IOS cihaza exploit ile nasıl sızabilirim?
- Konuyu başlatan Darktrack
- Başlangıç tarihi
Yapabilirsen ödül kazanırsın
İOS yapısı android e göre çok daha güçlüdür.. Yapmaya uğraşmak yerine zafiyet keşfine çıkmanı öneririm.. Yine de imkansız değil.
O
Only0securee
Ziyaretçi
İos yada kurumsal altyapılar için tek bir exploit olmaz zincirleme bir sistem kurulur. İnitiall access sonrasında privilage escalation gibi gibi gider yani tek bir zafiyet çoğu zaman kurtarmaz. Ayrıca ios otomatik güncelleme var cve çıksa dahi exploit uygulaman çok zor. Kendin bul desem bu tarz zafiyetleri normal kullanıcının bulması aşırı zor zaten bugbounty programları vs var.
iOS Cihazlara Sızma Testi Yöntemleri
1. Ön Koşullar ve Hazırlık
Öncelikle test edeceğin iOS cihazın ve iOS sürümünün zafiyetlerini araştırman gerekir:- iOS Sürümü Tespiti: Jailbreak gerektirmeyen zafiyetleri (Jailbreak-free exploit) hedefle.
- CVE Araştırması: Hedef iOS sürümünde yayınlanmış güncel CVE'leri (Common Vulnerabilities and Exposures) Project Zero, Exploit Database, CVE Mitre gibi kaynaklardan tara.
- Sürüme Özel Exploitler: checkra1n, unc0ver, Fugu15, TrollStore gibi araçların kullandığı zafiyetleri incele.
2. Yaygın Zafiyet Vektörleri
[th]
[td]Safari/WebKit[/td][td]JavaScriptCore üzerinden RCE[/td][td]CVE-2023-41993[/td]
[td]Wi-Fi (Broadcom)[/td][td]Wi-Fi chipset driver zafiyeti[/td][td]CVE-2020-9910[/td]
[td]Bluetooth[/td][td]Blueborne benzeri saldırılar[/td][td]CVE-2017-14315[/td]
[td]iMessage/ SMS[/td][td]Parsing hataları[/td][td]CVE-2019-8641 (Pegasus)[/td]
[td]Kernel[/td][td]LPE (Local Privilege Escalation)[/td][td]CVE-2022-46689 (MacDirtyCow)[/td]
[td]USB (checkm8)[/td][td]Bootrom zafiyeti (A5-A11)[/td][td]checkm8 bootrom exploit[/td]Zafiyet Türü
[/th][th]Açıklama
[/th][th]Örnek
[/th]3. Adım Adım Test Süreci
a. Hedefi Keşif (Reconnaissance)
bash
Kod:
[I][COLOR=rgba(238, 240, 249, 0.56)]# Hedef iOS cihazın IP adresini ve açık portları tara[/COLOR][/I]
[COLOR=rgb(0, 218, 239)]nmap[/COLOR][COLOR=rgb(255, 212, 147)] -sS -sV -p 1-10000 --top-ports 1000[/COLOR][COLOR=rgb(238, 240, 249)] <[/COLOR][COLOR=rgb(255, 212, 147)]hedef-i[/COLOR][COLOR=rgb(238, 240, 249)]p>[/COLOR]
[I][COLOR=rgba(238, 240, 249, 0.56)]# mDNS / Bonjour servislerini kontrol et[/COLOR][/I]
[COLOR=rgb(0, 218, 239)]nmap[/COLOR][COLOR=rgb(255, 212, 147)] -sU -p 5353[/COLOR][COLOR=rgb(238, 240, 249)] <[/COLOR][COLOR=rgb(255, 212, 147)]hedef-i[/COLOR][COLOR=rgb(238, 240, 249)]p>[/COLOR]
[I][COLOR=rgba(238, 240, 249, 0.56)]# AirDrop, AirPlay gibi servisleri tespit et[/COLOR][/I]b. WebKit (Safari) Exploit ile İlk Erişim
javascript
Kod:
[I][COLOR=rgba(238, 240, 249, 0.56)]// Safari üzerinden çalıştırılabilecek basit bir PoC
// NOT: Bu sadece eğitim amaçlı basitleştirilmiş bir yapıdır
// Gerçek exploitler için zafiyetin offsetlerini hesaplamak gerekir[/COLOR][/I]
[COLOR=rgb(84, 185, 255)]function[/COLOR][COLOR=rgb(0, 218, 239)] triggerUseAfterFree[/COLOR][COLOR=rgb(238, 240, 249)]() {[/COLOR]
[COLOR=rgb(84, 185, 255)] let[/COLOR][COLOR=rgb(75, 243, 200)] arr[/COLOR][COLOR=rgb(238, 240, 249)] = [/COLOR][COLOR=rgb(84, 185, 255)]new[/COLOR][COLOR=rgb(0, 218, 239)] Array[/COLOR][COLOR=rgb(238, 240, 249)]([/COLOR][COLOR=rgb(255, 212, 147)]0x100[/COLOR][COLOR=rgb(238, 240, 249)]);[/COLOR]
[I][COLOR=rgba(238, 240, 249, 0.56)] // UAF trigger[/COLOR][/I]
[COLOR=rgb(84, 185, 255)] let[/COLOR][COLOR=rgb(75, 243, 200)] obj[/COLOR][COLOR=rgb(238, 240, 249)] = {[/COLOR][COLOR=rgb(75, 243, 200)]a[/COLOR][COLOR=rgb(238, 240, 249)]: [/COLOR][COLOR=rgb(255, 212, 147)]1[/COLOR][COLOR=rgb(238, 240, 249)]};[/COLOR]
[COLOR=rgb(75, 243, 200)] arr[/COLOR][COLOR=rgb(238, 240, 249)][[/COLOR][COLOR=rgb(255, 212, 147)]0[/COLOR][COLOR=rgb(238, 240, 249)]] = [/COLOR][COLOR=rgb(75, 243, 200)]obj[/COLOR][COLOR=rgb(238, 240, 249)];[/COLOR]
[I][COLOR=rgba(238, 240, 249, 0.56)] // obj'yi temizle - UAF[/COLOR][/I]
[COLOR=rgb(84, 185, 255)] delete[/COLOR][COLOR=rgb(75, 243, 200)] arr[/COLOR][COLOR=rgb(238, 240, 249)][[/COLOR][COLOR=rgb(255, 212, 147)]0[/COLOR][COLOR=rgb(238, 240, 249)]];[/COLOR]
[I][COLOR=rgba(238, 240, 249, 0.56)] // artık freed obj'ye eriş[/COLOR][/I]
[COLOR=rgb(75, 243, 200)] arr[/COLOR][COLOR=rgb(238, 240, 249)][[/COLOR][COLOR=rgb(255, 212, 147)]0[/COLOR][COLOR=rgb(238, 240, 249)]].[/COLOR][COLOR=rgb(75, 243, 200)]a[/COLOR][COLOR=rgb(238, 240, 249)] = [/COLOR][COLOR=rgb(255, 212, 147)]0x41414141[/COLOR][COLOR=rgb(238, 240, 249)];
}[/COLOR]- Use-after-free (UAF)
- Type confusion
- OOB (Out-of-Bounds) read/write
- JIT bugları üzerine kuruludur.
c. Kernel'a Tırmanma (Privilege Escalation)
WebKit üzerinden RCE elde ettikten sonra kernel seviyesinde yetki yükseltmek gerekir:bash
Kod:
[I][COLOR=rgba(238, 240, 249, 0.56)]# iOS kernel exploit - örnek komut yapısı[/COLOR][/I]
[COLOR=rgb(0, 218, 239)]./kernel_exploit[/COLOR][COLOR=rgb(255, 212, 147)] --platform=iphone14 --ios=16.6 --pac-bypass[/COLOR]- PAC Bypass (Pointer Authentication)
- PPL Bypass (Page Protection Layer)
- Sandbox Escape
- task_port kontrolü (eski sürümler)
d. checkm8 (Bootrom) Exploit ile Kalıcı Erişim
A5-A11 çipli cihazlarda (iPhone 4S - iPhone X arası) checkm8 bootrom exploit kullanılabilir:bash
Kod:
[I][COLOR=rgba(238, 240, 249, 0.56)]# checkra1n ile geçici jailbreak[/COLOR][/I]
[COLOR=rgb(0, 218, 239)]./checkra1n[/COLOR][COLOR=rgb(255, 212, 147)] -c[/COLOR]
[I][COLOR=rgba(238, 240, 249, 0.56)]# SSH üzerinden bağlan[/COLOR][/I]
[COLOR=rgb(0, 218, 239)]ssh[/COLOR][COLOR=rgb(255, 212, 147)] root@[/COLOR][COLOR=rgb(238, 240, 249)]<[/COLOR][COLOR=rgb(255, 212, 147)]cihaz-i[/COLOR][COLOR=rgb(238, 240, 249)]p> (varsayılan [/COLOR][COLOR=rgb(255, 212, 147)]şifre: alpine[/COLOR][COLOR=rgb(238, 240, 249)])[/COLOR]e. Pegasus Benzeri Saldırı (Zero-Click)
Kullanıcı etkileşimi gerektirmeyen en gelişmiş yöntemler:
Kod:
# iMessage zero-click exploit zinciri
- iMessage'da hedefe özel hazırlanmış bir mesaj (PDF, resim, GIF)
- NSExpression/NSRegularExpression parsing hatası
- Kernel exploit ile PAC bypass
- NSOSLog sistemi ile veri sızdırma- Exploit → iMessage parsing hatası
- Triage → device bilgilerini topla
- Payload → kernel exploit + implant
- Implant → kalıcı arka kapı
4. iOS Güvenlik Önlemleri ve Bypass Yöntemleri
[th]
[td]Sandbox[/td][td]Kernel exploit + sandbox escape[/td]
[td]AMFI (Apple Mobile File Integrity)[/td][td]Signed code + AMFI bypass[/td]
[td]PAC[/td][td]PAC bypass (PACMAN, ASLR + brute force)[/td]
[td]PPL[/td][td]PPL bypass (CVE-2022-26766 vb.)[/td]
[td]SEP (Secure Enclave)[/td][td]SEPROM exploit (çok zor)[/td]
[td]KTRR (Kernel Text Readonly Region)[/td][td]Bootrom exploit gerekli[/td]Apple Güvenlik Katmanı
[/th][th]Bypass Tekniği
[/th]5. Güncel Exploit Framework'leri
bash
Kod:
[I][COLOR=rgba(238, 240, 249, 0.56)]# iOS Security Research için framework'ler
# 1. Frida - Dinamik analiz[/COLOR][/I]
[COLOR=rgb(0, 218, 239)]frida-trace[/COLOR][COLOR=rgb(255, 212, 147)] -U com.apple.mobilesafari[/COLOR]
[COLOR=rgb(0, 218, 239)]frida-ps[/COLOR][COLOR=rgb(255, 212, 147)] -U[/COLOR][I][COLOR=rgba(238, 240, 249, 0.56)] # bağlı cihazdaki process'leri listele
# 2. objection - Mobile pentest framework[/COLOR][/I]
[COLOR=rgb(0, 218, 239)]objection[/COLOR][COLOR=rgb(255, 212, 147)] -g com.hedef.app explore[/COLOR]
[I][COLOR=rgba(238, 240, 249, 0.56)]# 3. ipwndfu - checkm8 exploit[/COLOR][/I]
[COLOR=rgb(0, 218, 239)]python[/COLOR][COLOR=rgb(255, 212, 147)] ipwndfu -p[/COLOR][I][COLOR=rgba(238, 240, 249, 0.56)] # DFU mode exploit
# 4. Saily / TrollStore - Permanent signing
# TrollStore ile kalıcı uygulama imzalama[/COLOR][/I]6. Savunma Tespiti (Detection)
bash
Kod:
[I][COLOR=rgba(238, 240, 249, 0.56)]# Jailbreak tespiti var mı kontrol et
# Android benzeri SafetyNet yok ama iOS'ta:[/COLOR][/I]
[COLOR=rgb(0, 218, 239)]-[/COLOR][COLOR=rgb(255, 212, 147)] App Store harici yüklemeler[/COLOR]
[COLOR=rgb(0, 218, 239)]-[/COLOR][COLOR=rgb(255, 212, 147)] Debugger bağlantısı[/COLOR]
[COLOR=rgb(0, 218, 239)]-[/COLOR][COLOR=rgb(255, 212, 147)] Sandbox dışı dosya erişimi[/COLOR]Önemli Uyarı
iOS exploit geliştirme en zorlu güvenlik araştırma alanlarından biridir. Modern iOS (15.x+) sürümlerinde:- Bootrom exploit sadece A5-A11 çiplerde
- Kernel exploit her sürüm için ayrı geliştirilmeli
- PAC bypass her sürümde değişiyor
- Sürüm spesifik: iOS 16.x exploit iOS 17.x'te çalışmaz
dostum bunun için apple 30k $ zero-day ödülü veriyor kolay gelsin.
