BlackHat 2018 | iOS越狱细节揭秘：危险的用户态只读内存

最后我们得出结论，如果需要通过越界m_inlineArray写到一个页的前8字节，需要满足:

index = 0x27f6 + n ∗ 0×800  

而如果需要到达任意页内偏移，假设要到达偏移m，则index需要满足条件：

index = 0x27f6 + 0x2ab ∗ m/8 + n ∗ 0×800  

与之前得出的index范围结论相结合，我们最终选择了index值0x9e6185:

然后我们通过以下几个步骤进行漏洞利用，在第一个布局中，我们得出Slot B与Slot C的index值：

随之我们将slot B填入相同大小的AGXGLContext对象，然后再次利用漏洞泄露出其vtable的第四位：

最后我们通过将Slot C释放并填入AGXGLContext对象，将其原本0×568偏移的AGXAccelerator对象改为我们可控的内存值，实现代码执行：

最后，整个利用流程总结如下：

在通过一系列ROP后，我们最终拿到了TFP0，但这离越狱还有一段距离：绕过AMFI，rootfs的读写挂载、AMCC/KPP绕过工作都需要做，由于这些绕过技术都有公开资料可以查询，我们这里不作详细讨论：

最后，我们对整条攻击链作了总结：

• 在iOS 11的第一个版本发布后，我们的DMA映射漏洞被修复;
• 但是苹果图形组件中的越界写漏洞并没有被修复;
• 这是一个”设计安全，但实现并不安全”的典型案例，通过这一系列问题，我们将这些问题串联起来实现了复杂的攻击;
• 也许目前即便越界写漏洞不修复，我们也无法破坏重新建立起来的只读内存可信边界;
• 但是至少，我们通过这篇文章，证明了可信边界是可以被打破的，因为用户态只读映射是”危险”的;
• 也许在未来的某一天，另一个漏洞的发现又彻底破坏了这样的可信边界，配合这个越界写漏洞将整个攻击链再次复活。这是完全有可能的。

【编辑推荐】

1. BlackHat 2018带来10大网络安全热点趋势
2. BlackHat 2018 | 热点议题前瞻，今年的猛料都在这儿！
3. BlackHat 2018 | 华硕和华擎产品的固件更新机制存在漏洞，可被植入恶意代码
4. BlackHat 2018 | 混合信号无线芯片面临边信道攻击威胁
5. BlackHat 2018 | 研究员演示轻松突破绕过macOS防火墙

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!