吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7854|回复: 14
收起左侧

[iOS 原创] 再谈CVE-2017-7047 Triple_Fetch和iOS 10.3.2沙盒逃逸

[复制链接]
阿里聚安全 发表于 2017-8-11 23:50
本帖最后由 阿里聚安全 于 2017-8-11 23:55 编辑

作者:蒸米
-----------------

0x00 序
Ian Beer@google发布了CVE-2017-7047Triple_Fetch的exp和writeup[1],chenliang@keenlab也发表了关于Triple_Fetch的分析[2],但由于这个漏洞和exp有非常多的亮点,所以还剩很多可以深入挖掘的细节。因此,我们简单分析一下漏洞形成的原因,并具体介绍一下漏洞利用的细节,以及如何利用这个漏洞做到iOS 10.3.2上的沙盒逃逸。

0x01 CVE-2017-7047 Triple_Fetch漏洞形成的原因



因为chenliang对漏洞成因的分析非常详细,这里我就简单描述一下,因为使用XPC服务传输大块内存的话很影响效率,苹果为了减少传输时间,对大于0x4000的OS_xpc_data数据会通过mach_vm_map的方式映射这块内存,然后将这块数据的send right以port的方式发送到另一方。但这段内存的共享是基于共享物理页的方式,也就是说发送方和接收方会共享同一块内存,因此我们将数据发送以后再在发送端对数据进行修改,接收方的数据也会发生变化。



因此通过race condition,可以让接收端得到不同的数据(接收端认为是相同的数据),如果接收端没有考虑到这一点的话就可能会出现漏洞。比如我们刚开始让接收端获取的字符串是@”ABCD”(包括@和”),那么接收端会为这个字符串分配7个字节的空间。随后在进行字符串拷贝的时候,我们将字符串变为@"ABCDOVERFLOW_OVERFLOW_OVERFLOW",接收端会一直拷贝到遇到”符号为止,这样就造成了溢出。

Triple_Fetch攻击所选择的函数是CoreFoundation里的___NSMS1()函数,这个函数会对我们构造的恶意字符串进行多次读取操作,如果在读取的间隙快速对字符串进行三次修改,就会让函数读取到不同的字符串,让函数产生判断失误,从而造成溢出并让我们控制pc,这也是为什么把这个漏洞称为Triple_Fetch的原因。下图就是攻击所使用的三组不同的字符串:




攻击所选择的NSXPC服务是“com.apple.CoreAuthentication.daemon”。对应的二进制文件是/System/Library/Frameworks/LocalAuthentication.framework/Support/coreauthd。原因是这个进程是root权限并且可以调用processor_set_tasks() API从而获取系统其他进程的send right[3]。下图是控制了pc后的crash report:





0x02 Triple_FetchJOP &ROP&任意代码执行

利用漏洞Triple_Fetch虽然可以控制pc,但是还不能控制栈,所以需要先做stack_pivot,好消息是x0寄存器指向的xpc_uuid对象是我们可以控制的:




因此我们可以利用JOP跳转到_longjmp函数作为来进行stack pivot,从而控制stack:





最终发送的用来做JOP的格式伪造的xpc_uuid对象如下:




控制了stack就可以很容易的写rop了。但是beer目标不仅仅是执行rop,它还希望获取目标进程的task port并且执行任意二进制文件,因此除了exp,攻击端还用mach msg发送了0x1000个带有send right的port到目标进程中:




这些port的mach msg在内存中的位置和内容如下(msgh_id都为0x12344321):




随后,exp采用rop的方法对这些port进行遍历并且发送回发送端:




随后,攻击端会接收mach msg,如果获取到的msgh_id为0x12344321的消息,说明我们成果得到了目标进程的task port:




得到了task_port后,sploit()函数就结束了,开始进入do_post_exploit()。do_post_exploit()也做了非常多的事情,首先是利用coreauthd的task port以及processor_set_tasks()获取所有进程的task port。这是怎么做到的呢?



利用coreauthd的task port我们可以利用mach_vm_* API任意的修改coreauthd的内存以及寄存器,所以我们需要先开辟一段内存作为stack,然后将sp指向这段内存,再将pc指向我们想要执行的函数地址就可以让目标进程执行任意的函数了,具体实现在call_remote()中:




随后我们控制coreauthd依次执行task_get_special_port(), processor_set_default(), host_processor_set_priv(),processor_set_tasks()等函数,来获得所有进程的task port并返回给攻击端(具体实现在get_task_ports())中。接着,攻击端会遍历这个列表并筛选出amfid,launchd,installd,springboard这四个进程的task port。然后利用之前patch amfid的技巧,对amfid打补丁。最后再启动debugserver。 其实这个exp不但可以执行debugserver,还可以用来在沙盒外执行任意的二进制文件。只要把pocs文件夹下的hello_world二进制文件替换成你自己的想要执行的二进制文件,编译安装后,点击ui中的exec bundle binary即可:




具体怎么做到的呢?秘密在spawn_bundle_binary()函数中,先在目标进程中调用chmod将bin改为0777,然后通过一系列的posix_spawn API(类似fork())在目标进程中执行该bin文件。 沙盒外的代码执行提供了更多可以攻击内核的接口。并且可以读取甚至修改其他应用或者系统上的文件。比如,漏洞可以读取一些个人隐私数据(比如,短信,聊天记录和照片等)并发送到黑客的服务器上:



所以建议大家早日更新iOS系统到最新版本。


0x03 总结

本文介绍了beer发现的通用NSXPC漏洞。另外,还分析了iOS用户态上,用JOP做stack pivot以及利用ROP做到任意代码执行的攻击技术。当然,这些漏洞只是做到了沙盒外的代码执行,想要控制内核还需要一个或两个XNU或者IOKit的漏洞才行,并且苹果已经修复了yalu102越狱用的kpp绕过方法,因此,即使有了Triple_Fetch漏洞,离完成全部越狱还有很大一段距离。


0x04 参考文献

1、https://bugs.chromium.org/p/project-zero/issues/detail?id=1247

2、http://keenlab.tencent.com/zh/2017/08/02/CVE-2017-7047-Triple-Fetch-bug-and-vulnerability-analysis/

3、http://newosxbook.com/articles/PST2.html


英文版链接:https://jaq.alibaba.com/community/art/show?articleid=1020

------------------* 作者:蒸米,

更多安全知识分享和热点信息,请关注阿里聚安全的官方博客

免费评分

参与人数 2吾爱币 +2 热心值 +2 收起 理由
Neo_0 + 1 + 1 我很赞同!
ssdbmm + 1 + 1 谢谢@Thanks!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

蜡笔小鑫mini 发表于 2017-8-12 13:02
虽然看不懂,但是看到苹果,和那个官方认证,就知道是大牛的文章。就看了下去,却发现什么也看不懂!但是还是支持!
好大一头猪 发表于 2017-8-11 23:54
月似雨凄烟凉 发表于 2017-8-11 23:58
Cmilyci 发表于 2017-8-12 00:32
030  一脸懵逼, 看不懂 XD  
前排围观
aj1688 发表于 2017-8-12 00:47
不明觉厉,围观
安兆童 发表于 2017-8-12 07:57 来自手机
谢谢分享!看不懂是什么
头像被屏蔽
sstm 发表于 2017-8-12 10:04
提示: 作者被禁止或删除 内容自动屏蔽
season 发表于 2017-8-13 13:57
定下支持吃吃吃
ssdbmm 发表于 2017-8-13 16:51
学习了,谢谢发布!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 20:02

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表