Use After Free UAF 就是 Use After Free的缩写,是一种比较常见的内存错误式利用.很多iOS的越狱都是利用的这种方法.在此简单的举个例子说明UAF出现的情况 代码说明一切 class Car { public: ; ; protected: int mValue; }; class Electric_car: public Car { public: void setValue(int value){ mValue = value; } int getValue()…

前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 这是最近爆出来的 exim 的一个 uaf 漏洞,可以进行远程代码执行.本文对该漏洞和作者给出的 poc 进行分析. 正文 环境搭建 # 从github上拉取源码 $ git clone https://github.com/Exim/exim.git # 在4e6ae62分支修补了UAF漏洞,所以把分支切换到之前的178ecb: $ git checkout e…

产生原因: UAF漏洞的成因是一块堆内存被释放了之后又被使用.又被使用指的是:指针存在(悬垂指针被引用).这个引用的结果是不可预测的,因为不知道会发生什么.由于大多数的堆内存其实都是C++对象,所以利用的核心思路就是分配堆去占坑,占的坑中有自己构造的虚表. 分析方式: 触发UAF漏洞需要一系列的操作,而不是像传统的溢出一个操作就会导致溢出.IE浏览器中的DOM标签由一个对象来表示,并且IE自带的类中存在了一些对象管理的方法.分析UAF漏洞的要点在于搞清楚对象是在哪里被分配的,哪里被释放的,哪里被…

在苹果的日常开发中,真机测试与打包等很多流程都会牵扯到各种证书,CertificateSigningRequest,p12等.但是很多相应的开发者并不理解iOS App应用签名的原理和流程.今天着重讲解一下此内容. 思考 在苹果的iOS系统出来之前,以前的主流程Mac OS/Window软件存在着安全隐患,盗版软件,病毒入侵等,苹果希望能解决类似的问题,保证每一个安装在苹果手机上的app都是经过苹果官方允许的,怎么保证呢? 一.iOS 应用签名原理 1 代码签名 要想回答上面“思考”的答案,首先…

0x01 "Epic Turla" 网络间谍行动 在 2014 年 8 月,被誉为 "世界十大最危险的网络攻击行动" 之一的 "Epic Turla",当时这起 APT 网络间谍行动影响的国家超过 45 个,且攻击目标为政府部门.大使馆.军事组织.研究.教育组织等.据可要靠消息这起攻击事件可能与俄罗斯政府有关 此次攻击在当时利用了两个 0day 漏洞,一个用于 Adobe Reader 沙箱提权,另一个是 CVE-2013-3346 UAF 漏洞…

0x01 2013 年 "水坑" APT 攻击事件 在 2013 年 5 月,美国的劳工部网站被黑,利用的正是 CVE-2013-1347 这个漏洞,在当时导致大量使用 IE8 访问网站的用户受到攻击,微软也发布紧急公告.从水坑攻击的过程来看,入侵者先是攻克了这些网站的服务器,之后把能触发 CVE-2013-1347 漏洞的恶意脚本代码添加到网站加载页面,当受害者使用 IE8 浏览器访问美国劳工部网站时就会在本地加载 mshtml.dll 和 jscript.dll 两个动态链接库来解…

PWN--uaf漏洞 1.uaf漏洞原理 在C语言中,我们通过malloc族函数进行堆块的分配,用free()函数进行堆块的释放.在释放堆块的过程中,如果没有将释放的堆块置空,这时候,就有可能出现use after free的情况.这里我写了一个demo #include<stdio.h>#include<stdlib.h> typedef struct demo { char *s; void(*func)(char *); }DEMO; void eval(char comma…

本系列所有开发文档翻译链接地址:iOS7开发-Apple苹果iPhone开发Xcode官方文档翻译PDF下载地址 //转载请注明出处--本文永久链接:http://www.cnblogs.com/ChenYilong/p/3496033.html    本文对应pdf文档下载链接,猛戳- :https://www.evernote.com/shard/s227/sh/ca0d8662-92fc-4e7e-bf87-e66c7abb5d47/1efbf2274b60a4b25aff8422d05e…

iOS应用启动原理图解(红色箭头表示strong强引用,绿色箭头代表weak若引用) 只要将UI控件拖到Storyboard里控制器的大view上,Xcode会自动将这些控件以强引用的形式加入到self.view.subviews数组中. 因为这些控件已经有了1个强引用,只要self.view不销毁,这些UI控件就不会销毁.所以再将这些UI控件拖线到UIViewController中作为属性时,直接使用weak引用就行,没必要再使用strong强引用了.…

iOS Category实现原理 (补充) load 和 initialize load load方法会在程序启动就会调用,当装载类信息的时候就会调用. 调用顺序看一下源代码.在 objc-loadmethod.m 文件中实现 void call_load_methods(void) { static bool loading = NO; bool more_categories; loadMethodLock.assertLocked(); // Re-entrant calls do not…

iOS Category实现原理 实现原理 我们不主动引入 Category 的头文件,Category 中的方法都会被添加进主类中.我们可以通过 - performSelector: 等方式 对 Category 中的相应方法进行调用 a) 将 Category 和它的主类(或元类)注册到哈希表中: - b)如果主类(或元类)已实现,那么重建它的方法列表. 在这里分了两种情况进行处理:Category 中的实例方法和属性被整合到主类中:而类方法则被整合到元类中(关于对象.类和元类的更多细节,可…

摘要:iOS开发中,开发者不仅要做好iOS的内存管理,而且如果你的iOS涉及多线程,那你也必须了解iOS编程中对多线程的限制,iOS主线程的堆栈大小为1M,其它线程均为512KB,且这个限制开发者是无法用任何方式改变的.本文就详细阐述iOS开发中多线程的原理及实践. 一.线程概述 有些程序是一条直线,起点到终点:有些程序是一个圆,不断循环,直到将它切断.直线的如简单的Hello World,运行打印完,它的生命周期便结束了,像昙花一现那样:圆如操作系统,一直运行直到你关机. 一个运行着的程序就是…

风炫安全WEB安全学习第十九节课 XSS的漏洞基础知识和原理讲解 跨站脚本攻击(Cross-site scripting,通常简称为XSS) 反射型XSS原理与演示 交互的数据不会存储在数据库里,一次性的.一般是查询导致或者是错误的js执行 存储型XSS原理与演示 交互的数据会被存放在数据库里,永久性存储,一般出现在留言板,注册等页面 Dom型XSS原理与演示 漏洞是基于文档对象模型Document Objeet Model,DOM)的一种漏洞.不与后台服务器产生数据交互,是一种通过DOM操作前…

CVE-2013-1347 漏洞是典型的 IE 浏览器 UAF 漏洞,所以其利用方法和一般的 IE 浏览器漏洞的利用方法非常相似,所以流程大体上可以分为这些步骤:(1) 对象被释放 (2) 精确覆盖被释放对象的内存空间,更改 EIP 寄存器从而控制程序的流程 (3) 触发漏洞实现重引用 以下就是利用此漏洞的样本 <!doctype html> <HTML XMLNS:t ="urn:schemas-microsoft-com:time"> <head>…

感觉本文涉及内容有点多的,但是自己不愿意写太多,就简单的谢谢关于ios上手的东西吧 初级入手不免要用到,pp助手,i4 tools等 iOS逆向-ipa包重签名及非越狱手机安装多个应用 1.常识 我们平时开发的App,程序运行主要就是加载一个Mach-o可执行文件.当我们将程序打包成ipa文件,上传到App Store的时候,期间就是进行了一些加壳操作,比如:数字证书签名等.重签名的目的就是将别人的程序重新签上我们的证书信息.也可以简单理解为将别人的加密文件解密,加上我们自己的加密算法. 2.查…

额,这篇教程主要是我写下来用于总结注册iOS设备和用iResign安装App的过程,想要不越狱安装App当然有办法,但是有几个前提--你是一个Apple开发者,或者你有个朋友是App的开发者.如果没有这样的条件的话,看我这篇博的小伙伴们就当时看一下消遣一下把. 刚刚iOS 7 出了正式版,大家也都可以开始去下iOS 7 去尝尝鲜了,然而,国内外的黑客们也在行动了--他们在找iOS 7 的漏洞,寻找iOS 7 的完美破解手段. 这里提一下越狱的事情.所有iOS的用户应该都知道越狱是个怎么回事.iO…

一.前言 <iOS编译过程的原理和应用>文章介绍了 iOS 编译相关基础知识和简单应用,但也很有多问题都没有解释清楚: Clang 和 LLVM 究竟是什么 源文件到机器码的细节 Linker 做了哪些工作 编译顺序如何确定 头文件是什么?XCode 是如何找到头文件的? Clang Module 签名是什么?为什么要签名 为了搞清楚这些问题,我们来挖掘下 XCode 编译 iOS 应用的细节. 二.编译器 把一种编程语言(原始语言)转换为另一种编程语言(目标语言)的程序叫做编译器. 大多数编…

iOS移动硬盘,仅仅是一个概念的包装,原理是在用户目录下创建一个特定的目录,应用层做一个界面直接访问这个目录而已. 大概流程是: 监听获得device句柄. AMDeviceConnect连接设备,并AMDevicePair配对. AMDeviceStartSession开始会话. AMDeviceSecureStartService创建com.apple.afc服务. AFCDirectoryCreate创建目录”/general_storage”.…

一.线程概述 有些程序是一条直线,起点到终点:有些程序是一个圆,不断循环,直到将它切断.直线的如简单的Hello World,运行打印完,它的生命周期便结束了,像昙花一现那样:圆如操作系统,一直运行直到你关机. 一个运行着的程序就是一个进程或者叫做一个任务,一个进程至少包含一个线程,线程就是程序的执行流.Mac和iOS中的程序启动,创建好一个进程的同时, 一个线程便开始运行,这个线程叫主线程.主线程在程序中的地位和其他线程不同,它是其他线程最终的父线程,且所有界面的显示操作即AppKit或 UI…

目录 [如何快速的开发一个完整的iOS直播app](原理篇) [如何快速的开发一个完整的iOS直播app](播放篇) [如何快速的开发一个完整的iOS直播app](采集篇) 前言 大半年没写博客了,但我一直关注着互联网的动向,最近会研究很多东西,并分享,今年移动直播行业的兴起,诞生了一大批网红,甚至明星也开始直播了,因此不得不跟上时代的步伐,由于第一次接触的原因,因此花了很多时间了解直播,整理了直播的原理,当前只是原理篇,后续会持续发布实战篇,教你从零开始搭建一个完整的iOS直播app,希望能帮…

最近两天在研究ios的消息推送机制.研究这个东西,还是充满兴趣的. Push的原理: Push 的工作机制可以简单的概括为下图 图中,Provider是指某个iPhone软件的Push服务器,这篇文章我将使用.net作为Provider. APNS 是Apple Push Notification Service(Apple Push服务器)的缩写,是苹果的服务器. 上图可以分为三个阶段. 第一阶段:.net应用程序把要发送的消息.目的iPhone的标识打包,发给APNS. 第二阶段:APNS在…

iOS程序的运行原理: main.m: 1. main.m 主函数是所有程序的入口函数. 2. 在main函数里是UIApplicationMain函数,开启了一个无限循环,以监听该应用. 该UIApplicationMain函数有4个参数,前两个分别是main函数的参数. 第3个参数是UIApplication的类名,代表该App(委托),默认为nil就代表当前应用,等同于[NSStringFromClass([UIApplication class])].第4个是应用的代理类名. 创建一个U…

前置:已越狱IOS设备   工具表: Bridge{bigboss源,可以使用cydown以非官方服务器下载安装} 网易云音乐{Appstore} Filza{很多源都有}     网易云试听缓存路径: /var/mobile/Containers/Data/Application/网易云音乐/Documents/UserData/Download/cache/ 遇到无法下载的音乐可以从缓存路径中提取“*.uc!”后缀有实际大小的文件,并修改后缀名称为“*.mp3”. 由于网易云试听缓存机制,缓…

CVE-2010-0249 [CNNVD]Microsoft Internet Explorer非法事件操作内存破坏漏洞(CNNVD-201001-153) Microsoft Internet Explorer是微软Windows操作系统中默认捆绑的WEB浏览器. Microsoft Internet Explorer在处理非法的事件操作时存在内存破坏漏洞.由于在创建对象以后没有增加相应的访问记数,恶意的对象操作流程可能导致指针指向被释放后重使用的内存,远程攻击者可通过诱使用户访问恶意网页非法…

背景 对苹果开发者而言,由于平台审核周期较长,客户端代码导致的线上问题影响时间往往比较久.如果在开发.测试阶段能够提前暴露问题,就有助于避免线上事故的发生.代码覆盖率检测正是帮助开发.测试同学提前发现问题,保证代码质量的好帮手. 对于开发者而言,代码覆盖率可以反馈两方面信息: 自测的充分程度. 代码设计的冗余程度. 尽管代码覆盖率对代码质量有着上述好处,但在 iOS 开发中却使用的不多.我们调研了市场上常用的 iOS 覆盖率检测工具,这些工具主要存在以下四个问题: 第三方工具有时生成的检测报告文…

一.漏洞简介 1.漏洞编号和类型 CVE-2018-15473 SSH 用户名(USERNAME)暴力枚举漏洞 2.漏洞影响范围 OpenSSH 7.7及其以前版本 3.漏洞利用方式 由于SSH本身的认证机制存在缺陷,导致攻击者可以使用字典,暴力枚举SSH存在的用户名(Username) 4.漏洞修复方式 升级openssh 二.漏洞原理及其利用分析 1.漏洞原理 参考国外文献:http://www.openwall.com/lists/oss-security/2018/08/15/5 观察下…

Geosn0w在1月31日宣布推出 OsirisJailbreak12 越狱工具,是目前公开的第一个支持 iOS 12 的越狱,支持 iOS 12.0-12.1.2.项目地址:https://github.com/GeoSn0w/OsirisJailbreak12不过该版本越狱工具不完整,不能安装 Cydia,也不能安装插件. Pwn20wnd(unc0ver)在推特表示,目前为止 unc0ver V3.0.0~B27 已经支持 iOS 12 挂载root分区读写,配合 FilzaEscaped…

SEL 类成员方法的指针 可以理解 @selector()就是取类方法的编号,他的行为基本可以等同C语言的中函数指针,只不过C语言中,可以把函数名直接赋给一个函数指针,而Object-C的类不能直接应用函数指针,这样只能做一个@selector语法来取. 它的结果是一个SEL类型.这个类型本质是类方法的编号(函数地址) C/C++函数指针 int test(int val) {return val+1; } int (* c_func)(int val); //定义一个函数指针变量c_func…

需要改变原先程序功能流程的话,是要用到Logos Tweak 开发.另外,.在苹果商城下载到的app,不能直接拿来分析.需要先做一定的前期准备.网上有很多相关的写第一个越狱插件的文章,这里就不在赘言了.仅仅记录一些注意事项.留待日后自己如果忘记了,就回过头来看看. 一般分为以下的步骤. 1.准备已经越狱的iphone或ipad.系统不要最新,ios 6,7,8比较适宜. 2.Xcode要事先配置好越狱开发的环境,比如以下程序要先下载并安装好: 1>theos<MACOS> 这个是在xco…

预备知识:OS X系统分析 1.内核XNU是Darwin的核心,也是整个OS X的核心.XNU本身由以下几个组件构成: Mach微核心 BSD层 libKern I/O Kit 此外,内核是模块化的,允许根据需要动态加载插件形式的内核扩展. 2.Mach:XNU的核心,Mach仅能处理操作系统最基本的职责: 进程和线程抽象. 虚拟内存管理 任务调度 进程间通信和消息传递机制(例如:NSMachPort) 3.所以OS X是在Mach内核的基础上构建的,苹果不鼓励直接只用Mach的API,但是Ma…