IOS-AirDrop-Dos复现[专治高铁上抖音外放之人

喵喵喵

 

这个vuln还是很有意思,居家旅行必备!

先看一下原作者怎么说的.

https://kishanbagaria.com/airdos/ [自己看去]

行了看完了🐣🐣🐣 简言之,就是别人的iPhone或者ipad在允许所有人传送文件给他时,就可以利用这个漏洞进行XXOO,要求系统版本低于13.3,我就是闲的没事不升级的. poc地址:https://github.com/KishanBagaria/AirDoS/blob/master/AirDoS.py

测试环境:

IPadPro 13.2

测试前记得

1. Usage
2. Run
3. brew install libarchive openssl@1.1
4. if not already installed
5.  
6.  
7. Set environment variables:
8.  
9. export LIBARCHIVE=/usr/local/opt/libarchive/lib/libarchive.dylib
10. export LIBCRYPTO=/usr/local/opt/openssl@1.1/lib/libcrypto.dylib
11.  
12. Run pip3 install -r requirements.txt
13.  
14. Run python3 AirDoS.py

我的成果图

 

漏洞复现视频

 

 

漏洞Timeline

2019-08-19：报告已发送给苹果

2019-10-03：要求更新

2019-10-03：苹果回复：“我们仍在调查此问题。如果我们确定我们的产品受到影响，就可以为我们的客户准备安全更新。”

2019年11月14日：苹果公司通过电子邮件发送了电子邮件：“我们将在即将到来的安全更新中以缓解的方式解决您报告的问题，希望您对我们最新的iOS 13.3 Beta进行测试确定是否解决了该问题。收到CVE，我们希望在安全咨询中公开承认您的协助。”

2019-11-15：我答复苹果这个漏洞已在iOS 13.3 beta 2中修复，并询问何时可以公开披露

2019-11-15：苹果回答：“如果您可以在安全更新发布给我们的客户之前不公开讨论此问题，我们将不胜感激。该安全更新当前计划于2019年12月中旬进行。”

2019-12-10：iOS 13.3发布安全公告,已发布并公开披露

 

原文始发于微信公众号（RedTeamWing）：IOS-AirDrop-Dos复现[专治高铁上抖音外放之人