[原创]盘古越狱工具在用户空间的行为-iOS安全-看雪-安全社区|安全招聘|kanxue.com

[原创]盘古越狱工具在用户空间的行为

发表于: 2014-9-17 23:03 39726

[原创]盘古越狱工具在用户空间的行为

proteas

2014-9-17 23:03

39726

def install_pangu():
    lockdown = LockdownClient()
    afc = AFCClient(lockdown)
    mci = lockdown.startService("com.apple.mobile.installation_proxy")
 
    file_name = "com.pangu.ipa1.ipa"
    afc.set_file_contents("/PublicStaging/" + file_name, open("payload/" + file_name,"rb").read())
    mci.sendPlist({"Command":"Install", "PackagePath": "/PublicStaging/" + file_name})
    while True:
        status =  mci.recvPlist()
        if not status:
            break
        completion = status.get("PercentComplete")
        if completion:
            print "Installing, %s: %s %% Complete" % ("com.pangu.ipa1.ipa", status["PercentComplete"])
        if status.get("Status") == "Complete":
            print "Installation %s\n" % status["Status"]
            break
    mci.close()
    afc.stop_session()
    lockdown.stop_session()

def download_caches():
    fc = FileRelayClient()
    data = fc.request_sources(["Caches"])
    fc.stop_session()
    if data:
        file_path = "./payload/caches.gz"
        output_path = "./payload/caches"
        open(file_path,"wb").write(data)
        print  "Data saved to:  %s " % file_path
        with open(file_path, "r") as f:
            gz = gzip.GzipFile(mode="rb", fileobj=f)
            cpio = CpioArchive(fileobj=BytesIO(gz.read()))
            cpio.extract_files(files=None,outpath=output_path)
    else:
        print "Fail to get caches"
        raise Exception("Fail to get caches")

CFBundleExecutable = "../../../../../../usr/libexec/lockdownd";
EnvironmentVariables = { DYLD_INSERT_LIBRARIES = "/private/var/mobile/Media/Pangu-Install/pangu.dylib"; };

CFBundleExecutable = "../../../../../../usr/libexec/lockdownd";

{ "com.pangu.ipa1" = { SBApplicationAutoLaunchForVoIP = :true; }; }

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

Installflow.png （37.35kb，27次下载）

收藏・30

免费・3

支持

最新回复 (14)
suwey 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 1 关注私信	suwey 2 楼貌似第一个图挂了 2014-9-17 23:08 0
Mxixihaha 雪币： 4378 活跃值： (4368) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 593 粉丝 18 关注私信	Mxixihaha 3 楼楼主是如何进行这个调试的能说下么... 2014-9-17 23:13 0
xilet 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	xilet 4 楼第一个图挂了 2014-9-18 03:24 0
鬼谷子c 雪币： 507 活跃值： (130) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 261 粉丝 6 关注私信	鬼谷子c 1 5 楼很好的帖子，来顶一个。虽然现在搞安卓方面的，但是苹果方面依旧关注着，赞！~ 2014-9-19 10:05 0
飘云雪币： 2443 活跃值： (464) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 189 粉丝 8 关注私信	飘云 1 6 楼感谢分析，收下学习了~~ 2014-9-19 10:41 0
helyna 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 7 楼楼主写这么明白了，我还是看不懂 2014-9-20 10:49 0
by苏格兰雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 65 粉丝 0 关注私信	by苏格兰 8 楼虽然我看不懂，但是我相信以后肯定火 2014-9-22 01:38 0
wodexinren 雪币： 74 活跃值： (748) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 9 楼看不懂，但要支持下 2014-9-25 09:15 0
jerryxjtu 雪币： 218 活跃值： (674) 能力值： ( LV12，RANK：290 ) 在线值：发帖 17 回帖 41 粉丝 4 关注私信	jerryxjtu 6 10 楼赞一个，要是能告诉我为什么可以实现“向系统目录写入文件”，例如利用哪个系统服务的检测漏洞就完美了。 2014-9-25 11:31 0
whliuwei 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	whliuwei 11 楼这个沙盒漏洞已经被ios8封堵了。 2014-10-16 15:49 0
airbus 雪币： 244 活跃值： (174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 224 粉丝 2 关注私信	airbus 12 楼这种帖子留名下.哈哈. 2014-11-5 13:00 0
木桩雪币： 296 活跃值： (89) 能力值： ( LV15，RANK：340 ) 在线值：发帖 13 回帖 241 粉丝 5 关注私信	木桩 8 13 楼感谢分享！另外希望LZ能介绍下解包和分析的方法只从Exploits which are used in order to jailbreak 8.x里知道用到了哪几个漏洞，但一些细节找不到。而从头分析iOS8的pangu无从下手 8.0/8.0.1/8.0.2/8.1 Pangu8 an exploit for a bug in /usr/libexec/neagent (source @iH8sn0w) enterprise certificate (inside the IPA) a kind of dylib injection into a system process (see IPA) a dmg mount command (looks like the Developer DMG) (syslog while jailbreaking) a sandboxing problem in debugserver (CVE-2014-4457) the same/a similar kernel exploit as used in Pangu (CVE-2014-4461) (source @iH8sn0w) enable-dylibs-to-override-cache CVE-2014-4455 2014-12-2 11:02 0
jerryxjtu 雪币： 218 活跃值： (674) 能力值： ( LV12，RANK：290 ) 在线值：发帖 17 回帖 41 粉丝 4 关注私信	jerryxjtu 6 14 楼基础在libimobiledevice 重点在通过lockdown和iOS系统服务通讯核心在Untecher 太极团队回归 iOS 8.1.1完美越狱发布据说这个工具木有壳。我理解可以先编译下libimobiledevice试试，用用下面这些小工具，然后对着源码看看会有帮助。 $ idevice idevice_id.exe ideviceimagemounter.exe idevicebackup.exe ideviceinfo.exe idevicebackup2.exe idevicename.exe idevicedate.exe idevicepair.exe idevicedebug.exe ideviceprovision.exe idevicedebugserverproxy.exe idevicescreenshot.exe idevicediagnostics.exe idevicesyslog.exe ideviceenterrecovery.exe 2014-12-2 11:50 0
木桩雪币： 296 活跃值： (89) 能力值： ( LV15，RANK：340 ) 在线值：发帖 13 回帖 241 粉丝 5 关注私信	木桩 8 15 楼感谢指点，我再去看看。希望TaiG导出Payload容易点找到个很挫的办法，从iPhone里把Media里的东西给复制出来了... 看了下流程，iOS8版本的先是用com.apple.afc将pangu.tar,Cydia.tar等4个tar复制到 Media/Pangu-Install/ 然后在 Media/PublicStaging/ 下写入时间戳.ipa（com.pangu.ipa1.ipa），并用com.apple.mobile.installation_proxy进行安装。不过因为是已越狱机器，后面就直接跳过mount PublicStaging/staging.dimage等准备工作了。看来要想办法删掉或骗过越狱检查才行 2014-12-2 22:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

proteas

发帖

回帖

100

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
suwey 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 1 关注私信	suwey 2 楼貌似第一个图挂了 2014-9-17 23:08 0
Mxixihaha 雪币： 4378 活跃值： (4368) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 593 粉丝 18 关注私信	Mxixihaha 3 楼楼主是如何进行这个调试的能说下么... 2014-9-17 23:13 0
xilet 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	xilet 4 楼第一个图挂了 2014-9-18 03:24 0
鬼谷子c 雪币： 507 活跃值： (130) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 261 粉丝 6 关注私信	鬼谷子c 1 5 楼很好的帖子，来顶一个。虽然现在搞安卓方面的，但是苹果方面依旧关注着，赞！~ 2014-9-19 10:05 0
飘云雪币： 2443 活跃值： (464) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 189 粉丝 8 关注私信	飘云 1 6 楼感谢分析，收下学习了~~ 2014-9-19 10:41 0
helyna 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 7 楼楼主写这么明白了，我还是看不懂 2014-9-20 10:49 0
by苏格兰雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 65 粉丝 0 关注私信	by苏格兰 8 楼虽然我看不懂，但是我相信以后肯定火 2014-9-22 01:38 0
wodexinren 雪币： 74 活跃值： (748) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 9 楼看不懂，但要支持下 2014-9-25 09:15 0
jerryxjtu 雪币： 218 活跃值： (674) 能力值： ( LV12，RANK：290 ) 在线值：发帖 17 回帖 41 粉丝 4 关注私信	jerryxjtu 6 10 楼赞一个，要是能告诉我为什么可以实现“向系统目录写入文件”，例如利用哪个系统服务的检测漏洞就完美了。 2014-9-25 11:31 0
whliuwei 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	whliuwei 11 楼这个沙盒漏洞已经被ios8封堵了。 2014-10-16 15:49 0
airbus 雪币： 244 活跃值： (174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 224 粉丝 2 关注私信	airbus 12 楼这种帖子留名下.哈哈. 2014-11-5 13:00 0
木桩雪币： 296 活跃值： (89) 能力值： ( LV15，RANK：340 ) 在线值：发帖 13 回帖 241 粉丝 5 关注私信	木桩 8 13 楼感谢分享！另外希望LZ能介绍下解包和分析的方法只从Exploits which are used in order to jailbreak 8.x里知道用到了哪几个漏洞，但一些细节找不到。而从头分析iOS8的pangu无从下手 8.0/8.0.1/8.0.2/8.1 Pangu8 an exploit for a bug in /usr/libexec/neagent (source @iH8sn0w) enterprise certificate (inside the IPA) a kind of dylib injection into a system process (see IPA) a dmg mount command (looks like the Developer DMG) (syslog while jailbreaking) a sandboxing problem in debugserver (CVE-2014-4457) the same/a similar kernel exploit as used in Pangu (CVE-2014-4461) (source @iH8sn0w) enable-dylibs-to-override-cache CVE-2014-4455 2014-12-2 11:02 0
jerryxjtu 雪币： 218 活跃值： (674) 能力值： ( LV12，RANK：290 ) 在线值：发帖 17 回帖 41 粉丝 4 关注私信	jerryxjtu 6 14 楼基础在libimobiledevice 重点在通过lockdown和iOS系统服务通讯核心在Untecher 太极团队回归 iOS 8.1.1完美越狱发布据说这个工具木有壳。我理解可以先编译下libimobiledevice试试，用用下面这些小工具，然后对着源码看看会有帮助。 $ idevice idevice_id.exe ideviceimagemounter.exe idevicebackup.exe ideviceinfo.exe idevicebackup2.exe idevicename.exe idevicedate.exe idevicepair.exe idevicedebug.exe ideviceprovision.exe idevicedebugserverproxy.exe idevicescreenshot.exe idevicediagnostics.exe idevicesyslog.exe ideviceenterrecovery.exe 2014-12-2 11:50 0
木桩雪币： 296 活跃值： (89) 能力值： ( LV15，RANK：340 ) 在线值：发帖 13 回帖 241 粉丝 5 关注私信	木桩 8 15 楼感谢指点，我再去看看。希望TaiG导出Payload容易点找到个很挫的办法，从iPhone里把Media里的东西给复制出来了... 看了下流程，iOS8版本的先是用com.apple.afc将pangu.tar,Cydia.tar等4个tar复制到 Media/Pangu-Install/ 然后在 Media/PublicStaging/ 下写入时间戳.ipa（com.pangu.ipa1.ipa），并用com.apple.mobile.installation_proxy进行安装。不过因为是已越狱机器，后面就直接跳过mount PublicStaging/staging.dimage等准备工作了。看来要想办法删掉或骗过越狱检查才行 2014-12-2 22:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复