Hexacon 是在巴黎的安全技术会议,主办方是同在巴黎的安全公司 Synacktiv。
这家公司的团队在今年 p2o 拿下了 Master of Pwn,过半总额的奖金,并开走了一台特斯拉 Model 3。
Hexacon 的名字玩了一个谐音梗。除了高卢雄鸡之外,法(fà)国还有一个外号叫 l'Hexagone,因为版图接近一个六边形(虽然也有不少人说是八边形)。
Hex 又让人忍不住联想起十六进制,这很黑客。
今年的主会议在 10 月 13 - 14 日,也就是上周末。正好那几天橄榄球世界杯正在巴黎举办,街上随处可见身着绿色服装的球迷。
会场在 Palais Brongniart,一座相当气派的历史建筑,曾经是股票交易所,现在多用于举办各种会议活动。
这色调不是我买了 BBC 的 LUT 预设,确实天气就那样。晚上打上灯光好看很多。
未能征得每一位入镜人肖像使用授权,故画面处理成法制节目
这段时间中东局势不稳,凡尔赛宫和卢浮宫几乎天天接到恐袭预警清场。不想讨论太多,确实人麻了。
今年的厂商展台和 OffensiveCon 相比逊色一些,主要是没有人 cosplay。
现场有厂商办小型 ctf,奖品看上去很丰厚
年老体衰,就不凑热闹了。我主要是来薅羊毛拿贴纸的。
某国著名数字取证公司送了一些 Very legitimate charging cable。快快拿出手机插上去吧!
见大家都很喜欢 bug,有公司送了一些能吃的 bug。什么 bug?一大包蚂蚁……
下面高能预警⚠️ 恐虫勿入
巴黎最近的 bed bugs 闹的人心惶惶,送这个简直是恶趣味。
会议第二天结束之后有一个 lightning talk 环节。现场报名然后准备一个三五分钟的讲座。
除了不要求洋酒/白酒一口闷,这应该是跟 syscan 和 MOSEC 学的吧?而且不喝酒感觉没那味儿了。
和主议题不是一个场地,我没挤到前面去。看不到也听不到,体验不佳。
除了送 bug,第二天 Trenchant 搞了个 after party。这奇奇怪怪的酒水单。
听了几个感兴趣的议题之后就找朋友唠嗑去了,社恐严重,基本上也只敢找认识的玩。
本文并不打算详细记录议题相关的内容,速记不下来,而且大部分议题都还没放 ppt(可能也不会放)。
拖了一星期才写,一方面懒,一方面等等看还有没有新的发出来。一些议题并非首发,可以在别的会议网站上找到演讲材料。
另外我在网上搜到一个博客,这位大哥比我的记笔记认真多了。
https://theinternetprotocolblog.wordpress.com/2023/10/16/hexacon-2023/
Finding and exploiting an old XNU logic bug
应该就是 0x41con 的版本。Synacktiv 在 p2o 上用一个 XNU 的内核漏洞在搭载 Apple Silicon 处理器的 MacBook 上获取了 root 权限。
这个项目一直给人一种哪里不对劲的感觉。XNU 的漏洞通常都会影响 iPhone,一个 iOS 上的内核提权怎么都不止 p2o “区区” 40k USD。而且 Apple Silicon 内核利用难度接近手机越狱,同样有各种东西要绕过。
谜底揭晓。Eloi Benoist-Vanderbeken 确实使用了 XNU 内核的 bug,不过这部分代码并不会编译到 iOS 上。
这是一个 /dev/fd 设备当中的 TOCTOU 逻辑漏洞。这个设备就有点……不知道是干嘛用的。
文件描述符本身就是一个数字的 handle(听说句柄这个翻译一直被人诟病?),而通过这个设备可以构造类似 /dev/fd/3 这样的路径再打开,看上去 dup2 也可以实现类似的效果。
不巧这个设备的实现存在问题,藏了很久了。
漏洞的效果就是,只要一个路径可以被 open,就可以构造异常状态对其任意 chmod,即使进程没有对应的文件系统权限。
整个过程不需要破坏任何内核数据结构,100% 稳定。只需要给加上 setuid 权限就可以允许提升到 root。为了节目效果,作者特意在演示程序日志里加上了一堆正在绕过 PAC 之类的鬼话。
有了 root 权限之后,作者还对绕过 SIP 和加载内核扩展(即真正意义上的内核代码执行权限)的可行性做了分析,不过没有完整真正实现。
A 3-Years Tale of Hacking a Pwn2Own Target
接下来的演讲人,各位 Web 选手都不会陌生。不过议题是关于 IoT 二进制 pwning 的。
🍊神之前在 HITCON 和 RomHack 上都讲过,介绍三年准备 Pwn2Own 项目(Sonos 智能音箱)的心路历程。
除具体细节分析之外,这个议题曲折离奇的故事应该是全场最具笑点的。
一开始被一个假的漏洞迷惑,浪费了一些时间;
接着搞了一个真的栈溢出,但由于缺少最新的固件,调试不出正确的偏移。没搞定;
第二年看到 Synacktiv 发了一篇利用 DMA 攻击提取固件二进制的文章,又折腾了好久拿到了固件,终于用一个新的洞搞定;
第三年准备继续之前的进度,发现厂商被打之后把二进制的 mitigation 全打开,利用难度增大不少;
终于搞定了一个 exploit,突然间收到了一个固件更新,诡异地被补了;不甘心再搞一套,又被补了;
距离截止日期还有一个多月,终于后知后觉发现系统里有一个上传 crash dump 的服务……怪不得每次厂商的补丁都如神兵天降。终于想起来要断网调试;
还剩最后两周,发现一开始的假 bug 由于代码迭代,变成真洞了。终于搞定。
You have become the very thing you swore to destroy: Remotely exploiting an Antivirus engine
蒙特利尔的 RECON 上讲过。
https://cfp.recon.cx/media/2023/submissions/KTMT73/resources/ClamAV\_REcon\_T3KMBct.pdf
开源杀毒软件 ClamAV 处理一些文件格式的漏洞,导致安全软件自身被攻击。针对这些问题,作者还实现了 exploit 演示。
Exploiting Hardened .NET Deserialization: New Exploitation Ideas and Abuse of Insecure Serialization
白皮书
https://github.com/thezdi/presentations/blob/main/2023\_Hexacon/whitepaper-net-deser.pdf
博客
几个相关的演示视频:
油管/watch?v=5UyX7Hp2q3Q
油管/watch?v=ZcOZNAmKR0c
Back To The Future With Platform Security
Hardware.io 有讲过
演讲材料和录像:
油管/watch?v=Ho-Ne5Oz5gs
博客:
https://labs.ioactive.com/2023/06/back-to-future-with-platform-security.html
XORtigate: zero-effort, zero-expense, 0-day on Fortinet SSL VPN
这一篇没有 slides,不过有博客,还放出了 PoC 代码
https://blog.lexfo.fr/xortigate-cve-2023-27997.html
https://github.com/lexfo/xortigate-cve-2023-27997
The Hazards of Technological Variety and Parallelism: An Avocado Nightmare
这篇可惜还没有放出任何材料,很有意思的案例。
利用不同编程语言(C 和 Java)的库处理宽字符长度返回值的差异,构造畸形的网络协议载菏,在远程桌面网关软件 Apache Guacamole 上实现信息泄露和未授权访问等。
作者说他不认识 ppt 上举例用的字(🈹),我持怀疑态度。真不是故意选的?
最后祝大家周末(周一)愉快。