iOS 冰与火之歌 - 利用 XPC 过 App 沙盒

最新推荐文章于 2023-01-10 21:00:00 发布
最新推荐文章于 2023-01-10 21:00:00 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: Python iOS开发 iOS逆向 iOS学习 iOS移动开发 文章标签: iOS逆向 iOS学习 iOS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41597968/article/details/79585634
版权
本文深入探讨了如何利用XPC服务在非越狱的iOS设备上突破App沙盒,通过分析Com.apple.networkd服务的Object Dereference漏洞,展示了构造fake Objective-C对象、堆喷和ROP链技术,实现对其他进程的控制,执行system指令。文章详细阐述了堆喷技术以及如何通过XPC进行沙盒逃逸,揭示了iOS安全的潜在风险。
摘要由CSDN通过智能技术生成

蒸米是阿里巴巴的移动安全工程师,香港中文大学博士,也是发现并命名了XcodeGhost的人。这次他所在的iOS安全小组发现了影响最新版iOS 9.3的0day漏洞。此漏洞杀伤力巨大,在非越狱手机上一个app应用可以利用这个漏洞做到读取或者修改沙盒外其他app的文件(照片,聊天记录等)。

蒸米并未利用此漏洞牟利,而是先公开DEMO,然后再提交给苹果,然后再一点点介绍技术细节。等最终完整的技术细节出来的时候,这个漏洞应该已经无法有什么实质性的危害了。


这,就是一个「白帽子」的职业操守和理想。


感谢蒸米的分享和授权,本文的所有打赏归蒸米所有,以下是文章正文。




在这里我还是要推荐下我自己建的iOS开发学习群:680565220,群里都是学ios开发的,如果你正在学习ios ,小编欢迎你加入,今天分享的这个案例已经上传到群文件,大家都是软件开发党,不定期分享干货(只有iOS软件开发相关的),包括我自己整理的一份2018最新的iOS进阶资料和高级开发教程

0x00 序

冰指的是用户态,火指的是内核态。如何突破像冰箱一样的用户态沙盒最终到达并控制如火焰一般燃烧的内核就是《iOS 冰与火之歌》这一系列文章将要讲述的内容。这次给大家带来的是利用 XPC 突破 app 沙盒,并控制其他进程的 pc(program counter)执行 system 指令。

《iOS 冰与火之歌》系列的目录如下:

  1. Objective-C Pwn and iOS arm64 ROP

  2. 在非越狱的 iOS 上进行 App Hook(番外篇)

  3. App Hook 答疑以及 iOS 9 砸壳(番外篇)

  4. 利用 XPC 过 App 沙盒

  5. █████████████

另外文中涉及代码可在我的 github 下载:
https://github.com/zhengmin1989/iOS_ICE_AND_FIRE

0x01 什么是 XPC

在 iOS 上有很多 IPC(内部进程通讯) 的方法,最简单最常见的 IPC 就是 URL Schemes,也就是 app 之间互相调起并且传送简单字符的一种机制。比如我用[[UIApplication sharedApplication] openURL:url]这个 api 再配合 “alipay://“, “wechat://” 等 url,就可以调起支付宝或者微信。

今天要讲的 XPC 比 URLScheme 要稍微复杂一点。XPC 也是 iOS IPC 的一种,通过 XPC,app 可以与一些系统服务进行通讯,并且这些系统服务一般都是在沙盒外的,如果我们可以通过 IPC 控制这些服务的话,也就成功的做到沙盒逃逸了。App 在沙盒内可以通过 XPC 访问的服务大概有三四十个,数量还是非常多的。

想要与这些 XPC 服务通讯我们需要创建一个 XPC client,传输的内容要与 XPC service 接收的内容对应上,比如系统服务可能会开这样一个 XPC service:


                

        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  火邑
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
macOS 开发 - XPC

				
			

			

				

					AI + 工程
				

				

					04-25
					
					1480
					
				

			

		

		

			
				
文章目录一、引言二、进程间通信 IPC 与 XPC三、XPC 相关 API1、XPC Services API (C)2、the NSXPCConnection API. (OC)四、使用方法1、使用 Xcode 添加 XPC 服务2、自己创建 NSXPC3、smjobbless + xpc4、两个project 之间的通信(NSXPC)五、参考

一、引言
使用 xcode 进行编译的时候,有时...

			
		

	



                

              
                



	

		

			

				
					
iOS火之歌番外篇 - 基于PEGASUS的OS X 10.11.6本地提权1

				
			

			

				

					08-08
				

			

		

		

			
				
在描述中提到的“iOS火之歌”系列文章,主要关注iOS和OS X的安全问题,包括Objective-C编程、App Hook技术、XPC沙盒穿越、内核利用等。这一篇是关于PEGASUS漏洞的详细分析和利用。  首先,我们要了解PEGASUS...

			
		

	



                


  
              

                


	

		

			

				
					
ios进程间通信问题之二----XPC

				
			

			

				

					coder
				

				

					04-06
					
					1万+
					
				

			

		

		

			
				
原文地址:http://objccn.io/issue-14-4/




关于 XPC


XPC 是 OS X 下的一种 IPC (进程间通信) 技术, 它实现了权限隔离, 使得 App Sandbox 更加完备.

首先,XPC 更多关注的是实现功能某种的方式,通常采用其他方式同样能够实现。并没有强调如果不使用 XPC,无法实现某些功能。

XPC 目的是提高 App

			
		

	





	

		

			

				
					
linux 进程亲缘性,深入浅出iOS系统内核(2)— 进程调度

				
			

			

				

					weixin_32367041的博客
				

				

					04-28
					
					550
					
				

			

		

		

			
				
本文参考《Mac OS X and iOS Internals: To the Apple’s Core》 by Jonathan Levin文章内容主要是阅读这本书的读书笔记,建议读者掌握《操作系统》,了解现代操作系统的技术特点,再阅读本文可以事半功倍。虽然iOS系统内核使用极简的微内核架构,但内容依然十分庞大,所以会分系统架构、进程调度、内存管理和文件系统四个部分进行阐述。1 进程进程是独立运...

			
		

	



		

			
		



	

		

			

				
					
从底层分析一下存在跨进程通信问题的 NSUserDefaults 还能用吗?

				
			

			

				

					Z1591090的博客
				

				

					09-02
					
					826
					
				

			

		

		

			
				
前言
字节团队最近分享的 iOS 稳定性问题治理:卡死崩溃监控原理及最佳实践 提到:NSUserDefaults 底层实现中存在直接或者间接的跨进程通信,在主线程同步调用容易发生卡死。
随之而来的问题就是:NSUserDefaults 还能用吗?
经过对底层分析后,笔者的研究结论是:可以在理解 NSUserDefaults 的特性后再使用。
一、NSUserDefaults 是什么?
NSUserDefaults 是 iOS 开发者常用的持久化工具,通常用于存储少量的数据
示例:
NSUserDefault

			
		

	





	

		

			

				
					
iOS Abort 问题系统性解决方案

				
			

			

				

					weixin_52460277的博客
				

				

					07-01
					
					818
					
				

			

		

		

			
				
一、背景
崩溃(Crash),即闪退,多指移动设备(如 iOS、Android 设备)在打开/使用应用程序的过程中,突然出现意外退出/中断的情况。如果 App 线上版本频繁发生崩溃,会极大地影响用户体验,甚至导致用户流失,以及收益减少。因此,崩溃问题是客户端稳定性团队需要重点解决的问题。
然而,对于所有崩溃场景,仅 25%的崩溃可通过信号量捕获,实施相应改进;另有 75%的崩溃则难以识别,从而对 App 的用户体验,造成了巨大的潜在影响。1111111.png
Facebook 的工程师将 App 退出分为

			
		

	





	

		

			

				
					
iOS 消息转发流程

				
			

			

				

					huang413的专栏
				

				

					08-05
					
					372
					
				

			

		

		

			
				
我们在消息查找流程里面 ,经过了cache的快速查找和methodlist的慢速查找都找不到方法后:那么,在lookUpImpOrForward里面就来到

1.方法动态决议resolveInstanceMethod

// No implementation found. Try method resolver once.



  if (slowpath(behavior & LOOKUP_RESOLVER)) {

    behavior ^= LOOKUP_RESOLV...

			
		

	





	

		

			

				
					
matlab开发-用xpctarget测量时钟抖动

				
			

			

				

					08-22
				

			

		

		

			
				
在MATLAB开发环境中,针对“matlab开发-用xpctarget测量时钟抖动”这一主题,我们将深入探讨如何利用MATLAB的XPC(eXtended Processing and Control)工具箱来测量计算机(PC)时钟的抖动。时钟抖动是数字系统中的一...

			
		

	





	

		

			

				
					
matlab开发-inliningparameters与xpctarget一起使用

				
			

			

				

					11-14
				

			

		

		

			
				
总结来说,"matlab开发-inliningparameters与xpctarget一起使用"的主题着重于如何利用MATLAB的内联参数优化和xPC Target相结合,来提升实时控制系统的代码性能。这包括理解内联参数的工作原理,如何通过`...

			
		

	





	

		

			

				
					
xpc实用教材系统实时仿真开发环境与应用-XPC-CD启动盘制作.docx

				
			

			

				

					08-13
				

			

		

		

			
				
《XPC实用教材:系统实时仿真开发环境与应用——XPC-CD启动盘制作》  在MATLAB的仿真环境中,XPC(eXternal Processing Connection)是一种强大的工具,它允许用户在硬件上运行MATLAB Simulink模型,实现硬件在环...

			
		

	





	

		

			

				
					
IOS底层原理之动态转发流程

				
			

			

				

					weixin_40808615的博客
				

				

					07-07
					
					471
					
				

			

		

		

			
				
前言
在上一篇文章中,我们讲述了快速查找流程,接着向下探究
一、instrumentObjcMessageSends辅助分析方法的介绍
作用: 可以打印出指定区域内调用的所有的方法
@interface MHPerson : NSObject
{
    NSString * newName;
    NSObject * objc;
}

@property(nonatomic,strong)NSString * hobby;
@property(nonatomic,  copy)NSString * n

			
		

	





	

		

			

				
					
iOS15 安全漏洞分析:价值10万美元的漏洞曝光

					
最新发布

				
			

			

				

					GJ_ia的博客
				

				

					01-10
					
					367
					
				

			

		

		

			
				
大家好,今天我们一起来吃一个苹果系统漏洞的大瓜!吃完瓜,相信有很多漏洞,没有被披露出来!或者被某些人发现了!关于苹果有漏洞赏金计划,小编这里就不评论了,除了其它大企业都有类似的计划,对于安全研究员,这本身是一个“双赢”的计划。但是大企业,往往走的标准化流程,所以,苹果没有回应或没有及时回应的指控,其实从平时的苹果响应慢也能感受到,当然,苹果关于符合赏金计划付费的审核,可能是一个不透明的问题。这一切,导致了作者的公开了价值十万美元的漏洞!

			
		

	





	

		

			

				
					
MacOS XPC的使用入门

				
			

			

				

					auspark的专栏
				

				

					04-21
					
					3091
					
				

			

		

		

			
				
MacOS:10.14,Xcode:11.0
1、随意创建一个工程,可以是App project
Xcode -> File -> New -> Project... -> macOS -> Application -> App -> click Next
填写Product Name(XPCDemo) ->选择或者不选择Team账号 -> ...

			
		

	





	

		

			

				
					
进程间通信

				
			

			

				

					lexiaoyao20的专栏
				

				

					02-28
					
					1184
					
				

			

		

		

			
				
原文链接:http://segmentfault.com/blog/cruise/1190000002400329
总起
OS X是MacOS与NeXTSTEP的结合。OC是Smalltalk类面向对象编程与C的结合。iCloud则是苹果移动服务与云平台的结合。
上述都是一些亮点,但是不得不说苹果技术中的进程通讯走的是“反人类”的道路。
由于不是根据每个节点上最优原则进行设计,苹果的进程间

			
		

	





	

		

			

				
					
你可能被openURL给坑了

				
			

			

				

					jianghui12138的博客
				

				

					09-11
					
					4551
					
				

			

		

		

			
				
今天使用第三方的时候出现了bug,最后发现是UIApplication openURL的问题。

现象描述:当连接xcode运行项目时,app界面会卡住一会,然后才有响应;当断开xcode时,app界面会卡住一会,然后闪退。

崩溃日志:

Exception Type:  EXC_CRASH (SIGKILL)
Exception Codes: 0x0000000000000000, 0x000...

			
		

	





	

		

			

				
					
QQ 浏览器(iOS版)崩溃信息研究

				
			

			

				

					yqmfly的专栏
				

				

					10-31
					
					7699
					
				

			

		

		

			
				
今天碰巧下载了QQ浏览器iOS版本,居然一启动就挂了。后来从手机里面把崩溃信息导出来,仔细研究下,把研究的结果放到网上,与大家分享下。 
先把我导出的崩溃信息放出来
Incident Identifier: 83F9CC94-FF53-45DE-AB80-8957979B5C57
CrashReporter Key:   8c6f906d05fc1a5a5b461fae314a38aad5579f0

			
		

	





	

		

			

				
					
XPC Service

					
热门推荐

				
			

			

				

					保卫的专栏
				

				

					02-25
					
					1万+
					
				

			

		

		

			
				
利用XPC实现多进程之间的通信


关于多进程之间的通信,之前已经写过一篇文章介绍过NSConnection的用法(用NSConnection实现不同进程间的通信),利用NSConnection,可以直接获取到一个远程的对象,然后调用该对象的方法实现进程间的通信,这样的通信是一种直接的连接,优点在于你可以更自由的调用方法,代码直观,调用方便,但缺点是连接过于紧密,耦合性很强。
OSX10.

			
		

	





	

		

			

				
					
Jailbreak #002

				
			

			

				

					iOS_开发
				

				

					10-17
					
					124
					
				

			

		

		

			
				
????????关注后回复“进群”,拉你进程序员交流群????????来源丨小集(ID:zsxjtip)报告人:illusionofchaos可复现系统版本:iOS 15该漏洞允许任何用户安装的应用程序根据 ...

			
		

	





	

		

			

				
					
iOS应用沙盒逃脱:XPC通信实现内核控制

				
			

			

				

					
				

			

		

		

			
				
iOS火之歌利用XPC过sandbox》是一系列探讨iOS应用安全和内核控制的文章,它深入剖析了在苹果移动操作系统中,用户态(沙盒环境)与内核态(系统核心)之间的边界挑战。文章聚焦于XPC(远程过程通信)技术...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值