“六边形”会议——Hexacon 2023
2023-10-23 01:13:16 Author: mp.weixin.qq.com(查看原文) 阅读量:11 收藏

Hexacon 是在巴黎的安全技术会议,主办方是同在巴黎的安全公司 Synacktiv。

这家公司的团队在今年 p2o 拿下了 Master of Pwn,过半总额的奖金,并开走了一台特斯拉 Model 3。

Hexacon 的名字玩了一个谐音梗。除了高卢雄鸡之外,法(fà)国还有一个外号叫 l'Hexagone,因为版图接近一个六边形(虽然也有不少人说是八边形)

Hex 又让人忍不住联想起十六进制,这很黑客。

今年的主会议在 10 月 13 - 14 日,也就是上周末。正好那几天橄榄球世界杯正在巴黎举办,街上随处可见身着绿色服装的球迷。

会场在 Palais Brongniart,一座相当气派的历史建筑,曾经是股票交易所,现在多用于举办各种会议活动。

这色调不是我买了 BBC 的 LUT 预设,确实天气就那样。晚上打上灯光好看很多。

未能征得每一位入镜人肖像使用授权,故画面处理成法制节目

这段时间中东局势不稳,凡尔赛宫和卢浮宫几乎天天接到恐袭预警清场。不想讨论太多,确实人麻了。


今年的厂商展台OffensiveCon 相比逊色一些,主要是没有人 cosplay。


现场有厂商办小型 ctf,奖品看上去很丰厚

年老体衰,就不凑热闹了。我主要是来薅羊毛拿贴纸的。

某国著名数字取证公司送了一些 Very legitimate charging cable。快快拿出手机插上去吧!

见大家都很喜欢 bug,有公司送了一些能吃的 bug。什么 bug?一大包蚂蚁……

下面高能预警⚠️ 恐虫勿入

巴黎最近的 bed bugs 闹的人心惶惶,送这个简直是恶趣味。

会议第二天结束之后有一个 lightning talk 环节。现场报名然后准备一个三五分钟的讲座。

除了不要求洋酒/白酒一口闷,这应该是跟 syscan 和 MOSEC 学的吧?而且不喝酒感觉没那味儿了。

和主议题不是一个场地,我没挤到前面去。看不到也听不到,体验不佳。

除了送 bug,第二天 Trenchant 搞了个 after party。这奇奇怪怪的酒水单。


听了几个感兴趣的议题之后就找朋友唠嗑去了,社恐严重,基本上也只敢找认识的玩。

本文并不打算详细记录议题相关的内容,速记不下来,而且大部分议题都还没放 ppt(可能也不会放)。

拖了一星期才写,一方面懒,一方面等等看还有没有新的发出来。一些议题并非可以在别的会议网站上找到演讲材料。

另外我在网上搜到一个博客,这位大哥比我的记笔记认真多了。

https://theinternetprotocolblog.wordpress.com/2023/10/16/hexacon-2023/

Finding and exploiting an old XNU logic bug

应该就是 0x41con 的版本。Synacktiv 在 p2o 上用一个 XNU 的内核漏洞在搭载 Apple Silicon 处理器的 MacBook 上获取了 root 权限。

这个项目一直给人一种哪里不对劲的感觉。XNU 的漏洞通常都会影响 iPhone,一个 iOS 上的内核提权怎么都不止 p2o “区区” 40k USD。而且 Apple Silicon 内核利用难度接近手机越狱,同样有各种东西要绕过。

谜底揭晓。Eloi Benoist-Vanderbeken 确实使用了 XNU 内核的 bug,不过这部分代码并不会编译到 iOS 上。
这是一个 /dev/fd 设备当中的 TOCTOU 逻辑漏洞。这个设备就有点……不知道是干嘛用的。

文件描述符本身就是一个数字的 handle(听说句柄这个翻译一直被人诟病?),而通过这个设备可以构造类似 /dev/fd/3 这样的路径再打开,看上去 dup2 也可以实现类似的效果。
不巧这个设备的实现存在问题,藏了很久了。
漏洞的效果就是,只要一个路径可以被 open,就可以构造异常状态对其任意 chmod,即使进程没有对应的文件系统权限。
整个过程不需要破坏任何内核数据结构,100% 稳定。只需要给加上 setuid 权限就可以允许提升到 root。为了节目效果,作者特意在演示程序日志里加上了一堆正在绕过 PAC 之类的鬼话。

有了 root 权限之后,作者还对绕过 SIP 和加载内核扩展(即真正意义上的内核代码执行权限)的可行性做了分析,不过没有完整真正实现。

A 3-Years Tale of Hacking a Pwn2Own Target 

接下来的演讲人,各位 Web 选手都不会陌生。不过议题是关于 IoT 二进制 pwning 的。

https://romhack.io/wp-content/uploads/sites/3/2023/09/RomHack-2023-Orange-Tsai-A-3-years-tale-of-hacking-a-Pwn2Own-target.pdf

🍊神之前在 HITCON 和 RomHack 上都讲过,介绍三年准备 Pwn2Own 项目(Sonos 智能音箱)的心路历程。

细节分析之外,这个议题曲折离奇的故事应该是全场最具笑点的。

一开始被一个假的漏洞迷惑,浪费了一些时间;

接着搞了一个真的栈溢出,但由于缺少最新的固件,调试不出正确的偏移。没搞定;

第二年看到 Synacktiv 发了一篇利用 DMA 攻击提取固件二进制的文章,又折腾了好久拿到了固件,终于用一个新的洞搞定;

第三年准备继续之前的进度,发现厂商被打之后把二进制的 mitigation 全打开,利用难度增大不少;

终于搞定了一个 exploit,突然间收到了一个固件更新,诡异地被补了;不甘心再搞一套,又被补了;

距离截止日期还有一个多月,终于后知后觉发现系统里有一个上传 crash dump 的服务……怪不得每次厂商的补丁都如神兵天降。终于想起来要断网调试;

还剩最后两周,发现一开始的假 bug 由于代码迭代,变成真洞了。终于搞定

You have  become the very thing you swore to destroy: Remotely exploiting an Antivirus engine

蒙特利尔的 RECON 上讲过。

https://cfp.recon.cx/media/2023/submissions/KTMT73/resources/ClamAV_REcon_T3KMBct.pdf

开源杀毒软件 ClamAV 处理一些文件格式的漏洞,导致安全软件自身被攻击。针对这些问题,作者还实现了 exploit 演示。

Exploiting Hardened .NET Deserialization: New Exploitation Ideas and Abuse of Insecure Serialization

白皮书

https://github.com/thezdi/presentations/blob/main/2023_Hexacon/whitepaper-net-deser.pdf

博客

https://www.zerodayinitiative.com/blog/2023/9/21/finding-deserialization-bugs-in-the-solarwind-platform

几个相关的演示视频:

油管/watch?v=5UyX7Hp2q3Q

油管/watch?v=ZcOZNAmKR0c

Back To The Future With Platform Security

Hardware.io 有讲过

演讲材料和录像:

油管/watch?v=Ho-Ne5Oz5gs

https://github.com/IOActive/uefi_research/blob/main/presentations/Back_to_the_Future_with_Platform_Security__HardwearIO_2023.pdf

博客:

https://labs.ioactive.com/2023/06/back-to-future-with-platform-security.html

XORtigate: zero-effort, zero-expense, 0-day on Fortinet SSL VPN

这一篇没有 slides,不过有博客,还放出了 PoC 代码

https://blog.lexfo.fr/xortigate-cve-2023-27997.html

https://github.com/lexfo/xortigate-cve-2023-27997

The Hazards of Technological Variety and Parallelism: An Avocado Nightmare

这篇可惜还没有放出任何材料,很有意思的案例。

利用不同编程语言(C 和 Java)的库处理宽字符长度返回值的差异,构造畸形的网络协议载菏,在远程桌面网关软件 Apache Guacamole 上实现信息泄露和未授权访问等。

作者说他不认识 ppt 上举例用的字(🈹),我持怀疑态度。真不是故意选的?


最后祝大家周末(周一)愉快。


文章来源: https://mp.weixin.qq.com/s?__biz=Mzk0NDE3MTkzNQ==&mid=2247485160&idx=1&sn=08ec3be21110b5062039cf4b1786fbac&chksm=c329f818f45e710e082918a7b5b458ef8f25a1109ec1d9edc417c55f492f8bb5e5ed55209175&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh