Šo ziņu pēdējo reizi rediģēja Vasara 2025-10-14 10:59
Virtuālās kameras versija, kuru autors iepriekš ir uzlauzis, ir ievietojusi video vietnē Bilibili
Iepriekšējā versija, ko es saplaisāju, arī bija saplaisājusi
Saikne:Hipersaites pieteikšanās ir redzama.
Nesen klients man lūdza uzlauzt citu tā paša autora virtuālās kameras versiju un vienkārši to izpētīt
Vispirms pārbaudiet apvalku, Bangbang bezmaksas stiprinājums, salīdzinoši vienkāršs, tikai vienkārša Frīdas atklāšana, iepriekš minētā saite ir veikusi ļoti detalizētu analīzi par Bangbang bezmaksas versijas pastiprināšanu un atklāšanu, izmantojot dažādus rīkus, piemēram, ebpf
Āķis ar Frīdu vispirms, ir avārijas pazīmes, var būt, ka pēda tiek ievadīta pārāk agri vai adrese nav pieejama, kad āķis ir gatavs, labojot skripta āķa kodu uz frīdu
Kopumā injekcijas laiks tika nedaudz aizkavēts, kas atrisināja injekcijas avāriju problēmu
āķis Viņa aktivizācijas procesā tiek atgriezti aktivizācijas dati, un viņam ir jāpieprasa serverim pārbaudīt, vai viņš ir saņēmis aktivizācijas laika zīmogu
Pēc tam lietotājam tiek dots laiks, aprēķinot laika starpību.
Šī virtuālā kamera pieprasa arī root atļaujas, pretējā gadījumā nav versijas starpprocesu saziņas,
Kopumā šai kamerai ir sākti trīs procesi
Viens ir kameras lietotnes galvenais process, kas ir starpprocesu saziņa starp Java slāni un C++ slāni
Otrais ir tas, ka galvenais process komandrindā palaiž bināro izpildāmo vcmplay ievades parametru caur java slāni, lai sāktu otro procesu, kas galvenokārt ir atbildīgs par starpprocesu saziņu starp kameras vcmpaly galveno procesu un libvc.so procesu, kas tiek ievadīts sistēmas kameras kameras pakalpojumā, un galvenais saziņas veids ir ibinder.
Trešais ir kameras kameras servera SO fails, kas ievadīts sistēmas pakalpojumā.
Ja lietojumprogramma nevar iegūt root privilēģijas vai ir tīkla problēma, procesu neizdosies sākt
Šai kamerai ir nepieciešams aktivizācijas kods, lai aktivizētu un izmantotu, un, analizējot Java slāni, visas tās saskarnes tiek savienotas
Aktivizēšanai ir jāpieprasa serverim iegūt verifikācijas informāciju
Visi iegūtie dati ir šifrēti
Analizējot VCMPLAY bināro izpildāmo failu, mēs varam iegūt, ka pieprasītie dati ir RSA šifrēšana, un atslēga atrodas, izmantojot stackplz EBPF rīku, un šifrēšanas atslēga ir 128 biti
Vēl viens vārds
Šī lietojumprogramma ir ļoti viltīga, viņš vcmplay pievienoja tik sufiksu, kas liek cilvēkiem domāt, ka tas ir SO fails, un tas ir jāielādē Java atmiņā, bet patiesībā tas ir cits process.
Es pieķēru kameras servisa kameras serveri libvc.so atklāju, ka frīda avarēja, tiklīdz avarēja kameras pievienošanas pakalpojums, es nezinu, vai tas tika atklāts, es to ilgi analizēju un nejauši atklāju, ka VCMPLAY nomira vienu reizi, un tas varēja pieķerties Ir aizdomas, ka tas varētu būt VCMPLAY process, kas atklāja kameras procesu
Es izmantoju ida, lai atkļūdotu VCMpay procesu, un atklāju, ka viņam joprojām ir anti-atkļūdošana, skenēja tracepid proc / self / statusā, lai noteiktu, vai tas ir atkļūdots, un vēl biedējošāk bija tas, ka viņš atklāja, ka anti-atkļūdošana nav programmas avārija, viņš faktiski izdzēsa svarīgus failus Android sistēmā, izmantojot root atļaujas, un pēc tam tālrunis restartējās dubultā klīringa stāvoklī, un sistēma ir jāinicializē, lai iekļūtu sistēmā, un viss tālrunī bija pazudis. Es uzrakstīju kodola āķa moduli kpm, izmantojot kernelpatch un apejot atkļūdošanu.
Pēc vairākām negulētām naktīm šeit ir noskaidrota vispārējā loģika, un tiek lēsts, ka to nebūs viegli uzlauzt.
Turpināsim vēlāk......
|
Publicēts 2025-10-14 10:40:57
|
|
|
|
