extern int validate(unsigned char *bytes, size_t len);

#define FUZZ_SIZE 9

int main(void) { uint8_t blob[FUZZ_SIZE]; if (read(STDIN_FILENO, blob, FUZZ_SIZE) != FUZZ_SIZE) return 0; char suffix[FUZZ_SIZE + 1]; memcpy(suffix, blob, FUZZ_SIZE); suffix[FUZZ_SIZE] = ‘\0’; char json[512]; int len = snprintf(json, sizeof(json), “{"magic":16909060,"version":1,"padding":0,"flag":"MHL{827b07c%s}",”
“"root":{"type":16,"level":3,"num_children":1,"children":[”
“{"type":32,"level":2,"num_children":1,"subchildren":[”
“{"type":48,"level":1,"num_children":1,"leaves":[”
“{"type":64,"level":0,"reserved":0,"value":42}]}}]}}”, suffix); if (len <= 0 || (size_t)len >= sizeof(json)) return 0; validate((unsigned char *)json, len); return 0; }

</details>

7. **Run AFL with the crash-as-success oracle.** Будь-який вхід, який проходить усі семантичні перевірки й вгадує правильний дев’ятибайтовий суфікс, спричиняє навмисний crash; такі файли потрапляють у `output/crashes` і можуть бути відтворені через простий harness, щоб відновити секрет.

Цей робочий процес дозволяє швидко triage anti-debug-protected JNI validators, leak секрети за потреби, а потім fuzz тільки значущі байти — і все це без змін оригінального APK.

## Image/Media Parsing Exploits (DNG/TIFF/JPEG)

Зловмисні формати камер часто постачають власний bytecode (opcode lists, map tables, tone curves). Якщо більш привілейований декодер не перевіряє межі вимірів, отриманих із metadata, або індекси plane, ці opcodes перетворюються на керовані атакуючим примітиви читання/запису, які можна використати для groom the heap, pivot pointers або навіть leak ASLR. У реальному житті приклад від Samsung — Quram — свідчить про недавній кейс ланцюжка: баг `DeltaPerColumn` у перевірці меж, heap spraying через пропущені opcodes, vtable remapping і JOP chain до `system()`.

<a class="content_ref" href="../mobile-pentesting/android-app-pentesting/abusing-android-media-pipelines-image-parsers.md"><span class="content_ref_label">Abusing Android Media Pipelines Image Parsers</span></a>

## Pointer-Keyed Hash Table Pointer Leaks on Apple Serialization

### Requirements & attack surface

- Сервіс приймає attacker-controlled property lists (XML або binary) і викликає `NSKeyedUnarchiver.unarchivedObjectOfClasses` з помірковано-пермісивним allowlist (наприклад, `NSDictionary`, `NSArray`, `NSNumber`, `NSString`, `NSNull`).
- Отримані об’єкти повторно використовуються і пізніше серіалізуються знову через `NSKeyedArchiver` (або ітеруються в детермінованому порядку bucket) і відправляються назад атакуючому.
- Деякий тип ключа в контейнерах використовує значення вказівника як свій hash code. До березня 2025 року `CFNull`/`NSNull` віддавалися `CFHash(object) == (uintptr_t)object`, а десеріалізація завжди повертала shared-cache singleton `kCFNull`, даючи стабільний kernel-shared pointer без memory corruption або timing.

### Controllable hashing primitives

- **Pointer-based hashing:** `CFNull`’s `CFRuntimeClass` не має callback для hash, тож `CFBasicHash` використовує адресу об’єкта як hash. Оскільки singleton живе за фіксованою shared-cache адресою до наступного reboot, його hash стабільний між процесами.
- **Attacker-controlled hashes:** 32-bit `NSNumber` keys хешуються через `_CFHashInt`, який є детермінованим і attacker-controllable. Вибір конкретних цілих значень дозволяє атакуючому обирати `hash(number) % num_buckets` для будь-якого розміру таблиці.
- **`NSDictionary` implementation:** Нерухомі словники вбудовують `CFBasicHash` із простим числом бакетів (prime bucket count), обраним зі списку `__CFBasicHashTableSizes` (наприклад, 23, 41, 71, 127, 191, 251, 383, 631, 1087). Колізії обробляються лінійним probing (`__kCFBasicHashLinearHashingValue`), а serialization проходить по бакетах у числовому порядку; отже порядок серіалізованих ключів кодує індекс бакета, який у підсумку зайняв кожний ключ.

### Encoding bucket indices into serialization order

Створюючи plist, який матеріалізує словник із бакетами, що чергуються між заповненими й порожніми слотами, атакуючий обмежує, куди лінійний probing може помістити `NSNull`. Для прикладу з 7 бакетами заповнення парних бакетів ключами `NSNumber` дає:
```text
bucket:          0 1 2 3 4 5 6
occupancy:       # _ # _ # _ #

During deserialization the victim inserts the single NSNull key. Its initial bucket is hash(NSNull) % 7, but probing advances until hitting one of the open indices {1,3,5}. The serialized key order reveals which slot was used, disclosing whether the pointer hash modulo 7 lies in {6,0,1}, {2,3}, or {4,5}. Because the attacker controls the original serialized order, the NSNull key is emitted last in the input plist so the post-reserialization ordering is solely a function of bucket placement.

Визначення точних остач за допомогою комплементарних таблиць

A single dictionary only leaks a range of residues. To determine the precise value of hash(NSNull) % p, build two dictionaries per prime bucket size p: one with even buckets pre-filled and one with odd buckets pre-filled. For the complementary pattern (_ # _ # _ # _), the empty slots (0,2,4,6) map to residue sets {0}, {1,2}, {3,4}, {5,6}. Observing the serialized position of NSNull in both dictionaries narrows the residue to a single value because the intersection of the two candidate sets yields a unique r_i for that p.

The attacker bundles all dictionaries inside an NSArray, so a single deserialize → serialize round trip leaks residues for every chosen table size.

Реконструкція 64-бітного shared-cache pointer

For each prime p_i ∈ {23, 41, 71, 127, 191, 251, 383, 631, 1087}, the attacker recovers hash(NSNull) ≡ r_i (mod p_i) from the serialized ordering. Applying the Chinese Remainder Theorem (CRT) with the extended Euclidean algorithm yields:

Π p_i = 23·41·71·127·191·251·383·631·1087 = 0x5ce23017b3bd51495 > 2^64

Таким чином комбінований залишок однозначно дорівнює 64-бітному вказівнику на kCFNull. Project Zero PoC послідовно комбінує конгруенції, виводячи проміжні модулі, щоб показати збіжність до істинної адреси (0x00000001eb91ab60 на вразливій збірці).

Практичний робочий процес

1. Generate crafted input: Побудуйте XML plist зі сторони атакуючого (по два словники на просте число, NSNull серіалізується останнім) та конвертуйте його в бінарний формат.

clang -o attacker-input-generator attacker-input-generator.c
./attacker-input-generator > attacker-input.plist
plutil -convert binary1 attacker-input.plist

2. Victim round trip: Сервер-жертва десеріалізує з допомогою NSKeyedUnarchiver.unarchivedObjectOfClasses, використовуючи множину дозволених класів {NSDictionary, NSArray, NSNumber, NSString, NSNull}, та одразу ре-серіалізує за допомогою NSKeyedArchiver.
3. Residue extraction: Конвертація поверненого plist назад в XML виявляє порядок ключів словників. Хелпер, такий як extract-pointer.c, читає таблицю об’єктів, визначає індекс одиночного NSNull, зіставляє кожну пару словників з відповідним залишком бакету і вирішує систему CRT для відновлення вказівника shared-cache.
4. Verification (optional): Компіляція невеликого Objective-C хелпера, який друкує CFHash(kCFNull), підтверджує, що leaked value співпадає з реальною адресою.

Для цього не потрібна помилка безпеки пам’яті — достатньо спостерігати порядок серіалізації структур з ключами-вказівниками, щоб отримати віддалений примітив обходу ASLR.

Пов’язані сторінки

Common Exploiting Problems Unsafe Relocation Fixups

Reversing Native Libraries

Reversing Tools & Basic Methods

Джерела

• FD duplication exploit example
• Socat delete-character behaviour
• FuzzMe – Reverse Engineering and Fuzzing an Android Shared Library
• Pointer leaks through pointer-keyed data structures (Project Zero)

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

• Перевірте плани підписки!
• Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
• Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.