extern int validate(unsigned char *bytes, size_t len);

#define FUZZ_SIZE 9

int main(void) { uint8_t blob[FUZZ_SIZE]; if (read(STDIN_FILENO, blob, FUZZ_SIZE) != FUZZ_SIZE) return 0; char suffix[FUZZ_SIZE + 1]; memcpy(suffix, blob, FUZZ_SIZE); suffix[FUZZ_SIZE] = ‘\0’; char json[512]; int len = snprintf(json, sizeof(json), “{"magic":16909060,"version":1,"padding":0,"flag":"MHL{827b07c%s}",”
“"root":{"type":16,"level":3,"num_children":1,"children":[”
“{"type":32,"level":2,"num_children":1,"subchildren":[”
“{"type":48,"level":1,"num_children":1,"leaves":[”
“{"type":64,"level":0,"reserved":0,"value":42}]}}]}}”, suffix); if (len <= 0 || (size_t)len >= sizeof(json)) return 0; validate((unsigned char *)json, len); return 0; }

</details>

7. **Run AFL with the crash-as-success oracle.** Her semantik kontrolü geçen ve doğru dokuz baytlık suffix'i tahmin eden herhangi bir girdi kasıtlı çöküşü tetikler; bu dosyalar `output/crashes` içine düşer ve basit harness üzerinden replay edilerek sırrı geri almak için kullanılabilir.

Bu iş akışı, anti-debug korumalı JNI doğrulayıcılarını hızlıca triage etmenizi, gerektiğinde leak secrets yapmanızı ve ardından sadece anlamlı baytları fuzz etmenizi sağlar; tüm bunları orijinal APK'ya dokunmadan gerçekleştirebilirsiniz.

## Image/Media Parsing Exploits (DNG/TIFF/JPEG)

Kötü amaçlı kamera formatları genellikle kendi bytecode'larını (opcode lists, map tables, tone curves) içerir. Ayrıntılardan türetilen boyutlara veya plane index'lerine karşı bound-check yapmayan ayrıcalıklı bir decoder olduğunda, bu opcode'lar saldırgan kontrollü read/write primitives haline gelir; heap'i groom etmek, pointer'ları pivotlamak veya hatta leak ASLR yapmak için kullanılabilir. Samsung'un gerçek dünyadaki Quram exploit'i, `DeltaPerColumn` bounds hatasını zincirleyip atlanan opcode'lar ile heap spraying yapma, vtable remapping ve `system()` çağıran bir JOP zinciri kurma örneğidir.

<a class="content_ref" href="../mobile-pentesting/android-app-pentesting/abusing-android-media-pipelines-image-parsers.md"><span class="content_ref_label">Abusing Android Media Pipelines Image Parsers</span></a>

## Pointer-Keyed Hash Table Pointer Leaks on Apple Serialization

### Requirements & attack surface

- Bir servis, saldırgan kontrollü property list'leri (XML veya binary) kabul eder ve permissive bir allowlist ile `NSKeyedUnarchiver.unarchivedObjectOfClasses` çağırır (ör. `NSDictionary`, `NSArray`, `NSNumber`, `NSString`, `NSNull`).
- Ortaya çıkan nesneler yeniden kullanılır ve daha sonra tekrar `NSKeyedArchiver` ile serialize edilir (veya deterministik bucket sırası ile iterate edilir) ve saldırgana geri gönderilir.
- Konteynerlerdeki bazı anahtar türleri hash kodu olarak pointer değerlerini kullanır. March 2025'ten önce, `CFNull`/`NSNull` `CFHash(object) == (uintptr_t)object`'a geri dönerdi ve deserialization her zaman shared-cache singleton'ı `kCFNull` döndürerek bellek bozulması veya timing olmadan kararlı bir kernel-paylaşılan pointer sağlıyordu.

### Controllable hashing primitives

- **Pointer-based hashing:** `CFNull`’ın `CFRuntimeClass`'ı bir hash callback içermediği için `CFBasicHash` obje adresini hash olarak kullanır. Singleton, yeniden başlatmaya kadar sabit bir shared-cache adresinde yaşadığı için hash süreçler arası kararlıdır.
- **Attacker-controlled hashes:** 32-bit `NSNumber` anahtarları `_CFHashInt` üzerinden hashlenir; bu fonksiyon deterministik ve saldırgan kontrollüdür. Belirli tamsayıları seçmek, saldırganın istenen tablo boyutu için `hash(number) % num_buckets` değerini seçmesine izin verir.
- **`NSDictionary` implementation:** Immutable dictionary'ler bir `CFBasicHash` gömülü olarak taşır ve bucket sayısı `__CFBasicHashTableSizes`'tan seçilen asal sayılardan biri olur (ör. 23, 41, 71, 127, 191, 251, 383, 631, 1087). Çakışmalar linear probing (`__kCFBasicHashLinearHashingValue`) ile ele alınır ve serialization bucket'ları sayısal sırayla gezer; bu yüzden serialize edilen anahtarların sırası, her anahtarın sonunda hangi bucket indeksini işgal ettiğini kodlar.

### Encoding bucket indices into serialization order

Bir plist oluşturarak bucket'ların dolu ve boş slotlar arasında dönüşümlü olduğu bir dictionary ortaya çıkaran saldırgan, linear probing'in `NSNull`'ı nereye yerleştirebileceğini kısıtlar. 7-bucket'lı bir örnek için, çift indeksli bucket'ları `NSNumber` anahtarları ile doldurmak şunu üretir:
```text
bucket:          0 1 2 3 4 5 6
occupancy:       # _ # _ # _ #

During deserialization kurban tek NSNull anahtarını ekler. Başlangıç bucket’ı hash(NSNull) % 7 olur, fakat probing açık indekslerden biri olan {1,3,5} bulunana kadar ilerler. The serialized key order reveals which slot was used, disclosing whether the pointer hash modulo 7 lies in {6,0,1}, {2,3}, or {4,5}. Çünkü saldırgan orijinal serialized sıralamayı kontrol ettiğinden, girdi plist’inde NSNull anahtarı son olarak yayımlanır; böylece post-reserialization sıralama yalnızca bucket yerleşiminin bir fonksiyonudur.

Tam kalanları tamamlayıcı tablolarla belirleme

Tek bir dictionary sadece bir kalan aralığını leaks eder. hash(NSNull) % p değerinin tam değerini belirlemek için, her asal bucket boyutu p için iki dictionary oluşturun: biri çift bucket’lar ön-doldurulmuş ve diğeri tek bucket’lar ön-doldurulmuş. Tamamlayıcı desen (_ # _ # _ # _) için, boş slotlar (0,2,4,6) kalan kümelerine {0}, {1,2}, {3,4}, {5,6} olarak eşlenir. NSNull’ın her iki dictionary’deki serialized konumunu gözlemlemek, iki aday kümenin kesişimi o p için benzersiz bir r_i verdiğinden kalanı tek bir değere daraltır.

Saldırgan tüm dictionary’leri bir NSArray içine paketler, böylece tek bir deserialize → serialize turu seçilen her tablo boyutu için kalanları leaks eder.

64-bit shared-cache pointer’ının yeniden oluşturulması

Her asal p_i ∈ {23, 41, 71, 127, 191, 251, 383, 631, 1087} için saldırgan serialized sıralamadan hash(NSNull) ≡ r_i (mod p_i)’yi kurtarır. Çin Kalan Teoremi (CRT) ile genişletilmiş Öklid algoritmasını uygulamak şunu verir:

Π p_i = 23·41·71·127·191·251·383·631·1087 = 0x5ce23017b3bd51495 > 2^64

öyle ki birleşik kalan, kCFNull’a işaret eden 64-bit pointer ile benzersiz olarak eşleşir. Project Zero PoC, ara modülleri yazdırırken kongruensleri yineleyerek gerçek adrese (0x00000001eb91ab60 zafiyetli build üzerinde) doğru yakınsamanın nasıl gerçekleştiğini gösterir.

Pratik iş akışı

1. Özel girdi oluşturma: Saldırgan tarafı XML plist’ini oluşturun (her asal için iki dictionary, NSNull son seri hale getirilmiş olarak) ve bunu binary formata çevirin.

clang -o attacker-input-generator attacker-input-generator.c
./attacker-input-generator > attacker-input.plist
plutil -convert binary1 attacker-input.plist

2. Kurban tarafında dönüş: Hedef servis, izin verilen sınıflar kümesini kullanarak NSKeyedUnarchiver.unarchivedObjectOfClasses ile deserialize eder {NSDictionary, NSArray, NSNumber, NSString, NSNull} ve hemen ardından NSKeyedArchiver ile yeniden serileştirir.
3. Kalan çıkarımı: Dönen plist’i XML’e çevirerek dictionary anahtar sıralaması ortaya çıkar. extract-pointer.c gibi bir yardımcı, object table’ı okur, singleton NSNull’ın indeksini belirler, her dictionary çiftini ilgili bucket kalanı ile eşler ve CRT sistemini çözerek shared-cache pointer’ı geri kazanır.
4. Doğrulama (isteğe bağlı): CFHash(kCFNull) yazdıran küçük bir Objective-C yardımcı derlenerek leaked değerin gerçek adresle eşleştiği doğrulanır.

Bellek güvenliği hatası gerekmez—işaretçi-anahtarlı yapılarının serileştirme sırasını gözlemlemek uzak bir ASLR bypass ilkelini sağlar.

Related pages

Common Exploiting Problems Unsafe Relocation Fixups

Reversing Native Libraries

Reversing Tools & Basic Methods

References

• FD duplication exploit example
• Socat delete-character behaviour
• FuzzMe – Reverse Engineering and Fuzzing an Android Shared Library
• Pointer leaks through pointer-keyed data structures (Project Zero)

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.