱”的含义略有变化,从解锁运营商到获取文件系统访问权限等。然而,它的核心仍然保持不变。现代任何一种越狱都需要具备以下基本要素:
- 未签名代码执行: 让系统安静下来,停止要求为我们想要执行的每个操作进行证书签名
- 提权,通常为以root(最高特权)用户身份执行代码和减少沙箱限制
- 对文件系统根目录的读写访问权限
从技术上讲,直到iOS 10.3.3(不包括Meridian)的所有越狱都通过修补内核来实现这些功能。对于未签名代码执行,他们会修补AMFI(AppleMobileFileIntegrity)以允许伪签名二进制文件(未经有效证书签名的文件)运行,他们会修补沙箱操作以允许任何进程能够查看和加载调整(Tweak),通过修复文件访问和内存映射限制,然后他们必须进行一个挂载修补程序,以允许将根分区重新安装为读写模式。有不同的方法来重新安装根分区。为了帮助理解这一点,我们必须了解我们稍后将讨论的检查过程。
我们能做什么和不能做什么
首先让我们考虑自iOS 9以来最大的敌人:KPP(Kernel Patch Protection)。 KPP每隔几分钟检查内核是否发生更改,当设备处于空闲状态时。这种“偶尔检查”的安全措施听起来并不好,实际上Luca Todesco发布了一个完全绕过它的方法,它涉及到设计缺陷。 KPP并不能阻止内核修补;它只是不断地检测修补,并在捕获到修补时恢复内核。然而,既然我们仍然可以进行修补,这就为竞争条件提供了机会。如果我们足够快地执行操作并撤消,KPP就不会知道任何事情。
简而言之,对于每个内核修补,聪明的Luca Todesco会创建内核页面的副本,并将执行重定向到那里,进行修补并让KPP检查未经修改的原始页面!(有关更详细和详细的说明,请查看Jonathan Levin的文章)
然而,当这个绕过方法发布时,苹果已经克服了这个问题,他们引入了KPP的弟弟:KTRR(Kernel Text Read-Only Region)。注意“只读”,苹果摆脱了常规检查,他们在硬件层面上添加保护,将某些内存映射为只读。这一次没有竞争的能力,KTRR根本不会让你写任何东西。同样的Luca Todesco发布了一个部分绕过方法,但很快就被修补了,在iOS 10.2中。
那现在该怎么办呢?没有绕过方法?没有内核补丁。但是确切的补丁是什么呢?嗯...是的,KPP和KTRR应该保持内核不变,但是如果程序的内存100%静态,它能够工作吗?无法写入内存=无法存储任何类型的可变数据。因此,明显的结论是这些机制仅保护内核的特定部分,它们保护执行的代码和常量数据,这些数据不需要更改,但它们保留了可变数据的可写性。
偏移量
在内核中,我们必须手动计算结构体的偏移量。这可以通过多种方式完成。我们可以手工计算它们,我们可以反汇编引用这些结构成员的函数,或者我们还可以从XNU源代码中获取头文件(需要感谢苹果公司开源),并尝试将它们包含到可编译的项目中,在那里只需使用内置函数'offsetof(struct type, member)'即可。
#反汇编
- 在XNU开源功能中找到所需的struct成员的引用
- 使用Apple File Conduit“2”或Cyberduck从设备上获取kernelcache,然后使用lzssdec对其进行解压缩(更新:在iOS 12中,您需要从ipsw / OTA软件包中获取它;不再具有对kernelcache的读取访问权限)
- 将其放入Hopper等反汇编器中
- 找到相同的开源函数(如果找不到,则不是所有内容都已标记,查找另一个)
- 找到相同的引用,这种情况下不会像“struct.member”或“struct->member”那样,而是像我在以前的示例中展示的那样,使用指针,就像这样“*(struct+offset)”
#手动查找偏移量:
- 首先,按苹果公司的要求导航到XNU源代码
- 找到所需的头文件
- 计算目标之前的所有内容的大小
- 如果有一种类型您实际上不认识,您需要找到该类型的定义位置,通常只需使用google搜索“typedef unknown_type”即可:P
- 这是您的偏移量
#包含标头
- 创建一个标头,并从XNU源代码的标头中复制结构定义,
- 还添加您可能会在其他标头中找到的所有类型定义(-_-)
- 在项目中包含标头,然后执行offsetof(struct,member)
让我们开始自己打补丁...
因此,您可以开始的最基本的事情是获取root权限。我们所有的进程信息都存储在所谓的“proc structs"中(如XNU头文件中所示)。获得root权限将被认为是一项简单的任务,我们只需要在内核中覆盖用户ID。不要迷失方向,p_uid成员并不重要,实际使用的用户ID存储在另一个结构体中,即存储凭据的“struct ucred”(头文件)中。
ucred结构体本身是proc结构体的一个成员(对“struct ucred”的指针也称为“kauth_cred_t”)。
因此,简而言之:
- 在内核中找到我们的proc结构https://opensource.apple.com/source/xnu/xnu-2422.1.72/bsd/sys/proc_internal.h
- 从那里计算ucred结构
- 计算其中的cr_uid(以及存储我们用户ID副本的所有内容)(如果您想要“wheel”组ID,则可以选择cr_gid)
- 将它们中的所有内容写入0
为了在内核中找到proc结构,我们可以使用补丁查找或符号查找(_kernproc符号)来找到“allproc”或“kernproc”。从那里开始迭代并检查pid。
如果我们选择第一种方式:
- 找到allproc
- 从中读取8个字节
- 结果是最新生成的进程的proc结构
- 从那里开始遍历所有结构。proc结构的第一个成员(与结构本身位于同一地址)将指向先前生成的进程。
- 如果pid==getpid(),则我们找到了我们的proc结构。 pid可以从proc结构的偏移量0x10(16字节)处找到
如果我们选择第二种方式:
- 找到_kernproc符号(更新:在iOS 12上,某些设备获得了0个符号,因此这可能不是未来的选项)
- 从中读取8个字节
- 结果是内核proc结构,即第一个进程
- 从那里开始遍历所有结构。proc结构的第二个成员(因为64位指针占用8个字节,第二个成员在结构的地址+第一个成员的大小处;因此地址+8个字节)将指向下一个进程。
- 如果pid == getpid(),则我们找到了我们的proc结构。