好奇心杀死猫

2026 年 3 月 27 日，“The White House”官方移动应用程序上线了。上线不久就有两位手痒的研究员发布了分析报告，分别针对 Android 和 iOS：

外网链接咱就不贴了，很容易搜索到。由于这个 app 本质上是 expo（基于 React Native）框架开发，所以两篇文章大同小异。

We downloaded the app, unzipped it, and took a look at what’s inside. No hacking, no traffic interception, no DRM bypassing. Just standard macOS tools (strings, nm, plutil) pointed at a free app anyone can download from the App Store.

Security Analysis of the Official White House iOS App

研究人员反编译发现，应用每隔数分钟采集一次 GPS 定位，数据同步至第三方服务器；在 WebView 注入 js 代码绕过网站付费墙（paywall）和隐私提示，违反欧盟 GDPR 法规；部分代码依赖的仓库是个人开发者，存在被篡改风险。

下面进入正题。

之前有发文章宣传过我写了个图形界面工具来方便 iOS 和 Android 两大主流平台的 app 分析。其中包括 React Native 运行时分析：

手欠的我当然是试了一把。理论上 React Native 的界面逻辑，通过注入 js 做原型链的钩子就能实现很多修改，暂时还没精力深入开发这块。

但别人的分析都集中在 React Native 反编译上。我这时候意识到我的程序里面集成的 hermes 反编译还不够用，而正好前两天 push 了一下 radare2 开发者，给 r2hermes 工具加上了缺失的交叉引用功能。

在这里补充一下上下文。radare2 最近上了 hermes 字节码反编译的插件。radare2 虽然反编译效果算不上怎么样，但胜在免费开源集成方便。即使是 GPL，反正我不改代码不静态链接就好了。

于是今天搞了一下午，做了一个网页版的 radare2。

配置 llm 之后简直就是开挂，反编译出来的东西跟源码似的。

基本找到了几位研究员提到的相关代码，在字符串里还多处硬编码了……不予置评。咱们是技术博主，不是观点输出博主。

工具已经发布了 v1.1.0 到 npm，node 一键安装：

npm i -g igf

也可以去 GitHub 页面直接下载 exe，基于 bun 打包的单文件。由于没（经费去）代码签名，下载安装的方式需要自行去除来自 Internet 标记，否则将无法运行。同样由于没有代码签名，没法验证文件是不是官方（我）构建的，所以还请风险自负。

问题来了，反编译白宫的 app 会被定点……吗？

跳转微信打开

VSCode 插件市场直接搜索 frida 工作台安装。增强版 Java 和 ObjC 类型提示，可以补全类和方法。由于高度依赖注入进程的环境，需要配置 .vscode/frida.json，详见文档说明。此功能冷启动可能有几秒延迟；一键获取 AndroidManifest.xml 和 Info.plist；批量生成钩子模版代码；内存字符串搜索和一键转储；一键生成 Objective-C classdump 头文件。本插件和 frida 官方没有任何关系，倒是大胡子叔叔亲自转发了。

跳转微信打开

中欧抽象打卡之行

内容预警：本文为没有营养的旅游流水账，糅合一些电影和音乐的梗报菜名。不感兴趣现在可以划掉了。

斯洛伐克对亚洲游客来说并不是热门目的地，为什么我又来了？旅游主打的就是私人体验。照着某书攻略固然稳妥，倒是少了“开盲盒”的乐趣。所以最近迷上一些看上去不太靠谱，其实也没太大风险的坑爹目的地。

比如上次去各种博主口中“欧洲最穷”的摩尔多瓦，物超所值。这个号应该是安全博主里为数不多去过德涅斯特河左岸的？后来发现凯奇《战争之王》现实中的原型人物曾在此叱咤风云，整个地区就是干军火生意的——这勉强解释了为什么那里的街头有着极高出镜率的特斯拉。去这种地方旅游，玩的就是心跳。

相比之下，斯洛伐克只是冷门。平心而论，这里的自然风光相当能打，只是在邻国的衬托下显得有些低调。

2023 年第一次到 Bratislava（布拉迪斯拉发） 我就已经开启地域黑模式，疯狂引用电影《Hostel（中文译名：**客栈）》的烂梗。

当时我对这里一无所知，阅片量贫乏到只剩下重口味。这部其实在捷克取景的片子，20 年前凭一己之力差点掀翻了斯洛伐克的旅游业，气得人家国会议员直接破防，隔空喊话让导演亲自来看看。

捷克斯洛伐克曾经也是一家人，果然前任的恨才是最深的。

比如 Hostel 不是唯一一部美国拍摄、捷克取景，对斯洛伐克展开地域黑的电影。小时候只看过《美国派》，并不知道还有 《EuroTrip（欧洲派）》。还好来欧洲以前没看过，不然里面对欧洲各国的嘲讽还未必能看得懂。去年 2025 年教皇方济各离世，全球直播梵蒂冈换届的那阵，除了《Conclave（秘密会议）》接到流量之外，Eurotrip 里恶搞美国高中生意外“当选”教皇的桥段也在社交网络上再次被翻出来。而这部电影点名黑的另一个地方，又是斯洛伐克首都布拉迪斯拉发……

其中一段剧情是主角几个在高速公路上搭便车想去柏林，遇到不会说英文的怪蜀黍司机。双方鸡同鸭讲一番后上了车。老司机带带我，主角满心欢喜以为快到柏林了，结果车门一开——欢迎来到布拉迪斯拉发。

多的我就不做电影切片了，毕竟我也不是做视频号的。

这个桥段让我联想起当年在巴尔干坐穷鬼巴士 FlixBus 的阴影：凌晨四点被东欧司机扔到路边加油站。吓个半死却也有惊无险，也算攒了点谈资了。

除了老电影，最近又发现一些新梗可以整活，也是我这次来的主要目的。

某书暂时没有看到有博主推荐的名人同款机位——不过是臭名昭著的名。

随着爱泼斯坦案的文件进一步解密，虽然老美努力打码，但冰山一角已经足够让舆论哗然。美国的大人物们稳如泰山，欧洲倒是有几个政客引咎辞职了。

说明欧洲人还是要点脸的。

解密文件里有一张爱泼斯坦 2018 年在斯洛伐克的合影。照片背景正是布拉迪斯拉发老城区最著名的打卡点——“守望者（Čumil）”雕塑。

这个机位我熟。隔壁就是汉堡王，2024 年 DEFCON 闭幕那天，我和几个网友在那儿一边啃汉堡一边看直播，当时网上还在疯传 IDA Pro 9 Beta 的泄漏版。

作为一名一生要出片的老中，旧地重游自然要打卡阴阳怪气一番。

然而在抽象这条赛道上，我并不是孤身一人。

当时我正纠结找哪个路人帮忙摆拍，路遇一队美国游客。我刚一开口并给对方看样板，大家瞬间对上暗号——合着他们也是来 Cosplay 这个名场面的。他们不仅热心地帮我掌镜，还大方地加入群演。虽然动作不够还原，还多了一个人。不过打上黑框，有那味儿了没？

第二天一早，我动身前往北部的斯特尔布斯凯普莱索（Štrbské Pleso）。这里是塔特拉山脉著名的滑雪胜地，但我此行醉翁之意不在酒。

这张专辑封面是白俄罗斯乐队 Molchat Doma（寂静空屋）于 2018 年发行的第二张录音室专辑 Этажи，直译为“楼层”或“地板”。

即使你没听过这名字，这支乐队也绝不算小众。他们多次来华巡演，最近一次就在 2025 年底，网易云评论过万，搞不好你就在某个短视频的背景音乐里听过那段阴冷郁结的合成器旋律。

当然接下来不会写乐评这么高级的东西。

有没有想过这个造型夸张的建筑，现实当中居然是真实存在的？

这就是全景度假酒店（Hotel Panorama Resort）。它坐落在高塔特拉山国家公园内，以标志性的倒椎体设计闻名。

从首都开车过来要 3 个多小时，其实从邻国波兰的克拉科夫出发反而更近。

高塔特拉山（High Tatras）的名气虽不如阿尔卑斯，却是斯洛伐克与波兰的天然国界。酒店步行不远就是什特尔布斯凯湖，典型的冰川湖，清澈如镜。

冬天的湖面彻底封冻，许多人直接穿行而过。但我对前阵子贝加尔湖的冰面事故心有余悸，走了一段之后还是老老实实回到环湖道上绕行。

既然来到了高塔特拉山，如果不来尝试一下 Tatratea（塔特拉茶），这趟旅行就不算完整。

虽然名字叫“茶”，但千万别被它名字骗了。这玩意儿的本质是利口酒，更接近于长岛冰茶，度数不低。

少了长岛冰茶都市丽人属性，Tatratea 是斯洛伐克糙汉用来对抗物理严寒的功能饮料，最早源于塔特拉山民的一种民间偏方。为了抵御高海拔的严寒，他们会将草药、黑茶、酒精和蜂蜜混合在一起，煮成热腾腾的强效饮品。

有点微醺了，本期的流水账到此为止。

跳转微信打开

又来乱给别人开 js 控制台

动机和背景

我好像有个偏小众的恶趣味，就是给别人生产环境的应用开 js 控制台。虽然几年前发的那个某小程序的思路早就不能用了。

最近看到国外开发者 Pilfer 一直在社交网络上宣传他的新产品 Bytecode Studio，这是一款专门用于反编译和分析 React Native 字节码的工具。

https://bytecodestudio.com

他在两年前写过一篇博客 Reverse Engineering and Instrumenting React Native Apps：

https://pilfer.github.io/mobile-reverse-engineering/react-native/reverse-engineering-and-instrumenting-react-native-apps/

这篇文章介绍了在 Android 平台的 legacy 架构下动态向当前运行的 React Native 应用注入 JavaScript 代码的过程。通过 js 层的 hook，他可以实现拦截网络请求、JSON 序列化，以及无意中 dump 一些 UI 层级结构等功能。文章里的相关代码开源了：

https://github.com/Pilfer/heresy

他的 GitHub 主页还有一个基于 Rust 的 hermes 字节码反编译工具。有了这些技术积累，并不奇怪他会做 Bytecode Studio。

而数天前 React Native 发布了 0.74 版本，默认启用 Bridgeless 架构。请注意之前引用的文章只讲了 legacy 架构。

https://reactnative.dev/blog/2024/04/22/release-0.74

而还是这几天，radare2 发布了一款插件 r2hermes，专门用于分析 hermes 字节码。

https://github.com/radareorg/r2hermes

虽然笔者不做客户端，这一系列内容勾起了我的兴趣，也就有了今天这篇文章。

Legacy 和 Bridgeless 是什么鬼

React Native 有两套架构。

Legacy 架构下，JavaScript 运行在独立线程，通过 Bridge 与 Native 通信。Native 侧核心类在 iOS 是 RCTCxxBridge，Android 是 CatalystInstanceImpl。所有跨语言调用都要序列化成 JSON 经过 Bridge 传递。

0.74 版本默认启用的 Bridgeless 架构移除了这座"桥"，JavaScript 直接调用 Native 方法，性能更好。iOS 侧核心类变为 RCTInstance，Android 侧变为 ReactInstance。

向其中注入 JS 代码可以拦截网络请求、修改界面、调试业务逻辑等，静态反编译和动态修改运行时是软件逆向常见的手法。下面结合具体代码来说明实现思路。

脚本实现

我们一共要支持 4 种情况：Android 和 iOS 的 Legacy 和 Bridgeless 架构。

frida 里可以简单实用 ObjC.classes 和 Java.classes 来检查类是否存在。

拦截 JS Bundle 加载

React Native 的 JS 代码以 Bundle 的形式加载。如果应用版本很旧，可能用的是压缩混淆后的 js，分析很简单。不过目前多数情况都是 hemes 字节码，分析门槛比前者显著提高。

我们可以拦截以下方法拿到 js 或者字节码。

iOS legacy 架构：

-[RCTCxxBridge executeSourceCode:withSourceURL:sync:]-[RCTCxxBridge executeApplicationScript:url:async:]

iOS bridgeless 架构：

-[RCTInstance _loadJSBundle:]

Android legacy 架构：

CatalystInstanceImpl 的 loadScriptFromAssets 以及 loadScriptFromFile

Android bridgeless 架构：

com.facebook.react.runtime.ReactInstance 的 loadJSBundleFromFile 和 loadJSBundleFromAssets

主动注入 JS 代码

React Native 核心的逻辑使用 C++ 实现，用 frida 直接交互虽然不是不可能，但是构造参数非常麻烦，还得处理内存管理和偏移量适配等问题。

从 Java 层或者 Objective-C 层并没有提供可以传入字符串的接口，只能把 js 写入临时的 bundle 然后载入。

在文章开头提到的 Pilfer 的博客里，作者为了拿到当前运行的 CatalystInstanceImpl 实例，用了比较 hack 的方法，创建定时器等待 loadScriptFromAssets 被调用，然后在 hook 里把实例保存下来。

// This is the app identifier you're trying to hook
const package_name = 'com.foo.bar';
// Write the hermes-hook.js payload to file
const f = new File(`/data/data/${package_name}/files/hermes-hook.js`, 'w');
f.write(`console.log(Object.keys(this)); console.log('hello from React Native!');`);
f.close();
Java.perform(function () {
  // Lazily wait for the class to be available to us  
  var looper = setInterval(function () {
    try {
      const CatalystInstanceImpl = Java.use("com.facebook.react.bridge.CatalystInstanceImpl");
      CatalystInstanceImpl.loadScriptFromAssets.implementation = function (assetManager, assetURL, z) {
        // Load the original index.android.bundle
        this.loadScriptFromAssets(assetManager, assetURL, z);
        // Load custom JS into the global hermes context
        this.loadScriptFromFile(`/data/data/${package_name}/files/hermes-hook.js`, `/data/data/${package_name}/files/hermes-hook.js`, z);
      };
      clearInterval(looper);
    } catch (error) {
      console.log('failed');
    }
  }, 10);
});

其实 frida 本身的 Java.choose 和 ObjC.choose 就可以直接在内存里检索到实例。

以 iOS 的 legacy 架构为例：

const nsData = ObjC.classes.NSData.dataWithContentsOfFile_(path);
const nsURL = ObjC.classes.NSURL.fileURLWithPath_(path);
instance["- enqueueApplicationScript:url:onComplete:"](nsData, nsURL, NULL);

新架构注入 js bundle 用的是 RCTInstance 的 _loadJSBundle: 方法。但是没想到吧，还有惊喜。这个方法在三年前的提交改过名字，之前是没有下划线的

https://github.com/facebook/react-native/commit/0dcf81b4f19484a4e43

不过这个适配好做，直接 respondsToSelector: 判断一下就行。

获取返回值

在这里遇到了另一个问题，上层封装的加载 js 接口并不等待脚本执行完成，也没有提供获取执行结果的接口。虽然我们在 js 脚本里使用 console.log 可以在 iOS 的系统日志或者 Android 的 logcat 里看到输出，对手工测试的场景绰绰有余，但如果想开发自动化工具，到处 grep 就不太优雅。

很容易想到一个很糟糕的思路：js 里内置了 XMLHttpRequest，直接把执行的结果回传到一个本地监听的 http 服务器上。也不是不可以。

那么既然我们想到了 React Native 内置函数这一点，又有二进制级别的函数插桩，不妨直接用 alert 当作 callback 回传。这并不是笔者原创，多年以前就有人用这个思路实现 WebView 的 js 和 native 互传数据了。

先把待执行代码包装一下：

const wrapped = `
try {
  var r = (function() { return ${script} })();
  alert('frida-callback:${id}:' + JSON.stringify(r));
} catch(e) {
  alert('frida-callback:${id}:' + JSON.stringify({ error: e.message }));
}
`;

接着这个字符串 frida-callback:... 会被封装成字典格式传到 native 层。以 iOS 为例，就是一个 NSMutableDictionary，其中的 key 是 "message"。但这里有一个小坑。从 6 年前的一个提交到截止本文发布的版本，这个 native 方法接受的参数是一个 C++ 的对象，解引用第一个指针才是 NSMutableDictionary：

RCT_EXPORT_METHOD(alertWithArgs : (JS::NativeAlertManager::Args &)args callback : (RCTResponseSenderBlock)callback)

而 2019 年的这个 a5ad0bf12468fc831c2a 提交当中，函数原型曾经是直接传的：

RCT_EXPORT_METHOD(alertWithArgs:(NSDictionary *)args
                  callback:(RCTResponseSenderBlock)callback)

这就导致同样的代码会崩，还得特殊处理一下。不过都 7 年了，如果不是特别执着兼容性，直接按照新的函数原型来构造参数就好了。

  const { RCTAlertManager } = ObjC.classes;
  const method = RCTAlertManager["- alertWithArgs:callback:"];
  const original = method.implementation;
  method.implementation = ObjC.implement(
    method,
    function (
      handle: NativePointer,
      selector: NativePointer,
      args: NativePointer,
      callback: NativePointer,
    ) {
      const message = new ObjC.Object(args.readPointer()) // <- 注意 readPointer
        .objectForKey_("message")
        .toString();
      console.debug(`React Native alert(${message})`);
      return original(handle, selector, args, callback);
    },
  );
  console.log('replaced RCTAlertManager["- alertWithArgs:callback:"]');

这个 Module 看上去不受 bridgeless 架构的影响，都可以用同样的方式 hook。

最后看看效果，搞了个类似 F12 的东西：

阅读原文

跳转微信打开

Wireshark 抓包用得多了，有没有试过拿来打日志？依靠内置的 lua 脚本（dissector）可以实现自定义的解码和展示，理论上什么结构化数据都可以往里面塞。

各位榜上大哥刷🍎赏金必然要分析的一类组件就是 XPC 通信。这是之前想到的一个脑洞，用 hook 抓 iOS/mac 的进程间通信然后转存到 Wireshark 里，还能保存成 pcap。

直接输出 XPC 消息的服务名，消息内容和调用堆栈。如果是 NSXPC 还可以直接打参数出来。

写得很烂有 bug 一直没办法用，于是雪藏了很久。刚才突发奇想塞给 llm，很快把 bug 修掉了…

代码在 github/ChiChou/XpcScope/releases/tag/v1.0.0

跳转微信打开

js 应用打包成可执行文件

Bun 去年年底被 Anthropic 收购的新闻刷屏了一阵，在此之前我已经在个人项目玩了好久了。

简单来说 Bun 是 js 运行时里的新秀，和 Node.js 在开发语言和引擎上都走了不同的路线。Bun 使用 Zig 开发，脚本引擎用的 Safari 的 JavaScriptCore。

去年 Agent 开发话题颇为火热，TypeScript 是不少人首选的开发语言。各种终端界面工具的流行甚至有了一点文艺复兴的味道。最新版的 Node.js 支持通过 Type Stripping 开箱即用运行 ts 项目（无需特定 flag，但不支持部分特定语法），Bun 也类似。现在运行 ts 项目已经可以基本摆脱转译器。

下面开始正题。

两年前的外国贴吧上的一封帖子《我是 GitHub 新手，不吐不快》走红了。楼主飙脏话怒喷开源作者提供的安装构建步骤繁琐，对新手不友好。

而回到 TypeScript / Javascript 构建出来的命令行工具。包管理一条命令就能一键安装，然而在桌面操作系统环境上，打包成独立可执行文件直接让用户下载也不失为一种分发的途径。

当然提供可执行文件下载并不见得比包管理一条命令安装友好多少。首先主流桌面系统的安全机制（Windows 的 SmartScreen 和 macOS 的 GateKeeper）会阻止不带签名的可执行文件直接运行。想要丝滑体验还得去搞一个签名。

在我之前折腾这个环境的时候 Node.js 的 SEA 的构建步骤还不太友好。前两天 Node.js 25.5.0 发布，总算把构建命令简化了。对比起来，目前 Node.js 的 asset API 反而更合我需求一点。

首先还是 hello world 示例。

首先 cli.ts

console.log("Hello world!");

然后使用 bun 打包成可执行文件：

bun build ./cli.ts --compile --outfile mycli

接下来直接运行这个 ./mycli 就可以。默认只会生成当前环境的可执行文件。如果需要交叉构建，例如在 Linux 下生成可供 Windows 运行的 exe，则需要加上 --target 参数。可选的平台如下：

更多选项请参考官方文档，下面讲讲之前遇到的一些坑。

本公众号的老读者肯定一下就猜到我想用这个打包 frida，没错。

在 js 里导入了 frida 库之后，编译打包运行，得到类似如下错误：

2614 |         dir = process.cwd();
2615 |       }
2616 |       if (exists(join2(dir, "package.json")) || exists(join2(dir, "node_modules"))) {
2617 |         return dir;
2618 |       }
2619 |         throw new Error('Could not find module root given file: "' + file + '". Do you have a `package.json` file? ');
                     ^
error: Could not find module root given file: "/$bunfs/root/igf-darwin-arm64". Do you have a `package.json` file?
      at getRoot (/$bunfs/root/igf-darwin-arm64:2619:15)
      at bindings (/$bunfs/root/igf-darwin-arm64:2549:41)

光看这个错误是比较让人困惑，但大体可以猜到和二进制 npm 包有关。出错的上下文在 bindings 库尝试逐层目录查找 package.json 来定位根目录，然后拼接出需要 process.dlopen 的路径来载入二进制 npm 库。这里有一个对应的 issue：

https://github.com/oven-sh/bun/issues/10964

我一开始以为二进制库不会随着 bun 的构建过程打包，询问 ai 也没有搞出来解决方案。直到有天我关注到这个 issue 下出现了几条神回复，精准地指出了问题的关键。

由于 bun 打包之后会把文件系统路径转换成虚拟的 $bunfs 路径，bindings 按照目录搜索会失败。而 bun 有一个与 Node.js 不同的地方，就是除了 process.dlopen(.so) 之外，还可以直接用 require(.so)。

只要给 node_modules 下的库（在这里是 frida）打补丁，去掉 bindings 改成 require 就可以了。当然这样一来用 node 就会报错，但我们的目的是生成可执行文件，无所谓。

Bun 还内置了一个功能就是 patch，可以在 bun install 之后自动根据 package.json 里配置的 patchedDependencies，直接修改第三方 npm 包。

如下是能让 frida@17.5.1 正常打包运行的补丁：

diff --git a/build/src/frida.js b/build/src/frida.js
index 0b047472199e9151691c52f03ffd36a85952234c..ee9395ae0a8307d8e5a9a31f8663d5d612683b0e 100644
--- a/build/src/frida.js
+++ b/build/src/frida.js
@@ -1,15 +1,8 @@
-import bindings from "bindings";
+const binding = require('../../build/frida_binding.node');
 import util from "util";
 import { Minimatch } from "minimatch";
 import { Duplex } from "stream";
 const { inspect } = util;
-const binding = bindings({
-    bindings: "frida_binding",
-    try: [
-        ["module_root", "build", "bindings"],
-        [process.cwd(), "bindings"],
-    ]
-});
 var MessageTypeImpl;
 (function (MessageTypeImpl) {
     MessageTypeImpl["Send"] = "send";

下一步就是怎么蹭 GitHub 的持续集成自动构建多个平台的可执行文件。

bun compile 命令在没有制定 target 的情况下只会生成当前平台的文件。但加上 target 参数还没完，同样因为 frida 是一个二进制包，在安装的时候会调用 prebuild（也是一个 npm 包）来下载安装对应平台的 so。

因此在 GitHub Action 的构建脚本当中也需要针对性的，对每一个 target 参数都执行一次 prebuild 命令。

如果看到这有点摸不着头脑，实例代码我放 GitHub 了。

https://github.com/ChiChou/frida-node-portable/

反正现在大家都觉得多占点内存和存储多大点事，80M 还好吧（斜眼）

最后一个困扰我的坑就是如何打包一整个文件夹。

嵌入图片等非代码等资源文件，官方的示例是这样的：

import icon from "./icon.png" with { type: "file" };
import { file } from "bun";
// Get file contents as different types
const bytes = await file(icon).arrayBuffer(); // ArrayBuffer
const text = await file(icon).text(); // string (for text files)
const blob = file(icon); // Blob

因为我要打包一个 webui 进去，而前端用的构建工具并不是 bun。

这就导致我需要编写一个脚本遍历整个文件夹，针对每一个文件生成一个 import 语句。

官网确实给了一个打包目录的示例：

https://bun.com/docs/bundler/executables#embed-directories

但同样地，在引用具体文件的时候只能专门用一条 import 语句指定相对路径。而 import 函数还不能用动态的字符串，因为打包的过程需要确定 import 的路径，否则会导致缺失对应的资源文件。更无语的是别忘了 bun 本身就是一个 js 打包器。按照官网给的示例把 .js 路径传进去，bun 不会原样打包，而是会尝试将这个 js 作为一个入口点进行代码分析，对于前端工具已经生成好的生产代码自然报错满天飞。

所以如果我要打包一整个 assets 文件夹然后调用 serveStatic……不行。

折衷的方案就是用构建脚本把前端目录打成 tar 压缩包，这样只需要 import 一个确定的文件名，然后在主程序初始化过程动态解压出来。Node 的 SEA 似乎也没有简单处理这种场景的办法，而那边甚至没有内置的 tar 解压支持。

阅读原文

跳转微信打开

安卓人的苹果会议手记

会棍博主恢复营业。前几年的 Objective by the Sea 由于各种各样的奇葩理由都未能成行，今年第八届总算安排上了。

先简单介绍一下 OBTS 的背景，虽然以前可能写过了。Patrick Wardle 是 OS X 恶意软件对抗领域的专家，维护了多个 macOS 下的安全工具[1]，撰写的 Objective-See（谐音 Objective-C）博客。他的博客和书籍可以说是学习 macOS 安全的必读材料之一。

总算网友见面。反正会议回放也能看到我，露脸无所谓了。

从 2018 年起 Objective-See 开始举办一系列 Objective by the Sea [2] 安全会议，正如其名字所示，每年的地点都在海边。不成文的规矩是一年在夏威夷，也就是 Patrick 的老家，下一年在欧洲选一个海滩，循环交替。

OBTS v8 选的会议地点在欧洲知名的电音海岛，西班牙的 Ibiza 岛。在旺季不仅有许多游客前来蹦迪，也是不少大牌球星度假的目的地。

不过 OBTS 选在十月中，天气说实话已经不太适合去海滩玩了，而且派对活动也步入尾声。住宿和机票相比旺季更好订，想趁机去体验蹦迪的可能要失望了。

配图：都市传说之 Ibiza Final Boss

顺便提一个烂梗。今年夏天有一个游客因为打扮比较奇葩，波波头墨镜配上极富个性的胡须，被多个人偷拍发到网上，并配以 Ibiza Final Boss 的称号，瞬间出道成网红。

两周前 Ibiza 遭到洪水袭击，来之前我还有点担心。到这一看大部分风暴的痕迹都被清理掉了，偶尔残留一些水坑和损坏的设施。会场准确地点并不在 Ibiza 老城，而是 Santa Eulària des Riu。整个区域看上去比较高端和清净。

本届 OBTS 从 10 月 12 日到 17 日结束，其中三天的培训课和三天议题会场。安全本来就是小众行业，细分到 iOS/macOS 人就更少了。我感觉议题能整出来三天的日程有点不可思议。

目前公开的讲稿不多，整理一下已经发布的内容，和一些相关的链接。

Make XNU <del>GREAT</del> Little Again (Jonathan Levin)

https://technologeeks.com/files/MXlA.pdf

来自 *OS Internals 的作者对 XNU 近期各种软硬件结合实现的安全机制的分析。

巧合的是，和会议无关，前几天 Moritz Steffin 公开一篇类似的文章，基于他的硕士论文。内容预警，实打实 167 页 pdf：

Modern iOS Security Features – A Deep Dive into SPTM, TXM, and Exclaves

https://arxiv.org/abs/2510.09272

Trust me, I’m an Apple Watch — On Protocol Reversing, Mimicry, and Data Exfiltration (Nils Rollshausen)

本次会议我个人最喜欢的议题是关于 Apple Watch 配对协议栈的逆向分析和一些有趣的攻击场景。

Nils Rollshausen 来自达姆施塔特工业大学的 seemoo labs。这个实验室之前就针对诸多移动生态和无线协议做过深入的逆向分析和漏洞研究，发表过不少让人印象深刻的文章。

虽然这个议题讲稿没放出来，但相关的源代码等资料其实作者早就公开了。

作者实现了一个安卓系统上可以和 Apple Watch 配对和通信的应用，这算是安卓人还是苹果人？

https://github.com/seemoo-lab/watchwitch

研究中提到的各种协议分析和各种格式的编解码工具：

https://github.com/seemoo-lab/watchwitch-tools

此外作者写了一个网页同来解码苹果协议中用到的各种二进制封装格式（例如 bplist 和 protobuf 等）：

https://rec0de.net/open/bytewitch/

Crash One - A StarBucks Story (CVE-2025-24277) (Csaba Fitzl & Gergely Kalman)

https://theevilbit.github.io/talks_workshops/2025/OBTS-25-Fitzl-Kalman-CrashOne.pdf

macOS 沙箱逃逸和本地 root 权限提升等漏洞案例分析。涉及到一些文件系统，XPC 服务和 BSD 的知识。

Breaking the Sound Barrier: Exploiting CoreAudio via Mach Message Fuzzing (Dillon Franke)

https://www.dillonfrankesecurity.com/Objective-By-the-Sea-2025_Breaking-the-Sound-Barrier.pdf

这篇之前就已经在 GP0 的博客上发布过：

https://googleprojectzero.blogspot.com/2025/05/breaking-sound-barrier-part-i-fuzzing.html

相关源代码：

https://github.com/googleprojectzero/p0tools/tree/master/CoreAudioFuzz

两个漏洞案例：

https://project-zero.issues.chromium.org/issues/406271181

https://project-zero.issues.chromium.org/issues/372511888

所有的议题都提供油管了同步直播，虽然已经结束，还是可以访问 @objectiveseefoundation 的主页查看回放。

在这里为了稍微节省读者一些时间，点名 MacPaw 的议题。虽然我没听，但会后不止一个人反馈议题质量堪忧，可能作者都不知道自己在说些什么。既然点名道姓说坏话了，那就坏人做到底。会议赞助商又不是本公众号赞助商，CleanMyMac 的母公司就是 MacPaw。关于这个软件可以去网上找一下两极分化的风评 :)

会议第二晚安排了 ctf。而我作为养生老年人当然直接跳过去吃饭。

会议有签售环节，要买书的人太多，我愣是一本没搞到。还好之前有买过一本 Patrick 的《mac 恶意软件分析艺术（卷 1）》，直接找他签了。

参会少不了尬聊。

有用户问我还会不会维护 grapefruit，甚至他们还在用。我知道这个项目基本就是死了。npm 生态各种框架迭代得实在太快了，隔一阵就要重写，不然各种构建错误。如果不剥削代码助手谁扛得住。再说还有某国的黑客最近虎视眈眈多次往 npm 下毒。

我 GitHub 上所有的工具都是写着玩，也不打算变现，没什么动力去更。假如去做什么订阅粉丝群之类的，就有种服务客户的感觉，好像被架着加班一样，何苦。都是开源的东西，你们倒是来帮写啊。

会棍博主沉寂好一阵了，再次出来营业还是挺开心。最后以 Ibiza 老城码头的夜景结束。

参考资料：

1. Objective-See: Tools https://objective-see.org/tools.html

2. OBTS https://objectivebythesea.org/

阅读原文

跳转微信打开

frida 近期修复的 Xcode 模拟器 bug 和背后细节分析

frida 17.4 修复了一个存在很长时间的问题，就是对 iOS 模拟器附加进程的支持。而这个版本顺手增强了 iOS 模拟器的处理，本文结尾将简单介绍。

这个补丁是笔者提的。虽然最后合并的实现已经大相径庭，还是专程发文得瑟一下。

问题主要就是这个 GitHub issue 所描述的：

https://github.com/frida/frida/issues/2763

首先简单介绍一下 Xcode 自带的 iOS 模拟器有什么特点。

iOS 模拟器不是真正意义的虚拟机，其实读者在 macOS 上运行 ps 查看进程列表，同时也会列出模拟器的进程。不仅如此，宿主机直接 lldb 都可以附加上去（系统进程可能需要禁用 SIP）。

所以使用 frida 框架有两种方法：

1. 反正能在模拟器运行的应用都不是加密的（至少也是砸壳过），所以直接打补丁加上 frida-gadget

2. 直接在宿主 macOS 上 frida 附加对应的进程名 / pid

出现问题的就是第二种方式。

由于附加进程，iOS 模拟器和 macOS 进程并没有本质区别，关键在于模拟器内的进程使用了独立的 RuntimeRoot，例如笔者机器上的 iOS 26 模拟器：

/Library/Developer/CoreSimulator/Volumes/iOS_23A343/Library/Developer/CoreSimulator/Profiles/Runtimes/iOS 26.0.simruntime/Contents/Resources/RuntimeRoot/

顺便提一句。虽然模拟器和真实 iOS 的实现由于条件编译可能存在差异，但截至目前版本 RuntimeRoot 下的所有 dylib 都是独立存在，没有合并成一个巨大的 dyld_shared_cache，阅读分析起来会轻松很多。iOS 开发老司机要逆向分析 iOS 私有框架都知道这个目录。

在 iOS 模拟器进程中可以检测到一些特定的环境变量，例如：

• IPHONE_SIMULATOR_ROOT

• SIMULATOR_ROOT

• DYLD_FALLBACK_LIBRARY_PATH

• DYLD_ROOT_PATH

甚至 dyld 也有一个额外的特殊版本 dyld_sim。

我先后给这个 bug 提交过两次补丁，成因还不一样。

frida 处理进程模块信息时会在内部维护一个列表结构，并动态跟踪模块的变化，也要自行处理 sysroot。

在之前版本实现中，可能是考虑跨进程读取环境变量比较啰嗦，就使用了一个启发式检测的思路。首先遍历进程模块，如果存在 /usr/lib/dyld_sim 结尾的模块，就取路径前缀作为模拟器根目录。

在 iPhone 15 模拟器之前，dyld_sim 加载的顺序是固定的，默认就是第一个。frida 只用了一个循环，一边遍历一边获取路径前缀，没出现问题。之后 dyld_sim 的顺序被打乱，就识别出了错误的 sysroot。

我在 0x41con 期间和另外两个核心开发者碰面，当场掏出电脑咨询了一下怎么快速跑起来单元测试。接着就用 print 大法开始调，还真让我修好了。

但这个 bug 今年又出现了。虽然看上去错误信息一样，原因有所不同。

frida 此时还是依赖 dyld_sim 的绝对路径来检测模拟器的前缀。在 iOS 26 模拟器上，无论是 _dyld_image_count 还是编程获取 TASK_DYLD_ALL_IMAGE_INFO，都会把 dyld_sim 排除在外。而这个模块实际上还在，只是遍历不到了。

我交的补丁只能去遍历进程所有 mmap 的文件来查找 dyld_sim，弊端也很明显，准确性和性能都降低了。虽然合并了我的补丁，其实已经改的大相径庭。既然每次都报找不到 libSystem.B.dylib，那干脆用这个模块的路径来找前缀。

到这里我受启发动了点歪脑筋。App 的作者能不能利用这些启发式检测对抗 frida 的代码注入？

我做了一个快速的 poc。在 macOS 上把文件 /usr/lib/system/libsystem_kernel.dylib 复制到 /tmp/usr/lib/libSystem.B.dylib，接着编译一个什么也不干的空程序运行：

#import <Foundation/Foundation.h>
int main(int argc, const char * argv[]) {
    @autoreleasepool {
        NSLog(@"frida %d", getpid());
        CFRunLoopRun();
    }
    return EXIT_SUCCESS;
}

运行的时候加上环境变量，让它优先载入一个同名的 dylib：

DYLD_INSERT_LIBRARIES=/tmp/usr/lib/libSystem.B.dylib

注意在这里必须使用链接器添加 LC_LOAD_DYLIB，或者 DYLD 环境变量，否则会影响模块载入顺序，先加载系统正常的 libSystem.B.dylib。

这样一来 frida 的模块检测就会被扰乱：

Failed to attach: unable to bind, “_DefaultRuneLocale” not found in “/private/tmp/usr/lib/libSystem.B.dylib”

笑死。

frida 除了修复 bug 之外还增强了对模拟器的支持。frida-ls-devices 从 17.4 开始会单独将模拟器列为设备，也支持启动 App 了：

frida -D 6AB414C0-98BC-4E41-9112-14EA89F2FFD7 -f com.bundle.app

之前只能先运行再附加。

笔者有一个 VSCode 插件暂时没适配上新版。现在在参加 OBTS，只能先缓缓了。

阅读原文

跳转微信打开

巴黎的 Hexacon 第一天邀请到了苹果的安全架构 VP Ivan Krstić 做 keynote 演讲。宣布演讲嘉宾的时候大家就已经猜到了肯定是和 iPhone 17 的 MIE （内存安全性防护 ）特性有关，对漏洞研究员来说号称目前是消费级市场最难搞定的手机型号。

而 Hexacon 本身是偏向攻击技术的安全会议，这个议题和背后的赞助商 logo 同框真是相映成趣。

价目调整后，满足要求的“零点击”漏洞最高给高达两百万美元的奖励。而如果漏洞影响 beta 测试版并能绕过锁定模式（Lockdown Mode，面向极少数对安全有高要求用户，通过禁用部分系统功能减少远程攻击面的安全机制），叠加奖励最高能给到五百万美金。

针对 WebKit 带沙箱逃逸的完整利用链条，最高奖金 30 万（译者注：和今年的 Pwn2Own 价格一样，在整活）。无线近源攻击最高 100 万刀。

新规则还会引入类似 ctf 的 Target Flags 模式，方便漏洞提交者演示漏洞危害程度和作为赏金的评判标准。具体怎么实现还没提。

此外赏金计划还扩展到 iCloud 未授权访问和 macOS 特有的 GateKeep 机制绕过等。面向记者等容易受到入侵威胁等人群，苹果还开启了另一个计划，向高风险用户免费提供一千台支持 MIE 的 iPhone 17 设备（赤裸裸的广告）。

SEAR 官方博客已经针对新的规则做了一部分介绍，但更多的规则和新的赏金计划将在 11 月实行和披露。

https://security.apple.com/blog/apple-security-bounty-evolved/

这下苹果人生了。

跳转微信打开

Threat retard

今天扒一个来路不明的 GitHub 账号。

github[.]com/JGoyd

linkedin[.]com/in/josephg007/

阅读原文

跳转微信打开

蚂蚁呀嘿 蚂蚁呀呼

事情是这样的。前阵子看到去马尔代夫🇲🇻的机票很便宜，马上锁座支付一气呵成激情下单。完事一看发现大意了。外语不好，人家是摩尔多瓦🇲🇩。

早几年做背包客单人去摩尔多瓦倒是没什么问题。但现在欧洲 GDP 倒数第一就在隔壁打仗，有一些风险。当然那边我是万万不敢去的。

玩笑归玩笑，其实我拉上了三个斯拉夫朋友一起才敢出发。四个人的小团，有两个拿过 Pwnie，占比高达 50%。

这次旅行纯粹就是略带猎奇的态度看看一个成本不高，又相对冷门的目的地。反正没有期待值，搞不好有惊喜呢。

行程包含一些有争议的地区，先说在前面，文中出现的地区我们只逛，不代表任何立场，请勿过度解读。

从机场打车到市区，价格大约在 200MDL 左右，约合 10 欧元。习惯了西欧的物价，感到不可思议。即使司机喊价一口要 300，我直接就答应了。

在东欧国家，甚至柏林墙以东，居民楼的建筑风格经常给我一种既熟悉又陌生的奇怪感觉。

市中心有一些苏联时期遗留的大型建筑，看上去以前曾经是酒店。

这个有 MOLDOVA 字样的彩色建筑是 Hotelul Național。我在油管上找到了一个今年初（2025）上传的探险视频，内部基本就是荒废的状态。

自从有了小🍠之后感觉已经没有什么冷门目的地了。不管北欧还是巴尔干，走到哪都能扎堆遇到老中。这次在摩尔多瓦总算体验到一条街都碰不到一个亚洲人的感觉了，时不时会有人盯着我看。

楼上 LED 轮番滚动美股七姐妹、大饼、主流货币汇率、油气等的交易行情。今天一片绿光，行情还不错。算是东欧时代广场？

摩尔多瓦的顶级域名是 .md，网址给人一种文件名的错觉。看到波兰域名会感觉都是 perl 脚本，塞尔维亚的网站好像都是 rust 源文件，而摩尔多瓦早就为 llm 做好准备，用上了 markdown。

说到摩尔多瓦不得不提 O-Zone 组合的神曲 Dragostea Din Tei。

这首歌当年在欧洲太火，根据 Wikipedia 的说法“被全球逾一百名歌手翻唱成二十种不同语言，逾三十个版本”。2021 年这首歌在中文互联网上因为 ai 换脸的短视频又翻红过一阵。

而汉化版你大概率也听过，彩铃的年代曾经也响彻过大街小巷。时代的眼泪。

我之前发过一篇关于布加勒斯特的流水账游记，当时误认为 O-Zone 是罗马尼亚的乐队。

罗马尼亚🇷🇴和摩尔多瓦🇲🇩不仅国旗相似，语言仅是方言的差别，这两国历史上的分分合合说来话长。O-Zone 乐队成员都是摩尔多瓦人，但乐队主要在罗马尼亚发展，这首神曲就是在布加勒斯特制作。所以给自己洗地一下，这个误会情有可原。

第一天打卡了市区中心的一些公园，很安静很闲适，倒也乏善可陈。午饭在 MallDOVA 购物中心解决，这个名字玩了一手谐音梗。格鲁吉亚菜，居然还不错。

晚上我们原本打算找一个 K 歌酒吧，在门口被嫌弃有人穿短裤不让进。后来偶遇另一波本地人，会一点英文，刚给家里的小孩办完十八岁成人礼。他们解释了下，基希讷乌确实是这样，KTV 算是高档场所，有着装要求。

这是平民得不能再平民的活动了吧…在欧洲十几个国家的酒吧唱过 K 都没听过这规矩。只能调侃一下米兰巴黎算个毛时尚之都，摩尔多瓦才是潮人街。

接下来有一些不知道适不适合发布的内容。没错，我们颤颤巍巍地去德涅斯特河沿岸地区（中文一般简称德左）打卡了……

有一点搞笑，上一篇推文的时候我在波兰，大毛的无人机入侵空域，搞得波兰很紧张，我也赶紧跑路。没隔多久为了猎奇，自行前往有大毛驻军（字面意思）实控地区。

这是一个存在争议的地区，目前国际上公认属于摩尔多瓦领土。博主无心讨论他国内政，更不想在评论区看到对线，所以这个背景科普就随便找了一篇别的公众号的文章：

德左两次申请加入俄罗斯，为何被俄罗斯拒绝？

近些年有一些油管甚至 B 站 Up 主为了满足观众的好奇心，前往打卡拍摄。不过目前 B 站亲自去过的 Up 主一只手数得过来。我这为了搞抽象，冒险去看看。

我们有个朋友文化衫背后印着明显的 HACKER 字样，头晚上强烈要求他不要穿。后来换了件 CrowdStrike，应该没人知道。

从基希讷乌到 Tiraspol 驱车需要一小时多一点。检查站会查护照，比想象中容易很多，一会就放行了。

有不少博主和视频都说这个地区像凝固的时间胶囊，到处是列宁像，保留着很多苏联时期的风貌，街上有很多老爷车云云。

我本来脑子里想象的是周杰伦逛哈瓦那那种画风。进了 Tiraspol 市区一看，巴士比我年纪还大不假，但是私家车可不敢苟同。

欧洲的新能源车推广比较激进的在北欧，特别是挪威，奥斯陆甚至有不少中国产 EV 的门店。西欧私家车本来就有保养量，没必要换掉，即使新车也偏爱插电式混动。所以之前看到特斯拉有一些但不多。

谁想来了 Chișinău 街上一堆特斯拉，到了 Tiraspol 密度更多，就基本上只要是有路必有特斯拉。我们一行人大大的问号，一路上一个充电桩都没见着，这么多特斯拉去哪充的？当然中国产电车也零星遇到了，相比之下完全没有存在感。

我们是周日去，一些纪念品店休息，大部分银行也不开门。总算找了个地方能换欧元，突然感觉变有钱了。可惜当地特色塑料硬币我们没搞到。

当地的纪念品还有冰箱贴和明信片，但是上面文案都是半开玩笑地说“承不承认我们的国际地位？”，不太敢带怕回申根区有麻烦就作罢了。

午饭在 Tiraspol 的 Back in the U.S.S.R. 餐馆，我没翻译是因为这个名字引用了披头士的一首歌，就叫这名字。就点了一个类似 Goulash 的汤，印象不是很深。有意思的是餐馆隔壁居然有个赌场，叫做 Macau……

说到旅行体验真的没啥地方可逛。基本就是广场和公园，或者顺带去中心市场看看本地人的生活状态。连德左都有卖 labubu，妥妥的消费主义。

出检查站会再查一次证件，护照不留任何记录，只打印一张纸，相当于到此一游的凭证。

回来的路上顺道去了个酒庄，避免广告嫌疑就不提名字。根据 wiki 说法，摩尔多瓦葡萄酒产量在欧洲国家能排到 11 位。和其他地区的酒庄类似，这也有参观酒窖和品酒的项目。我们时间有限直接去吃饭了。

欧洲理事会于 2023 年 6 月在这办过一次领导人聚会。本来我以为在东欧会因为食物不合口味饿肚子，没想到还吃了顿好的。

咸鱼也是出息了，都和马克龙泽连斯基吃上同款了。

这次抽象旅行确实远超期待值，实在没想到我一向挑剔的胃口还能在东欧大快朵颐。

不过确实这个国家游客少有其客观原因，沧海遗珠也好实在无聊也罢。目前如果不是进阶背包客，或者真就是来刷护照印章，欧洲旅行还是优先考虑别的国家深度体验。

阅读原文

跳转微信打开

iOS 漏洞研究倒闭了

又一年苹果新品发布会。给 17 Pro 系列摄像头一下堆料上了 200mm，可惜血月都结束了。都怪太阳系，就不能给等到下个月再月全食吗？

发布会后，苹果的 SEAR 团队立马发布了一篇博客，介绍发布会没有展开介绍的 A19 芯片一个特性 Memory Integrity Enforcement（强制内存完整性）。这是苹果基于 ARM Memory Tagging Extension 增强开发的针对内存安全漏洞的保护。

2023 年搭载了 ARM Memory Tagging Extension 的 Google Pixel 8 上市，到现在近两年了，越狱圈一直都在观望看苹果什么时候上。这不终于等来了。

博客中提到这个防护针对两种常见的内存安全问题做阻断，一个是缓冲区溢出（buffer overflow），另一个是释放后重用（UAF）。

前阵子 iOS 18.6.2 紧急修复了一个图像处理相关的越界写漏洞看上去可以被阻断。不过这有个前提，就是对应的进程需要在编译阶段启用相关的功能，详见：

https://developer.apple.com/documentation/xcode/enabling-enhanced-security-for-your-app#Adopt-memory-integrity-enforcement

这个 0day 利用攻击的是第三方应用 WhatsApp。首先第三方厂商不会这么激进地适配新硬件，另一方面 MIE 可能会识别出程序本身的 bug 导致更频繁的异常崩溃现象。短期内第三方应用上保护可能不太现实。

iOS 漏洞研究倒闭啦！

等等。Android MTE 发布之后有一些厉害的研究员仍然找到了一些绕过案例。

• Gaining kernel code execution on an MTE-enabled Pixel 8

  https://github.blog/security/vulnerability-research/gaining-kernel-code-execution-on-an-mte-enabled-pixel-8/

• Bypassing MTE with CVE-2025-0072

  https://github.blog/security/vulnerability-research/bypassing-mte-with-cve-2025-0072/

• TIKTAG: Breaking ARM’s Memory Tagging Extension with Speculative Execution

  https://taesoo.kim/pubs/2025/kim:tiktag-sp.pdf

• 破解 Pixel 8：利用未公开的 DSP 漏洞绕过 MTE 防护

  https://hitcon.org/2025/zh-TW/agenda/b7635c13-282e-4673-8297-43ed3550b3d3/

让我们看看接下来如何。

参考资料

1. Enhanced Memory Tagging Extension (EMTE)

   https://developer.arm.com/documentation/109697/0100/Feature-descriptions/The-Armv8-9-architecture-extension?lang=en#md454-the-armv89-architecture-extension__FEAT_MTE4

2. First handset with MTE on the market

   https://googleprojectzero.blogspot.com/2023/11/first-handset-with-mte-on-market.html

3. Memory Integrity Enforcement: A complete vision for memory safety in Apple devices

   https://security.apple.com/blog/memory-integrity-enforcement/

阅读原文

跳转微信打开

这是功能！feature！

Target 0: (fuscript) stopped.(lldb) bt* thread #1, queue = 'com.apple.main-thread', stop reason = breakpoint 1.15  * frame #0: 0x00000001909a37fc libsystem_kernel.dylib`__accept    frame #1: 0x0000000102e09b00 fusionscript.so`Fusion::Platform::AcceptSocket(Fusion::Platform::_Socket*) + 28    frame #2: 0x0000000102e312dc fusionscript.so`___lldb_unnamed_symbol4493 + 480    frame #3: 0x0000000102e31a34 fusionscript.so`ScriptServerMain + 112

• 禁用（None）
• 本地（Local）
• 远程（Network）

resolve = bmd.scriptapp('Resolve')resolve.OpenPage('deliver')

fusion = bmd.scriptapp("Fusion", "test.local")# test.local 为内网的目标系统地址print(dir(fusion))fusion.Execute('lua code here')

阅读原文

跳转微信打开

其实这个设计是有一定安全风险的。从第一个版本开始，测试机上的 app 就可以直接和 27042 通信，使用 frida-server 的能力注入代码到任意进程。

改成 WebSocket 之后就更方便了，只要测试机用 Sileo 或者 termux（是的您没看错，兼容不同阵营手机）安装了 frida-server，浏览器访问恶意网页就可以拿下 root 权限。

没人在主力机上装调试服务天天开着吧？测试机你也不会拿去打开任意网页吧？啊？

@oleavr 这次讲的议题是 frida-trace 新功能的演示。最新版本的 frida-trace 除了之前直接输出日志的功能，还加入了一个 Web 界面：

哦豁，不小心漏了用户名

阅读原文

跳转微信打开

radare2 是一款命令行下的反汇编工具，并提供官方支持的 GUI 项目 iaito。感觉用户群不如另外几家商业产品庞大，不过有竞品对用户来说总是好事。

r2con 是面向 radare2 社区的会议，今年也有一些关于 frida 和移动安全的议题。比如非越狱环境下 frida 在真机和模拟器上的配置，简单的应用加固，分别针对流行框架 Flutter 和 Unity 的逆向案例等。

完整议程在此：

https://rada.re/con/2024/

昨天是 workshop 环节，会棍博主就直接跳过了。来之前还有些紧张。上周瓦伦西亚发生的洪灾让人心有余悸，前几天巴塞罗那也遭遇了暴雨袭击。还好这周末看起来很平静。

主会议日程在巴塞罗那当地时间 9 点开始，对应北京时间下午 16 点。有兴趣的可以挑议题观看免费直播。目前地址还没放出来，到时可以看这个油管频道：

https://www.youtube.com/@r2con/streams

啃生肉有困难？Chrome 浏览器现在已经内置了实时翻译中文字幕的功能，右上角点两下即可开启。

跳转微信打开

搬运工

主办方很良心，刚过去一个月就整理好视频上传了。为避免侵权，只搬运文字链接，而不是整个视频传过来……请复制到浏览器查看。

Caught in the wild, past, present and future by Clem1

https://www.youtube.com/watch?v=2zrcemxCg4Y

Google TAG 分享抓野外 0day 的方法和故事

What the hell is Windows's CLIP Service by Philippe Laulheret

https://www.youtube.com/watch?v=9t0Xt40RZEc

逆向 Client License Platform，包括微软用到的代码混淆 “Warbird” 的分析

0-click RCE on Tesla Model 3 through TPMS Sensors by David Berard & Thomas Imbert

https://www.youtube.com/watch?v=R33cR3ZMTxM

Pwn2Own 黑掉特斯拉 Model 3 的项目揭秘

Compromising the Host Kernel from the VMware Guest by Junoh Lee & Gwangun Jung

https://www.youtube.com/watch?v=DSEDpTd3iic

VMWare 虚拟机逃逸，并串联另一个 Windows 漏洞获取宿主机内核权限

DMAKiller: DMA to Escape from QEMU/KVM by Yongkang Jia, Yiming Tao & Xiao Lei

https://www.youtube.com/watch?v=wL3LK9Dp4os

关于逃逸 QEMU 虚拟机的研究。国内的议题，作者们来自浙大。值得一提的是他们在今年 GeekCon 新加坡站演示了相关的挑战项目

Exploiting File Writes in Hardened Environments by Stefan Schiller

https://www.youtube.com/watch?v=ltmZNTP2KX4

在文件系统几乎完全只读的环境上，将 nodejs 任意文件上传漏洞转化为控制流劫持漏洞和 ROP 利用。小编私心很喜欢的跨界漏洞利用

Defense through Offense by Andrew Calvano, Octavian Guzu & Ryan Hall

https://www.youtube.com/watch?v=yXMnpOsiAwA

标题不够吸睛，实际上是 Facebook 内部安全团队对 Messenger 的蓝军测试，并公开一个已修复的 1-click 远程代码执行细节

Tales of a RCE in a video game by Thomas Dubier

https://www.youtube.com/watch?v=bWPSyPyIH1g

Systemization of Knowledge，总结各种游戏 hacking 的手法

这两天韩国的 POC 正在举办。Mickey 大佬关于 macOS App 沙箱的研究讲完之后光速上传了文字版和 slides，在此也转发一下

A New Era of macOS Sandbox Escapes: Diving into an Overlooked Attack Surface and Uncovering 10+ New Vulnerabilities

https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/

阅读原文

跳转微信打开

万圣节欧洲不少国家都放假，正好拼一个长周末。代码也不想写了，躁动的心又忍不住去旅游。

本来订了个 NightJet 卧铺，打算美滋滋一觉睡到维也纳。快出发了才收到通知，这几天奥地利境内铁路维护，车次无法保障。你们 DB 的日常，不是延误就是取消。

临时改成飞机成本太高了，价格比捡漏回国的机票还贵。一狠心对自己下毒手订了个 FlixBus。这款铁臀专属跨国大巴可以极低票价穿梭多个国家，体验自然是酸爽。同样坐十个小时不能躺，跨国飞机好歹还可以起来活动一下。

坐到斯洛文尼亚境内，半夜突然被叫醒查证件。突然心里一惊大事不好，护照忘带了。虽然有合法居留，还是被罚款了。警察叫我最好赶紧取消行程掉头回去。

您猜怎么着…Flixbus 的东欧司机也不管我死活，直接把我扔在高速旁边一个鸟不拉屎的加油站，连睡大街的机会都给我剥夺了。这时候还起了晨雾，一股寂静岭的画风。

还好好心的加油站员工会英文，试着帮我找了一下出租车，但今天假日无人接单。然后她们告诉我去装一个 Wizi 应用。瞎猫碰死耗子的心态居然叫到了车，先赶紧折回 Ljubljana 再想办法回去。

忘带证件这是自作孽不可活，不过以后不太敢贪小便宜坐大巴了…

跳转微信打开

工具更新

写了一个可以全局开启 app 的 WebView 和 JavaScriptCore 调试的工具

https://github.com/chichou/globalwebinspect

iOS 版 Bing 应用，一看这个变量名，应该就是 fork 的 Chromium

Safari 16.4 之后调试的机制更新了，这个插件一直没跟上。本来只要注入 webinspectord 一个进程就够，现在要全局拦截所有链接了 JavaScriptCore 的 App 进程。

新版本的原理是 hook JSGlobalContextCreateInGroup 函数，然后调用 JSGlobalContextSetInspectable。Objective C 的 JSContext 系列 API 最终也会走到这个 C 函数。

而 WKWebView 的处理则是在 _initializeWithConfiguration:（私有）方法执行完之后调用一次 setInspectable:。

另外这个版本也支持 rootless 环境了。

阅读原文

跳转微信打开

拍摄于 2024 年 10 月 15 日傍晚，均为单张曝光。

去年年初去追了 ZTF 彗星。因为设备和技术限制只拍到一个小绿点，兴奋不已。没想到这只是前菜。最近又被紫金山-阿特拉斯彗星的消息刷屏。

九月底彗星还是晨星的那几天，我正好又在加那利岛，但是连续几天都不想四五点早起上山。

拖到上周末开始北半球可以在日落后观赏，我追了三天都没见到，复盘才发现误会了时间点，走太早了。15 日打算最后尝试一次，越往后亮度会锐减，能不能继续看到就不好说了。

蹭朋友车上了山，原本影响观测的云变成了脚下的云海。日落后半小时就已经可以用相机捕捉到彗星，但这时候比较难定位。接下来的半小时逐渐变亮，连彗尾一起肉眼可见。震惊得无以言表。无需长曝光，在手机取景器实时预览里就非常清晰。

难以想象当年海尔-波普甚至池谷-关彗星该有多壮观。

拍摄于 2024 年 10 月 15 日傍晚，均为单张曝光。

去年年初\x3ca localeditorid=\x2285y46aoxw55sp61uups\x22 href=\x22https://mp.weixin.qq.com/s?__biz=Mzk0NDE3MTkzNQ==\x26amp;mid=2247484640\x26amp;idx=1\x26amp;sn=fd22b62a77e4b605ae5911b0c2954741\x26amp;scene=142#wechat_redirect\x22 textvalue=\x22去追了 ZTF 彗星\x22 target=\x22_blank\x22 data-linktype=\x222\x22\x3e去追了 ZTF 彗星\x3c/a\x3e。因为设备和技术限制只拍到一个小绿点，兴奋不已。没想到这只是前菜。最近又被紫金山-阿特拉斯彗星的消息刷屏。

九月底彗星还是晨星的那几天，我正好又在加那利岛，但是连续几天都不想四五点早起上山。

拖到上周末开始北半球可以在日落后观赏，我追了三天都没见到，复盘才发现误会了时间点，走太早了。15 日打算最后尝试一次，越往后亮度会锐减，能不能继续看到就不好说了。

蹭朋友车上了山，原本影响观测的云变成了脚下的云海。日落后半小时就已经可以用相机捕捉到彗星，但这时候比较难定位。接下来的半小时逐渐变亮，连彗尾一起肉眼可见。震惊得无以言表。无需长曝光，在手机取景器实时预览里就非常清晰。

难以想象当年海尔-波普甚至池谷-关彗星该有多壮观。

跳转微信打开

会棍在巴黎

又到了会棍博主流水账的时间。

去年简单介绍了一下法国的安全会议 Hexacon，似乎是国内最早宣传这个会议的博主？在现场还意外遇到了本号的读者，有点没回过神……

场地和去年依旧保持熟悉的配方——蓬尼阿尔宫旧贸易中心。

会议前有一个插曲。一位培训讲师从阿布扎比机场转机，随身行李携带的 Android 设备和用于调试的线缆，在安检直接被扣了。理由是线太多。

不靠谱的推测，大体是跟中东不久前的事件有关系，机场安检加码了。

除了主场之外，现场还设置了“闪电议题”（Lightning Talk）环节，讲一一段五分钟内的内容。形式大概或多或少有参考 MOSEC 的 BaijiuCon？去年这个环节被安排在茶点附近一个小区域，估计是觉得效果不好，今年换回了和主题演讲一样的讲台。

另一个新颖的环节是“CTF 速通”（Speedrun）。

为防止不小心违反当地的隐私相关法律法规，人脸一律处理成法制节目。

只接受个人现场报名，题目难度不大，但是要求众目睽睽之下直播解题。在这里我想 at 一些大佬……

水泄不通的现场不由得让我联想起上学时班上有人用投影直播打红警的场面。比赛大概从晚饭后持续到将近午夜，冠军抱走了一台游戏机。酸葡萄的我听说这款主机要过时了，道德与法治 6 都带不动。

目前议题材料放出来的不多，洗稿一下充字数。

先来填一下上一篇 0x41con 的坑。上一篇推文提到一个关于 frida 在非越狱 iOS 下的官方使用教程会公开会议材料，但直到现在也没发。下个月在巴塞罗那有 radare2 的会议，这个议题会再讲一次，所以应该是等这个讲完之后再放啦。

https://rada.re/con/2024/

Proxying to Kernel : Streaming vulnerabilities from the Windows Kernel

这一篇演讲来自 Angelboy 大佬，在 devcore 的官网上有繁体中文的博客分享，可以直接移步原文：

https://devco.re/blog/2024/08/23/streaming-vulnerabilities-from-windows-kernel-proxying-to-kernel-part1/

https://devco.re/blog/2024/10/05/streaming-vulnerabilities-from-windows-kernel-proxying-to-kernel-part2/

博主对 Windows 没有什么研究，然后据说🍊神本人会看这个公众号，就不瞎解读贻（台）笑大方了。

有趣（唯一能看明白）的一点内容是 Windows 漏洞利用上的一个新思路。

作者发现 ntoskrnl.exe 用全局变量用来表示特定权限对应的标志位的下标索引，例如 SeDebugPrivilege 对应的全局变量值是 0x14，在 OpenProcess 检查是否具有对应权限时就会比对第 0x14 个 bit。而这个索引值只会随系统初始化一次（应该是个 static 变量？），保存在可写的内存。

议题的漏洞实现的原语是（有条件的）任意内存地址自增。只要把这个变量自增魔改成 0x17，对应 SeChangeNotifyPrivilege，就相当于把调试特权送给了大部分具有这个普通特权的进程——不单 exploit，大家好才是真的好。

Exploiting File Writes in Hardened Environments - From HTTP Request to ROP Chain in Node.js

这篇也有作者的博客释出。

https://www.sonarsource.com/blog/why-code-security-matters-even-in-hardened-environments/

议题针对一个有趣的场景，在 node.js 应用的上传应用中找到了任意路径写入的 bug（可控的 fs.writeFile），但环境的文件系统除了上传目录之外全部只读，如何获得代码执行权限？

nodejs 基于 libuv 实现事件循环，内部基于管道实现通信。通过文件写入的 bug，结合 Linux 下 procfs 的特性可以构造路径写入这个管道。libuv 会将其中的二进制数据读出，直接当作 uv__signal_msg_t 结构体处理。

typedef struct {  uv_signal_t* handle;  int signum;} uv__signal_msg_t;
struct uv_signal_s {  UV_HANDLE_FIELDS  uv_signal_cb signal_cb;  int signum;  // [...]

uv_signal_cb 是一个函数回调指针，那么读者到这就应该明白发生了什么事了。只要构造好结构，就能通过写入管道来控制程序执行流。作者发现这个版本的 nodejs 为了性能没有开启随机化，省去了信息泄露的步骤，一步到位进入 ROP 环节。

此前 h1 上有另一个研究员将这个思路报告给 nodejs，可以绕过 nodejs 的进程内“沙盒”特性（https://nodejs.org/api/permissions.html）。不过官方认为这不算安全边界。

https://hackerone.com/reports/2260337

议题的剩余部分还解决了如何构造符合 UTF8 编码要求的 ROP 链等问题。

这个场景通过脚本运行时的底层机制把一个受限制的 Web 安全漏洞利用了起来，相当有意思。

然后不知怎的一写 js 的内容就会联想起一位先哲的话，本公众号唯一珍藏表情包

最后是彩蛋。

今年日冕物质喷射现象非常活跃，五月一场极光大爆发让人印象深刻，正好发生在 OffensiveCon 第一天晚上。在 Hexacon 前几天又开始有可能的极光预报，让我一度怀疑是不是混进了神仙，怎么一开会就闹极光。

其实今年中纬度地区观测到极光已经好几次了。

会议结束几天后，今年排名第二的大爆发虽然迟到，但没有缺席。昨晚屁颠屁颠跑去郊区追到了。

甚至半夜失眠起来看窗外，夸张到可以直接家盖着被子肉眼看。

阅读原文

跳转微信打开