我正在尝试围绕不久前在 GitHub 上发布的 v0rtex 漏洞构建一个工具,我需要找到 Kernel Map 和 Realhost 的偏移量。
我已从 ipsw 解密内核文件并将其加载到 IDA 中,但我获得的偏移量似乎永远不正确。电话出错了。
我设法找到的偏移量:0x2b2b
【问题讨论】:
这不是一个有效的偏移量。
我假设您的意思是 KERNEL_MAP 和 REALHOST 偏移量。
如果您的桌面上已经有解密的kernelcache 文件,并且您正在 macOS 上执行此操作(我假设您这样做,因为您正在构建 iOS 应用程序,这里是查找偏移量的方法之一:
kernelcache 文件放在桌面上,并确保它名为“kernelcache”。对于KERNEL_MAP:
nm kernelcache | grep ' _kernel_map$' | awk '{ print "0x" $1 }'
对于REALHOST:
这有点棘手。 REALHOST实际上是host_priv_self_addr
您需要确保已安装 Radare2。
如果你没有radare2,安装它
brew install radare2
之后,运行:
host_priv_self_addr=$(nm kernelcache | grep host_priv_self | awk '{ print "0x" $1 }')
r2 -q -e scr.color=false -c "pd 2 @ $host_priv_self_addr" kernelcache 2> /dev/null | sed -n 's/0x//gp' | awk '{ print $NF }' | tr '[a-f]\n' '[A-F] ' | awk '{ print "obase=16;ibase=16;" $1 "+" $2 }' | bc | tr '[A-F]' '[a-f]' | awk '{ print "0x" $1 }'
把它放在一个 .sh 文件中,用chmod +x给它适当的权限。
重要提示:内核文件必须使用来自https://www.theiphonewiki.com/wiki/Genoa_13G36_(iPod5,1) 的正确 KEY + IV 解密
花了一些时间,针对我身边的 iPod Touch 第 5 代 9.3.5 的 IPSW 运行这些。 KERNEL_MAP 偏移量是0x80412010。
你必须自己找到另一个。
【讨论】: