2014 CodeEngn Conference 11 모바일환경에서 Borwser Fuzzing을 하고 싶었고, 나만의 Fuzzing시스템을 만들고 싶었다. iOS(Jailbreak환경)에서 MobileSafari를 대상으로 24시간/7일, Fuzzing 도중 Crash가 발생하여 MobileSafari가 종료되더라도 MobileSafari를 재시작시켜서 Fuzzing을 시도하는 시스템을 제작하였다. 어떻게 구성했고, ASLR을 어떻게 극복하였는지 공유하고자 한다. http://codeengn.com/conference/11 http://codeengn.com/conference/archive

1. iOS MobileSafari Fuzzer 제작 및
Fuzzing
namdaehyeon

2. WHO AM I
•Mobile

3. (은행,카드,증권,게임사,대기업,

4. 강의등)

5.
•모바일환경,

6. IoT,

7. Source

8. Auditing

9.
•머신러닝

10. (장효영군에게

11. 감사를)

12.
•좋은분들

13. 덕분에

14. 책도

15. 한권

16. 썼습니다.

17.
•이자리를

18. 빌려

19. 다시한번

20. 감사드립니다.

21.
•영어를

22. 잘하고

23. 싶어

24. 매일

25. 전화영어

26. 25분씩하고

27. 있는..

28. 발표순서
결심 Fuzzer 제작 Fuzzing
1. 시도 - 실패
2. 시도 - 실패

29. 목표(Goal)
•나만의

30. MobileSafari

31. Fuzzer를

32. 만들어보자.

33.
•24시간

34. 7일.

35. 스스로

36. 돌도록

37. 만들자.

38. Goal
•나만의

39. MobileSafari

40. Fuzzer를

41. 만들어보자.

42.
•JavaScript를

43. 이용하지

44. 말자

45.
•Server

47. Client

48. 구조

49.
•MobileSafari

50. 스스로

51. Refresh

52. 가능할것

53. or

54.
•MobileSafari

55. URL

56. 입력

57. -

58. 이동

59.
•24시간

60. 7일.

61. 스스로

62. 돌도록

63. 만들자

64.
•Low

65. Memory,

66. Fuzzing중

67. Crash후

68. 재실행할것

69.
•실행되었더라도

70. ASLR인

71. iOS에서

72. 어떻게

73. 객체

74. 주소를

75. 알

81. 아서

82. 객체에

83. 메시지를

84. 보낼것인가?

85.
•예외처리

86. 필요(NSAlertDialog)

87. 발표순서
결심 Fuzzer 제작 Fuzzing
1. 시도 - 실패
2. 시도 - 실패

88. JavaScript를 이용하지 말자
•필요조건

89.
•Server-Client구조를

90. 이용

91. JavaScript를 이용하지 말자
•필요조건

92.
•반복적으로

93. Refresh

94.
•BrowserController

95. Class

97.
•_initSubview:

98.
•reloadFromAddressView:
1
2

99. JavaScript를 이용하지 말자
•성공!!

100.
•같은

101. 주소

102. 반복적으로

103. Refresh

104. 가능.

105. but

106. .

107. .

108. .

110.
•Crash발생시

111. PoC확인

112. 어려움

113. JavaScript를 이용하지 말자
•필요조건

114. 1

115.
•URL을

116. 변경하여야

117. 함.

118.
•변경한

119. URL로

120. 이동하도록

121. 메시지를

122. 보내야한다.

123.
•AddressTextField

124. Object

125.
•AddressView

126. Class

127.
•필요조건

128. 2

129.
•iOS

130. ASLR

131. 극복해야만한다..

132.
•ASLR(Address

133. Space

134. Layout

135. Randomization)

136. JavaScript를 이용하지 말자
•iOS

137. ASLR

138.
•iOS

139. 4.3

140. Default.

141.
•PIE

142. (Position

143. Independent

144. Executables)

145. JavaScript를 이용하지 말자
•iOS

146. ASLR

147.
•iOS

148. 4.3

149. Default.

150.
•PIE

151. (Position

152. Independent

153. Executables)

154. JavaScript를 이용하지 말자
•iOS

155. ASLR

156.
•iOS

157. 4.3

158. Default.

159.
•PIE

160. (Position

161. Independent

162. Executables)

163. JavaScript를 이용하지 말자
•Bypass

164. iOS

165. ASLR

166.
•앱이

167. 실행될때마다

168. 객체의

169. 주소는

170. 항상

171. 변한다..

172.
•객체에

173. 메시지를

174. 보내어

175. 특정

176. 기능을

177. 할

178. 수

179. 있음.

180.
•이

181. 객체를

182. 직접

183. 가져다

184. 쓸수만

185. 있다면…⋯
Carrier 12:00 PM
Page Title
http://www.domain.com Google

186. JavaScript를 이용하지 말자
•Bypass

187. iOS

188. ASLR

189.
•AddressView

190. Class

191. JavaScript를 이용하지 말자
•Bypass

192. iOS

193. ASLR

194.
•AddressTextField

195. Object

196. JavaScript를 이용하지 말자
•Bypass

197. iOS

198. ASLR

199.
•객체의

200. index는

201. 고정이다.
Carrier 12:00 PM
Page Title
http://www.domain.com Google

202. JavaScript를 이용하지 말자
•객체

203. Hirarchy
UIApplication KeyWindow
objectAtIndex:0
objectAtIndex:0
objectAtIndex:0
objectAtIndex:0
objectAtIndex:1
objectAtIndex:2

204. JavaScript를 이용하지 말자
•객체

205. Hirarchy
UIApplication KeyWindow
objectAtIndex:0
objectAtIndex:0
objectAtIndex:0
objectAtIndex:0
objectAtIndex:1
objectAtIndex:2
UIApp.keyWindow
.subviews [0]
.subviews [0]
.subviews [2]

206. JavaScript를 이용하지 말자
•객체

207. Hirarchy
Carrier 12:00 PM
Page Title
http://www.domain.com Google
0x14100 MobileSafariWindow
0x14200 UITransitionView
0x14300 UIView
0x14400 UIToolbarButton
0x14500 UISwappableImageView
0x14600 TablToolbarButton
var kTmpObject = new Instance(0x14100)

208. JavaScript를 이용하지 말자
•객체

209. Hirarchy
Carrier 12:00 PM
Page Title
http://www.domain.com Google
0x14100 MobileSafariWindow
0x14200 UITransitionView
0x14300 UIView
0x14400 UIToolbarButton
0x14500 UISwappableImageView
0x14600 TablToolbarButton
var kAA = new Instance( 0 x 1 4 1 0 0 M o b i le S a f a r i W i n d o w )

210. JavaScript를 이용하지 말자
•객체

211. 가져오기

212.
•gdb,

213. cycript

214.
•po

215. [[UIApplication

216. sharedApplication]

217. .

218. .

219. .
cy# var kAddressView = new Instance(UIApp.keyWindow
.subviews [0].subviews [0].subviews [2])
#AddressView: 0x2d3ce0; frame = (0 0; 320 60);
clipsToBounds = YES; layer = CALayer: 0x2d3e40
cy#
subview index

220. JavaScript를 이용하지 말자
•이렇게

221. 얻은

222. 객체에

224. Message보내기
//iPhone 4 iOS 5.1.1
function Fuzzing(URL) {
var kAddressView = new Instance
(UIApp.keyWindow.subviews[0].subviews[0].subviews[2]);
var kAddressTextField = new Instance
(UIApp.keyWindow.subviews[0].subviews[0].subviews[2].
subviews[2].subviews[0]);
[kAddressTextField setText:URL];
[kAddressView goToURL];
}

225. JavaScript를 이용하지 말자
•이렇게

226. 얻은

227. 객체에

229. Message보내기
//iPod Touch 4th iOS 6.1.6
function Fuzzing(URL) {
var kAddressView = new Instance
(UIApp.keyWindow.subviews[0].subviews[0].subviews[2]);
var kAddressTextField = new Instance
(UIApp.keyWindow.subviews[0].subviews[0].subviews[2]
.subviews[0].subviews[1].subviews[2];
[kAddressTextField setText:URL];
[kAddressView goToURL];
}

230. JavaScript를 이용하지 말자
•객체

231. 주소가

232. 아닌

233. index를

234. 가져와서

235. 메시지

236. 보내기

237. DEMO

238. 24시간 7일. 스스로 돌도록 만들자
•필요조건

239. 3

240.
•때때로

241. 잘못

242. 처리된

243. 결과에

244. 대한

245. 대비책이

246. 있어야

247. 한다.

248.
•URL

249. 처리하지

250. 못했을때

251. AlertDialog나타남

252.
•생성되는

253. AlertDialog핸들링을

254. 못하면

255. Fuzzer

256. Crash

257. 24시간 7일. 스스로 돌도록 만들자
•AlertDialog

258. Handling
Carrier 12:00 PM
Page Title
http://www.domain.com Google
0x14100 UIAlertView
if ( objectAtIndex:0 ==
isKindofClass:[UIAlertView class])
{
[KILL UIAlertView];
}

259. 24시간 7일. 스스로 돌도록 만들자
•필요조건

260. 4

261.
•MobileSafari

262. 재실행

263.
•이미

264. 설치되어

265. 있는

266. System

267. APP

268. 이용

269.
•매

270. 30초마다

271. “MobileSafari”가

272. 실행중인지

273. Check

274.
•“MobileSafari”가

275. 없다면…⋯

276. Safari실행…⋯
NSTimer
Safari Check

277. •MobileSafari

278. 재실행

279.
•NSTimer

280. 삽입.

281.
•MobileSafari

282. 프로세스

283. 확인

284. 메소드

285. 구현.
Hook
Safari Check
NSTimer
24시간 7일. 스스로 돌도록 만들자

286. 24시간 7일. 스스로 돌도록 만들자
•MobileSafari

287. 재실행

288.
•이미

289. 설치되어

290. 있는

291. System

292. APP

293. 이용

294.
•매

295. 30초마다

296. “MobileSafari”가

297. 실행중인지

298. Check

299.
•“MobileSafari”가

300. 없다면…⋯

301. Safari실행…⋯
Fail
NSTimer
Safari Check

302. 24시간 7일. 스스로 돌도록 만들자
•실패의

303. 원인:

304. 백그라운드

305.
•Backgound진입시

306. MobileSafari에

307. 영향을

308. 주지

309. 않음.

310.
•일정

311. 시간이

312. 지나면

313. MobileNote,

314. MobileSafari

315. Timer

327. 모두

328. 미작동
NSTimer
Safari Check
NSTimer
Safari Fuzzing

329. 24시간 7일. 스스로 돌도록 만들자
•MobileSafari

330. 실행

331. (다른방법

332. 시도)

333.
•현재

334. 탈옥(jailbreak)환경에서

335. MobileSafari

336. Check구현

337.
•Console형태의

338. 어플리케이션을

339. 만들어서

340. 해보자.

341.
•MobileNote.app을

342. 이용한

343. 방법과

344. 같음.
NSTimer
Safari Check

345. 24시간 7일. 스스로 돌도록 만들자
•MobileSafari

346. 실행

347. (다른방법

348. 시도)

349.
•현재

350. 탈옥(jailbreak)환경에서

351. MobileSafari

352. Check구현

353.
•Console형태의

354. 어플리케이션을

355. 만들어서

356. 해보자.

357.
•MobileNote.app을

358. 이용한

359. 방법과

360. 같음.

361. 24시간 7일. 스스로 돌도록 만들자
•Console형태의

362. 어플리케이션

363.
•[[UIApplication

364. sharedApplication

365. openURL:]
Fail
MobileSafari실행

366. 안됨

367. 24시간 7일. 스스로 돌도록 만들자
•Console형태의

368. 어플리케이션
Success
MobileSafari실행됨!

369. 24시간 7일. 스스로 돌도록 만들자
Hooking
Module
1. WebServer에서 환경설정 파일을 읽어들여
MobileSafari Checking
1. Timer
2. WebServer에서 설정파일을 읽어들여
Fuzzing URL 기본 틀구성
3. Safari환경설정에 저장한 마지막 설정을 읽
어들여 Fuzzing URL완성
4. URL Refresh완성
5. goToURL 메시지 전송 (Fuzzing시작)
1
2
3
4

370. 24시간 7일. 스스로 돌도록 만들자
DEMO

371. 발표순서
결심 Fuzzer 제작 Fuzzing
1. 시도 - 실패
2. 시도 - 실패

372. iOS MobileSafari Fuzzing

373. Fuzzing
•CFURL

374. Null

375. Pointer

376. Dereference

377.
•Opera

378. Coast

379.
•URL처리함수인

380. CFURL

381. *함수의

382. 부적절한사용

383.
•[NSURL

384. URLWithString:@“http://example.com/%”];

385.
•CFURLCreateWithString(kCFAllocatorDefault,

386. CFSTR

399. (“http://example.com/%”),

400. NULL);

401. ==

403. NULL

404.
•CFURLCopyAbsoluteURL(url);

405.
•=

406. NULL

407. pointer

408. derefrence

409.
•From

410. D2T2-Exploring-and-Exploiting-iOS-Web-Browsers

411. Fuzzing

412. Fuzzing
•CFURL

413. Null

414. Pointer

415. Dereference

416.
•Opera

417. Coast

418.
•URL처리함수인

419. CFURL

420. *함수의

421. 부적절한사용

422.
•[NSURL

423. URLWithString:@“http://example.com/%”];

424.
No Crash
•CFURLCreateWithString(kCFAllocatorDefault,

425. CFSTR

438. (“http://example.com/%”),

439. NULL);

440. ==

442. NULL

443.
•CFURLCopyAbsoluteURL(url);

444.
•=

445. NULL

446. pointer

447. derefrence

448.
•From

449. D2T2-Exploring-and-Exploiting-iOS-Web-Browsers

450. Fuzzing
xlog_width 10000
xlog_height 10000

451. Fuzzing

452. Fuzzing
xlog_width 10000
xlog_height 10000

453. Fuzzing
DEMO

454. Fuzzing

455. Question
감사합니다
?

456. References
• Exploring-and-Exploiting-iOS-Web-Browsers, PDF
• https://developer.mozilla.org/ko/docs/Gecko_DOM_Reference
• http://quirksmode.org/dom/core/