OSX被动Fuzz框架

看雪iOS小组

1． 这是什么？本框架基于内核模式中的被动 inlinehook机制，主要用于fuzzingOSX内核漏洞。
简单来说，这是一个典型的内核驱动，它inline-hook了与IOKit框架和内核服务相关的导入API。
如果内核发生了crash，你可以收集内核dump文件来重现漏洞。
你可以关注我的twitter：@flyic (of moony li) 来获得更多详细信息。
我们将会在东京的PacSec2016(10.26/10.27) 大会上，进行“Activefuzzing as complementary for passive fuzzing”的主题演讲，这之后，才会公布相关源代码。
PacSec Applied Security Conference: Tokyo, Japan
这个被动fuzzing框架是基于fG! 所写的针对OSX平台的
“the_flying_circus”Rootkit。在此特别感谢fG!
(A Mountain Lion rootkit for Phrack#69! Copyright (c) fG!, 2012, 2013 - reverser@put.as - Reverse Engineering and Security for fun and pleasure!  All rights reserved.)


2.运行要求
原则上，这个被动fuzzing框架支持Mac Pro/Air上的普遍OSX版本。
根据我们的经验，从10.11到10.11.6的内核版本对被动fuzzing几乎没有干扰。
这个框架已在Mac Pro，10.11.6，KDK_10.11.6_15G31.kdk上测试。


3.如何使用？
重要提示：
运行内核驱动会导致内核突然崩溃，使得你失去所有的数据。请自行承担使用这个内核驱动的风险。


3.1 快速开始
如果你只是为了好玩而尝试这个被动fuzz，请按照这样快速操作：
a.      加载快速被动fuzz的驱动
sh-3.2#chown -R root:wheel ./quick-pasive_kernel_fuzz.kext
sh-3.2# kextutil ./quick-pasive_kernel_fuzz.kext
b.      quick-pasive_kernel_fuzz会在内核模块中出现
sh-3.2#kextstat
然后你就会在内核模块列表中看到这个驱动


3.2使用ThunderBolt线进行调试的完整调试
这个开始引导适用于任何运行MacOSX系统的机器（例如：MacPro,MacAir, Mac Mini）
这个方案要求需要另外一台被调试用的OSX机器和额外的ThunderBolt线。
ⅰ.在被调试的OSX机器上

a.      准备KDK和nvram
Ⅰ.下载KDK_10.11.6_15G31.kdk（以这个KDK为例）并且安装在你的Mac电脑上。

Ⅱ.将kernel.development拷贝到系统目录文件夹并且同步内核缓存
sh-3.2#cp -fr
/Library/Developer/KDKs/KDK_10.11.6_15G31.kdk/System/Library/Kernels/kernel.development*/System/Library/Kernels/
sh-3.2# kextcache -invalid /
sh-3.2# reboot

Ⅲ.设置用以调试的启动参数
sh-3.2# nvram boot-args="debug=0x566kdp_match_name=firewire fwkdp=0x8000 pmuflags=1 kext-dev-mode=1  -v"
sh-3.2# reboot
b.加载用来被动fuzzing的内核驱动
sh-3.2# chown -R root:wheel./pasive_kernel_fuzz.kext
sh-3.2# kextutil ./pasive_kernel_fuzz.kext
c.你的Mac可能会在等待进一步调试时发生内核崩溃

ⅱ.在OSX主机上：

重要提示：

请保持ThunderBolt始终连接在两台机子上，因为即插即用(PnP)机制不支持已崩溃的内核。

a.准备KDK

1.下载KDK_10.11.6_15G31.kdk（以这个KDK为例）并且安装在你的Mac上。
这个步骤不是必须的，但是我们强烈建议这样做。在接下来的步骤中调用lldb，lldb会在调试主机和被调试机间匹配*.dSYM符号文件。否则，在你的调试过程中，符号信息不会显示。

b.调试已崩溃的目标机

Ⅰ.启动fwkdp服务
flyic-pro:pasive_kernel_fuzz.kext root1$ fwkdp

Ⅱ.lldb 调试
sh-3.2# cd/Library/Developer/KDKs/KDK_10.11.6_15G31.kdk/System/Library/Kernels
sh-3.2# lldb ./kernel.development
(lldb) kdp-remote localhost
The debugger would wait until the targetmachine  crashes, and then you can typeany command for debugging including collect core dump file.

3.3 使用有线局域网进行完整调试
因为只有老式的OSX机器支持有线局域网（例如：旧的MacMini），所以这种类型的调试并不普遍。

等待被完善。

译者：银雁冰
编辑：凌迟

wsbz112

运行内核驱动会导致内核突然崩溃，这个怎么解决~

Tath

好，看看，学习