无处安放的shellcode

上午的第一场演讲由来自于360 C0RE Team的Chi Zhang和Hongli Han呈现，题为“无处安放的shellcode”，主要探讨了在Android用户态执行shellcode的新方法。在Android用户态，实现完整的漏洞提权越来越困难。从Android N开始，一系列的SELinux策略被引入，用来限制在用户态进程中创建可执行内存。这导致即使可以通过漏洞控制用户态进程的PC，也无法按照传统方式安放并执行shellcode。

为了打破这一壁垒实现提权，他们借助了JavaVM解释器来执行恶意Java字节码。由于Java字节码是以数据的形式存放，依靠Java的解释执行机制便不再需要可执行内存了，这就打破了目前的SELinux防护策略。

同时，他们也介绍了自己发现的Binder漏洞，可以被恶意APP用来攻击任意能通过Binder与之交互的系统服务进程。他们演示了如何利用这个漏洞控制PC，并结合上述绕过SELinux的技术在system_server进程中执行恶意代码。

新一代移动网络和基带的崛起

接着，来自于腾讯科恩实验室的高级研究员Marco Grassi发表了题为“新一代移动网络和基带的崛起”的演讲，关注智能手机的基带以及相关领域的技术。我们都知道，5G技术现在如火如荼。Marco阐述了5G对智能手机、IoT设备、汽车以及一些关键基础设施的影响。不过，他的演讲中最具有价值的部分无疑是对iPhone手机上使用的Intel基带的安全性分析，以及对未来基带安全的发展方向的预测。

钉枪：突破ARM特权隔离

上午的第三场演讲由韦恩州立大学计算机科学系的张锋巍和宁振宇呈现，题为“钉枪：突破ARM特权隔离”。现代处理器都配备了调试功能，以方便程序的调试和分析。尽管调试体系结构已经提出多年，但是调试功能的安全性还没有得到充分的检查。ARM引入了一个新的调试模型，在这种新的调试模型中，主机处理器能够暂停和调试同一芯片上的另一个目标处理器（处理器间调试）。“钉枪”攻击能够利用这种处理器间调试能力。他们发现，许多设备易受攻击，包括Raspberry Pi、基于ARM的商业云平台、以及华为、摩托罗拉、小米等移动电话。他们最后利用“钉枪”提取了存储在华为Mate 7安全内存中的指纹图像。

畅游EL3：终极提权之旅

下午第一场演讲中，盘古的安全研究员闻观行带领听众进行了一次Android TrustZone模型漫游，内容包括EL3特权等级和可信/不可信区域的逻辑关系；攻击面以及如何找到一个可利用的漏洞；如何一步步利用该漏洞取得EL3的执行权限；最后通过一个例子说明EL3的特权之特。

一些JSC的故事

最后一场演讲由来自意大利的年轻而富有天赋的安全研究人员Luca发表。对，他就是发布针对iOS 10.2的越狱Yalu的那个Luca。他主要的研究方向是远程漏洞。他首先通过介绍一个老的Webkit漏洞来展示一类问题，然后分析最新的缓解机制对漏洞利用的影响。最精彩的部分是对JSC引擎中的一个高质量漏洞的介绍，并且他演示了如何绕过当前所有的漏洞缓解机制来利用该漏洞。

在大会主议题和茶歇结束后，众人期待的Baijiu Con终于开始，内容精彩纷呈。演讲形式如下：演讲者需要喝一杯白酒（Baijiu），然后就有五分钟时间发表与安全相关的主题演讲。

来自韩国的美女饮下第一杯白酒，向大家介绍了仅限女性选手参加的CTF“Power of XX”。

来自台湾的同胞Chang Chi-yuan饮下第二杯白酒，回顾了自己发现Facebook重大安全漏洞的过程。

此外，来自于中国的多位研究者连饮多杯白酒，发表了关于Dalvik VM Execution、Socket漏洞、Facetime漏洞的演讲，相当硬核。在《A new A12 mitigation》、《通过语音控制手机》、《What’s up with WhatsApp》等精彩演讲完成后，大会顺利结束。

[课程]FART 脱壳王！加量不加价！FART作者讲授！