BlackHat 2015 黑帽大会总结 day 2

  • 时间:
  • 浏览:1
  • 来源:uu快3app赚钱_uu快3大小计划注册

在进行通讯过程的中,有所以函数能必须进行fuzz,不可能 函数对传输的数据补救有误,有不可能 会产生空指针异常,内存越界以及远程代码执行等漏洞。最后演讲者分别展示这几种漏洞的POC代码并简单介绍了咋样利用那此fuzz出来的漏洞。

这个talk来自盘古。speaker首先介绍了iOS的几只攻击点:本地攻击,远程攻击,内核攻击等,并举了所以例子(比如很久jailbroken使用的漏洞)。

看黑客咋样远程黑掉一百公里汽车 - BlackHat 2015 黑帽大会总结 day 1

PPT下载:https://www.blackhat.com/docs/us-15/materials/us-15-Zhang-Fingerprints-On-Mobile-Devices-Abusing-And-Leaking.pdf

trustkit源码:https://github.com/datatheorem/TrustKit

原文链接:http://drops.wooyun.org/papers/730007

speaker最后提到了咋样root 64位的设备。在64位上,UAF漏洞依然处在,但有有一兩个现象是无法将shellcode return到user space。所以须要做kernel层的ROP。最后采用了累似 rop的JOP(jump to program)的最好的妙招,并在某些ROMs中发现了有一兩个GOD gadgets能必须做到泄露内存信息以及覆盖数据的功能。最终做到了root提权。

第有一兩个攻击是finger spy。虽然TrustZone非常安全,要是 android系统是通过应用层的service和TrustZone进行通讯的。要是 hacker能必须伪造有一兩个finger print app,要是 和finger print sensor进行通讯,从而窃取到用户的指纹。三星针对这个现象的补救最好的妙招是TrustZone UI。也要是 当使用指纹进行授权的很久须要通过TrustZone UI来进行,不可能 TrustZone UI也是TrustZone的一每段,所以黑客须要要破解掉TrustZone不能获取到指纹。

本文转自 K1two2 博客园博客,原文链接:http://www.cnblogs.com/k1two2/p/47116300.html  ,如需转载请自行联系原作者

接着speaker介绍了并是否是生活攻击手段:第有一兩个攻击是confused attack(迷惑性攻击)。speaker提到fingerprint有并是否是生活用处,并是否是生活是authentication另并是否是生活authorization。就像是passport和visa。有一兩个用来做身份验证,有一兩个用来行使权力。Hacker能必须采取并是否是生活迷惑性的攻击,让用户仅仅是虽然做身份验证,但实际上却行使了权利,比如说在demo中用户以为他在解锁手机屏幕,而实际上却使用指纹转了钱给黑客。

最后有一兩个talk另有一兩个想去听3300讲的Android Fuzzing,结果又是不可能 签证现象给cancel了。于是本届BlackHat的会议每段就算现在开使了了。明天现在开使了了将在隔壁酒店举行DEFCON的会议以及CTF比赛。欢迎亲戚亲戚你们儿继续关注。

speaker是 Xu Wen,来自上海交通大学要是 在keen实习。首先speaker提到想要实现万能root须要要基于linux kernel的漏洞而后要靠驱动的漏洞。很久speaker讲述了为什么么么样发现漏洞的过程。

本文转自 wooyun.org

接着speaker介绍了在kernel层进行fuzzing的tips。speaker首先提到IOKit是最好的fuzz目标,要是 对fuzzy IOkit的第有一兩个建议是尽量fuzz更底层的函数。比如说IOConnectCallMethod里有对参数大小的限制,要是 不可能 调用io_connect_method就这麼参数大小的限制。第3个建议要是 使用information leak的漏洞来获取fuzzy过程中产生的信息。

PPT下载:https://www.blackhat.com/docs/us-15/materials/us-15-Xu-Ah-Universal-Android-Rooting-Is-Back.pdf

PPT下载:https://www.blackhat.com/docs/us-15/materials/us-15-Wang-Review-And-Exploit-Neglected-Attack-Surface-In-iOS-8.pdf

要是 作者尝试用substrate的最好的妙招来hook SSL最好的妙招在非越狱机器上,要是 失败了,原困是substrate在hook函数的很久须要patch函数的prologue,要是 须要RWX权限,但这在非越狱机器上是不不可能 的。最终作者采用的最好的妙招是facebook开发的fishhook框架用来进行HOOK。https://github.com/facebook/fishhook

第3个攻击是不安全的数据存储。最经典的例子要是 HTC one的指纹保存文件。对各人后要可读可写的。毫无安全性可言。

speaker是来自FireEye的Wei Tao和Zhang Yulong。Talk首先介绍了指纹系统的原理以及实现,比如咋样进行结构下发,咋样对比结构等。

接下来speaker介绍了咋样在用户层挖XPC的洞。首先在应用上分别建立server端和client端,要是 使用client端对server端进行通讯。

Talk首先介绍说在iOS 8很久是不允许动态加载library的,只允许静态编译。但在iOS 8很久加入了新的结构叫”Embedded Frameworks”。允许应用和它的extension进行通讯,但实际上无论有这麼extension都能必须用这个新结构。

speaker首先采用https://github.com/kernelslacker/trinity这个system call fuzzer获取到所以的log信息。要是 在分析fuzzer的log的过程中,发现kernel crash在有一兩个很奇怪的地址0x30003000。继续分析发现现象是由ping_unash()这个函数引起的。但现在开使了了必须造成拒绝服务攻击,这对于root来说是远远缺陷的。很久继续分析发现sock_put(sk)被调用了2遍,会产生非常普遍的UAF(use-after-free)漏洞。既然有了UAF漏洞,下一步要是 用UAF来控制内核。PingPong Root采用的最好的妙招是Ret2dir (Ret2dir: rethinking kernel isolate)。控制内核很久要是 执行提权的shellcode了。PingPong root借鉴了towelroot中使用的通用提权shellcode,让线程运行运行获取root权限。

最后作者利用上端讲到的最好的妙招开发了trustkit。利用trustkit,能必须在不修改源代码的情形下用来hook SSL函数并加入pinning的功能。要是 作者在今天发布了源码。

PPT下载:https://www.blackhat.com/docs/us-15/materials/us-15-Diquet-TrustKit-Code-Injection-On-iOS-8-For-The-Greater-Good.pdf

很久讲了2种架构,并是否是生活是Fingerprint without TrustZone和Fingerprint with TrustZone。在root情形下without TrustZone是非常危险的,所有的数据都能必须轻松获取到。要是 在有了TrustZone的情形下,hacker在获取了root很久依然无法读取TrustZone中的指纹信息。不可能 想要获取指纹信息,理论上还须要破解TrustZone才行。

今天是Black Hat 2015第半个月,第一天的大会总结请参考:

另有一兩个打算去听shendi的TrustZone crack的talk,要是 不可能 shendi的visa这麼办下来,最后就给cancel了。于是去听了这个iOS injection的talk。

第3个攻击是fingerprint backdoor。用户在系统的设置中能必须查看当前记录的指纹数量,要是 这个数量信息并这麼保处在TrustZone当中。要是 hacker能必须留下当事人的指纹作为后门,要是 将增加的指纹的数量减掉。比如说在demo中fingerprint service显示仅保存了有一兩个指纹,要是 demo中却成功的用有一兩个指纹解锁了手机屏幕,不可能 其中有一兩个指纹虽然是黑客留下的,为了补救用户发现,黑客将保存的指纹数修改成了1。

很久speaker提到了Shared Memory。不可能 IOKit会share某些data到用户层要是 用户层能必须对那此数据进行修改。要是 在fuzz io_connect_method的过程中能必须对那此用户层数据也进行fuzz。很久IOKit在读取了用户层修改的数据然很久要不可能 产生漏洞。接着speaker又介绍了iokit_user_client_trap()这个用户层函数的fuzzy,并demo了有一兩个0day。