如何在QEMU上执行iOS并启动一个交互式bash shell,内含整个安装流程并且提供了相关工

访客5年前黑客工具888
咱们在上一篇文章中介绍如安在QEMU上履行iOS并发动一个交互式bash shell,在第这篇文章中,咱们将详细介绍为完结这些方针所进行的一些详细的项目研讨。 本文的研讨项目是以该项目为根底进行的,咱们本次的意图是,在没有安全监控器的状况下,在不同的iPhone上发动版别稍微不同的iOS内核,一起在运转时修补内核以使其发动,运转预先存在ramdisk映像以及没有交互式I/O的launchd 服务。在这篇文章中,咱们将介绍: 1.怎么将代码作为新设备类型刺进QEMU项目中。 2.如安在不运转时或事前修补内核的状况下发动内核; 3.如安在EL3中加载和履行安全监控器映像; 4.怎么增加新的静态信赖缓存,以便能够履行自签名的可履行文件; 5.怎么增加新的launchd 项以履行交互式shell,而不是ramdisk上的现有服务; 6.怎么树立完好的串行I/O; 该项目现在能够在qemu-aleph-git上取得,其间包括qemu-scripts-aleph-git所需的脚本。 QEMU代码 为了能够稍后在更新版别的QEMU上从头设置代码并增加对其他iDevices和iOS版别的支撑,咱们将一切QEMU代码更改都移动到了新模块——hw/arm/n66_iphone6splus.c 中,它是QEMU中iPhone 6s plus(n66ap)iDevice的首要模块,可用于: 1.界说新设备类型; 2.在不同的反常等级的内存中界说UART内存映射I/O、加载的内核、安全监控器、发动参数,设备树,信赖缓存的内存布局。 3.界说iDevice的专有寄存器(当时什么都不做,仅仅作为通用寄存器操作); 4.界说设备的功用和特点,例如支撑EL3并在安全监控器进口点开端履行。 5.将内置定时器中止连接到FIQ; 6.获取用于界说以下文件的命令行参数:内核映像,安全监控器映像,设备树,ramdisk,静态信赖缓存,内核发动参数。 另一个首要模块是hw/arm/xnu.c,它担任: 1.将设备树加载到内存中,并将ramdisk和静态信赖缓存地址增加到实践加载它们的设备树中。 2.将ramdisk加载到内存中; 3.将静态信赖缓存加载到内存中; 4.将内核映像加载到内存中; 5.将安全监控器映像加载到内存中; 6.加载和设置内核并维护监控器发动参数。 在没有补丁的状况下发动内核 依据原有的项目,咱们现已能够运用不同的iOS版别和不同的iPhone发动到用户形式,一起运用内核调试器在运转时修补内核。之所以修补程序是由于:在更改设备树并从ramdisk发动之后,咱们封装了一个不回来的函数,等候一个永久不会发作的事情。经过在内核调试器中放置断点并挨个运转,咱们发现不回来函数是IOSecureBSDRoot(),它能够在Apple发布的xnu-4903.221.2版别的XNU代码中找到: 在运转时,调试内核自身时发作的状况: 此函数不回来,由于对pe->callPlatformFunction()的调用不会回来。关于这个函数,咱们没有任何参阅代码,所以内核被反汇编: 经过查看这个函数,咱们能够看到不回来函数对x19中目标的特定成员进行了许多处理,而且流程依据这些成员而改变。咱们测验了一些 *** 来了解这些成员所代表的详细内容,但都没有成功。这些成员好像的确处于特别的偏移状况,所以过了一段时间,咱们试着运用Ghidra在整个内核中搜索运用目标及其成员在偏移量0x10a,0x10c和0x110的函数 ,很走运!咱们找到了这个函数: 在这个函数中,很简略看出当prop secure-root-prefix不在设备树中时,偏移量为0x110的成员坚持不变,值为0,且原始函数(pe->callPlatformFunction())回来,能够看出,没有必要修补内核。 加载安全监控器映像 现在,咱们能够将iPhone X映像发动到用户形式。此映像直接发动到EL1而且没有安全监控器。所以,咱们决议运用iPhone 6s plus的另一个映像,由于Apple在那里留下了许多符号,咱们以为这会使研讨变得更简略。事实证明,没有KTRR(内核文本只读区域)的KPP(内核补丁维护)设备有一个安全的监控器映像,需求加载自己的发动参数,并在EL3中履行。该项意图这一部分是关于查找内核文件中嵌入的安全监控器映像,加载它,了解发动参数结构,加载映像和装备QEMU以开端履行EL3中的进口点。完结这些过程后,依然没有成功。原因好像是安全监控器映像测验解析内核库(经过内核发动参数读取)中的内核mach-o标头,且咱们没有在该基地址处的内核映像。这一切都发作在以下函数中: 咱们信任这个函数担任KPP功用,并假定它依据内核部分应有的权限保存内核部分的映射,可是这个假定依然需求验证。 从原有项意图代码中能够看出,virt_base参数指向的是加载内核的更低段: static uint64_t arm_load_macho(struct arm_boot_info *info, uint64_t *pentry, AddressSpace *as) { hwaddr kernel_load_offset = 0x00000000; hwaddr mem_base = info->loader_start; uint8_t *data = NULL; gsize len; bool ret = false; uint8_t* rom_buf = NULL; if (!g_file_get_contents(info->kernel_filename, (char**) &data, &len, NULL)) {[1][2][3][4][5][6][7][8][9][10][11][12][13]黑客接单网

相关文章

什么是黑客-黑客精神(1)

黑客是什么?没有多少自称黑客的人能解答。     在这些浮于世的黑客眼中,黑客就是那一个个被D死的服务器、被挂上姓名的主页、被篡改了版权的程序、被植入木马的软件……在这些人没有注意...

后浸透阶段的权限保持(Windows篇)

当咱们在浸透过程中经过缝隙获取到方针主机权限后,往往会由于服务器管理员发现和修补缝隙而导致对服务器权限的丢掉,所以权限保持就显得很重要了。 在windows主机中,我总结了下面几种权限保持的办法,不足...

诚信黑客接单_黑客联系电话-找黑客改四六级成绩

「诚信黑客接单_黑客联系电话-找黑客改四六级成绩」Security Corner: Cross-Site Request Forgeries103.244.232.85二、木马程序剖析履行Shell指...

台湾黑客接单,找黑客解封滴滴,赌博找黑客改数据

文件名是login.asp我:给我一杯茶吧。 https://github.com/joeyxy/python/blob/master/crawler/dingding/dingding.py图4显现...

黑客接单一般多少钱_怎样找黑客手机微信远程监控

1、123456 (无变化)向文件中增加如下内容: 日志概况云端黑客接单一般多少钱,怎样找黑客手机微信远程监控 office_update.exe黑客接单一般多少钱,怎样找黑客手机微信远程监控,第一个...

骇客_黑客找网站后台地址-黑客接单平台

图3 获取信息的脚本内容ps:图片可单击扩大观看。 http://ironwasp.org/cswsh.htmltry { filter.matrix = m; } catch (e:Erro...