iOS安全攻防(二十一):废除应用程序的ASLR特性

最新推荐文章于 2023-09-12 07:47:39 发布
最新推荐文章于 2023-09-12 07:47:39 发布
阅读量1.6k 收藏
点赞数
分类专栏: iOS 安全

原文地址:http://blog.csdn.net/yiyaaixuexi/article/details/20391001


ASLR (Address Space Layout Randomization),即地址空间随机布局。大部分主流的操作系统都已实现了ASLR,以防范对已知地址进行恶意攻击。iOS从4.3开始支持ASLR,Android从4.0也支持了ASLR机制。

ASLR的存在,给iOS系统越狱造成了很大的困难,某些不完美越狱方案就是因为攻破不了或者绕不开ASLR,所以每次重新启动后地址再度随机偏移,需要重新进行越狱操作。与此同时,ASLR也给应用层攻击带来了一些困难,不同进程会造成不同的地址空间偏移,而且在运行时才可确定其偏移量,不易锁定攻击地址。


Mach-O文件的文件头会记录二进制的属性标识,有个flag叫做PIE (Position Independent Enable)。开启了PIE的二进制文件,在执行时会产生ASLR。


我们可以使用otool工具,来查看任意应用程序二进制文件的属性,以支付宝为例:

  1. otool -hv Portal  


有PIE标识,表示该程序在启动时会产生随机地址布局。


removePIE 是个去掉PIE flag的工具。

坏消息是,年久失修,它不支持iOS7。
好消息是,我们还有2个变通方法可以走。

  • 利用Theos编译removePIE
  • 改编一个Mac版的MyRemovePIE 

非越狱开发者可能不熟悉Theos,低学习成本的做法是第二种,那么让我们来改编一个Mac版的MyRemovePIE吧。
(懒得动手的可以直接到 这里下载demo)


创建一个Command Line Tool工程,






然后复制  removePIE.c 代码到main.c中,并且修改第43行: 
  
  
	
   
   if
   
   (
   
   currentHeader
   
   .
   
   magic 
   
   == 
   
   MH_MAGIC
   
   ){ 
   
   //little endian

添加iOS7的判断条件: 
  
  
	
   
   if
   
   (
   
   currentHeader
   
   .
   
   magic 
   
   == 
   
   MH_MAGIC || currentHeader.magic == 0xbebafeca 
   
   ){ 
   
   //little endian



编译后生成可执行文件MyRemovePIE.

利用我们编译生成的MyRemovePIE来处理应用程序:
  1. ./MyRemovePIE Portal  




这样以后支付宝Portal再被启动执行就不会具有ASLR特性了





如何验证一下结果呢?

把处理过的Portal二进制拷贝回iPhone,启动支付宝钱包应用,然后gdb该进程,利用info sh命令查看偏移:




偏移量为0,嗯,这下就好了。一些手动处理的过程可以升级为自动了~
sharpyl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
删除ASLR功能
xuqi7
10-02 409
IMAGE_OPTIONAL_HEADER\DLL Characteristics 中的 IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE(40)标志 将该标志置0即可删除ASLR功能,也就是修改40为00 可使用工具: CFF Explorer 如下图,取消勾选"DLL can move"即可 ...
IOS逆向-ASLR
yong_19930826的博客
05-23 409
ASLR 在逆向中我们无法使用breakpoint set -n "-[xxxxx xxxx:]"的方式(通过类名和方法名)来打断点,这种方式适合在Xcode工具中使用, 在逆向中我们一般使用breakpoint set -a 地址来打断点 ,通过函数的内存地址来打断点 可以使用MachOView _TEXT :代码段 通过Load commands 来描述 数据段、代码段 的信息的 编写的函数代码实际上是存在Data 段 (代码段) ...
aslr关闭工具逆向分析
liuhaidon1992的博客
01-15 610
用OD逆向的时候,经常发现待分析的软件开启了aslr,和IDA中的地址对不上,网上下载了一个去处aslr的工具(工具下载地址再文末),闲来无事分析看看有没有什么骚操作(然而并没有。。),简单记录一下吧 总结:很简单,对x86 exe程序,可以将 IMAGE_FILE_HEADER.Characteristics中的第0号位设置为1即可关闭ASLR。 链接: https://pan....
iOS逆向 | 如何通过LLDB规避ASLR
qq_35734499的博客
06-28 292
参考来源 https://ke.qq.com/course/314070 什么是ASLR? Address Space Layout Randomization<地址空间布局随机化> ASLR技术是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的的一种技术,从iOS4.3开始引入。 ASLR的作用 简单的说,就是让可执行文件在内存中每次运行的初始地址不一样,提高逆向的难度。 规
ios获取模块基址和ASLR偏移地址
pureszgd的博客
03-07 3754
ios获取模块基址和ASLR偏移地址 intptr_t slide_addr = _dyld_get_image_vmaddr_slide(0); struct mach_header *mh_addr = _dyld_get_image_header(0); printf("slide addr: 0x%x\n", slide_addr); printf("mh addr: 0x%x\n", m...
网络安全攻防大赛ctf题目
03-09
网络安全攻防大赛CTF(Capture The Flag)是一种流行的竞赛形式,旨在提升参赛者的网络安全技能,包括漏洞挖掘、密码学、取证分析、网络嗅探等多个领域。这类比赛通常分为多个环节,如逆向工程、Web安全、密码学、二...
linux-aslr:概述Linux ASLR的基本缺陷
05-20
Linux ASLR已损坏。 基本上,只要有一些合理的前提条件,您就可以将单个mmap的泄漏变成对ASLR的全面妥协。 而且,在某些公认的半罕见的上下文中,您应该能够盲目绕过linux ASLR。 前提条件是: 您可以访问相同的...
ASLR-Removal:重塑
04-27
ASLR(Address Space Layout Randomization)是操作系统提供的一种安全机制,...在Objective-C的环境中,这一操作需要综合考虑语言特性、性能需求以及安全性,确保即使没有ASLR应用程序也能在一定程度上抵抗攻击。
“飞地”躲避追踪及绕过ASLR.ppt
08-14
“飞地”-KUSER_SHARED_DATA 应用实例1-R0与R3通信 应用实例2-绕过ASLR
aslr.rar_ASLR_Minix ASLR_aslr minix_space
09-24
在应用ASLR补丁后,Minix用户可以通过相应的系统调用或内核配置选项检查和验证ASLR是否生效。同时,开发者需要确保所有依赖的库和程序都支持ASLR,否则ASLR的效果会大打折扣。 总结来说,ASLR是提高系统安全性的...
iOS App启动 ASLR Page Fault
最新发布
xsdzx1的专栏
09-12 143
pre-main,main()函数之前,系统加载可执⾏⽂件,加载动态链接库dyld,dyld递归加载所有依赖的动态库,然后dyld调起main()函数。pre-main分为四个阶段:i. dylib loading:加载动态库。可以通过减少动态库的数量来优化这⼀部分所消耗的时间。苹果的建议是⼀个项⽬⾥⾯⾃⼰制作的动态库的数量不超过6个。ii. ObjC setup:注册Objc类,进⾏selector唯⼀性检测等。可以通过减少Objc类的数量,减少selector的数量来进⾏优化。
macOS软件安全分析实战
02-05
本课程展示了基于macOS平台的软件分析的原理、步骤以及详细过程。从macOS系统的目录结构的介绍开始,再到具体应用软件结构的介绍,直到简单软件代码的编写,向学员展示了macOS平台软件的基础知识,逻辑和概念,为学员进一步掌握基于苹果平台软件开发和软件安全分析奠定良好的基础。
ASLR技术及关闭与开启
rznice的专栏
09-10 2035
ASLR技术会使PE文件每次加载到内存的起始地址随机变化,并且进程的栈和堆的起始地址也会随机改变。微软从windows vista/windows server 2008(kernel version 6.0)开始采用ASLR技术,主要目的是为了防止缓冲区溢出。 该技术需要操作系统和编译工具的双重支持(主要是操作系统的支持,编译工具主要作用是生成支持ASLR的PE格式)。 我们这里要动手关闭aslr,可以修改IMAGE_OPTIONAL_HEADER的DLL Characteristics字段,下面是DLL
gdb调试 程序开启aslr 但基址不变未随机化
weixin_43350880的博客
08-08 1601
做pwn题的时候一直有一个疑问,明明libc是动态加载的,但是每次运行程序查看vmmap发现libc的位置却都是相同的。 其实是因为gdb默认关闭aslr 在gdb中输入aslr,看到是关着的 输入aslr on打开 这下变成随机的了 再运行一次~ 结论 一般程序都是默认开启aslr的,基址不变是因为gdb把aslr关掉了。 ...
APP漏洞扫描用地址空间随机化
weixin_33834075的博客
12-07 364
APP漏洞扫描用地址空间随机化 前言 我们在前文《APP漏洞扫描器之本地拒绝服务检测详解》了解到阿里聚安全漏洞扫描器有一项静态分析加动态模糊测试的方法来检测的功能,并详细的介绍了它在针对本地拒绝服务的检测方法。 同时,阿里聚漏洞扫描器有一个检测项叫未使用地址空间随机化技术, 该检测项会分析APP中包含的ELF文件判断它们是否使用了该项技术。如果APP中存在该项漏洞则会降低缓冲区溢出攻击的门槛。 本...
iOS逆向工程之Hopper+LLDB调试第三方App
weixin_34301307的博客
09-21 242
LLDB是Low Level Debugger的简称,在iOS开发的调试中LLDB是经常使用的,LLDB是Xcode内置的动态调试工具。使用LLDB可以动态的调试你的应用程序,如果你不做其他的额外处理,因为debugserver缺少task_for_pid权限,所以你只能使用LLDB来调试你自己的App。那么本篇博客中就要使用LLDB来调试从AppStore下载安装的App,并且结合着Hopper...
ASLR和PIE的区别
乱七八糟の中转站
04-12 4949
总结:ASLR 不负责代码段以及数据段的随机化工作,这项工作由 PIE 负责。但是只有在开启 ASLR 之后,PIE 才会生效。
iOS dyld详解
星宇大前端
06-19 2092
dyld简介 共享缓存机制 1. dyld_cache_extract提取 2. jtool提取 3. dsc_extractor提取 dyld加载过程 设置运行环境 加载共享缓存 实例化主程序 加载插入的动态库 链接主程序 链接插入的动态库 执行弱符号绑定 执行初始化方法 查找入口点并返回 dyld简介 dyld(the dynamic ...
iOS Command + R 编译全过程详解
Deft_MKJing的博客
10-02 4771
目录 编译器介绍 Clang+LLVM编译过程 记录Xcode编译一次全过程 iOS客户端启动优化分析 总结项目Build到加载应用到手机展示出首页的大概过程如下 前言 这几天看了下编译过程,就想到了头条的技术博客写了启动时间优化,把几个博客的知识点整理验证了下。国庆期间,晚上有空把知识点重新梳理下,方便以后查阅,毕竟看懂了不是真的懂,可能睡了一觉就乱了思路,很有必要把思路整理写出来...
消费级物联网安全基线.pdf
04-30
- 蓝牙协议版本: 使用最新版本的蓝牙协议,以利用其增强的安全特性。 - 蓝牙控制指令鉴权: 在接收蓝牙控制指令前进行身份验证,确保只有授权设备可以发送指令。 - 蓝牙广播防追踪机制: 设计匿名或动态的广播...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值