PwnFest 2016 | 盘古团队+韩国神童,世界最强黑客组合演绎五秒干掉 MacOS-阿里云开发者社区

开发者社区> boxti> 正文

PwnFest 2016 | 盘古团队+韩国神童,世界最强黑客组合演绎五秒干掉 MacOS

简介:
+关注继续查看
   
   开始了吗?

已经结束了。

全场掌声如潮水一般奔涌不息。盘古团队成员徐昊站在台上,把手中的 MacBook 屏幕缓缓转向人潮。

就在刚才,仅仅用了秒针跳动五次的时间,他就完成了从远程服务器突破,攻击 Safari,越过沙箱直击 MacOS 内核的全过程。

这样的进攻,只能用震撼来形容。

PwnFest 2016 | 盘古团队+韩国神童,世界最强黑客组合演绎五秒干掉 MacOS

【徐昊 盘古团队核心成员】

这就是在 PwnFest 黑客大赛上刚刚发生的一幕。在这五秒之内,究竟发生了什么?盘古团队究竟使用了什么漏洞,瞬间远程黑掉一台 Macbook?

雷锋网宅科频道(微信 ID:letshome)在第一时间采访到了盘古团队核心成员徐昊,他为我们揭秘了这五秒之内赛博世界发生的洪荒巨变。

四个漏洞打穿 MacOS

整个攻击过程中,黑客不用,也不允许接触目标电脑。当裁判用一台 MacBook 连接黑客的特定网址时,攻击就已经被触发。

徐昊为雷锋网详解了攻击的全过程。

这次攻击,我们用到了四个漏洞。其中两个 Safari 漏洞,两个内核漏洞。


利用 Safari 的一个漏洞,我们迫使它泄露了核心模块的地址;而根据暴露的核心模块,我们可以构建 ROP 代码,再通过另一个 UAF 漏洞,可以获得代码执行。


而以上所有的操作,仅仅是取得远程访问的权限,我们还需要突破沙盒和取得系统权限。我们掌握的漏洞,可以在 Safari 里面直接触发,因为它处在沙盒的攻击面以内。这样的漏洞比较稀少。

原理方面,我们同样先是利用一个漏洞计算出内核的加载地址,进而构建了内核的 ROP 代码。通过另一个未初始化变量的漏洞获得了内核的执行权限。

以上复杂的攻击过程,需要进行一下简单的解释。徐昊在进攻内核的路上,要翻过如下几座大山:

1、由于 Safari 的安全机制限制,并不能随意执行远程的代码,要想破坏这个机制,必须要找到构建这个机制的引擎——Safari 核心模块。而苹果经过长期进化的安全机制,会把关键模块地址随机隐藏。迫使模块地址泄露,就是第一个漏洞的作用所在。

2、有了核心模块地址,就可以构建攻击代码了,但是此时,攻击代码仍然需要一个漏洞才能进入核心模块,这就是徐昊说的第二个漏洞作用所在。

3、经过前两个漏洞的攻击,Safari 终于被“催眠”,可以执行远方传来的任意代码。但是,此刻 MacOS 还有另一重机制来保障安全,那就是“沙盒”。简单来说,沙盒的作用就是通过隔离来限制各个应用的权限。理论上来说,即使 Safari 被黑客“策反”,仍旧没有能力接触到内核层面的代码。此时,一般攻击者会开始寻找绕过沙盒的漏洞。但根据盘古的研究,虽然身处沙盒,仍旧有一个非常小的攻击面,可以直接攻击内核。但是,“狡猾”的苹果,把内核地址也做了随机化处理。于是第三个漏洞此刻产生作用,迫使内核加载地址泄露在了黑客面前。

4、最后一个漏洞,当然是为了直击内核。此刻内核已经变得非常脆弱,只需要最后一击就会投降。于是,我们看到了文章开头的那一幕,MacOS 根据远程黑客的指令,弹出了 Terminal 命令行程序。这意味着,系统已经顺从地臣服于新主人。

秘密:韩国神童 Lokihardt“神助攻”

实际上,在这四个用到的漏洞中,前两个 Safari 远程代码执行漏洞并不来自盘古团队的研究,而是来自韩国黑客神童 Lokihardt。

提到 Loki,在韩国可谓无人不知无人不晓。他经常单枪匹马和全世界黑客捉对厮杀,凭借着极高的颜值和顶尖的技术成为很多人心中的战神。在这次 PwnFest 上,他刚刚以一己之力攻破了 微软的 Edge 浏览器拿下 Windows 最高权限,攻破了 VMware 的虚拟机程序 Workstation。

他最擅长的部分,恰恰是远程进攻。

PwnFest 2016 | 盘古团队+韩国神童,世界最强黑客组合演绎五秒干掉 MacOS

【韩国神童 Lokihardt】

徐昊告诉雷锋网:

实际上我们在比赛前一周才临时决定尝试攻击 Safari+MacOS 的,因为我们和 Loki 有一些交流,他告诉我们他手上有一套 Safari 远程代码执行的漏洞,而我们的强项恰恰在内核漏洞方面。我们决定合作,各自编写攻击代码,然后由我们整合攻击,于是我们在报名截止前最后一天报了名。

就这样,全世界两组最强大的 MacOS 黑客,组合成了无敌战队。这次攻击,也是一次完美的“中韩合作”。

说到这里,你也许还有一个疑问。盘古团队是著名的 iOS 越狱大神,为什么会去破解 MacOS呢?

盘古为什么玩 MacOS?

MacOS 的安全性一直为人称道。但是,一个系统是否无懈可击,要看从谁的角度来观察。对于 iOS 越狱大神盘古来说。寻找 MacOS 漏洞,是进阶 iOS 研究的途径之一。实际上,这个可以越狱目前世界上最新的 iOS 10.1.1 的大神团队,正在用寻找 MacOS 漏洞的方法来培养后备力量。

iOS 和 MacOS 有很多相通的代码,所以相互切换研究很容易上手。相比 iOS,MacOS 的符号多一些,也可以进行内核调制,寻找 MacOS 漏洞,是很好的锻炼新人的方法。在这个过程中,有一些成果,我们就来参加比赛了。

徐昊对雷锋网(公众号:雷锋网)宅客频道(微信ID:letshome)说。

实际上,这次攻击用到的内核漏洞,正是盘古团队核心成员带领盘古新人搞出来的。

盘古团队从来以“碾压”的方式出现在世人面前,从历次发布的越狱产品可以看出,他们想做的事情,无一失败。实际上,在盘古团队手里,仍然保有着超过两套越狱最新 iOS 的方法。而对于 MacOS,他们仍然“霸气侧漏”。

徐昊低调地告诉雷锋网,

这样级别的 MacOS 漏洞,团队手里还有一些。

PwnFest 2016 | 盘古团队+韩国神童,世界最强黑客组合演绎五秒干掉 MacOS

  
  本文作者:史中

本文转自雷锋网禁止二次转载,原文链接

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
4068 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
4479 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
5457 0
阿里云服务器远程登录用户名和密码的查询方法
阿里云服务器远程连接登录用户名和密码在哪查看?阿里云服务器默认密码是什么?云服务器系统不同默认用户名不同
443 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
16822 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
3227 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
1131 0
+关注
boxti
12535
10037
文章
1327
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载