Rohitberiwala/CVE-2024-23222-Coruna-Exploit-Kit-Deobfuscated

# 🏴‍☠️ Coruna iOS Exploit Kit：CVE-2024-23222 研究     ## 📌 概述 本仓库包含对 **Coruna iOS Exploit Kit** 的全面技术分析和去混淆研究。该研究重点记录了此漏洞利用链如何针对 **CVE-2024-23222**——一个存在于 WebKit 的 JavaScriptCore (JSC) 引擎中的高危类型混淆漏洞，以实现远程代码执行 (RCE)。 ## 🔗 参考文献与致谢 * **漏洞来源**：[Sploitus - CVE-2024-23222 Exploit Details](https://sploitus.com/exploit?id=81F563EA-F160-582D-AAA5-D5964E5EF53E) * **原作者**：[Coruna Analysis by 34306](https://github.com/34306/coruna_analysis) ## 🏗️ 漏洞利用链架构 执行流程分为几个复杂的阶段： * **平台检测**：通过 `platform_module.js` 识别 iOS 版本，检查锁定模式和模拟器状态。 * **阶段 1：WASM 内存原语**：利用基于 WASM 的内存破坏来构建 `addrof` 和 `fakeobj` 原语。 * **阶段 2：PAC Bypass**：破坏 `Intl.Segmenter` 迭代器 vtable，通过 ARM64 gadgets 重定向虚函数调用以进行 PAC 签名。 * **阶段 3：沙箱逃逸**：编排 Mach-O 解析和符号解析以逃离 WebKit 沙箱。 * **阶段 4-6：Payload 投递**：最终投递加密的二进制 blob 和 **PLASMAGRID** 加载器。 ## 📂 仓库结构 | 文件 | 描述 | | :--- | :--- | | `exploit_trigger.js` | 编排漏洞利用链的主入口点。 | | `utility_module.js` | 用于底层类型转换和 Int64 算术的核心框架。 | | `stage1_wasm_primitives.js` | 基于 WASM 的内存读/写原语的实现。 | | `stage2_pac_bypass.js` | 指针验证码 (PAC) 绕过逻辑。 | | `stage3_sandbox_escape.js` | Mach-O payload 构建器和沙箱逃逸编排。 | | `fingerprint.js` | 遥测和 IP 检测模块。 | ## 📊 MITRE ATT&CK® 映射 * **初始访问**：T1190 - 利用面向公众的应用程序 * **执行**：T1059 - 命令和脚本解释器 * **权限提升**：T1068 - 利用进行权限提升 * **防御规避**：T1574.001 - 劫持执行流：代码缓存投毒 ## 🧪 去混淆方法 该分析涉及对原始源代码应用的几层混淆进行逆向： * **XOR 编码字符串**：映射字符代码以绕过静态分析。 * **SHA1 密钥模块系统**：通过 SHA256 文件名哈希识别异步模块。 * **XOR 掩码常量**：解码通过按位 XOR 运算隐藏的数值。 ## ⚠️ 免责声明 本研究的**目的仅限于教育和防御性安全用途**。严禁对第三方设备进行未经授权的测试，这可能属于违法行为。

标签：0day分析, AI工具, ARM64利用, CISA项目, Coruna, CVE-2024-23222, Exploit-Kit分析, iOS漏洞研究, JavaScriptCore, PAC绕过, WASM利用, WebKit漏洞, Web报告查看器, 云资产清单, 去混淆, 数据可视化, 沙箱逃逸, 漏洞复现, 目录枚举, 移动安全, 类型混淆, 编程工具, 网络安全, 自定义脚本, 远程代码执行, 逆向工程, 隐私保护