如何在QEMU上执行iOS并启动一个交互式bash shell,内含整个安装流程并且提供了相关工

访客5年前黑客工具879
咱们在上一篇文章中介绍如安在QEMU上履行iOS并发动一个交互式bash shell,在第这篇文章中,咱们将详细介绍为完结这些方针所进行的一些详细的项目研讨。 本文的研讨项目是以该项目为根底进行的,咱们本次的意图是,在没有安全监控器的状况下,在不同的iPhone上发动版别稍微不同的iOS内核,一起在运转时修补内核以使其发动,运转预先存在ramdisk映像以及没有交互式I/O的launchd 服务。在这篇文章中,咱们将介绍: 1.怎么将代码作为新设备类型刺进QEMU项目中。 2.如安在不运转时或事前修补内核的状况下发动内核; 3.如安在EL3中加载和履行安全监控器映像; 4.怎么增加新的静态信赖缓存,以便能够履行自签名的可履行文件; 5.怎么增加新的launchd 项以履行交互式shell,而不是ramdisk上的现有服务; 6.怎么树立完好的串行I/O; 该项目现在能够在qemu-aleph-git上取得,其间包括qemu-scripts-aleph-git所需的脚本。 QEMU代码 为了能够稍后在更新版别的QEMU上从头设置代码并增加对其他iDevices和iOS版别的支撑,咱们将一切QEMU代码更改都移动到了新模块——hw/arm/n66_iphone6splus.c 中,它是QEMU中iPhone 6s plus(n66ap)iDevice的首要模块,可用于: 1.界说新设备类型; 2.在不同的反常等级的内存中界说UART内存映射I/O、加载的内核、安全监控器、发动参数,设备树,信赖缓存的内存布局。 3.界说iDevice的专有寄存器(当时什么都不做,仅仅作为通用寄存器操作); 4.界说设备的功用和特点,例如支撑EL3并在安全监控器进口点开端履行。 5.将内置定时器中止连接到FIQ; 6.获取用于界说以下文件的命令行参数:内核映像,安全监控器映像,设备树,ramdisk,静态信赖缓存,内核发动参数。 另一个首要模块是hw/arm/xnu.c,它担任: 1.将设备树加载到内存中,并将ramdisk和静态信赖缓存地址增加到实践加载它们的设备树中。 2.将ramdisk加载到内存中; 3.将静态信赖缓存加载到内存中; 4.将内核映像加载到内存中; 5.将安全监控器映像加载到内存中; 6.加载和设置内核并维护监控器发动参数。 在没有补丁的状况下发动内核 依据原有的项目,咱们现已能够运用不同的iOS版别和不同的iPhone发动到用户形式,一起运用内核调试器在运转时修补内核。之所以修补程序是由于:在更改设备树并从ramdisk发动之后,咱们封装了一个不回来的函数,等候一个永久不会发作的事情。经过在内核调试器中放置断点并挨个运转,咱们发现不回来函数是IOSecureBSDRoot(),它能够在Apple发布的xnu-4903.221.2版别的XNU代码中找到: 在运转时,调试内核自身时发作的状况: 此函数不回来,由于对pe->callPlatformFunction()的调用不会回来。关于这个函数,咱们没有任何参阅代码,所以内核被反汇编: 经过查看这个函数,咱们能够看到不回来函数对x19中目标的特定成员进行了许多处理,而且流程依据这些成员而改变。咱们测验了一些 *** 来了解这些成员所代表的详细内容,但都没有成功。这些成员好像的确处于特别的偏移状况,所以过了一段时间,咱们试着运用Ghidra在整个内核中搜索运用目标及其成员在偏移量0x10a,0x10c和0x110的函数 ,很走运!咱们找到了这个函数: 在这个函数中,很简略看出当prop secure-root-prefix不在设备树中时,偏移量为0x110的成员坚持不变,值为0,且原始函数(pe->callPlatformFunction())回来,能够看出,没有必要修补内核。 加载安全监控器映像 现在,咱们能够将iPhone X映像发动到用户形式。此映像直接发动到EL1而且没有安全监控器。所以,咱们决议运用iPhone 6s plus的另一个映像,由于Apple在那里留下了许多符号,咱们以为这会使研讨变得更简略。事实证明,没有KTRR(内核文本只读区域)的KPP(内核补丁维护)设备有一个安全的监控器映像,需求加载自己的发动参数,并在EL3中履行。该项意图这一部分是关于查找内核文件中嵌入的安全监控器映像,加载它,了解发动参数结构,加载映像和装备QEMU以开端履行EL3中的进口点。完结这些过程后,依然没有成功。原因好像是安全监控器映像测验解析内核库(经过内核发动参数读取)中的内核mach-o标头,且咱们没有在该基地址处的内核映像。这一切都发作在以下函数中: 咱们信任这个函数担任KPP功用,并假定它依据内核部分应有的权限保存内核部分的映射,可是这个假定依然需求验证。 从原有项意图代码中能够看出,virt_base参数指向的是加载内核的更低段: static uint64_t arm_load_macho(struct arm_boot_info *info, uint64_t *pentry, AddressSpace *as) { hwaddr kernel_load_offset = 0x00000000; hwaddr mem_base = info->loader_start; uint8_t *data = NULL; gsize len; bool ret = false; uint8_t* rom_buf = NULL; if (!g_file_get_contents(info->kernel_filename, (char**) &data, &len, NULL)) {[1][2][3][4][5][6][7][8][9][10][11][12][13]黑客接单网

相关文章

编程怎么学,黑客 找信息,哪里找黑客不收定金

BYTE** nativeEntry, /* OUT */[1][2][3][4][5][6]黑客接单渠道帮人侵略检测一个站2、用ashx页面已文本方式显现web.Config的内容 得到数据库衔接,...

有一个黑客接单的网站_红客联盟论坛

需求指出的是,以上趋势仅依据监控数据,实践许多用户是黑客经过服务器进犯浸透侵略内网后投进的勒索病毒,亦或用户终端不联网经过内网其他机器感染的勒索病毒,这些景象下是无法监控到数据的。 5月下面依据病毒传...

在网络赌博输钱报警可以要的回来吗

Windows Embedded Standard 7 for x86首先根据cve的信息,确定漏洞1.7.6和1.8.0-rc3上修复我的payload是:curl “http://localhos...

API浸透测验根底

API浸透测验是一种常见的进犯面,进犯者能够经过它来进一步获取运用程序或许服务器的拜访权限。本篇文章中,我会讲到API浸透测验的一些根底知识。 本文分为下面三部分: 1. API浸透测验是什么? 2....

赌博车被押了报案能拿回来吗

该用户组下的成员正是中继的计算机账户TOPSEC要利用此漏洞,攻击者需要通过RDP向目标系统远程桌面服务发送送一个经过特殊设计请求。 可以在Microsoft安全更新指南中找到支持Windows版本的...

汕头黑客接单,怎样找黑客合作,找一部小说女主是黑客

import java.util.HashSet;.php?id=0 union select 1 from (select count(*),concat(floor(rand(0)*2),(sel...