wnagzihxa1n

wnagzihxa1n

iOS/Android Security

© 2021

浏览器安全周报 2019.05.06 - 2019.05.10

这周把一些JS引擎模糊测试相关的Paper稍微整理了一下,目前对这部分其实还没有什么清晰的概念,周四的时候有一个公众号发了篇Paper《CodeAlchemist: Semantics-Aware Code Generation to Find Vulnerabilities in JavaScript Engines》的解读,刚好我可以读着看看感觉,代码我还没跑

  • https://mp.weixin.qq.com/s/cFtiJUnSS3REEYG1N46-fA
  • https://daramg.gift/paper/han-ndss2019.pdf
  • https://github.com/SoftSec-KAIST/CodeAlchemist

把之前CRBUG-821137的分析文章补上了利用部分,构造任意读写原语的核心就是下面这张图了,五一之前在组内做了一次分享,讲的就是这个洞,下面这张图是我后来写利用文章的时候补上的,有了这张内存示意图应该就很好理解如何构造出任意读写原语了

IMAGE

一个Chrome泄漏信息的洞,发送com.android.chrome.GPU_PROFILER.START/STOP广播可以把本机的数据保存到任意的路径

  • https://bugs.chromium.org/p/chromium/issues/detail?id=922627

作者把它保存到了私有目录,所以需要su才能读取,其实是可以写到sdcard的

IMAGE

修复方式就是判断系统是不是Debug模式编译的

  • https://chromium.googlesource.com/chromium/src.git/+/f68b18e1ec1cadb432998d3ccc084e0a8c1ae5cd%5E%21/#F0

IMAGE

这个洞4000刀,我酸菜鱼又酸了

IMAGE

继续学习JS,本周的进度不错,最近喜欢看前端的面试题,里面有不少的JS技巧和对细节的深入讲解,有点想加入数字的奇舞团

以下来自玄武推送

CVE-2018-0777 ChakraCore JIT LICM漏洞分析, 作者babyJessica,在后端循环优化中对归纳变量进行过度常量折叠使 BoundCheck在LICM过程中被外提,最终导致越界

  • https://exp101t.blogspot.com/2018/05/cve-2018-0777-code-motion.html

CVE-2019-9810 0vercl0k公开Pwn2Own 2019 Richard Zhu和Amat Cama攻破FireFox的漏洞EXP,其中使用到了BigInt来进行利用

  • https://github.com/0vercl0k/CVE-2019-9810

在即将推出的基于Chromium的Edge浏览器中,将支持一种“IE 模式”,用于兼容比较古老的企业内部站点。这个对Edge的安全将有一种“降级” 的影响,以前IE对VBScript和Adobe Flash插件的支持也曾出现过这种“兼容模式”,安全研究员Ivan Fratric关于这个问题的看法:

  • https://www.computerworld.com/article/3393193/microsoft-will-demote-ie-to-a-mode-inside-edge.html
  • https://twitter.com/ifsecure/status/1126059685168197632
  • https://www.youtube.com/watch?v=E2dm29djv3U&feature=youtu.be&t=372

PJ0研究员Saelo在0x41Con上分享的JIT利用技巧,侧重于JIT类型混淆漏洞

  • https://saelo.github.io/presentations/41con_19_jit_exploitation_tricks.pdf

这周还看了下iOS越狱相关的技术,一直觉得iOS和macOS上的利用挺优雅的,蛮有意思,我只是了解下,多接触下隔壁领域的技术,并没有打算上手搞,也许再过几个星期我又去接触路由器了

From Zero to tfp0 - Part 1: Prologue

  • https://www.darkmatter.ae/papers-articles/from-zero-to-tfp0-part-1-prologue/

From zero to tfp0 - Part 2: Walkthrough of the voucher_swap exploit

  • https://www.darkmatter.ae/papers-articles/from-zero-to-tfp0-part-2-a-walkthrough-of-the-voucher_swap-exploit/

Jailbreaks Demystified

  • https://geosn0w.github.io/Jailbreaks-Demystified/

腾讯科恩实验室Black Hat USA 2018议题解读 | iOS越狱细节揭秘

  • https://www.anquanke.com/post/id/155896

这个我之前看过一次,来自今年的35C3,详解越狱的前世今生,只是我当时很菜(现在也菜),看的一知半解的,属于常看常新的文章

  • https://api.tihmstar.net/35c3slides.pdf

俗话说:行走江湖,技多不压身,万一哪天工头发现我是个菜逼把我开除了,我好带着这一啤酒肚乱七八糟的墨水跟另一个工地的工头吹牛逼啊!