BlackHat 2018 | iOS越狱细节揭秘：危险的用户态只读内存

经过研究，我们发现，只有通过指定大index以及合理的内核对喷，才能实现这样的布局。因为在iPhone7设备中，用户态应用可以喷射大概350MB的内存，并且在m_stampAddressArray以及m_inlineArray初始化后，会有额外50MB的内存消耗，因此我们需要使得index满足以下两个条件：

• index ∗ 24 < 350MB + 50MB
• index ∗ 8 > 50MB

也就是说index的值需要在[0x640000, 0x10AAAAA]这个范围内，可以使得两个数组的越界值极大概率在我们可控的喷射内存内：

然后，下一个问题就是，我们是否能够任意地址读以及任意地址写。对于任意地址读似乎不是什么问题，因为m_stampAddressArray的元素大小是8字节，可以通过指定任意index到达任意内存地址。但任意地址写需要研究，因为m_inlineArray的元素大小是24字节，只有一个field可以用于越界写，所以不是每个内存地址都可以被写到：

在这种情况下，我们退求其次，如果能实现对于一个页中的任意偏移值进行写操作，那么也可以基本达到我们的要求。在这里，我们需要通过同余定理来实现：

因为：

0xc000 ≡ 0(mod0x4000) 

因此对于任意整数n，满足：

n ∗ 0×800 ∗ 24 ≡ 0(mod0x4000)  

由于0×4000 / 24 * 0xF0 / 16 = 0x27f6，我们得到：

0xF0 + 0x27f6 ∗ 24 + n ∗ 0×800 ∗ 24 ≡ 0(mod0x4000)  

（编辑：PHP编程网 - 金华站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!