BlackHat 2018 | iOS越狱细节揭秘：危险的用户态只读内存

最后我们得出结论，假如必要通过越界m_inlineArray写到一个页的前8字节，必要满意:

index = 0x27f6 + n ∗ 0×800  

而假如必要达到恣意页内偏移，假设要达到偏移m，则index必要满意前提：

index = 0x27f6 + 0x2ab ∗ m/8 + n ∗ 0×800  

与之前得出的index范畴结论相团结，我们最终选择了index值0x9e6185:

然后我们通过以下几个步调举办裂痕操作，在第一个机关中，我们得出Slot B与Slot C的index值：

随之我们将slot B填入沟通巨细的AGXGLContext工具，然后再次操作裂痕泄暴露其vtable的第四位：

最后我们通过将Slot C开释并填入AGXGLContext工具，将其本来0×568偏移的AGXAccelerator工具改为我们可控的内存值，实当代码执行：

最后，整个操作流程总结如下：

在通过一系列ROP后，我们最终拿到了TFP0，但这离越狱尚有一段间隔：绕过AMFI，rootfs的读写挂载、AMCC/KPP绕过事变都必要做，因为这些绕过技能都有果真资料可以查询，我们这里不作具体接头：

最后，我们对整条进攻链作了总结：

• 在iOS 11的第一个版本宣布后，我们的DMA映射裂痕被修复;
• 可是苹果图形组件中的越界写裂痕并没有被修复;
• 这是一个”计划安详，但实现并不安详”的典范案例，通过这一系列题目，我们将这些题目串联起来实现了伟大的进攻;
• 大概今朝即便越界写裂痕不修复，我们也无法粉碎从头成立起来的只读内存可信界线;
• 可是至少，我们通过这篇文章，证明白可信界线是可以被冲破的，由于用户态只读映射是”伤害”的;
• 大概在将来的某一天，另一个裂痕的发明又彻底粉碎了这样的可信界线，共同这个越界写裂痕将整个进攻链再次复生。这是完全有也许的。

【编辑保举】

1. BlackHat 2018带来10大收集安详热门趋势
2. BlackHat 2018 | 热门议题前瞻，本年的猛料都在这儿！
3. BlackHat 2018 | 华硕和华擎产物的固件更新机制存在裂痕，可被植入恶意代码
4. BlackHat 2018 | 殽杂信号无线芯单方面对边信道进攻威胁
5. BlackHat 2018 | 研究员演示轻松打破绕过macOS防火墙

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!