开始了吗?
已经结束了。
全场掌声如潮水一般奔涌不息。盘古团队成员徐昊站在台上,把手中的 MacBook 屏幕缓缓转向人潮。
就在刚才,仅仅用了秒针跳动五次的时间,他就完成了从远程服务器突破,攻击 Safari,越过沙箱直击 MacOS 内核的全过程。
这样的进攻,只能用震撼来形容。
【徐昊 盘古团队核心成员】
这就是在 PwnFest 黑客大赛上刚刚发生的一幕。在这五秒之内,究竟发生了什么?盘古团队究竟使用了什么漏洞,瞬间远程黑掉一台 Macbook?
雷锋网宅科频道(微信 ID:letshome)在第一时间采访到了盘古团队核心成员徐昊,他为我们揭秘了这五秒之内赛博世界发生的洪荒巨变。
四个漏洞打穿 MacOS
整个攻击过程中,黑客不用,也不允许接触目标电脑。当裁判用一台 MacBook 连接黑客的特定网址时,攻击就已经被触发。
徐昊为雷锋网详解了攻击的全过程。
这次攻击,我们用到了四个漏洞。其中两个 Safari 漏洞,两个内核漏洞。
利用 Safari 的一个漏洞,我们迫使它泄露了核心模块的地址;而根据暴露的核心模块,我们可以构建 ROP 代码,再通过另一个 UAF 漏洞,可以获得代码执行。
而以上所有的操作,仅仅是取得远程访问的权限,我们还需要突破沙盒和取得系统权限。我们掌握的漏洞,可以在 Safari 里面直接触发,因为它处在沙盒的攻击面以内。这样的漏洞比较稀少。
原理方面,我们同样先是利用一个漏洞计算出内核的加载地址,进而构建了内核的 ROP 代码。通过另一个未初始化变量的漏洞获得了内核的执行权限。
以上复杂的攻击过程,需要进行一下简单的解释。徐昊在进攻内核的路上,要翻过如下几座大山:
1、由于 Safari 的安全机制限制,并不能随意执行远程的代码,要想破坏这个机制,必须要找到构建这个机制的引擎——Safari 核心模块。而苹果经过长期进化的安全机制,会把关键模块地址随机隐藏。迫使模块地址泄露,就是第一个漏洞的作用所在。
2、有了核心模块地址,就可以构建攻击代码了,但是此时,攻击代码仍然需要一个漏洞才能进入核心模块,这就是徐昊说的第二个漏洞作用所在。
3、经过前两个漏洞的攻击,Safari 终于被“催眠”,可以执行远方传来的任意代码。但是,此刻 MacOS 还有另一重机制来保障安全,那就是“沙盒”。简单来说,沙盒的作用就是通过隔离来限制各个应用的权限。理论上来说,即使 Safari 被黑客“策反”,仍旧没有能力接触到内核层面的代码。此时,一般攻击者会开始寻找绕过沙盒的漏洞。但根据盘古的研究,虽然身处沙盒,仍旧有一个非常小的攻击面,可以直接攻击内核。但是,“狡猾”的苹果,把内核地址也做了随机化处理。于是第三个漏洞此刻产生作用,迫使内核加载地址泄露在了黑客面前。
4、最后一个漏洞,当然是为了直击内核。此刻内核已经变得非常脆弱,只需要最后一击就会投降。于是,我们看到了文章开头的那一幕,MacOS 根据远程黑客的指令,弹出了 Terminal 命令行程序。这意味着,系统已经顺从地臣服于新主人。
秘密:韩国神童 Lokihardt“神助攻”
实际上,在这四个用到的漏洞中,前两个 Safari 远程代码执行漏洞并不来自盘古团队的研究,而是来自韩国黑客神童 Lokihardt。
提到 Loki,在韩国可谓无人不知无人不晓。他经常单枪匹马和全世界黑客捉对厮杀,凭借着极高的颜值和顶尖的技术成为很多人心中的战神。在这次 PwnFest 上,他刚刚以一己之力攻破了 微软的 Edge 浏览器拿下 Windows 最高权限,攻破了 VMware 的虚拟机程序 Workstation。
他最擅长的部分,恰恰是远程进攻。
【韩国神童 Lokihardt】
徐昊告诉雷锋网:
实际上我们在比赛前一周才临时决定尝试攻击 Safari+MacOS 的,因为我们和 Loki 有一些交流,他告诉我们他手上有一套 Safari 远程代码执行的漏洞,而我们的强项恰恰在内核漏洞方面。我们决定合作,各自编写攻击代码,然后由我们整合攻击,于是我们在报名截止前最后一天报了名。
就这样,全世界两组最强大的 MacOS 黑客,组合成了无敌战队。这次攻击,也是一次完美的“中韩合作”。
说到这里,你也许还有一个疑问。盘古团队是著名的 iOS 越狱大神,为什么会去破解 MacOS呢?
盘古为什么玩 MacOS?
MacOS 的安全性一直为人称道。但是,一个系统是否无懈可击,要看从谁的角度来观察。对于 iOS 越狱大神盘古来说。寻找 MacOS 漏洞,是进阶 iOS 研究的途径之一。实际上,这个可以越狱目前世界上最新的 iOS 10.1.1 的大神团队,正在用寻找 MacOS 漏洞的方法来培养后备力量。
iOS 和 MacOS 有很多相通的代码,所以相互切换研究很容易上手。相比 iOS,MacOS 的符号多一些,也可以进行内核调制,寻找 MacOS 漏洞,是很好的锻炼新人的方法。在这个过程中,有一些成果,我们就来参加比赛了。
徐昊对雷锋网(公众号:雷锋网)宅客频道(微信ID:letshome)说。
实际上,这次攻击用到的内核漏洞,正是盘古团队核心成员带领盘古新人搞出来的。
盘古团队从来以“碾压”的方式出现在世人面前,从历次发布的越狱产品可以看出,他们想做的事情,无一失败。实际上,在盘古团队手里,仍然保有着超过两套越狱最新 iOS 的方法。而对于 MacOS,他们仍然“霸气侧漏”。
徐昊低调地告诉雷锋网,
这样级别的 MacOS 漏洞,团队手里还有一些。
本文作者:史中
本文转自雷锋网禁止二次转载,原文链接