黑客网自学:深化探究在野外发现的iOS缝隙使用链（三）

概述
这一条缝隙运用链的政策是iOS 11-11.4.1，跨过了近10个月的时刻。这是我们调查到的之一个具有独自的沙箱逃逸缝隙的运用链。
沙箱逃逸缝隙是libxpc中比较严峻的安全性问题，其间重构将导致一个
我们很难了解怎么将该缝隙引进到最终用户的中心IPC库中。虽然该缝隙在软件开发中十分常见，但在单元检验、代码审计或含糊检验中，很简单能够发现这类严峻的问题。但惋惜的是，在实践的事例中，侵犯者是之一个发现该缝隙的人，我将会在下方具体描述。
 
在野外的iOS缝隙运用链3：XPC + VXD393/D5500重复IOFree
侵犯政策：iPhone 5s – iPhone X，版别从11.0到11.4
设备：
iPhone6,1 (5s, N51AP)iPhone6,2 (5s, N53AP)iPhone7,1 (6 plus, N56AP)iPhone7,2 (6, N61AP)iPhone8,1 (6s, N71AP)iPhone8,2 (6s plus, N66AP)iPhone8,4 (SE, N69AP)iPhone9,1 (7, D10AP)iPhone9,2 (7 plus, D11AP)iPhone9,3 (7, D101AP)iPhone9,4 (7 plus, D111AP)iPhone10,1 (8, D20AP)iPhone10,2 (8 plus, D21AP)iPhone10,3 (X, D22AP)iPhone10,4 (8, D201AP)iPhone10,5 (8 plus, D211AP)iPhone10,6 (X, D221AP)
版别：
15A372 (11.0 – 2017年9月19日)15A402 (11.0.1 – 2017年9月26日)15A403 (11.0.2 – 2017年9月26日 – 调用Ka2l7Xn3O函数实行shellcode看上去只要8/8plus没有更新15A402版别)15A421 (11.0.2 – 2017年10月3日)15A432 (11.0.3 – 2017年10月11日)15B93 (11.1 – 2017年10月31日)15B150 (11.1.1 – 2017年11月9日)15B202 (11.1.2 – 2017年11月16日)15C114 (11.2 – 2017年12月2日)15C153 (11.2.1 – 2017年12月13日)15C202 (11.2.2 – 2018年1月8日)15D60 (11.2.5 – 2018年1月23日)15D100 (11.2.6 – 2018年2月19日)15E216 (11.3 – 2018年3月29日)15E302 (11.3.1 – 2018年4月24日)15F79 (11.4 – 2018年5月29日)
之一个不支持的版别：11.4.1 – 2018年7月9日
 
二进制结构
从第三个缝隙运用链开端，privesc二进制文件具有不同的结构。在这里，并不是运用系统加载器并链接所需的符号，而是通过dlsym解析一切必需的符号（dlsym的地址通过 *** C缝隙运用中传入）。下面是符号解析函数开端部分的一个片段：
  syscall  = dlsym(RTLD_DEFAULT, "syscall");
  memcpy   = dlsym(RTLD_