盘古越狱工具在用户空间的行为

最新推荐文章于 2020-12-02 10:56:45 发布
最新推荐文章于 2020-12-02 10:56:45 发布
阅读量6.6k 收藏 4
点赞数 1
文章标签: ios jailbreak pangu userland 盘古
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/proteas/article/details/39350995
版权
本文详细解析了盘古越狱工具在用户空间的工作流程,包括安装辅助程序、利用iOS安装程序漏洞、构造环境执行dylib,以及安装Untecher和Cydia的过程。通过对关键文件的修改和竞态条件的利用,实现了越狱。
摘要由CSDN通过智能技术生成

背景知识

盘古在用户空间主要利用了iOS安装程序的一个漏洞,这里先列出安装一个应用的主要过程:


整个安装过程分为12个阶段,上图只是列出了起点、终点还是对盘古越狱来说比较重要的阶段。大家注意上图红线所示的时间区间,在这个区间内如果在“Staging Directory”中创建一个符号链接指向沙盒之外,就可以利用解压程序向系统目录写入文件。同时也可以通过控制压缩包中的文件列表,在起始处放一个大文件,从而在解压过程中创建一个符号链接。这是在盘古在安装过程中利用的主要漏洞,后面介绍的盘古在用户空间的行为基本都是围绕这个漏洞。

主要的组件

盘古主要由四部分组成,:
1、桌面程序:提供资源,控制越狱流程。
2、com.pangu.ipa1.ipa:Socket Server,与桌面程序配合制造竞态条件。
3、pangu.dylib,Socket Server,利用内核漏洞安装Untecher,Cydia等。
4、pangu.tar,Untecher
这里主要涉及的是前两个组件,及第三个组件中用户空间相关的部分。

工作流程

说明:为了验证自己的分析是正确的,用Python重新实现了盘古桌面程序的功能,利用盘古的Payload可以实现越狱,下面会在主要阶段给出相应示例代码。

阶段一:安装辅助程序,获取相关资源

1、安装com.pangu.ipa1.ipa

def install_pangu():
    lockdown = LockdownClient()
    afc = AFCClient(lockdown)
    mci = lockdown.startService("com.apple.mobile.installation_proxy")
 
    file_name = "com.pangu.ipa1.ipa"
    afc.set_file_contents("/PublicStaging/" + file_name, open("payload/" + file_name,"rb").read())
    mci.sendPlist({"Command":"Install", "PackageP
最低0.47元/天 解锁文章
Proteas
关注
苹果助手开发随笔系列:4、获取应用列表以及访问应用内共享目录
桑相
11-07 2115
作者:桑相 QQ:438788593 交流群:227246737[代码都是伪代码]// 启动对应的服务 HANDEL hServiceHandle = NULL; uint32_t fd; CFStringRef strServiceName = __CFStringMakeConstantString("com.apple.mobile.installation_proxy"); AMDevice
DCOM揭秘
天道酬勤
04-29 6083
http://www.pcdog.com/p/html/2004927/27920042820_1.htm Distributed COM --跨网络工作  DCOM代表的是“Distributed(分布式)”COM。在前面的部分中,我们已经讲解了运行在同一部计算机的COM客户和服务器。在这一部分,我们将讨论如何将它扩展到DCOM的领域和分布式计算。   大多数的COM编程者仅使用本地的“进程内”
iOS应用崩溃日志揭秘
热门推荐
cy-app
04-09 6万+
转自 http://www.raywenderlich.com/zh-hans/30818/ios应用崩溃日志揭秘 本文作者是 Soheil Moayedi Azarpour, 他是一名独立iOS开发者。 作为一名应用开发者,你是否有过如下经历? 为确保你的应用正确无误,在将其提交到应用商店之前,你必定进行了大量的测试工作。它在你的设备上也运行得很好,但是,上了应用商店后
iOS11上使用lldb调试APP
08-30 898
这里说的是使用Electra越狱iOS11设备,使用平常的方式是无法用debugserver调试的。这是由于Electra本身的原因,使用unc0ver越狱iOS11则没有此问题 1.获取一个签名的debugserver。如果手头没有,可以在iphone连接mac后,在iphone的/Developer/usr/bin/debugserver取到,将其放在/usr/bin/下。后面如果/usr...
关于开发ios instruments性能工具
aimsgmiss的专栏
11-27 3758
1、libimobiledevice原理是破解iTunes和iPhone通讯后,实现了该协议。iTools也是用这玩意; 1.1、通过使用make命令运行makefile文件,从而libimobiledevice整个工程编译成多个可执行文件, 拿到设备(uuid,设备名称,设备字符模型,cpu架构,网卡信息,系统版本等一切硬件信息)、对整个设备进行备份,获取时间,截屏,...
盘古越狱工具 v1.2.1 官方版.zip
07-12
盘古越狱工具iOS7.1.1完美越狱工具盘古”采用一键式越狱方式,具有中英文界面,同时针对中文进行主页面优化,更加贴合国内用户的需求和使用习惯。盘古越狱工具适配机型涵盖 iPad2/3/4、iPad Air、iPadMini、iPad...
盘古越狱工具
07-08
苹果IPHONE 4S上 7.1.1的系统的越狱工具~~~
盘古越狱软件
11-26
越狱软件,非常好用的
盘古分词 工具
01-15
盘古分词 简介: 盘古分词 是由eaglet 开发的一款基于字典的中英文分词组件 主要功能: 中英文分词,未登录词识别,多元歧义自动识别,全角字符识别能力 主要性能指标: 分词准确度:90%以上 处理速度: 300-600KBytes/s ...
iOS获取应用列表
itjobtxq的专栏
09-19 5481
首先本文所研究的必须在越狱的前提下。 ios中要列出已安装的软件目前有3中方法:(据我所知) 1.我之前的文章有2种方法获取,详情请移步: http://www.iloss.me/?p=844  2.用系统提供的函数,应该比上面2种方法要方便,安全,高效。(但据我测试系统的也是读取com.apple.mobile.installation.plist文件)  Mobile Install
ios越狱软件下载
Rcs007的博客
04-18 1399
官方越狱软件下载 本篇文章将开发者已公开的正版越狱工具的下载地址进行汇总。不提供,也不建议使用任何第三方企业签名在线安装,因为某些网站行为十分流氓,篡改越狱工具界面以及安装包,植入广告等等,影响用户设备安全! 说明:~符号代表从什么版本到什么版本。例如7.1~7.1.2,就代表7.1到7.1.2之间的所有版本都支持使用。X符号代表任意版本,例如7.1.X,就代表7.1.1、7.1.2都支持使用。P...
Apple的App Analytics统计平台你必须知道的Q&A整理与翻译
weixin_34006965的博客
05-06 574
Apple的App Analytics统计平台你必须知道的Q&A整理与翻译 Apple最近在iTunesConnect里最新发布了App Analytics统计平台,提供了现有友盟统计平台和自有统计平台无法统计的数据,具有自己的独有特点,尤其是下面几个最让人头疼的流量分析转化,可以在App Analytics里得以解决,例如: 推广链接转化 网站流量来源 由于苹果自己的统计...
iOS系统的底层通知框架库
weixin_33916256的博客
05-05 442
观察者模式 观察者模式是一种用于解耦一系列需要相互协作的类之间进行通信的对象行为模式。它定义了对象之间的一种一对多的依赖关系。当一个对象的状态发生改变时,所有依赖于它的对象都将得到通知。观察者模式的实现一般分为两个步骤:消费者注册通知消息监听器、生产者发送通知消息。 iOS系统提供了多种对观察者模式的实现:在Cocoa Touch层通过NSNotification类和NSNotificationC...
苹果助手开发随笔系列:3、后续功能所需要的服务
桑相
11-07 2664
作者:桑相 QQ:438788593 交流群:227246737// 启动服务__CFStringMakeConstantString // 构造后续函数所需要的字符串类型的参数AMDeviceSecureStartService(hDevice, CFStringRef, NULL, &hServiceHandle) AMDServiceConnectionGetSocket(hServiceHa
Appium XCUITest Driver 真机配置WebDriverAgent-1.15.1版本更新后
yinshuilan的专栏
12-02 2079
安装依赖 从Appium 1.15.0开始, Appium 连接真机通过appium-ios-device. 大家不再需要安装额外的依赖。 XCUITest driver 在设备上安装了一个叫做WebDriverAgent-Runner的helper应用, 通过它来控制测试的应用程序。虽然这在理论上很简单,但是code signing and provisioning applications for development and testing环节会有点头疼。 请确保被测试的设备连接上Xcode没
解决 iOS 12.4 Killed: 9 的问题
十年磨一剑,霜刃未曾试!
09-21 4221
解决 iOS 12.4 Killed: 9 的问题 随着 iOS 12.4 的越狱出来之后,不少人的手机都升级到 12.4,最近我也在使用 12.4 做调试机,一开始 debugserver 也遇到一些坑,不过好在都解决了。最后剩下一个很头疼的问题,就是自己写的 App 上传到手机 /Applications 目录下,发现既然不能运行,提示 Killed: 9。 按照老套路,使用 codesign...
盘古大模型用户注册使用
最新发布
02-17
盘古大模型是一个基于人工智能技术的对话模型,可以用于自然语言处理和对话生成任务。用户可以通过注册和使用盘古大模型来进行...3. 在使用盘古大模型时,需要遵守相关法律法规和平台规定,不得进行违法违规的操作。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值