maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/macos-hardening/macos-security-and-privilege-escalation

Browse Source
This commit is contained in:
Translator 2025-01-03 05:41:34 +00:00
parent 438cb65250
commit 36e65da696
222 changed files with 1390 additions and 1362 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

8
src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/README.md
View File

@ -6,19 +6,19 @@
Le **noyau de macOS est XNU**, qui signifie "X is Not Unix". Ce noyau est fondamentalement composé du **micro-noyau Mach** (qui sera discuté plus tard), **et** d'éléments de Berkeley Software Distribution (**BSD**). XNU fournit également une plateforme pour **les pilotes de noyau via un système appelé I/O Kit**. Le noyau XNU fait partie du projet open source Darwin, ce qui signifie que **son code source est librement accessible**.
Du point de vue d'un chercheur en sécurité ou d'un développeur Unix, **macOS** peut sembler assez **similaire** à un système **FreeBSD** avec une interface graphique élégante et une multitude d'applications personnalisées. La plupart des applications développées pour BSD se compileront et fonctionneront sur macOS sans nécessiter de modifications, car les outils en ligne de commande familiers aux utilisateurs Unix sont tous présents dans macOS. Cependant, parce que le noyau XNU incorpore Mach, il existe des différences significatives entre un système de type Unix traditionnel et macOS, et ces différences pourraient causer des problèmes potentiels ou offrir des avantages uniques.
Du point de vue d'un chercheur en sécurité ou d'un développeur Unix, **macOS** peut sembler assez **similaire** à un système **FreeBSD** avec une interface graphique élégante et une multitude d'applications personnalisées. La plupart des applications développées pour BSD se compileront et s'exécuteront sur macOS sans nécessiter de modifications, car les outils en ligne de commande familiers aux utilisateurs Unix sont tous présents dans macOS. Cependant, parce que le noyau XNU incorpore Mach, il existe des différences significatives entre un système de type Unix traditionnel et macOS, et ces différences pourraient causer des problèmes potentiels ou offrir des avantages uniques.
Version open source de XNU : [https://opensource.apple.com/source/xnu/](https://opensource.apple.com/source/xnu/)
### Mach
Mach est un **micro-noyau** conçu pour être **compatible UNIX**. Un de ses principes de conception clés était de **minimiser** la quantité de **code** s'exécutant dans l'espace **noyau** et de permettre à de nombreuses fonctions typiques du noyau, telles que le système de fichiers, le réseau et l'I/O, de **s'exécuter en tant que tâches de niveau utilisateur**.
Mach est un **micro-noyau** conçu pour être **compatible UNIX**. L'un de ses principes de conception clés était de **minimiser** la quantité de **code** s'exécutant dans l'espace **noyau** et de permettre à de nombreuses fonctions typiques du noyau, telles que le système de fichiers, le réseau et l'I/O, de **s'exécuter en tant que tâches de niveau utilisateur**.
Dans XNU, Mach est **responsable de nombreuses opérations critiques de bas niveau** qu'un noyau gère généralement, telles que la planification des processeurs, le multitâche et la gestion de la mémoire virtuelle.
### BSD
Le **noyau** XNU **incorpore** également une quantité significative de code dérivé du projet **FreeBSD**. Ce code **s'exécute comme partie du noyau avec Mach**, dans le même espace d'adresses. Cependant, le code FreeBSD au sein de XNU peut différer considérablement du code FreeBSD original car des modifications étaient nécessaires pour garantir sa compatibilité avec Mach. FreeBSD contribue à de nombreuses opérations du noyau, y compris :
Le **noyau** XNU **incorpore également** une quantité significative de code dérivé du projet **FreeBSD**. Ce code **s'exécute comme partie du noyau avec Mach**, dans le même espace d'adresses. Cependant, le code FreeBSD au sein de XNU peut différer considérablement du code FreeBSD original car des modifications étaient nécessaires pour garantir sa compatibilité avec Mach. FreeBSD contribue à de nombreuses opérations du noyau, y compris :
- Gestion des processus
- Gestion des signaux
@ -45,7 +45,7 @@ macos-iokit.md
../macos-proces-abuse/macos-ipc-inter-process-communication/
{{#endref}}
## Extensions de Noyau macOS
## Extensions du Noyau macOS
macOS est **très restrictif pour charger des Extensions de Noyau** (.kext) en raison des privilèges élevés avec lesquels le code s'exécutera. En fait, par défaut, il est pratiquement impossible (à moins qu'un contournement ne soit trouvé).

10
src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-ipc-inter-process-communication/README.md
View File

@ -24,7 +24,7 @@ Les droits de port, qui définissent quelles opérations une tâche peut effectu
- Le droit d'envoi peut être **cloné**, de sorte qu'une tâche possédant un droit d'envoi peut cloner le droit et **l'accorder à une troisième tâche**.
- **Droit d'envoi unique**, qui permet d'envoyer un message au port et disparaît ensuite.
- **Droit de port set**, qui désigne un _ensemble de ports_ plutôt qu'un port unique. Déqueuer un message d'un ensemble de ports déqueu un message de l'un des ports qu'il contient. Les ensembles de ports peuvent être utilisés pour écouter plusieurs ports simultanément, un peu comme `select`/`poll`/`epoll`/`kqueue` dans Unix.
- **Nom mort**, qui n'est pas un véritable droit de port, mais simplement un espace réservé. Lorsqu'un port est détruit, tous les droits de port existants sur le port se transforment en noms morts.
- **Nom mort**, qui n'est pas un véritable droit de port, mais simplement un espace réservé. Lorsqu'un port est détruit, tous les droits de port existants pour le port se transforment en noms morts.
**Les tâches peuvent transférer des droits d'ENVOI à d'autres**, leur permettant d'envoyer des messages en retour. **Les droits d'ENVOI peuvent également être clonés, de sorte qu'une tâche peut dupliquer et donner le droit à une troisième tâche**. Cela, combiné avec un processus intermédiaire connu sous le nom de **serveur de démarrage**, permet une communication efficace entre les tâches.
@ -230,12 +230,12 @@ printf("Sent a message\n");
- **Port hôte** : Si un processus a le privilège **Send** sur ce port, il peut obtenir des **informations** sur le **système** (par exemple, `host_processor_info`).
- **Port de privilège hôte** : Un processus avec le droit **Send** sur ce port peut effectuer des **actions privilégiées** comme charger une extension de noyau. Le **processus doit être root** pour obtenir cette permission.
- De plus, pour appeler l'API **`kext_request`**, il est nécessaire d'avoir d'autres droits **`com.apple.private.kext*`** qui ne sont accordés qu'aux binaires Apple.
- **Port de nom de tâche** : Une version non privilégiée du _port de tâche_. Il référence la tâche, mais ne permet pas de la contrôler. La seule chose qui semble être disponible à travers lui est `task_info()`.
- **Port de nom de tâche :** Une version non privilégiée du _port de tâche_. Il référence la tâche, mais ne permet pas de la contrôler. La seule chose qui semble être disponible à travers lui est `task_info()`.
- **Port de tâche** (également appelé port de noyau) : Avec la permission Send sur ce port, il est possible de contrôler la tâche (lire/écrire en mémoire, créer des threads...).
- Appelez `mach_task_self()` pour **obtenir le nom** de ce port pour la tâche appelante. Ce port est uniquement **hérité** lors de **`exec()`** ; une nouvelle tâche créée avec `fork()` obtient un nouveau port de tâche (dans un cas particulier, une tâche obtient également un nouveau port de tâche après `exec()` dans un binaire suid). La seule façon de créer une tâche et d'obtenir son port est d'effectuer la ["danse d'échange de port"](https://robert.sesek.com/2014/1/changes_to_xnu_mach_ipc.html) tout en effectuant un `fork()`.
- Voici les restrictions pour accéder au port (à partir de `macos_task_policy` du binaire `AppleMobileFileIntegrity`) :
- Si l'application a le droit **`com.apple.security.get-task-allow`**, les processus du **même utilisateur peuvent accéder au port de tâche** (généralement ajouté par Xcode pour le débogage). Le processus de **notarisation** ne le permettra pas pour les versions de production.
- Les applications avec le droit **`com.apple.system-task-ports`** peuvent obtenir le **port de tâche pour n'importe quel** processus, sauf le noyau. Dans les versions plus anciennes, cela s'appelait **`task_for_pid-allow`**. Cela n'est accordé qu'aux applications Apple.
- Les applications avec le droit **`com.apple.system-task-ports`** peuvent obtenir le **port de tâche pour n'importe quel** processus, sauf le noyau. Dans les versions antérieures, cela s'appelait **`task_for_pid-allow`**. Cela n'est accordé qu'aux applications Apple.
- **Root peut accéder aux ports de tâche** des applications **non** compilées avec un runtime **durci** (et pas d'Apple).
### Injection de shellcode dans le thread via le port de tâche
@ -502,7 +502,7 @@ gcc -framework Foundation -framework Appkit sc_inject.m -o sc_inject
Dans macOS, les **threads** peuvent être manipulés via **Mach** ou en utilisant l'**api posix `pthread`**. Le thread que nous avons généré dans l'injection précédente a été généré en utilisant l'api Mach, donc **il n'est pas conforme à posix**.
Il a été possible d'**injecter un simple shellcode** pour exécuter une commande car il **n'avait pas besoin de fonctionner avec des apis** conformes à posix, seulement avec Mach. **Des injections plus complexes** nécessiteraient que le **thread** soit également **conforme à posix**.
Il était possible d'**injecter un simple shellcode** pour exécuter une commande car il **n'avait pas besoin de fonctionner avec des apis conformes à posix**, seulement avec Mach. Des **injections plus complexes** nécessiteraient que le **thread** soit également **conforme à posix**.
Par conséquent, pour **améliorer le thread**, il devrait appeler **`pthread_create_from_mach_thread`** qui va **créer un pthread valide**. Ensuite, ce nouveau pthread pourrait **appeler dlopen** pour **charger une dylib** depuis le système, donc au lieu d'écrire un nouveau shellcode pour effectuer différentes actions, il est possible de charger des bibliothèques personnalisées.
@ -802,7 +802,7 @@ Dans cette technique, un fil du processus est détourné :
### Informations de base
XPC, qui signifie XNU (le noyau utilisé par macOS) inter-Process Communication, est un cadre pour **la communication entre processus** sur macOS et iOS. XPC fournit un mécanisme pour effectuer des **appels de méthode asynchrones et sécurisés entre différents processus** sur le système. C'est une partie du paradigme de sécurité d'Apple, permettant la **création d'applications séparées par privilèges** où chaque **composant** fonctionne avec **seulement les permissions nécessaires** pour accomplir sa tâche, limitant ainsi les dommages potentiels d'un processus compromis.
XPC, qui signifie XNU (le noyau utilisé par macOS) inter-Process Communication, est un cadre pour **la communication entre processus** sur macOS et iOS. XPC fournit un mécanisme pour effectuer des **appels de méthode asynchrones et sécurisés entre différents processus** sur le système. C'est une partie du paradigme de sécurité d'Apple, permettant la **création d'applications séparées par privilèges** où chaque **composant** fonctionne avec **seulement les autorisations nécessaires** pour accomplir sa tâche, limitant ainsi les dommages potentiels d'un processus compromis.
Pour plus d'informations sur le fonctionnement de cette **communication** et sur la façon dont elle **pourrait être vulnérable**, consultez :

12
src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-kernel-extensions.md
View File

@ -4,7 +4,7 @@
## Informations de base
Les extensions de noyau (Kexts) sont des **packages** avec une extension **`.kext`** qui sont **chargés directement dans l'espace noyau de macOS**, fournissant des fonctionnalités supplémentaires au système d'exploitation principal.
Les extensions de noyau (Kexts) sont des **paquets** avec une **extension `.kext`** qui sont **chargés directement dans l'espace noyau de macOS**, fournissant des fonctionnalités supplémentaires au système d'exploitation principal.
### Exigences
@ -16,8 +16,8 @@ Les extensions de noyau (Kexts) sont des **packages** avec une extension **`.kex
- L'extension de noyau doit être **signée avec un certificat de signature de code de noyau**, qui ne peut être **accordé que par Apple**. Qui examinera en détail l'entreprise et les raisons pour lesquelles cela est nécessaire.
- L'extension de noyau doit également être **notariée**, Apple pourra la vérifier pour détecter des logiciels malveillants.
- Ensuite, l'utilisateur **root** est celui qui peut **charger l'extension de noyau** et les fichiers à l'intérieur du package doivent **appartenir à root**.
- Pendant le processus de téléchargement, le package doit être préparé dans un **emplacement protégé non-root** : `/Library/StagedExtensions` (nécessite l'octroi `com.apple.rootless.storage.KernelExtensionManagement`).
- Ensuite, l'utilisateur **root** est celui qui peut **charger l'extension de noyau** et les fichiers à l'intérieur du paquet doivent **appartenir à root**.
- Pendant le processus de téléchargement, le paquet doit être préparé dans un **emplacement protégé non-root** : `/Library/StagedExtensions` (nécessite l'octroi `com.apple.rootless.storage.KernelExtensionManagement`).
- Enfin, lors de la tentative de chargement, l'utilisateur recevra une [**demande de confirmation**](https://developer.apple.com/library/archive/technotes/tn2459/_index.html) et, si acceptée, l'ordinateur doit être **redémarré** pour le charger.
### Processus de chargement
@ -47,11 +47,11 @@ kextstat | grep " 22 " | cut -c2-5,50- | cut -d '(' -f1
> [!CAUTION]
> Même si les extensions du noyau sont censées se trouver dans `/System/Library/Extensions/`, si vous allez dans ce dossier, vous **ne trouverez aucun binaire**. Cela est dû au **kernelcache** et pour inverser un `.kext`, vous devez trouver un moyen de l'obtenir.
Le **kernelcache** est une **version pré-compilée et pré-lien du noyau XNU**, ainsi que des **drivers** et des **extensions de noyau** essentiels. Il est stocké dans un format **compressé** et est décompressé en mémoire pendant le processus de démarrage. Le kernelcache facilite un **temps de démarrage plus rapide** en ayant une version prête à l'emploi du noyau et des drivers cruciaux disponibles, réduisant le temps et les ressources qui seraient autrement dépensés pour charger et lier dynamiquement ces composants au moment du démarrage.
Le **kernelcache** est une **version précompilée et préliée du noyau XNU**, ainsi que des **drivers** et des **extensions de noyau** essentiels. Il est stocké dans un format **compressé** et est décompressé en mémoire pendant le processus de démarrage. Le kernelcache facilite un **temps de démarrage plus rapide** en ayant une version prête à l'emploi du noyau et des drivers cruciaux disponibles, réduisant le temps et les ressources qui seraient autrement dépensés pour charger et lier dynamiquement ces composants au moment du démarrage.
### Local Kerlnelcache
Dans iOS, il est situé dans **`/System/Library/Caches/com.apple.kernelcaches/kernelcache`** dans macOS, vous pouvez le trouver avec : **`find / -name "kernelcache" 2>/dev/null`** \
Dans iOS, il se trouve dans **`/System/Library/Caches/com.apple.kernelcaches/kernelcache`** dans macOS, vous pouvez le trouver avec : **`find / -name "kernelcache" 2>/dev/null`** \
Dans mon cas, dans macOS, je l'ai trouvé dans :
- `/System/Volumes/Preboot/1BAEB4B5-180B-4C46-BD53-51152B7D92DA/boot/DAD35E7BC0CDA79634C20BD1BD80678DFB510B2AAD3D25C1228BB34BCD0A711529D3D571C93E29E1D0C1264750FA043F/System/Library/Caches/com.apple.kernelcaches/kernelcache`
@ -95,7 +95,7 @@ nm -a ~/Downloads/Sandbox.kext/Contents/MacOS/Sandbox | wc -l
Parfois, Apple publie **kernelcache** avec des **symbols**. Vous pouvez télécharger certains firmwares avec des symbols en suivant les liens sur ces pages. Les firmwares contiendront le **kernelcache** parmi d'autres fichiers.
Pour **extraire** les fichiers, commencez par changer l'extension de `.ipsw` à `.zip` et **décompressez**-le.
Pour **extract** les fichiers, commencez par changer l'extension de `.ipsw` à `.zip` et **unzip** le.
Après avoir extrait le firmware, vous obtiendrez un fichier comme : **`kernelcache.release.iphone14`**. Il est au format **IMG4**, vous pouvez extraire les informations intéressantes avec :

4
src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-system-extensions.md
View File

@ -26,9 +26,9 @@ Les extensions réseau offrent la possibilité de personnaliser les comportement
## Cadre de sécurité des points de terminaison
La sécurité des points de terminaison est un cadre fourni par Apple dans macOS qui offre un ensemble d'API pour la sécurité système. Il est destiné à être utilisé par **des fournisseurs de sécurité et des développeurs pour créer des produits qui peuvent surveiller et contrôler l'activité système** afin d'identifier et de protéger contre les activités malveillantes.
La sécurité des points de terminaison est un cadre fourni par Apple dans macOS qui offre un ensemble d'APIs pour la sécurité système. Il est destiné à être utilisé par **des fournisseurs de sécurité et des développeurs pour créer des produits qui peuvent surveiller et contrôler l'activité système** afin d'identifier et de protéger contre les activités malveillantes.
Ce cadre fournit une **collection d'API pour surveiller et contrôler l'activité système**, telles que les exécutions de processus, les événements du système de fichiers, les événements réseau et noyau.
Ce cadre fournit une **collection d'APIs pour surveiller et contrôler l'activité système**, telles que les exécutions de processus, les événements du système de fichiers, les événements réseau et noyau.
Le cœur de ce cadre est implémenté dans le noyau, en tant qu'extension du noyau (KEXT) située à **`/System/Library/Extensions/EndpointSecurity.kext`**. Ce KEXT est composé de plusieurs composants clés :

48
src/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/README.md
View File

@ -96,7 +96,7 @@ Il sera monté dans `/Volumes`
### Binaries empaquetés
- Vérifiez la haute entropie
- Vérifiez l'entropie élevée
- Vérifiez les chaînes (s'il n'y a presque aucune chaîne compréhensible, empaqueté)
- Le packer UPX pour MacOS génère une section appelée "\_\_XHDR"
@ -162,7 +162,7 @@ objdump --macho --objc-meta-data /path/to/bin
```
#### class-dump
[**class-dump**](https://github.com/nygard/class-dump/) est l'outil original qui génère des déclarations pour les classes, catégories et protocoles dans le code formaté en ObjectiveC.
[**class-dump**](https://github.com/nygard/class-dump/) est l'outil original qui génère des déclarations pour les classes, catégories et protocoles dans le code formaté en ObjetiveC.
Il est ancien et non maintenu, donc il ne fonctionnera probablement pas correctement.
@ -177,7 +177,7 @@ print(metadata.to_decl())
```
## Analyse statique de Swift
Avec les binaires Swift, étant donné qu'il y a une compatibilité avec Objective-C, il est parfois possible d'extraire des déclarations en utilisant [class-dump](https://github.com/nygard/class-dump/) mais pas toujours.
Avec les binaires Swift, étant donné qu'il y a une compatibilité avec Objective-C, il est parfois possible d'extraire des déclarations en utilisant [class-dump](https://github.com/nygard/class-dump/) mais ce n'est pas toujours le cas.
Avec les lignes de commande **`jtool -l`** ou **`otool -l`**, il est possible de trouver plusieurs sections qui commencent par le préfixe **`__swift5`** :
```bash
@ -201,7 +201,7 @@ https://github.com/ghidraninja/ghidra_scripts/blob/master/swift_demangler.py
# Swift cli
swift demangle
```
## Analyse Dynamique
## Analyse dynamique
> [!WARNING]
> Notez que pour déboguer des binaires, **SIP doit être désactivé** (`csrutil disable` ou `csrutil enable --without debug`) ou pour copier les binaires dans un dossier temporaire et **supprimer la signature** avec `codesign --remove-signature <binary-path>` ou permettre le débogage du binaire (vous pouvez utiliser [ce script](https://gist.github.com/carlospolop/a66b8d72bb8f43913c4b5ae45672578b))
@ -232,21 +232,21 @@ Son plist est situé dans `/System/Library/LaunchDaemons/com.apple.sysdiagnose.p
- `com.apple.sysdiagnose.kernel.ipc` : Port spécial 23 (noyau)
- `com.apple.sysdiagnose.service.xpc` : Interface en mode utilisateur via la classe Obj-C `Libsysdiagnose`. Trois arguments dans un dict peuvent être passés (`compress`, `display`, `run`)
### Journaux Unifiés
### Journaux unifiés
MacOS génère beaucoup de journaux qui peuvent être très utiles lors de l'exécution d'une application essayant de comprendre **ce qu'elle fait**.
De plus, il y a certains journaux qui contiendront le tag `<private>` pour **cacher** certaines informations **identifiables** de **l'utilisateur** ou de **l'ordinateur**. Cependant, il est possible **d'installer un certificat pour divulguer ces informations**. Suivez les explications [**ici**](https://superuser.com/questions/1532031/how-to-show-private-data-in-macos-unified-log).
De plus, il y a certains journaux qui contiendront le tag `<private>` pour **cacher** certaines informations **identifiables** de **l'utilisateur** ou de **l'ordinateur**. Cependant, il est possible de **installer un certificat pour divulguer ces informations**. Suivez les explications de [**ici**](https://superuser.com/questions/1532031/how-to-show-private-data-in-macos-unified-log).
### Hopper
#### Panneau de gauche
#### Panneau gauche
Dans le panneau de gauche de Hopper, il est possible de voir les symboles (**Labels**) du binaire, la liste des procédures et fonctions (**Proc**) et les chaînes (**Str**). Ce ne sont pas toutes les chaînes mais celles définies dans plusieurs parties du fichier Mac-O (comme _cstring ou_ `objc_methname`).
Dans le panneau gauche de Hopper, il est possible de voir les symboles (**Labels**) du binaire, la liste des procédures et fonctions (**Proc**) et les chaînes (**Str**). Ce ne sont pas toutes les chaînes mais celles définies dans plusieurs parties du fichier Mac-O (comme _cstring ou_ `objc_methname`).
#### Panneau du milieu
#### Panneau central
Dans le panneau du milieu, vous pouvez voir le **code désassemblé**. Et vous pouvez le voir en tant que désassemblage **brut**, en tant que **graphique**, en tant que **décompilé** et en tant que **binaire** en cliquant sur l'icône respective :
Dans le panneau central, vous pouvez voir le **code désassemblé**. Et vous pouvez le voir en tant que désassemblage **brut**, en tant que **graphique**, en tant que **décompilé** et en tant que **binaire** en cliquant sur l'icône respective :
<figure><img src="../../../images/image (343).png" alt=""><figcaption></figcaption></figure>
@ -256,20 +256,20 @@ En cliquant avec le bouton droit sur un objet de code, vous pouvez voir **les r
De plus, dans le **bas du milieu, vous pouvez écrire des commandes python**.
#### Panneau de droite
#### Panneau droit
Dans le panneau de droite, vous pouvez voir des informations intéressantes telles que l'**historique de navigation** (pour savoir comment vous êtes arrivé à la situation actuelle), le **graphe d'appels** où vous pouvez voir toutes les **fonctions qui appellent cette fonction** et toutes les fonctions que **cette fonction appelle**, ainsi que des informations sur les **variables locales**.
Dans le panneau droit, vous pouvez voir des informations intéressantes telles que l'**historique de navigation** (pour savoir comment vous êtes arrivé à la situation actuelle), le **graphe d'appels** où vous pouvez voir toutes les **fonctions qui appellent cette fonction** et toutes les fonctions que **cette fonction appelle**, et des informations sur les **variables locales**.
### dtrace
Il permet aux utilisateurs d'accéder aux applications à un niveau **très bas** et fournit un moyen pour les utilisateurs de **tracer** des **programmes** et même de changer leur flux d'exécution. Dtrace utilise des **probes** qui sont **placées dans tout le noyau** et se trouvent à des emplacements tels que le début et la fin des appels système.
Il permet aux utilisateurs d'accéder aux applications à un niveau **très bas** et fournit un moyen pour les utilisateurs de **tracer** des **programmes** et même de changer leur flux d'exécution. Dtrace utilise des **sondes** qui sont **placées dans tout le noyau** et se trouvent à des emplacements tels que le début et la fin des appels système.
DTrace utilise la fonction **`dtrace_probe_create`** pour créer une sonde pour chaque appel système. Ces sondes peuvent être déclenchées au **point d'entrée et de sortie de chaque appel système**. L'interaction avec DTrace se fait via /dev/dtrace qui n'est disponible que pour l'utilisateur root.
> [!TIP]
> Pour activer Dtrace sans désactiver complètement la protection SIP, vous pouvez exécuter en mode de récupération : `csrutil enable --without dtrace`
>
> Vous pouvez également utiliser les binaires **`dtrace`** ou **`dtruss`** que **vous avez compilés**.
> Vous pouvez également **`dtrace`** ou **`dtruss`** des binaires que **vous avez compilés**.
Les sondes disponibles de dtrace peuvent être obtenues avec :
```bash
@ -353,11 +353,11 @@ Pour interagir avec kdebug avec un client personnalisé, voici généralement le
- Obtenir le propre client à partir du traçage avec KERN_KDPINDEX
- Activer le traçage avec KERN_KDENABLE
- Lire le tampon en appelant KERN_KDREADTR
- Pour associer chaque thread à son processus, appeler KERN_KDTHRMAP.
- Pour faire correspondre chaque thread avec son processus, appeler KERN_KDTHRMAP.
Pour obtenir ces informations, il est possible d'utiliser l'outil Apple **`trace`** ou l'outil personnalisé [kDebugView (kdv)](https://newosxbook.com/tools/kdv.html)**.**
**Notez que Kdebug n'est disponible que pour 1 client à la fois.** Donc, seul un outil alimenté par k-debug peut être exécuté en même temps.
**Notez que Kdebug n'est disponible que pour un client à la fois.** Donc, seul un outil alimenté par k-debug peut être exécuté en même temps.
### ktrace
@ -424,7 +424,7 @@ Dans [**cet article de blog**](https://knight.sc/debugging/2019/06/03/debugging-
### lldb
**lldb** est l'outil de **facto** pour le **débogage** des binaires **macOS**.
**lldb** est l'outil de **facto** pour le **débogage** binaire **macOS**.
```bash
lldb ./malware.bin
lldb -p 1122
@ -438,7 +438,7 @@ settings set target.x86-disassembly-flavor intel
> [!WARNING]
> À l'intérieur de lldb, déposez un processus avec `process save-core`
<table data-header-hidden><thead><tr><th width="225"></th><th></th></tr></thead><tbody><tr><td><strong>(lldb) Commande</strong></td><td><strong>Description</strong></td></tr><tr><td><strong>run (r)</strong></td><td>Démarrer l'exécution, qui se poursuivra sans interruption jusqu'à ce qu'un point d'arrêt soit atteint ou que le processus se termine.</td></tr><tr><td><strong>process launch --stop-at-entry</strong></td><td>Démarrer l'exécution en s'arrêtant au point d'entrée</td></tr><tr><td><strong>continue (c)</strong></td><td>Continuer l'exécution du processus débogué.</td></tr><tr><td><strong>nexti (n / ni)</strong></td><td>Exécuter l'instruction suivante. Cette commande ignorera les appels de fonction.</td></tr><tr><td><strong>stepi (s / si)</strong></td><td>Exécuter l'instruction suivante. Contrairement à la commande nexti, cette commande entrera dans les appels de fonction.</td></tr><tr><td><strong>finish (f)</strong></td><td>Exécuter le reste des instructions dans la fonction actuelle (“frame”) retourner et s'arrêter.</td></tr><tr><td><strong>control + c</strong></td><td>Mettre l'exécution en pause. Si le processus a été exécuté (r) ou continué (c), cela fera arrêter le processus ...où qu'il soit actuellement en cours d'exécution.</td></tr><tr><td><strong>breakpoint (b)</strong></td><td><p><code>b main</code> #Toute fonction appelée main</p><p><code>b &#x3C;binname>`main</code> #Fonction principale du binaire</p><p><code>b set -n main --shlib &#x3C;lib_name></code> #Fonction principale du binaire indiqué</p><p><code>breakpoint set -r '\[NSFileManager .*\]$'</code> #Toute méthode NSFileManager</p><p><code>breakpoint set -r '\[NSFileManager contentsOfDirectoryAtPath:.*\]$'</code></p><p><code>break set -r . -s libobjc.A.dylib</code> # Arrêter dans toutes les fonctions de cette bibliothèque</p><p><code>b -a 0x0000000100004bd9</code></p><p><code>br l</code> #Liste des points d'arrêt</p><p><code>br e/dis &#x3C;num></code> #Activer/Désactiver le point d'arrêt</p><p>breakpoint delete &#x3C;num></p></td></tr><tr><td><strong>help</strong></td><td><p>help breakpoint #Obtenir de l'aide sur la commande de point d'arrêt</p><p>help memory write #Obtenir de l'aide pour écrire dans la mémoire</p></td></tr><tr><td><strong>reg</strong></td><td><p>reg read</p><p>reg read $rax</p><p>reg read $rax --format &#x3C;<a href="https://lldb.llvm.org/use/variable.html#type-format">format</a>></p><p>reg write $rip 0x100035cc0</p></td></tr><tr><td><strong>x/s &#x3C;reg/adresse mémoire></strong></td><td>Afficher la mémoire sous forme de chaîne terminée par un caractère nul.</td></tr><tr><td><strong>x/i &#x3C;reg/adresse mémoire></strong></td><td>Afficher la mémoire sous forme d'instruction d'assemblage.</td></tr><tr><td><strong>x/b &#x3C;reg/adresse mémoire></strong></td><td>Afficher la mémoire sous forme d'octet.</td></tr><tr><td><strong>print object (po)</strong></td><td><p>Cela affichera l'objet référencé par le paramètre</p><p>po $raw</p><p><code>{</code></p><p><code>dnsChanger = {</code></p><p><code>"affiliate" = "";</code></p><p><code>"blacklist_dns" = ();</code></p><p>Notez que la plupart des API ou méthodes Objective-C d'Apple retournent des objets, et doivent donc être affichées via la commande “print object” (po). Si po ne produit pas de sortie significative, utilisez <code>x/b</code></p></td></tr><tr><td><strong>memory</strong></td><td>memory read 0x000....<br>memory read $x0+0xf2a<br>memory write 0x100600000 -s 4 0x41414141 #Écrire AAAA à cette adresse<br>memory write -f s $rip+0x11f+7 "AAAA" #Écrire AAAA à l'adresse</td></tr><tr><td><strong>disassembly</strong></td><td><p>dis #Désassembler la fonction actuelle</p><p>dis -n &#x3C;funcname> #Désassembler la fonction</p><p>dis -n &#x3C;funcname> -b &#x3C;basename> #Désassembler la fonction<br>dis -c 6 #Désassembler 6 lignes<br>dis -c 0x100003764 -e 0x100003768 # D'un ajout à l'autre<br>dis -p -c 4 # Commencer à l'adresse actuelle en désassemblant</p></td></tr><tr><td><strong>parray</strong></td><td>parray 3 (char **)$x1 # Vérifier le tableau de 3 composants dans le registre x1</td></tr><tr><td><strong>image dump sections</strong></td><td>Imprimer la carte de la mémoire du processus actuel</td></tr><tr><td><strong>image dump symtab &#x3C;library></strong></td><td><code>image dump symtab CoreNLP</code> #Obtenir l'adresse de tous les symboles de CoreNLP</td></tr></tbody></table>
<table data-header-hidden><thead><tr><th width="225"></th><th></th></tr></thead><tbody><tr><td><strong>(lldb) Commande</strong></td><td><strong>Description</strong></td></tr><tr><td><strong>run (r)</strong></td><td>Démarrer l'exécution, qui se poursuivra sans interruption jusqu'à ce qu'un point d'arrêt soit atteint ou que le processus se termine.</td></tr><tr><td><strong>process launch --stop-at-entry</strong></td><td>Démarrer l'exécution en s'arrêtant au point d'entrée</td></tr><tr><td><strong>continue (c)</strong></td><td>Continuer l'exécution du processus débogué.</td></tr><tr><td><strong>nexti (n / ni)</strong></td><td>Exécuter l'instruction suivante. Cette commande ignorera les appels de fonction.</td></tr><tr><td><strong>stepi (s / si)</strong></td><td>Exécuter l'instruction suivante. Contrairement à la commande nexti, cette commande entrera dans les appels de fonction.</td></tr><tr><td><strong>finish (f)</strong></td><td>Exécuter le reste des instructions dans la fonction actuelle (“frame”) retourner et arrêter.</td></tr><tr><td><strong>control + c</strong></td><td>Mettre l'exécution en pause. Si le processus a été exécuté (r) ou continué (c), cela fera arrêter le processus ...où qu'il soit actuellement en cours d'exécution.</td></tr><tr><td><strong>breakpoint (b)</strong></td><td><p><code>b main</code> #Toute fonction appelée main</p><p><code>b &#x3C;binname>`main</code> #Fonction principale du binaire</p><p><code>b set -n main --shlib &#x3C;lib_name></code> #Fonction principale du binaire indiqué</p><p><code>breakpoint set -r '\[NSFileManager .*\]$'</code> #Toute méthode NSFileManager</p><p><code>breakpoint set -r '\[NSFileManager contentsOfDirectoryAtPath:.*\]$'</code></p><p><code>break set -r . -s libobjc.A.dylib</code> # Arrêter dans toutes les fonctions de cette bibliothèque</p><p><code>b -a 0x0000000100004bd9</code></p><p><code>br l</code> #Liste des points d'arrêt</p><p><code>br e/dis &#x3C;num></code> #Activer/Désactiver le point d'arrêt</p><p>breakpoint delete &#x3C;num></p></td></tr><tr><td><strong>help</strong></td><td><p>help breakpoint #Obtenir de l'aide sur la commande de point d'arrêt</p><p>help memory write #Obtenir de l'aide pour écrire dans la mémoire</p></td></tr><tr><td><strong>reg</strong></td><td><p>reg read</p><p>reg read $rax</p><p>reg read $rax --format &#x3C;<a href="https://lldb.llvm.org/use/variable.html#type-format">format</a>></p><p>reg write $rip 0x100035cc0</p></td></tr><tr><td><strong>x/s &#x3C;reg/adresse mémoire></strong></td><td>Afficher la mémoire sous forme de chaîne terminée par un caractère nul.</td></tr><tr><td><strong>x/i &#x3C;reg/adresse mémoire></strong></td><td>Afficher la mémoire sous forme d'instruction d'assemblage.</td></tr><tr><td><strong>x/b &#x3C;reg/adresse mémoire></strong></td><td>Afficher la mémoire sous forme d'octet.</td></tr><tr><td><strong>print object (po)</strong></td><td><p>Cela affichera l'objet référencé par le paramètre</p><p>po $raw</p><p><code>{</code></p><p><code>dnsChanger = {</code></p><p><code>"affiliate" = "";</code></p><p><code>"blacklist_dns" = ();</code></p><p>Notez que la plupart des API ou méthodes Objective-C d'Apple retournent des objets, et doivent donc être affichées via la commande “print object” (po). Si po ne produit pas de sortie significative, utilisez <code>x/b</code></p></td></tr><tr><td><strong>memory</strong></td><td>memory read 0x000....<br>memory read $x0+0xf2a<br>memory write 0x100600000 -s 4 0x41414141 #Écrire AAAA à cette adresse<br>memory write -f s $rip+0x11f+7 "AAAA" #Écrire AAAA à l'adresse</td></tr><tr><td><strong>disassembly</strong></td><td><p>dis #Désassembler la fonction actuelle</p><p>dis -n &#x3C;funcname> #Désassembler la fonction</p><p>dis -n &#x3C;funcname> -b &#x3C;basename> #Désassembler la fonction<br>dis -c 6 #Désassembler 6 lignes<br>dis -c 0x100003764 -e 0x100003768 # D'un ajout à l'autre<br>dis -p -c 4 # Commencer à l'adresse actuelle en désassemblant</p></td></tr><tr><td><strong>parray</strong></td><td>parray 3 (char **)$x1 # Vérifier le tableau de 3 composants dans le registre x1</td></tr><tr><td><strong>image dump sections</strong></td><td>Imprimer la carte de la mémoire du processus actuel</td></tr><tr><td><strong>image dump symtab &#x3C;library></strong></td><td><code>image dump symtab CoreNLP</code> #Obtenir l'adresse de tous les symboles de CoreNLP</td></tr></tbody></table>
> [!NOTE]
> Lors de l'appel de la fonction **`objc_sendMsg`**, le registre **rsi** contient le **nom de la méthode** sous forme de chaîne terminée par un caractère nul (“C”). Pour imprimer le nom via lldb, faites :
@ -478,11 +478,11 @@ Dans ces cas, le dump de mémoire est généré selon `kern.corefile` sysctl et
### [ReportCrash](https://ss64.com/osx/reportcrash.html)
ReportCrash **analyse les processus qui plantent et enregistre un rapport de plantage sur le disque**. Un rapport de plantage contient des informations qui peuvent **aider un développeur à diagnostiquer** la cause d'un plantage.\
Pour les applications et autres processus **s'exécutant dans le contexte launchd par utilisateur**, ReportCrash s'exécute en tant que LaunchAgent et enregistre les rapports de plantage dans le `~/Library/Logs/DiagnosticReports/` de l'utilisateur.\
Pour les démons, autres processus **s'exécutant dans le contexte launchd système** et autres processus privilégiés, ReportCrash s'exécute en tant que LaunchDaemon et enregistre les rapports de plantage dans le `/Library/Logs/DiagnosticReports` du système.
ReportCrash **analyse les processus en panne et enregistre un rapport de panne sur le disque**. Un rapport de panne contient des informations qui peuvent **aider un développeur à diagnostiquer** la cause d'une panne.\
Pour les applications et autres processus **s'exécutant dans le contexte de lancement par utilisateur**, ReportCrash s'exécute en tant que LaunchAgent et enregistre les rapports de panne dans le `~/Library/Logs/DiagnosticReports/` de l'utilisateur.\
Pour les démons, autres processus **s'exécutant dans le contexte de lancement système** et autres processus privilégiés, ReportCrash s'exécute en tant que LaunchDaemon et enregistre les rapports de panne dans le `/Library/Logs/DiagnosticReports` du système.
Si vous êtes inquiet au sujet des rapports de plantage **envoyés à Apple**, vous pouvez les désactiver. Sinon, les rapports de plantage peuvent être utiles pour **comprendre comment un serveur a planté**.
Si vous êtes inquiet au sujet des rapports de panne **envoyés à Apple**, vous pouvez les désactiver. Sinon, les rapports de panne peuvent être utiles pour **comprendre comment un serveur a planté**.
```bash
#To disable crash reporting:
launchctl unload -w /System/Library/LaunchAgents/com.apple.ReportCrash.plist
@ -502,7 +502,7 @@ Lors du fuzzing sur MacOS, il est important de ne pas laisser le Mac se mettre e
#### Déconnexion SSH
Si vous effectuez un fuzzing via une connexion SSH, il est important de s'assurer que la session ne va pas expirer. Donc, modifiez le fichier sshd_config avec :
Si vous effectuez un fuzzing via une connexion SSH, il est important de s'assurer que la session ne va pas expirer. Modifiez donc le fichier sshd_config avec :
- TCPKeepAlive Yes
- ClientAliveInterval 0
@ -544,7 +544,7 @@ Fonctionne pour les outils CLI
#### [Litefuzz](https://github.com/sec-tools/litefuzz)
Il "**fonctionne simplement"** avec les outils GUI macOS. Notez que certaines applications macOS ont des exigences spécifiques comme des noms de fichiers uniques, la bonne extension, et doivent lire les fichiers depuis le sandbox (`~/Library/Containers/com.apple.Safari/Data`)...
Il "**fonctionne simplement"** avec les outils GUI macOS. Notez que certaines applications macOS ont des exigences spécifiques comme des noms de fichiers uniques, la bonne extension, doivent lire les fichiers depuis le sandbox (`~/Library/Containers/com.apple.Safari/Data`)...
Quelques exemples :
```bash

62
src/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/arm64-basic-assembly.md
View File

@ -23,7 +23,7 @@ L'utilisation de ces niveaux permet une gestion structurée et sécurisée des d
## **Registres (ARM64v8)**
ARM64 dispose de **31 registres à usage général**, étiquetés `x0` à `x30`. Chacun peut stocker une valeur **64 bits** (8 octets). Pour les opérations nécessitant uniquement des valeurs de 32 bits, les mêmes registres peuvent être accessibles en mode 32 bits en utilisant les noms w0 à w30.
ARM64 a **31 registres à usage général**, étiquetés `x0` à `x30`. Chacun peut stocker une valeur **64 bits** (8 octets). Pour les opérations nécessitant uniquement des valeurs de 32 bits, les mêmes registres peuvent être accessibles en mode 32 bits en utilisant les noms w0 à w30.
1. **`x0`** à **`x7`** - Ceux-ci sont généralement utilisés comme registres temporaires et pour passer des paramètres aux sous-routines.
- **`x0`** transporte également les données de retour d'une fonction.
@ -31,14 +31,14 @@ ARM64 dispose de **31 registres à usage général**, étiquetés `x0` à `x30`.
3. **`x9`** à **`x15`** - Registres temporaires supplémentaires, souvent utilisés pour des variables locales.
4. **`x16`** et **`x17`** - **Registres d'Appel Intra-procédural**. Registres temporaires pour des valeurs immédiates. Ils sont également utilisés pour des appels de fonction indirects et des stubs de PLT (Table de Liaison de Procédure).
- **`x16`** est utilisé comme **numéro d'appel système** pour l'instruction **`svc`** dans **macOS**.
5. **`x18`** - **Registre de Plateforme**. Il peut être utilisé comme un registre à usage général, mais sur certaines plateformes, ce registre est réservé à des usages spécifiques à la plateforme : Pointeur vers le bloc d'environnement de thread local dans Windows, ou pour pointer vers la structure de tâche actuellement **exécutée dans le noyau linux**.
5. **`x18`** - **Registre de Plateforme**. Il peut être utilisé comme un registre à usage général, mais sur certaines plateformes, ce registre est réservé à des usages spécifiques à la plateforme : Pointeur vers le bloc d'environnement de thread local dans Windows, ou pour pointer vers la **structure de tâche actuellement exécutée dans le noyau linux**.
6. **`x19`** à **`x28`** - Ce sont des registres sauvegardés par le callee. Une fonction doit préserver les valeurs de ces registres pour son appelant, donc elles sont stockées dans la pile et récupérées avant de revenir à l'appelant.
7. **`x29`** - **Pointeur de cadre** pour garder une trace du cadre de la pile. Lorsqu'un nouveau cadre de pile est créé parce qu'une fonction est appelée, le registre **`x29`** est **stocké dans la pile** et l'adresse du **nouveau** pointeur de cadre (adresse **`sp`**) est **stockée dans ce registre**.
7. **`x29`** - **Pointeur de cadre** pour suivre le cadre de la pile. Lorsqu'un nouveau cadre de pile est créé parce qu'une fonction est appelée, le registre **`x29`** est **stocké dans la pile** et l'adresse du **nouveau** pointeur de cadre (adresse **`sp`**) est **stockée dans ce registre**.
- Ce registre peut également être utilisé comme un **registre à usage général** bien qu'il soit généralement utilisé comme référence aux **variables locales**.
8. **`x30`** ou **`lr`** - **Registre de Lien**. Il contient l'**adresse de retour** lorsqu'une instruction `BL` (Branch with Link) ou `BLR` (Branch with Link to Register) est exécutée en stockant la valeur **`pc`** dans ce registre.
- Il peut également être utilisé comme n'importe quel autre registre.
- Si la fonction actuelle va appeler une nouvelle fonction et donc écraser `lr`, elle le stockera dans la pile au début, c'est l'épilogue (`stp x29, x30 , [sp, #-48]; mov x29, sp` -> Stocker `fp` et `lr`, générer de l'espace et obtenir un nouveau `fp`) et le récupérera à la fin, c'est le prologue (`ldp x29, x30, [sp], #48; ret` -> Récupérer `fp` et `lr` et retourner).
9. **`sp`** - **Pointeur de pile**, utilisé pour garder une trace du sommet de la pile.
9. **`sp`** - **Pointeur de pile**, utilisé pour suivre le sommet de la pile.
- La valeur **`sp`** doit toujours être maintenue à au moins un **alignement de quadword** ou une exception d'alignement peut se produire.
10. **`pc`** - **Compteur de programme**, qui pointe vers l'instruction suivante. Ce registre ne peut être mis à jour que par des générations d'exception, des retours d'exception et des branches. Les seules instructions ordinaires qui peuvent lire ce registre sont les instructions de branchement avec lien (BL, BLR) pour stocker l'adresse **`pc`** dans **`lr`** (Registre de Lien).
11. **`xzr`** - **Registre Zéro**. Également appelé **`wzr`** dans sa forme de registre **32** bits. Peut être utilisé pour obtenir facilement la valeur zéro (opération courante) ou pour effectuer des comparaisons en utilisant **`subs`** comme **`subs XZR, Xn, #10`** en ne stockant pas les données résultantes (dans **`xzr`**).
@ -70,20 +70,20 @@ Voici les champs accessibles :
- Les **flags de condition `N`**, **`Z`**, **`C`** et **`V`** :
- **`N`** signifie que l'opération a donné un résultat négatif.
- **`Z`** signifie que l'opération a donné zéro.
- **`C`** signifie que l'opération a porté.
- **`C`** signifie que l'opération a eu un report.
- **`V`** signifie que l'opération a donné un dépassement de capacité signé :
- La somme de deux nombres positifs donne un résultat négatif.
- La somme de deux nombres négatifs donne un résultat positif.
- En soustraction, lorsqu'un grand nombre négatif est soustrait d'un plus petit nombre positif (ou vice versa), et que le résultat ne peut pas être représenté dans la plage de la taille de bit donnée.
- Évidemment, le processeur ne sait pas si l'opération est signée ou non, donc il vérifiera C et V dans les opérations et indiquera si un report s'est produit dans le cas où c'était signé ou non.
- Évidemment, le processeur ne sait pas si l'opération est signée ou non, donc il vérifiera C et V dans les opérations et indiquera si un report s'est produit dans le cas où c'était signé ou non signé.
> [!WARNING]
> Toutes les instructions ne mettent pas à jour ces flags. Certaines comme **`CMP`** ou **`TST`** le font, et d'autres qui ont un suffixe s comme **`ADDS`** le font également.
- Le **flag de largeur de registre actuelle (`nRW`)** : Si le flag a la valeur 0, le programme s'exécutera dans l'état d'exécution AArch64 une fois repris.
- Le **Niveau d'Exception actuel** (**`EL`**) : Un programme régulier s'exécutant en EL0 aura la valeur 0.
- Le **flag de pas à pas unique** (**`SS`**) : Utilisé par les débogueurs pour effectuer un pas à pas en définissant le flag SS à 1 à l'intérieur de **`SPSR_ELx`** par le biais d'une exception. Le programme exécutera un pas et émettra une exception de pas unique.
- Le **flag d'état d'exception illégale** (**`IL`**) : Il est utilisé pour marquer lorsqu'un logiciel privilégié effectue un transfert de niveau d'exception invalide, ce flag est défini à 1 et le processeur déclenche une exception d'état illégale.
- Le **flag de pas à pas unique** (**`SS`**) : Utilisé par les débogueurs pour effectuer un pas à pas en définissant le flag SS à 1 à l'intérieur de **`SPSR_ELx`** par le biais d'une exception. Le programme exécutera une étape et émettra une exception de pas à pas unique.
- Le **flag d'état d'exception illégale** (**`IL`**) : Il est utilisé pour marquer lorsqu'un logiciel privilégié effectue un transfert de niveau d'exception invalide, ce flag est défini à 1 et le processeur déclenche une exception d'état illégal.
- Les **flags `DAIF`** : Ces flags permettent à un programme privilégié de masquer sélectivement certaines exceptions externes.
- Si **`A`** est 1, cela signifie que des **abortions asynchrones** seront déclenchées. Le **`I`** configure la réponse aux **Demandes d'Interruption Matérielles** (IRQ). et le F est lié aux **Demandes d'Interruption Rapides** (FIR).
- Les **flags de sélection de pointeur de pile** (**`SPS`**) : Les programmes privilégiés s'exécutant en EL1 et au-dessus peuvent basculer entre l'utilisation de leur propre registre de pointeur de pile et celui du modèle utilisateur (par exemple, entre `SP_EL1` et `EL0`). Ce changement est effectué en écrivant dans le registre spécial **`SPSel`**. Cela ne peut pas être fait depuis EL0.
@ -92,7 +92,7 @@ Voici les champs accessibles :
La convention d'appel ARM64 spécifie que les **huit premiers paramètres** d'une fonction sont passés dans les registres **`x0` à `x7`**. Les **paramètres supplémentaires** sont passés sur la **pile**. La **valeur de retour** est renvoyée dans le registre **`x0`**, ou dans **`x1`** également **si elle fait 128 bits de long**. Les registres **`x19`** à **`x30`** et **`sp`** doivent être **préservés** lors des appels de fonction.
Lors de la lecture d'une fonction en assembleur, recherchez le **prologue et l'épilogue de la fonction**. Le **prologue** implique généralement **de sauvegarder le pointeur de cadre (`x29`)**, **de configurer** un **nouveau pointeur de cadre**, et d'**allouer de l'espace dans la pile**. L'**épilogue** implique généralement **de restaurer le pointeur de cadre sauvegardé** et **de retourner** de la fonction.
Lors de la lecture d'une fonction en assembleur, recherchez le **prologue et l'épilogue de la fonction**. Le **prologue** implique généralement **de sauvegarder le pointeur de cadre (`x29`)**, **de configurer** un **nouveau pointeur de cadre**, et d'**allouer de l'espace sur la pile**. L'**épilogue** implique généralement **de restaurer le pointeur de cadre sauvegardé** et **de retourner** de la fonction.
### Convention d'Appel en Swift
@ -112,7 +112,7 @@ Les instructions ARM64 ont généralement le **format `opcode dst, src1, src2`**
- **Mode pré-indexé** : Cela appliquera des calculs à l'origine, obtiendra le résultat et stockera également la nouvelle origine dans l'origine.
- `ldr x2, [x1, #8]!`, cela chargera `x1 + 8` dans `x2` et stockera dans x1 le résultat de `x1 + 8`.
- `str lr, [sp, #-4]!`, stocke le registre de lien dans sp et met à jour le registre sp.
- **Mode post-indexé** : C'est comme le précédent mais l'adresse mémoire est accédée et ensuite l'offset est calculé et stocké.
- **Mode post-index** : C'est comme le précédent mais l'adresse mémoire est accédée et ensuite l'offset est calculé et stocké.
- `ldr x0, [x1], #8`, charge `x1` dans `x0` et met à jour x1 avec `x1 + 8`.
- **Adressage relatif au PC** : Dans ce cas, l'adresse à charger est calculée par rapport au registre PC.
- `ldr x1, =_start`, Cela chargera l'adresse où le symbole `_start` commence dans x1 par rapport au PC actuel.
@ -120,7 +120,7 @@ Les instructions ARM64 ont généralement le **format `opcode dst, src1, src2`**
- Exemple : `str x0, [x1]` — Cela stocke la valeur dans `x0` dans l'emplacement mémoire pointé par `x1`.
- **`ldp`** : **Charger une paire de registres**. Cette instruction **charge deux registres** à partir de **localisations mémoire consécutives**. L'adresse mémoire est généralement formée en ajoutant un offset à la valeur d'un autre registre.
- Exemple : `ldp x0, x1, [x2]` — Cela charge `x0` et `x1` à partir des emplacements mémoire à `x2` et `x2 + 8`, respectivement.
- **`stp`** : **Stocker une paire de registres**. Cette instruction **stocke deux registres** dans **des emplacements mémoire consécutifs**. L'adresse mémoire est généralement formée en ajoutant un offset à la valeur d'un autre registre.
- **`stp`** : **Stocker une paire de registres**. Cette instruction **stocke deux registres** dans **des localisations mémoire consécutives**. L'adresse mémoire est généralement formée en ajoutant un offset à la valeur d'un autre registre.
- Exemple : `stp x0, x1, [sp]` — Cela stocke `x0` et `x1` dans les emplacements mémoire à `sp` et `sp + 8`, respectivement.
- `stp x0, x1, [sp, #16]!` — Cela stocke `x0` et `x1` dans les emplacements mémoire à `sp+16` et `sp + 24`, respectivement, et met à jour `sp` avec `sp+16`.
- **`add`** : **Ajouter** les valeurs de deux registres et stocker le résultat dans un registre.
@ -146,14 +146,14 @@ Les instructions ARM64 ont généralement le **format `opcode dst, src1, src2`**
- **Décalage arithmétique à droite** : Comme **`lsr`**, mais au lieu d'ajouter des 0 si le bit le plus significatif est un 1, **des 1 sont ajoutés** (diviser par n fois 2 en signé).
- **Rotation à droite** : Comme **`lsr`** mais tout ce qui est retiré de la droite est ajouté à la gauche.
- **Rotation à droite avec extension** : Comme **`ror`**, mais avec le flag de report comme le "bit le plus significatif". Donc le flag de report est déplacé vers le bit 31 et le bit retiré vers le flag de report.
- **`bfm`** : **Déplacement de Champ de Bits**, ces opérations **copient les bits `0...n`** d'une valeur et les placent dans les positions **`m..m+n`**. Le **`#s`** spécifie la **position du bit le plus à gauche** et le **`#r`** le **montant de rotation à droite**.
- **`bfm`** : **Déplacement de Champ de Bits**, ces opérations **copient les bits `0...n`** d'une valeur et les placent dans les positions **`m..m+n`**. Le **`#s`** spécifie la **position du bit le plus à gauche** et **`#r`** le **montant de rotation à droite**.
- Déplacement de champ de bits : `BFM Xd, Xn, #r`
- Déplacement de champ de bits signé : `SBFM Xd, Xn, #r, #s`
- Déplacement de champ de bits non signé : `UBFM Xd, Xn, #r, #s`
- **Extraction et Insertion de Champ de Bits :** Copier un champ de bits d'un registre et le copier dans un autre registre.
- **`BFI X1, X2, #3, #4`** Insérer 4 bits de X2 à partir du 3ème bit de X1.
- **`BFXIL X1, X2, #3, #4`** Extraire à partir du 3ème bit de X2 quatre bits et les copier dans X1.
- **`SBFIZ X1, X2, #3, #4`** Étend le signe de 4 bits de X2 et les insère dans X1 en commençant à la position de bit 3 en mettant à zéro les bits de droite.
- **`SBFIZ X1, X2, #3, #4`** Étendre le signe de 4 bits de X2 et les insérer dans X1 en commençant à la position de bit 3 en mettant à zéro les bits de droite.
- **`SBFX X1, X2, #3, #4`** Extrait 4 bits à partir du bit 3 de X2, les étend en signe, et place le résultat dans X1.
- **`UBFIZ X1, X2, #3, #4`** Étend à zéro 4 bits de X2 et les insère dans X1 en commençant à la position de bit 3 en mettant à zéro les bits de droite.
- **`UBFX X1, X2, #3, #4`** Extrait 4 bits à partir du bit 3 de X2 et place le résultat étendu à zéro dans X1.
@ -162,17 +162,17 @@ Les instructions ARM64 ont généralement le **format `opcode dst, src1, src2`**
- **`SXTH X1, W2`** Étend le signe d'un nombre de 16 bits **de W2 à X1** pour remplir les 64 bits.
- **`SXTW X1, W2`** Étend le signe d'un octet **de W2 à X1** pour remplir les 64 bits.
- **`UXTB X1, W2`** Ajoute des 0 (non signé) à un octet **de W2 à X1** pour remplir les 64 bits.
- **`extr` :** Extrait des bits d'une **paire de registres spécifiée concaténée**.
- **`extr` :** Extrait des bits d'une **paire de registres concaténés**.
- Exemple : `EXTR W3, W2, W1, #3` Cela **concaténera W1+W2** et obtiendra **du bit 3 de W2 jusqu'au bit 3 de W1** et le stockera dans W3.
- **`cmp`** : **Comparer** deux registres et définir des flags de condition. C'est un **alias de `subs`** définissant le registre de destination au registre zéro. Utile pour savoir si `m == n`.
- **`cmp`** : **Comparer** deux registres et définir des flags de condition. C'est un **alias de `subs`** définissant le registre de destination sur le registre zéro. Utile pour savoir si `m == n`.
- Il prend en charge la **même syntaxe que `subs`**.
- Exemple : `cmp x0, x1` — Cela compare les valeurs dans `x0` et `x1` et définit les flags de condition en conséquence.
- **`cmn`** : **Comparer un opérande négatif**. Dans ce cas, c'est un **alias de `adds`** et prend en charge la même syntaxe. Utile pour savoir si `m == -n`.
- **`cmn`** : **Comparer l'opérande négatif**. Dans ce cas, c'est un **alias de `adds`** et prend en charge la même syntaxe. Utile pour savoir si `m == -n`.
- **`ccmp`** : Comparaison conditionnelle, c'est une comparaison qui ne sera effectuée que si une comparaison précédente était vraie et définira spécifiquement les bits nzcv.
- `cmp x1, x2; ccmp x3, x4, 0, NE; blt _func` -> si x1 != x2 et x3 < x4, sauter à func.
- Cela est dû au fait que **`ccmp`** ne sera exécuté que si la **précédente `cmp` était un `NE`**, sinon les bits `nzcv` seront définis à 0 (ce qui ne satisfera pas la comparaison `blt`).
- Cela est dû au fait que **`ccmp`** ne sera exécuté que si le **précédent `cmp` était un `NE`**, sinon les bits `nzcv` seront définis à 0 (ce qui ne satisfera pas la comparaison `blt`).
- Cela peut également être utilisé comme `ccmn` (même mais négatif, comme `cmp` contre `cmn`).
- **`tst`** : Vérifie si l'une des valeurs de la comparaison est 1 (cela fonctionne comme un ANDS sans stocker le résultat nulle part). Utile pour vérifier un registre avec une valeur et vérifier si l'un des bits du registre indiqué dans la valeur est 1.
- **`tst`** : Vérifie si l'une des valeurs de la comparaison est 1 (cela fonctionne comme un AND sans stocker le résultat nulle part). C'est utile pour vérifier un registre avec une valeur et vérifier si l'un des bits du registre indiqué dans la valeur est 1.
- Exemple : `tst X1, #7` Vérifiez si l'un des 3 derniers bits de X1 est 1.
- **`teq`** : Opération XOR en ignorant le résultat.
- **`b`** : Branche inconditionnelle.
@ -189,14 +189,14 @@ Les instructions ARM64 ont généralement le **format `opcode dst, src1, src2`**
- **`b.eq`** : **Branche si égal**, basé sur l'instruction `cmp` précédente.
- Exemple : `b.eq label` — Si l'instruction `cmp` précédente a trouvé deux valeurs égales, cela saute à `label`.
- **`b.ne`** : **Branche si pas égal**. Cette instruction vérifie les flags de condition (qui ont été définis par une instruction de comparaison précédente), et si les valeurs comparées n'étaient pas égales, elle branche vers une étiquette ou une adresse.
- Exemple : Après une instruction `cmp x0, x1`, `b.ne label` — Si les valeurs dans `x0` et `x1 n'étaient pas égales, cela saute à `label`.
- Exemple : Après une instruction `cmp x0, x1`, `b.ne label` — Si les valeurs dans `x0` et `x1` n'étaient pas égales, cela saute à `label`.
- **`cbz`** : **Comparer et Brancher sur Zéro**. Cette instruction compare un registre avec zéro, et s'ils sont égaux, elle branche vers une étiquette ou une adresse.
- Exemple : `cbz x0, label` — Si la valeur dans `x0` est zéro, cela saute à `label`.
- **`cbnz`** : **Comparer et Brancher sur Non-Zéro**. Cette instruction compare un registre avec zéro, et s'ils ne sont pas égaux, elle branche vers une étiquette ou une adresse.
- Exemple : `cbnz x0, label` — Si la valeur dans `x0` est non zéro, cela saute à `label`.
- **`tbnz`** : Tester un bit et brancher sur non zéro.
- **`tbnz`** : Tester le bit et brancher sur non zéro.
- Exemple : `tbnz x0, #8, label`.
- **`tbz`** : Tester un bit et brancher sur zéro.
- **`tbz`** : Tester le bit et brancher sur zéro.
- Exemple : `tbz x0, #8, label`.
- **Opérations de sélection conditionnelle** : Ce sont des opérations dont le comportement varie en fonction des bits conditionnels.
- `csel Xd, Xn, Xm, cond` -> `csel X0, X1, X2, EQ` -> Si vrai, X0 = X1, si faux, X0 = X2.
@ -246,7 +246,7 @@ ldp x29, x30, [sp], #16 ; load pair x29 and x30 from the stack and increment th
Armv8-A prend en charge l'exécution de programmes 32 bits. **AArch32** peut fonctionner dans l'un des **deux ensembles d'instructions** : **`A32`** et **`T32`** et peut passer de l'un à l'autre via **`interworking`**.\
Les programmes **privilégiés** 64 bits peuvent planifier l'**exécution de programmes 32 bits** en exécutant un transfert de niveau d'exception vers le 32 bits moins privilégié.\
Notez que la transition de 64 bits à 32 bits se produit avec une baisse du niveau d'exception (par exemple, un programme 64 bits en EL1 déclenchant un programme en EL0). Cela se fait en définissant le **bit 4 de** **`SPSR_ELx`** registre spécial **à 1** lorsque le thread de processus `AArch32` est prêt à être exécuté et le reste de `SPSR_ELx` stocke le **CPSR** des programmes **`AArch32`**. Ensuite, le processus privilégié appelle l'instruction **`ERET`** afin que le processeur passe à **`AArch32`** en entrant dans A32 ou T32 selon CPSR\*\*.\*\*
Notez que la transition de 64 bits à 32 bits se produit avec une baisse du niveau d'exception (par exemple, un programme 64 bits en EL1 déclenchant un programme en EL0). Cela se fait en définissant le **bit 4 de** **`SPSR_ELx`** registre spécial **à 1** lorsque le thread de processus `AArch32` est prêt à être exécuté et le reste de `SPSR_ELx` stocke le **CPSR** des programmes **`AArch32`**. Ensuite, le processus privilégié appelle l'instruction **`ERET`** afin que le processeur passe à **`AArch32`** entrant dans A32 ou T32 selon CPSR\*\*.\*\*
L'**`interworking`** se produit en utilisant les bits J et T de CPSR. `J=0` et `T=0` signifie **`A32`** et `J=0` et `T=1` signifie **T32**. Cela se traduit essentiellement par le fait de définir le **bit le plus bas à 1** pour indiquer que l'ensemble d'instructions est T32.\
Cela est défini lors des **instructions de branchement interworking,** mais peut également être défini directement avec d'autres instructions lorsque le PC est défini comme le registre de destination. Exemple :
@ -272,7 +272,7 @@ Il y a 16 registres de 32 bits (r0-r15). **De r0 à r14**, ils peuvent être uti
- **`r13`** : Pointeur de pile
- **`r14`** : Registre de lien
De plus, les registres sont sauvegardés dans des **`registres bancarisés`**. Ce sont des endroits qui stockent les valeurs des registres permettant d'effectuer un **changement de contexte rapide** dans la gestion des exceptions et les opérations privilégiées pour éviter la nécessité de sauvegarder et de restaurer manuellement les registres à chaque fois.\
De plus, les registres sont sauvegardés dans des **`registres bancarisés`**. Ce sont des emplacements qui stockent les valeurs des registres permettant d'effectuer un **changement de contexte rapide** dans la gestion des exceptions et les opérations privilégiées pour éviter la nécessité de sauvegarder et de restaurer manuellement les registres à chaque fois.\
Cela se fait en **sauvegardant l'état du processeur du `CPSR` au `SPSR`** du mode processeur auquel l'exception est prise. Lors des retours d'exception, le **`CPSR`** est restauré à partir du **`SPSR`**.
### CPSR - Registre d'état du programme actuel
@ -292,13 +292,13 @@ Les champs sont divisés en plusieurs groupes :
- Le drapeau **`Q`** : Il est défini à 1 chaque fois que **la saturation entière se produit** lors de l'exécution d'une instruction arithmétique saturante spécialisée. Une fois qu'il est défini à **`1`**, il maintiendra la valeur jusqu'à ce qu'il soit manuellement défini à 0. De plus, il n'y a aucune instruction qui vérifie sa valeur implicitement, cela doit être fait en le lisant manuellement.
- Drapeaux **`GE`** (Supérieur ou égal) : Ils sont utilisés dans les opérations SIMD (Single Instruction, Multiple Data), telles que "addition parallèle" et "soustraction parallèle". Ces opérations permettent de traiter plusieurs points de données en une seule instruction.
Par exemple, l'instruction **`UADD8`** **ajoute quatre paires d'octets** (à partir de deux opérandes de 32 bits) en parallèle et stocke les résultats dans un registre de 32 bits. Elle **définit ensuite les drapeaux `GE` dans l'`APSR`** en fonction de ces résultats. Chaque drapeau GE correspond à l'une des additions d'octets, indiquant si l'addition pour cette paire d'octets **a débordé**.
Par exemple, l'instruction **`UADD8`** **ajoute quatre paires d'octets** (deux opérandes de 32 bits) en parallèle et stocke les résultats dans un registre de 32 bits. Elle **définit ensuite les drapeaux `GE` dans l'`APSR`** en fonction de ces résultats. Chaque drapeau GE correspond à l'une des additions d'octets, indiquant si l'addition pour cette paire d'octets **a débordé**.
L'instruction **`SEL`** utilise ces drapeaux GE pour effectuer des actions conditionnelles.
#### Registres d'état d'exécution
- Les bits **`J`** et **`T`** : **`J`** doit être 0 et si **`T`** est 0, l'ensemble d'instructions A32 est utilisé, et s'il est 1, le T32 est utilisé.
- Les bits **`J`** et **`T`** : **`J`** doit être 0 et si **`T`** est 0, l'ensemble d'instructions A32 est utilisé, et si c'est 1, le T32 est utilisé.
- Registre d'état de bloc IT (`ITSTATE`) : Ce sont les bits de 10 à 15 et de 25 à 26. Ils stockent les conditions pour les instructions à l'intérieur d'un groupe préfixé par **`IT`**.
- Bit **`E`** : Indique l'**endianness**.
- Bits de mode et de masque d'exception (0-4) : Ils déterminent l'état d'exécution actuel. Le **5ème** indique si le programme s'exécute en 32 bits (un 1) ou en 64 bits (un 0). Les autres 4 représentent le **mode d'exception actuellement utilisé** (lorsqu'une exception se produit et qu'elle est en cours de traitement). Le nombre défini **indique la priorité actuelle** au cas où une autre exception serait déclenchée pendant que celle-ci est en cours de traitement.
@ -350,7 +350,7 @@ Paramètres ([plus d'infos dans la documentation](https://developer.apple.com/do
- x1: op -> Sélecteur de la méthode
- x2... -> Reste des arguments de la méthode invoquée
Donc, si vous mettez un point d'arrêt avant la branche vers cette fonction, vous pouvez facilement trouver ce qui est invoqué dans lldb avec (dans cet exemple, l'objet appelle un objet de `NSConcreteTask` qui exécutera une commande):
Donc, si vous placez un point d'arrêt avant la branche vers cette fonction, vous pouvez facilement trouver ce qui est invoqué dans lldb avec (dans cet exemple, l'objet appelle un objet de `NSConcreteTask` qui exécutera une commande):
```bash
# Right in the line were objc_msgSend will be called
(lldb) po $x0
@ -371,15 +371,15 @@ whoami
> [!TIP]
> En définissant la variable d'environnement **`NSObjCMessageLoggingEnabled=1`**, il est possible de journaliser quand cette fonction est appelée dans un fichier comme `/tmp/msgSends-pid`.
>
> De plus, en définissant **`OBJC_HELP=1`** et en appelant n'importe quel binaire, vous pouvez voir d'autres variables d'environnement que vous pourriez utiliser pour **log** quand certaines actions Objc-C se produisent.
> De plus, en définissant **`OBJC_HELP=1`** et en appelant n'importe quel binaire, vous pouvez voir d'autres variables d'environnement que vous pourriez utiliser pour **journaliser** quand certaines actions Objc-C se produisent.
Lorsque cette fonction est appelée, il est nécessaire de trouver la méthode appelée de l'instance indiquée, pour cela, différentes recherches sont effectuées :
- Effectuer une recherche de cache optimiste :
- Si réussi, terminé
- Acquérir runtimeLock (lecture)
- Si (realize && !cls->realized) réaliser la classe
- Si (initialize && !cls->initialized) initialiser la classe
- Si (réaliser && !cls->réalisé) réaliser la classe
- Si (initialiser && !cls->initialisé) initialiser la classe
- Essayer le cache propre de la classe :
- Si réussi, terminé
- Essayer la liste des méthodes de la classe :
@ -388,8 +388,8 @@ Lorsque cette fonction est appelée, il est nécessaire de trouver la méthode a
- Si réussi, terminé
- Essayer la liste des méthodes de la superclasse :
- Si trouvé, remplir le cache et terminé
- Si (resolver) essayer le résolveur de méthode, et répéter à partir de la recherche de classe
- Si toujours ici (= tout le reste a échoué) essayer le forwarder
- Si (résolveur) essayer le résolveur de méthode, et répéter à partir de la recherche de classe
- Si encore ici (= tout le reste a échoué) essayer le transmetteur
### Shellcodes

6
src/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/introduction-to-x64.md
View File

@ -26,7 +26,7 @@ La convention d'appel x64 varie selon les systèmes d'exploitation. Par exemple
- **Windows** : Les **quatre premiers paramètres** sont passés dans les registres **`rcx`**, **`rdx`**, **`r8`**, et **`r9`**. Les paramètres supplémentaires sont poussés sur la pile. La valeur de retour est dans **`rax`**.
- **System V (couramment utilisé dans les systèmes de type UNIX)** : Les **six premiers paramètres entiers ou pointeurs** sont passés dans les registres **`rdi`**, **`rsi`**, **`rdx`**, **`rcx`**, **`r8`**, et **`r9`**. La valeur de retour est également dans **`rax`**.
Si la fonction a plus de six entrées, le **reste sera passé sur la pile**. **RSP**, le pointeur de pile, doit être **aligné sur 16 octets**, ce qui signifie que l'adresse à laquelle il pointe doit être divisible par 16 avant qu'un appel ne se produise. Cela signifie que normalement nous devrions nous assurer que RSP est correctement aligné dans notre shellcode avant de faire un appel de fonction. Cependant, en pratique, les appels système fonctionnent souvent même si cette exigence n'est pas respectée.
Si la fonction a plus de six entrées, le **reste sera passé sur la pile**. **RSP**, le pointeur de pile, doit être **aligné sur 16 octets**, ce qui signifie que l'adresse à laquelle il pointe doit être divisible par 16 avant qu'un appel ne se produise. Cela signifie que normalement, nous devrions nous assurer que RSP est correctement aligné dans notre shellcode avant de faire un appel de fonction. Cependant, en pratique, les appels système fonctionnent souvent même si cette exigence n'est pas respectée.
### Convention d'appel en Swift
@ -34,7 +34,7 @@ Swift a sa propre **convention d'appel** qui peut être trouvée dans [**https:/
### **Instructions courantes**
Les instructions x64 ont un ensemble riche, maintenant la compatibilité avec les instructions x86 antérieures et en introduisant de nouvelles.
Les instructions x64 ont un ensemble riche, maintenant la compatibilité avec les anciennes instructions x86 et en introduisant de nouvelles.
- **`mov`** : **Déplacer** une valeur d'un **registre** ou d'une **emplacement mémoire** à un autre.
- Exemple : `mov rax, rbx` — Déplace la valeur de `rbx` vers `rax`.
@ -240,7 +240,7 @@ section .data
cat_path: db "/bin/cat", 0
passwd_path: db "/etc/passwd", 0
```
#### Invoker une commande avec sh
#### Invoker la commande avec sh
```armasm
bits 64
section .text

6
src/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/objects-in-memory.md
View File

@ -80,12 +80,12 @@ Il utilise également quelques sections dans le segment **`__TEXT`** pour stocke
- **`__objc_classname`** (C-String): Noms de classe
- **`__objc_methtype`** (C-String): Types de méthode
### Encodage de type
### Encodage des types
Objective-C utilise un certain mangle pour encoder les sélecteurs et les types de variables de types simples et complexes :
- Les types primitifs utilisent leur première lettre du type `i` pour `int`, `c` pour `char`, `l` pour `long`... et utilisent la lettre majuscule dans le cas où c'est non signé (`L` pour `unsigned Long`).
- D'autres types de données dont les lettres sont utilisées ou sont spéciales, utilisent d'autres lettres ou symboles comme `q` pour `long long`, `b` pour `bitfields`, `B` pour `booléens`, `#` pour `classes`, `@` pour `id`, `*` pour `pointeurs char`, `^` pour `pointeurs` génériques et `?` pour `indéfini`.
- D'autres types de données dont les lettres sont utilisées ou sont spéciales, utilisent d'autres lettres ou symboles comme `q` pour `long long`, `b` pour `bitfields`, `B` pour `booleans`, `#` pour `classes`, `@` pour `id`, `*` pour `char pointers`, `^` pour `pointers` génériques et `?` pour `undefined`.
- Les tableaux, structures et unions utilisent `[`, `{` et `(`
#### Exemple de déclaration de méthode
@ -140,6 +140,6 @@ data()->setFlags(set);
Cette classe utilise certains bits du champ isa pour indiquer des informations sur la classe.
Ensuite, la structure a un pointeur vers la structure `class_ro_t` stockée sur le disque qui contient des attributs de la classe comme son nom, ses méthodes de base, ses propriétés et ses variables d'instance.\
Pendant l'exécution, une structure supplémentaire `class_rw_t` est utilisée, contenant des pointeurs qui peuvent être modifiés, tels que des méthodes, des protocoles, des propriétés...
Pendant l'exécution, une structure supplémentaire `class_rw_t` est utilisée, contenant des pointeurs qui peuvent être modifiés tels que des méthodes, des protocoles, des propriétés...
{{#include ../../../banners/hacktricks-training.md}}

18
src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/README.md
View File

@ -6,7 +6,7 @@
- **/Applications** : Les applications installées devraient être ici. Tous les utilisateurs pourront y accéder.
- **/bin** : Binaires de ligne de commande
- **/cores** : S'il existe, il est utilisé pour stocker les dumps de mémoire
- **/cores** : S'il existe, il est utilisé pour stocker les dumps de noyau
- **/dev** : Tout est traité comme un fichier, donc vous pouvez voir des périphériques matériels stockés ici.
- **/etc** : Fichiers de configuration
- **/Library** : Beaucoup de sous-répertoires et de fichiers liés aux préférences, caches et journaux peuvent être trouvés ici. Un dossier Library existe à la racine et dans le répertoire de chaque utilisateur.
@ -25,7 +25,7 @@
- **Les applications système** se trouvent sous `/System/Applications`
- **Les applications installées** sont généralement installées dans `/Applications` ou dans `~/Applications`
- **Les données d'application** peuvent être trouvées dans `/Library/Application Support` pour les applications s'exécutant en tant que root et `~/Library/Application Support` pour les applications s'exécutant en tant qu'utilisateur.
- Les **daemons** d'applications tierces qui **doivent s'exécuter en tant que root** se trouvent généralement dans `/Library/PrivilegedHelperTools/`
- Les **démons** d'applications tierces qui **doivent s'exécuter en tant que root** se trouvent généralement dans `/Library/PrivilegedHelperTools/`
- Les applications **sandboxées** sont mappées dans le dossier `~/Library/Containers`. Chaque application a un dossier nommé selon l'ID de bundle de l'application (`com.apple.Safari`).
- Le **noyau** se trouve dans `/System/Library/Kernels/kernel`
- **Les extensions de noyau d'Apple** se trouvent dans `/System/Library/Extensions`
@ -59,8 +59,8 @@ macos-installers-abuse.md
- **`.app`** : Applications Apple qui suivent une structure de répertoire (C'est un bundle).
- **`.dylib`** : Bibliothèques dynamiques (comme les fichiers DLL de Windows)
- **`.pkg`** : Sont les mêmes que xar (format d'archive extensible). La commande d'installation peut être utilisée pour installer le contenu de ces fichiers.
- **`.DS_Store`** : Ce fichier est dans chaque répertoire, il sauvegarde les attributs et personnalisations du répertoire.
- **`.Spotlight-V100`** : Ce dossier apparaît dans le répertoire racine de chaque volume sur le système.
- **`.DS_Store`** : Ce fichier est présent dans chaque répertoire, il sauvegarde les attributs et personnalisations du répertoire.
- **`.Spotlight-V100`** : Ce dossier apparaît dans le répertoire racine de chaque volume du système.
- **`.metadata_never_index`** : Si ce fichier est à la racine d'un volume, Spotlight ne l'indexera pas.
- **`.noindex`** : Les fichiers et dossiers avec cette extension ne seront pas indexés par Spotlight.
- **`.sdef`** : Fichiers à l'intérieur des bundles spécifiant comment il est possible d'interagir avec l'application depuis un AppleScript.
@ -80,7 +80,7 @@ Sur macOS (et iOS), toutes les bibliothèques partagées du système, comme les
Cela se trouve sur macOS dans `/System/Volumes/Preboot/Cryptexes/OS/System/Library/dyld/` et dans les versions plus anciennes, vous pourriez trouver le **cache partagé** dans **`/System/Library/dyld/`**.\
Dans iOS, vous pouvez les trouver dans **`/System/Library/Caches/com.apple.dyld/`**.
Similaire au cache partagé dyld, le noyau et les extensions de noyau sont également compilés dans un cache de noyau, qui est chargé au démarrage.
Semblable au cache partagé dyld, le noyau et les extensions de noyau sont également compilés dans un cache de noyau, qui est chargé au démarrage.
Pour extraire les bibliothèques du cache partagé de fichiers dylib, il était possible d'utiliser le binaire [dyld_shared_cache_util](https://www.mbsplugins.de/files/dyld_shared_cache_util-dyld-733.8.zip) qui pourrait ne plus fonctionner aujourd'hui, mais vous pouvez également utiliser [**dyldextractor**](https://github.com/arandomdev/dyldextractor) :
```bash
@ -100,7 +100,7 @@ dyldex_all [dyld_shared_cache_path] # Extract all
Certains extracteurs ne fonctionneront pas car les dylibs sont préliés avec des adresses codées en dur, donc ils pourraient sauter vers des adresses inconnues.
> [!TIP]
> Il est également possible de télécharger le Cache de Bibliothèque Partagée d'autres appareils \*OS dans macos en utilisant un émulateur dans Xcode. Ils seront téléchargés dans : ls `$HOME/Library/Developer/Xcode/<*>OS\ DeviceSupport/<version>/Symbols/System/Library/Caches/com.apple.dyld/`, comme : `$HOME/Library/Developer/Xcode/iOS\ DeviceSupport/14.1\ (18A8395)/Symbols/System/Library/Caches/com.apple.dyld/dyld_shared_cache_arm64`
> Il est également possible de télécharger le cache de bibliothèque partagée d'autres appareils \*OS dans macos en utilisant un émulateur dans Xcode. Ils seront téléchargés dans : ls `$HOME/Library/Developer/Xcode/<*>OS\ DeviceSupport/<version>/Symbols/System/Library/Caches/com.apple.dyld/`, comme : `$HOME/Library/Developer/Xcode/iOS\ DeviceSupport/14.1\ (18A8395)/Symbols/System/Library/Caches/com.apple.dyld/dyld_shared_cache_arm64`
### Mapping SLC
@ -130,7 +130,7 @@ Il existe certains drapeaux qui peuvent être définis dans les fichiers qui fer
- **`uchg`** : Connu sous le nom de **drapeau uchange**, il **empêchera toute action** de modification ou de suppression du **fichier**. Pour le définir, faites : `chflags uchg file.txt`
- L'utilisateur root pourrait **supprimer le drapeau** et modifier le fichier.
- **`restricted`** : Ce drapeau rend le fichier **protégé par SIP** (vous ne pouvez pas ajouter ce drapeau à un fichier).
- **`Sticky bit`** : Si un répertoire a le bit collant, **seul** le **propriétaire du répertoire ou root peut renommer ou supprimer** des fichiers. En général, cela est défini sur le répertoire /tmp pour empêcher les utilisateurs ordinaires de supprimer ou de déplacer les fichiers d'autres utilisateurs.
- **`Sticky bit`** : Si un répertoire a un bit collant, **seul** le **propriétaire du répertoire ou root peut renommer ou supprimer** des fichiers. En général, cela est défini sur le répertoire /tmp pour empêcher les utilisateurs ordinaires de supprimer ou de déplacer les fichiers d'autres utilisateurs.
Tous les drapeaux peuvent être trouvés dans le fichier `sys/stat.h` (trouvez-le en utilisant `mdfind stat.h | grep stat.h`) et sont :
@ -161,7 +161,7 @@ Les **ACLs** de fichier contiennent des **ACE** (Entrées de Contrôle d'Accès)
Il est possible d'accorder à un **répertoire** ces permissions : `list`, `search`, `add_file`, `add_subdirectory`, `delete_child`, `delete_child`.\
Et à un **fichier** : `read`, `write`, `append`, `execute`.
Lorsque le fichier contient des ACLs, vous trouverez un "+" lors de la liste des permissions comme dans :
Lorsque le fichier contient des ACLs, vous trouverez **un "+" lors de la liste des permissions comme dans** :
```bash
ls -ld Movies
drwx------+ 7 username staff 224 15 Apr 19:42 Movies
@ -240,7 +240,7 @@ macos-memory-dumping.md
Le répertoire `/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/System` est l'endroit où les informations sur le **risque associé à différentes extensions de fichiers sont stockées**. Ce répertoire catégorise les fichiers en divers niveaux de risque, influençant la manière dont Safari gère ces fichiers lors du téléchargement. Les catégories sont les suivantes :
- **LSRiskCategorySafe** : Les fichiers de cette catégorie sont considérés comme **complètement sûrs**. Safari ouvrira automatiquement ces fichiers après leur téléchargement.
- **LSRiskCategoryNeutral** : Ces fichiers ne comportent aucun avertissement et ne sont **pas ouverts automatiquement** par Safari.
- **LSRiskCategoryNeutral** : Ces fichiers ne comportent aucun avertissement et **ne sont pas ouverts automatiquement** par Safari.
- **LSRiskCategoryUnsafeExecutable** : Les fichiers de cette catégorie **déclenchent un avertissement** indiquant que le fichier est une application. Cela sert de mesure de sécurité pour alerter l'utilisateur.
- **LSRiskCategoryMayContainUnsafeExecutable** : Cette catégorie est pour les fichiers, tels que les archives, qui pourraient contenir un exécutable. Safari **déclenchera un avertissement** à moins qu'il ne puisse vérifier que tous les contenus sont sûrs ou neutres.

4
src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/macos-installers-abuse.md
View File

@ -53,9 +53,9 @@ La hiérarchie d'un fichier DMG peut être différente en fonction du contenu. C
## Privesc via abus de pkg
### Exécution depuis des répertoires publics
### Exécution à partir de répertoires publics
Si un script d'installation pré ou post est par exemple exécuté depuis **`/var/tmp/Installerutil`**, un attaquant pourrait contrôler ce script pour qu'il élève les privilèges chaque fois qu'il est exécuté. Ou un autre exemple similaire :
Si un script d'installation pré ou post est par exemple exécuté à partir de **`/var/tmp/Installerutil`**, un attaquant pourrait contrôler ce script pour qu'il élève les privilèges chaque fois qu'il est exécuté. Ou un autre exemple similaire :
<figure><img src="../../../images/Pasted Graphic 5.png" alt="https://www.youtube.com/watch?v=iASSG0_zobQ"><figcaption><p><a href="https://www.youtube.com/watch?v=kCXhIYtODBg">https://www.youtube.com/watch?v=kCXhIYtODBg</a></p></figcaption></figure>

2
src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/macos-memory-dumping.md
View File

@ -24,7 +24,7 @@ Un autre fichier important lié à la mémoire dans les systèmes MacOS est le *
Pour dumper la mémoire sur une machine MacOS, vous pouvez utiliser [**osxpmem**](https://github.com/google/rekall/releases/download/v1.5.1/osxpmem-2.1.post4.zip).
**Note** : Les instructions suivantes ne fonctionneront que pour les Macs avec architecture Intel. Cet outil est maintenant archivé et la dernière version a été publiée en 2017. Le binaire téléchargé en utilisant les instructions ci-dessous cible les puces Intel car Apple Silicon n'existait pas en 2017. Il peut être possible de compiler le binaire pour l'architecture arm64, mais vous devrez essayer par vous-même.
**Note** : Les instructions suivantes ne fonctionneront que pour les Macs avec une architecture Intel. Cet outil est maintenant archivé et la dernière version a été publiée en 2017. Le binaire téléchargé en utilisant les instructions ci-dessous cible les puces Intel car Apple Silicon n'était pas disponible en 2017. Il peut être possible de compiler le binaire pour l'architecture arm64, mais vous devrez essayer par vous-même.
```bash
#Dump raw format
sudo osxpmem.app/osxpmem --format raw -o /tmp/dump_mem

8
src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/macos-sensitive-locations.md
View File

@ -41,13 +41,13 @@ security dump-keychain -d #Dump all the info, included secrets (the user will be
### Aperçu de Keychaindump
Un outil nommé **keychaindump** a été développé pour extraire des mots de passe des porte-clés macOS, mais il rencontre des limitations sur les versions macOS plus récentes comme Big Sur, comme indiqué dans une [discussion](https://github.com/juuso/keychaindump/issues/10#issuecomment-751218760). L'utilisation de **keychaindump** nécessite que l'attaquant obtienne un accès et élève ses privilèges à **root**. L'outil exploite le fait que le porte-clé est déverrouillé par défaut lors de la connexion de l'utilisateur pour des raisons de commodité, permettant aux applications d'y accéder sans nécessiter le mot de passe de l'utilisateur à plusieurs reprises. Cependant, si un utilisateur choisit de verrouiller son porte-clé après chaque utilisation, **keychaindump** devient inefficace.
Un outil nommé **keychaindump** a été développé pour extraire des mots de passe des porte-clés macOS, mais il rencontre des limitations sur les versions macOS plus récentes comme Big Sur, comme indiqué dans une [discussion](https://github.com/juuso/keychaindump/issues/10#issuecomment-751218760). L'utilisation de **keychaindump** nécessite que l'attaquant accède et élève ses privilèges à **root**. L'outil exploite le fait que le porte-clé est déverrouillé par défaut lors de la connexion de l'utilisateur pour plus de commodité, permettant aux applications d'y accéder sans nécessiter le mot de passe de l'utilisateur à plusieurs reprises. Cependant, si un utilisateur choisit de verrouiller son porte-clé après chaque utilisation, **keychaindump** devient inefficace.
**Keychaindump** fonctionne en ciblant un processus spécifique appelé **securityd**, décrit par Apple comme un démon pour les opérations d'autorisation et cryptographiques, crucial pour accéder au porte-clé. Le processus d'extraction implique l'identification d'une **Master Key** dérivée du mot de passe de connexion de l'utilisateur. Cette clé est essentielle pour lire le fichier du porte-clé. Pour localiser la **Master Key**, **keychaindump** scanne le tas de mémoire de **securityd** en utilisant la commande `vmmap`, à la recherche de clés potentielles dans des zones marquées comme `MALLOC_TINY`. La commande suivante est utilisée pour inspecter ces emplacements mémoire :
```bash
sudo vmmap <securityd PID> | grep MALLOC_TINY
```
Après avoir identifié des clés maîtresses potentielles, **keychaindump** recherche dans les tas un motif spécifique (`0x0000000000000018`) qui indique un candidat pour la clé maîtresse. D'autres étapes, y compris la déobfuscation, sont nécessaires pour utiliser cette clé, comme indiqué dans le code source de **keychaindump**. Les analystes se concentrant sur ce domaine doivent noter que les données cruciales pour déchiffrer le trousseau sont stockées dans la mémoire du processus **securityd**. Une commande exemple pour exécuter **keychaindump** est :
Après avoir identifié des clés maîtresses potentielles, **keychaindump** recherche dans les tas un motif spécifique (`0x0000000000000018`) qui indique un candidat pour la clé maîtresse. D'autres étapes, y compris la déobfuscation, sont nécessaires pour utiliser cette clé, comme l'indique le code source de **keychaindump**. Les analystes se concentrant sur ce domaine doivent noter que les données cruciales pour déchiffrer le trousseau sont stockées dans la mémoire du processus **securityd**. Une commande exemple pour exécuter **keychaindump** est :
```bash
sudo ./keychaindump
```
@ -112,7 +112,7 @@ python2.7 chainbreaker.py --dump-all --password-prompt /Users/<username>/Library
Le fichier **kcpassword** est un fichier qui contient le **mot de passe de connexion de l'utilisateur**, mais seulement si le propriétaire du système a **activé la connexion automatique**. Par conséquent, l'utilisateur sera automatiquement connecté sans qu'on lui demande un mot de passe (ce qui n'est pas très sécurisé).
Le mot de passe est stocké dans le fichier **`/etc/kcpassword`** xored avec la clé **`0x7D 0x89 0x52 0x23 0xD2 0xBC 0xDD 0xEA 0xA3 0xB9 0x1F`**. Si le mot de passe de l'utilisateur est plus long que la clé, la clé sera réutilisée.\
Le mot de passe est stocké dans le fichier **`/etc/kcpassword`** xored avec la clé **`0x7D 0x89 0x52 0x23 0xD2 0xBC 0xDD 0xEA 0xA3 0xB9 0x1F`**. Si le mot de passe des utilisateurs est plus long que la clé, la clé sera réutilisée.\
Cela rend le mot de passe assez facile à récupérer, par exemple en utilisant des scripts comme [**celui-ci**](https://gist.github.com/opshope/32f65875d45215c3677d).
## Informations intéressantes dans les bases de données
@ -191,7 +191,7 @@ Ce fichier accorde des permissions à des utilisateurs spécifiques par UUID (et
### Notifications Darwin
Le principal démon pour les notifications est **`/usr/sbin/notifyd`**. Afin de recevoir des notifications, les clients doivent s'enregistrer via le port Mach `com.apple.system.notification_center` (vérifiez-les avec `sudo lsmp -p <pid notifyd>`). Le démon est configurable avec le fichier `/etc/notify.conf`.
Le démon principal pour les notifications est **`/usr/sbin/notifyd`**. Afin de recevoir des notifications, les clients doivent s'enregistrer via le port Mach `com.apple.system.notification_center` (vérifiez-les avec `sudo lsmp -p <pid notifyd>`). Le démon est configurable avec le fichier `/etc/notify.conf`.
Les noms utilisés pour les notifications sont des notations DNS inversées uniques et lorsqu'une notification est envoyée à l'un d'eux, le(s) client(s) qui ont indiqué qu'ils peuvent la gérer la recevront.

22
src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/universal-binaries-and-mach-o-format.md
View File

@ -40,12 +40,12 @@ L'en-tête contient les **octets magiques** suivis du **nombre** d'**archs** que
Vérifiez-le avec :
<pre class="language-shell-session"><code class="lang-shell-session">% file /bin/ls
/bin/ls: Mach-O binaire universel avec 2 architectures : [x86_64:Mach-O 64-bit exécutable x86_64] [arm64e:Mach-O 64-bit exécutable arm64e]
/bin/ls (pour l'architecture x86_64) : Mach-O 64-bit exécutable x86_64
/bin/ls (pour l'architecture arm64e) : Mach-O 64-bit exécutable arm64e
/bin/ls: Mach-O universal binary with 2 architectures: [x86_64:Mach-O 64-bit executable x86_64] [arm64e:Mach-O 64-bit executable arm64e]
/bin/ls (pour l'architecture x86_64): Mach-O 64-bit executable x86_64
/bin/ls (pour l'architecture arm64e): Mach-O 64-bit executable arm64e
% otool -f -v /bin/ls
En-têtes Fat
Fat headers
fat_magic FAT_MAGIC
<strong>nfat_arch 2
</strong><strong>architecture x86_64
@ -131,7 +131,7 @@ Le code source définit également plusieurs drapeaux utiles pour le chargement
- `MH_NOUNDEFS` : Pas de références non définies (entièrement lié)
- `MH_DYLDLINK` : Liaison Dyld
- `MH_PREBOUND` : Références dynamiques préliées.
- `MH_SPLIT_SEGS` : Fichier divise les segments r/o et r/w.
- `MH_SPLIT_SEGS` : Le fichier divise les segments r/o et r/w.
- `MH_WEAK_DEFINES` : Le binaire a des symboles définis faibles
- `MH_BINDS_TO_WEAK` : Le binaire utilise des symboles faibles
- `MH_ALLOW_STACK_EXECUTION` : Rendre la pile exécutable
@ -147,7 +147,7 @@ Le code source définit également plusieurs drapeaux utiles pour le chargement
La **disposition du fichier en mémoire** est spécifiée ici, détaillant la **localisation de la table des symboles**, le contexte du thread principal au début de l'exécution, et les **bibliothèques partagées** requises. Des instructions sont fournies au chargeur dynamique **(dyld)** sur le processus de chargement du binaire en mémoire.
Le utilise la structure **load_command**, définie dans le mentionné **`loader.h`** :
Il utilise la structure **load_command**, définie dans le **`loader.h`** mentionné :
```objectivec
struct load_command {
uint32_t cmd; /* type of load command */
@ -220,7 +220,7 @@ otool -lv /bin/ls
Segments communs chargés par cette commande :
- **`__PAGEZERO` :** Il indique au noyau de **mapper** l'**adresse zéro** afin qu'elle **ne puisse pas être lue, écrite ou exécutée**. Les variables maxprot et minprot dans la structure sont définies à zéro pour indiquer qu'il n'y a **aucun droit de lecture-écriture-exécution sur cette page**.
- Cette allocation est importante pour **atténuer les vulnérabilités de déréférencement de pointeur NULL**. En effet, XNU impose une page zéro stricte qui garantit que la première page (seulement la première) de la mémoire est inaccessible (sauf en i386). Un binaire pourrait satisfaire ces exigences en créant un petit \_\_PAGEZERO (en utilisant le `-pagezero_size`) pour couvrir les premiers 4k et en rendant le reste de la mémoire 32 bits accessible à la fois en mode utilisateur et en mode noyau.
- Cette allocation est importante pour **atténuer les vulnérabilités de déréférencement de pointeur NULL**. En effet, XNU impose une page zéro stricte qui garantit que la première page (seulement la première) de la mémoire est inaccessible (sauf en i386). Un binaire pourrait satisfaire ces exigences en créant un petit \_\_PAGEZERO (en utilisant `-pagezero_size`) pour couvrir les premiers 4k et en rendant le reste de la mémoire 32 bits accessible à la fois en mode utilisateur et en mode noyau.
- **`__TEXT` :** Contient du **code exécutable** avec des permissions de **lecture** et **d'exécution** (pas d'écriture)**.** Sections communes de ce segment :
- `__text` : Code binaire compilé
- `__const` : Données constantes (lecture seule)
@ -243,13 +243,13 @@ Segments communs chargés par cette commande :
- Début des fonctions : Table des adresses de début des fonctions
- Données dans le code : Îles de données dans \_\_text
- Table des symboles : Symboles dans le binaire
- Table des symboles indirects : Pointeurs/stubs de symboles
- Table des symboles indirects : Symboles pointeur/stub
- Table des chaînes
- Signature de code
- **`__OBJC` :** Contient des informations utilisées par le runtime Objective-C. Bien que ces informations puissent également être trouvées dans le segment \_\_DATA, au sein de diverses sections \_\_objc\_\*.
- **`__RESTRICT` :** Un segment sans contenu avec une seule section appelée **`__restrict`** (également vide) qui garantit que lors de l'exécution du binaire, il ignorera les variables d'environnement DYLD.
Comme il a été possible de le voir dans le code, **les segments prennent également en charge des indicateurs** (bien qu'ils ne soient pas très utilisés) :
Comme il a été possible de le voir dans le code, **les segments prennent également en charge des drapeaux** (bien qu'ils ne soient pas très utilisés) :
- `SG_HIGHVM` : Core uniquement (non utilisé)
- `SG_FVMLIB` : Non utilisé
@ -287,7 +287,7 @@ cpsr 0x00000000
### **`LC_CODE_SIGNATURE`**
Contient des informations sur la **signature de code du fichier Macho-O**. Il ne contient qu'un **offset** qui **pointe** vers le **blob de signature**. Cela se trouve généralement à la toute fin du fichier.\
Cependant, vous pouvez trouver des informations sur cette section dans [**cet article de blog**](https://davedelong.com/blog/2018/01/10/reading-your-own-entitlements/) et ce [**gist**](https://gist.github.com/carlospolop/ef26f8eb9fafd4bc22e69e1a32b81da4).
Cependant, vous pouvez trouver des informations sur cette section dans [**cet article de blog**](https://davedelong.com/blog/2018/01/10/reading-your-own-entitlements/) et ce [**gists**](https://gist.github.com/carlospolop/ef26f8eb9fafd4bc22e69e1a32b81da4).
### **`LC_ENCRYPTION_INFO[_64]`**
@ -360,7 +360,7 @@ Au cœur du fichier se trouve la région de données, qui est composée de plusi
Cela inclut :
- **Table des fonctions :** Qui contient des informations sur les fonctions du programme.
- **Table des symboles** : Qui contient des informations sur la fonction externe utilisée par le binaire
- **Table des symboles** : Qui contient des informations sur les fonctions externes utilisées par le binaire
- Elle pourrait également contenir des fonctions internes, des noms de variables ainsi que d'autres.
Pour le vérifier, vous pourriez utiliser l'outil [**Mach-O View**](https://sourceforge.net/projects/machoview/) :

38
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/README.md
View File

@ -4,7 +4,7 @@
## Informations de Base sur les Processus
Un processus est une instance d'un exécutable en cours d'exécution, cependant les processus n'exécutent pas de code, ce sont des threads. Par conséquent, **les processus ne sont que des conteneurs pour des threads en cours d'exécution** fournissant la mémoire, les descripteurs, les ports, les permissions...
Un processus est une instance d'un exécutable en cours d'exécution, cependant les processus n'exécutent pas de code, ce sont des threads. Par conséquent, **les processus ne sont que des conteneurs pour des threads en cours d'exécution** fournissant la mémoire, des descripteurs, des ports, des permissions...
Traditionnellement, les processus étaient lancés dans d'autres processus (sauf le PID 1) en appelant **`fork`** qui créerait une copie exacte du processus actuel et ensuite le **processus enfant** appellerait généralement **`execve`** pour charger le nouvel exécutable et l'exécuter. Ensuite, **`vfork`** a été introduit pour rendre ce processus plus rapide sans aucune copie de mémoire.\
Puis **`posix_spawn`** a été introduit combinant **`vfork`** et **`execve`** en un seul appel et acceptant des drapeaux :
@ -104,10 +104,10 @@ Ce snippet définit `tlv_var` comme une variable locale à un thread. Chaque thr
Dans le binaire Mach-O, les données liées aux variables locales à un thread sont organisées en sections spécifiques :
- **`__DATA.__thread_vars`** : Cette section contient les métadonnées sur les variables locales à un thread, comme leurs types et leur état d'initialisation.
- **`__DATA.__thread_vars`** : Cette section contient les métadonnées sur les variables locales à un thread, comme leurs types et leur statut d'initialisation.
- **`__DATA.__thread_bss`** : Cette section est utilisée pour les variables locales à un thread qui ne sont pas explicitement initialisées. C'est une partie de la mémoire réservée pour les données initialisées à zéro.
Mach-O fournit également une API spécifique appelée **`tlv_atexit`** pour gérer les variables locales à un thread lors de la sortie d'un thread. Cette API vous permet de **enregistrer des destructeurs**—des fonctions spéciales qui nettoient les données locales à un thread lorsque celui-ci se termine.
Mach-O fournit également une API spécifique appelée **`tlv_atexit`** pour gérer les variables locales à un thread lorsqu'un thread se termine. Cette API vous permet de **enregistrer des destructeurs**—des fonctions spéciales qui nettoient les données locales à un thread lorsque celui-ci se termine.
### Priorités de Thread
@ -124,7 +124,7 @@ Comprendre les priorités des threads implique d'examiner comment le système d'
#### Classes de Qualité de Service (QoS)
Les classes QoS sont une approche plus moderne pour gérer les priorités des threads, en particulier dans des systèmes comme macOS qui prennent en charge **Grand Central Dispatch (GCD)**. Les classes QoS permettent aux développeurs de **catégoriser** le travail en différents niveaux en fonction de leur importance ou de leur urgence. macOS gère automatiquement la priorisation des threads en fonction de ces classes QoS :
Les classes QoS sont une approche plus moderne pour gérer les priorités des threads, en particulier dans des systèmes comme macOS qui prennent en charge **Grand Central Dispatch (GCD)**. Les classes QoS permettent aux développeurs de **catégoriser** le travail en différents niveaux en fonction de leur importance ou urgence. macOS gère automatiquement la priorisation des threads en fonction de ces classes QoS :
1. **Interactif Utilisateur :**
- Cette classe est pour les tâches qui interagissent actuellement avec l'utilisateur ou nécessitent des résultats immédiats pour offrir une bonne expérience utilisateur. Ces tâches se voient attribuer la plus haute priorité pour maintenir l'interface réactive (par exemple, animations ou gestion d'événements).
@ -137,7 +137,7 @@ Les classes QoS sont une approche plus moderne pour gérer les priorités des th
En utilisant les classes QoS, les développeurs n'ont pas besoin de gérer les numéros de priorité exacts mais plutôt de se concentrer sur la nature de la tâche, et le système optimise les ressources CPU en conséquence.
De plus, il existe différentes **politiques de planification des threads** qui spécifient un ensemble de paramètres de planification que le planificateur prendra en considération. Cela peut être fait en utilisant `thread_policy_[set/get]`. Cela pourrait être utile dans les attaques par condition de course.
De plus, il existe différentes **politiques de planification des threads** qui spécifient un ensemble de paramètres de planification que le planificateur prendra en compte. Cela peut être fait en utilisant `thread_policy_[set/get]`. Cela pourrait être utile dans les attaques par condition de course.
## Abus de Processus MacOS
@ -153,7 +153,7 @@ macos-library-injection/
### Hooking de Fonction
Le hooking de fonction implique **d'intercepter les appels de fonction** ou les messages au sein d'un code logiciel. En hookant des fonctions, un attaquant peut **modifier le comportement** d'un processus, observer des données sensibles ou même prendre le contrôle du flux d'exécution.
Le hooking de fonction implique **d'intercepter les appels de fonction** ou les messages au sein d'un code logiciel. En hookant des fonctions, un attaquant peut **modifier le comportement** d'un processus, observer des données sensibles, ou même prendre le contrôle du flux d'exécution.
{{#ref}}
macos-function-hooking.md
@ -161,7 +161,7 @@ macos-function-hooking.md
### Communication Inter-Processus
La communication inter-processus (IPC) fait référence à différentes méthodes par lesquelles des processus séparés **partagent et échangent des données**. Bien que l'IPC soit fondamental pour de nombreuses applications légitimes, il peut également être mal utilisé pour subvertir l'isolation des processus, fuir des informations sensibles ou effectuer des actions non autorisées.
La communication inter-processus (IPC) fait référence à différentes méthodes par lesquelles des processus séparés **partagent et échangent des données**. Bien que l'IPC soit fondamental pour de nombreuses applications légitimes, il peut également être mal utilisé pour subvertir l'isolation des processus, divulguer des informations sensibles ou effectuer des actions non autorisées.
{{#ref}}
macos-ipc-inter-process-communication/
@ -177,7 +177,7 @@ macos-electron-applications-injection.md
### Injection de Chromium
Il est possible d'utiliser les drapeaux `--load-extension` et `--use-fake-ui-for-media-stream` pour effectuer une **attaque de l'homme dans le navigateur** permettant de voler des frappes, du trafic, des cookies, d'injecter des scripts dans des pages... :
Il est possible d'utiliser les drapeaux `--load-extension` et `--use-fake-ui-for-media-stream` pour effectuer une **attaque de type homme dans le navigateur** permettant de voler des frappes, du trafic, des cookies, d'injecter des scripts dans des pages... :
{{#ref}}
macos-chromium-injection.md
@ -193,7 +193,7 @@ macos-dirty-nib.md
### Injection d'Applications Java
Il est possible d'abuser de certaines capacités java (comme la variable d'environnement **`_JAVA_OPTS`**) pour faire exécuter à une application java **du code/commandes arbitraires**.
Il est possible d'abuser de certaines capacités Java (comme la variable d'environnement **`_JAVA_OPTS`**) pour faire exécuter à une application Java **du code/commandes arbitraires**.
{{#ref}}
macos-java-apps-injection.md
@ -217,7 +217,7 @@ macos-perl-applications-injection.md
### Injection Ruby
Il est également possible d'abuser des variables d'environnement ruby pour faire exécuter des scripts arbitraires du code arbitraire :
Il est également possible d'abuser des variables d'environnement Ruby pour faire exécuter des scripts arbitraires du code arbitraire :
{{#ref}}
macos-ruby-applications-injection.md
@ -225,16 +225,16 @@ macos-ruby-applications-injection.md
### Injection Python
Si la variable d'environnement **`PYTHONINSPECT`** est définie, le processus python passera à un cli python une fois terminé. Il est également possible d'utiliser **`PYTHONSTARTUP`** pour indiquer un script python à exécuter au début d'une session interactive.\
Si la variable d'environnement **`PYTHONINSPECT`** est définie, le processus Python passera à un CLI Python une fois terminé. Il est également possible d'utiliser **`PYTHONSTARTUP`** pour indiquer un script Python à exécuter au début d'une session interactive.\
Cependant, notez que le script **`PYTHONSTARTUP`** ne sera pas exécuté lorsque **`PYTHONINSPECT`** crée la session interactive.
D'autres variables d'environnement telles que **`PYTHONPATH`** et **`PYTHONHOME`** pourraient également être utiles pour faire exécuter une commande python du code arbitraire.
D'autres variables d'environnement telles que **`PYTHONPATH`** et **`PYTHONHOME`** pourraient également être utiles pour faire exécuter une commande Python du code arbitraire.
Notez que les exécutables compilés avec **`pyinstaller`** n'utiliseront pas ces variables environnementales même s'ils s'exécutent en utilisant un python intégré.
Notez que les exécutables compilés avec **`pyinstaller`** n'utiliseront pas ces variables environnementales même s'ils s'exécutent avec un Python intégré.
> [!CAUTION]
> Dans l'ensemble, je n'ai pas trouvé de moyen de faire exécuter du code arbitraire à python en abusant des variables d'environnement.\
> Cependant, la plupart des gens installent python en utilisant **Homebrew**, qui installera python dans un **emplacement écrivable** pour l'utilisateur admin par défaut. Vous pouvez le détourner avec quelque chose comme :
> Dans l'ensemble, je n'ai pas trouvé de moyen de faire exécuter du code arbitraire à Python en abusant des variables d'environnement.\
> Cependant, la plupart des gens installent Python en utilisant **Homebrew**, qui installera Python dans un **emplacement écrivable** pour l'utilisateur admin par défaut. Vous pouvez le détourner avec quelque chose comme :
>
> ```bash
> mv /opt/homebrew/bin/python3 /opt/homebrew/bin/python3.old
@ -246,18 +246,18 @@ Notez que les exécutables compilés avec **`pyinstaller`** n'utiliseront pas ce
> chmod +x /opt/homebrew/bin/python3
> ```
>
> Même **root** exécutera ce code lors de l'exécution de python.
> Même **root** exécutera ce code lors de l'exécution de Python.
## Détection
### Shield
### Bouclier
[**Shield**](https://theevilbit.github.io/shield/) ([**Github**](https://github.com/theevilbit/Shield)) est une application open source qui peut **détecter et bloquer les actions d'injection de processus** :
[**Bouclier**](https://theevilbit.github.io/shield/) ([**Github**](https://github.com/theevilbit/Shield)) est une application open source qui peut **détecter et bloquer les actions d'injection de processus** :
- En utilisant **des variables d'environnement** : Elle surveillera la présence de l'une des variables d'environnement suivantes : **`DYLD_INSERT_LIBRARIES`**, **`CFNETWORK_LIBRARY_PATH`**, **`RAWCAMERA_BUNDLE_PATH`** et **`ELECTRON_RUN_AS_NODE`**
- En utilisant des appels **`task_for_pid`** : Pour trouver quand un processus veut obtenir le **port de tâche d'un autre** ce qui permet d'injecter du code dans le processus.
- **Paramètres des applications Electron** : Quelqu'un peut utiliser les arguments de ligne de commande **`--inspect`**, **`--inspect-brk`** et **`--remote-debugging-port`** pour démarrer une application Electron en mode débogage, et ainsi injecter du code.
- En utilisant **des liens symboliques** ou **des liens durs** : Typiquement, l'abus le plus courant consiste à **placer un lien avec nos privilèges d'utilisateur**, et **pointer vers un emplacement de privilège supérieur**. La détection est très simple pour les liens durs et les liens symboliques. Si le processus créant le lien a un **niveau de privilège différent** de celui du fichier cible, nous créons une **alerte**. Malheureusement, dans le cas des liens symboliques, le blocage n'est pas possible, car nous n'avons pas d'informations sur la destination du lien avant sa création. C'est une limitation du framework EndpointSecurity d'Apple.
- En utilisant **des liens symboliques** ou **des liens durs** : Typiquement, l'abus le plus courant consiste à **placer un lien avec nos privilèges d'utilisateur**, et **le pointer vers un emplacement de privilège supérieur**. La détection est très simple pour les liens durs et symboliques. Si le processus créant le lien a un **niveau de privilège différent** de celui du fichier cible, nous créons une **alerte**. Malheureusement, dans le cas des liens symboliques, le blocage n'est pas possible, car nous n'avons pas d'informations sur la destination du lien avant sa création. C'est une limitation du cadre EndpointSecurity d'Apple.
### Appels effectués par d'autres processus

2
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-.net-applications-injection.md
View File

@ -95,7 +95,7 @@ Localiser un endroit pour écraser un pointeur de fonction est nécessaire, et d
Pour les systèmes x64, la recherche de signature peut être utilisée pour trouver une référence au symbole `_hlpDynamicFuncTable` dans `libcorclr.dll`.
La fonction de débogage `MT_GetDCB` fournit des informations utiles, y compris l'adresse d'une fonction d'aide, `m_helperRemoteStartAddr`, indiquant l'emplacement de `libcorclr.dll` dans la mémoire du processus. Cette adresse est ensuite utilisée pour commencer une recherche pour le DFT et écraser un pointeur de fonction avec l'adresse du shellcode.
La fonction de débogage `MT_GetDCB` fournit des informations utiles, y compris l'adresse d'une fonction d'aide, `m_helperRemoteStartAddr`, indiquant l'emplacement de `libcorclr.dll` dans la mémoire du processus. Cette adresse est ensuite utilisée pour commencer une recherche pour la DFT et écraser un pointeur de fonction avec l'adresse du shellcode.
Le code POC complet pour l'injection dans PowerShell est accessible [ici](https://gist.github.com/xpn/b427998c8b3924ab1d63c89d273734b6).

2
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-chromium-injection.md
View File

@ -1,4 +1,4 @@
# macOS Chromium Injection
# Injection Chromium sur macOS
{{#include ../../../banners/hacktricks-training.md}}

8
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-dirty-nib.md
View File

@ -6,7 +6,7 @@
### Qu'est-ce que les fichiers Nib
Les fichiers Nib (abréviation de NeXT Interface Builder), faisant partie de l'écosystème de développement d'Apple, sont destinés à définir **les éléments de l'interface utilisateur** et leurs interactions dans les applications. Ils englobent des objets sérialisés tels que des fenêtres et des boutons, et sont chargés à l'exécution. Malgré leur utilisation continue, Apple préconise désormais les Storyboards pour une visualisation plus complète du flux de l'interface utilisateur.
Les fichiers Nib (abréviation de NeXT Interface Builder), faisant partie de l'écosystème de développement d'Apple, sont destinés à définir **les éléments UI** et leurs interactions dans les applications. Ils englobent des objets sérialisés tels que des fenêtres et des boutons, et sont chargés à l'exécution. Malgré leur utilisation continue, Apple préconise désormais les Storyboards pour une visualisation plus complète du flux UI.
Le fichier Nib principal est référencé dans la valeur **`NSMainNibFile`** à l'intérieur du fichier `Info.plist` de l'application et est chargé par la fonction **`NSApplicationMain`** exécutée dans la fonction `main` de l'application.
@ -59,15 +59,15 @@ Dans le post [https://sector7.computest.nl/post/2024-04-bringing-process-injecti
- Les contraintes de lancement entravent l'exécution des applications depuis des emplacements inattendus (par exemple, `/tmp`).
- Il est possible d'identifier les applications non protégées par des contraintes de lancement et de les cibler pour l'injection de fichiers NIB.
### Autres protections macOS
### Protections supplémentaires de macOS
Depuis macOS Sonoma, les modifications à l'intérieur des bundles d'applications sont restreintes. Cependant, les méthodes antérieures impliquaient :
1. Copier l'application dans un autre emplacement (par exemple, `/tmp/`).
2. Renommer les répertoires à l'intérieur du bundle de l'application pour contourner les protections initiales.
2. Renommer les répertoires au sein du bundle de l'application pour contourner les protections initiales.
3. Après avoir exécuté l'application pour s'enregistrer auprès de Gatekeeper, modifier le bundle de l'application (par exemple, remplacer MainMenu.nib par Dirty.nib).
4. Renommer les répertoires et relancer l'application pour exécuter le fichier NIB injecté.
**Remarque** : Les mises à jour récentes de macOS ont atténué cette exploitation en empêchant les modifications de fichiers à l'intérieur des bundles d'applications après la mise en cache de Gatekeeper, rendant l'exploitation inefficace.
**Remarque** : Les mises à jour récentes de macOS ont atténué cette exploitation en empêchant les modifications de fichiers au sein des bundles d'applications après la mise en cache de Gatekeeper, rendant l'exploitation inefficace.
{{#include ../../../banners/hacktricks-training.md}}

14
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-electron-applications-injection.md
View File

@ -5,7 +5,7 @@
## Informations de base
Si vous ne savez pas ce qu'est Electron, vous pouvez trouver [**beaucoup d'informations ici**](https://book.hacktricks.xyz/network-services-pentesting/pentesting-web/xss-to-rce-electron-desktop-apps). Mais pour l'instant, sachez simplement qu'Electron exécute **node**.\
Et node a certains **paramètres** et **variables d'environnement** qui peuvent être utilisés pour **exécuter d'autres codes** en plus du fichier indiqué.
Et node a certains **paramètres** et **variables d'environnement** qui peuvent être utilisés pour **exécuter un autre code** en plus du fichier indiqué.
### Fusibles Electron
@ -21,9 +21,9 @@ Un autre fusible intéressant qui ne préviendra pas l'injection de code est :
- **EnableCookieEncryption** : S'il est activé, le magasin de cookies sur disque est chiffré à l'aide de clés de cryptographie au niveau du système d'exploitation.
### Vérification des fusibles Electron
### Vérification des Fusibles Electron
Vous pouvez **vérifier ces drapeaux** à partir d'une application avec :
Vous pouvez **vérifier ces drapeaux** depuis une application avec :
```bash
npx @electron/fuses read --app /Applications/Slack.app
@ -50,7 +50,7 @@ Vous pouvez charger ce fichier dans [https://hexed.it/](https://hexed.it/) et re
<figure><img src="../../../images/image (34).png" alt=""><figcaption></figcaption></figure>
Notez que si vous essayez de **surcharger** le **`binaire du framework Electron`** à l'intérieur d'une application avec ces octets modifiés, l'application ne fonctionnera pas.
Notez que si vous essayez de **surcharger** le binaire **`Electron Framework`** à l'intérieur d'une application avec ces octets modifiés, l'application ne fonctionnera pas.
## RCE ajout de code aux applications Electron
@ -64,7 +64,7 @@ Il pourrait y avoir des **fichiers JS/HTML externes** qu'une application Electro
>
> Rendant ce chemin d'attaque plus compliqué (ou impossible).
Notez qu'il est possible de contourner l'exigence de **`kTCCServiceSystemPolicyAppBundles`** en copiant l'application dans un autre répertoire (comme **`/tmp`**), en renommant le dossier **`app.app/Contents`** en **`app.app/NotCon`**, **en modifiant** le fichier **asar** avec votre code **malveillant**, en le renommant à nouveau en **`app.app/Contents`** et en l'exécutant.
Notez qu'il est possible de contourner l'exigence de **`kTCCServiceSystemPolicyAppBundles`** en copiant l'application dans un autre répertoire (comme **`/tmp`**), en renommant le dossier **`app.app/Contents`** en **`app.app/NotCon`**, **modifiant** le fichier **asar** avec votre code **malveillant**, en le renommant à nouveau en **`app.app/Contents`** et en l'exécutant.
Vous pouvez décompresser le code du fichier asar avec :
```bash
@ -169,9 +169,9 @@ ws.connect("ws://localhost:9222/devtools/page/85976D59050BFEFDBA48204E3D865D00",
ws.send('{\"id\": 1, \"method\": \"Network.getAllCookies\"}')
print(ws.recv()
```
Dans [**ce billet de blog**](https://hackerone.com/reports/1274695), ce débogage est abusé pour faire en sorte qu'un chrome sans tête **télécharge des fichiers arbitraires à des emplacements arbitraires**.
Dans [**cet article de blog**](https://hackerone.com/reports/1274695), ce débogage est abusé pour faire en sorte qu'un chrome sans interface **télécharge des fichiers arbitraires à des emplacements arbitraires**.
### Injection depuis le Plist de l'App
### Injection depuis le Plist de l'Application
Vous pourriez abuser de cette variable d'environnement dans un plist pour maintenir la persistance en ajoutant ces clés :
```xml

4
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-function-hooking.md
View File

@ -97,7 +97,7 @@ const struct dyld_interpose_tuple array[], size_t count);
```
## Méthode Swizzling
En ObjectiveC, voici comment une méthode est appelée : **`[myClassInstance nameOfTheMethodFirstParam:param1 secondParam:param2]`**
En ObjectiveC, c'est ainsi qu'une méthode est appelée : **`[myClassInstance nameOfTheMethodFirstParam:param1 secondParam:param2]`**
Il faut l'**objet**, la **méthode** et les **params**. Et lorsqu'une méthode est appelée, un **msg est envoyé** en utilisant la fonction **`objc_msgSend`** : `int i = ((int (*)(id, SEL, NSString *, NSString *))objc_msgSend)(someObject, @selector(method1p1:p2:), value1, value2);`
@ -296,7 +296,7 @@ Cependant, les deux options sont **limitées** aux binaires/processus **non prot
Cependant, une attaque par hooking de fonction est très spécifique, un attaquant le fera pour **voler des informations sensibles à l'intérieur d'un processus** (sinon, vous feriez simplement une attaque par injection de processus). Et ces informations sensibles pourraient se trouver dans des applications téléchargées par l'utilisateur telles que MacPass.
Ainsi, le vecteur de l'attaquant serait de trouver une vulnérabilité ou de supprimer la signature de l'application, d'injecter la variable d'environnement **`DYLD_INSERT_LIBRARIES`** à travers le Info.plist de l'application en ajoutant quelque chose comme :
Ainsi, le vecteur de l'attaquant serait soit de trouver une vulnérabilité, soit de supprimer la signature de l'application, d'injecter la variable d'environnement **`DYLD_INSERT_LIBRARIES`** à travers le Info.plist de l'application en ajoutant quelque chose comme :
```xml
<key>LSEnvironment</key>
<dict>

42
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/README.md
View File

@ -28,7 +28,7 @@ Les droits de port, qui définissent quelles opérations une tâche peut effectu
- Notez que les **droits de port** peuvent également être **transférés** via des messages Mac.
- **Droit d'envoi unique**, qui permet d'envoyer un message au port et disparaît ensuite.
- Ce droit **ne peut pas** être **cloné**, mais il peut être **déplacé**.
- **Droit de jeu de ports**, qui désigne un _jeu de ports_ plutôt qu'un port unique. Déqueue un message d'un jeu de ports déqueue un message de l'un des ports qu'il contient. Les jeux de ports peuvent être utilisés pour écouter plusieurs ports simultanément, un peu comme `select`/`poll`/`epoll`/`kqueue` dans Unix.
- **Droit de jeu de ports**, qui désigne un _jeu de ports_ plutôt qu'un port unique. Déqueuer un message d'un jeu de ports déqueuer un message de l'un des ports qu'il contient. Les jeux de ports peuvent être utilisés pour écouter plusieurs ports simultanément, un peu comme `select`/`poll`/`epoll`/`kqueue` dans Unix.
- **Nom mort**, qui n'est pas un véritable droit de port, mais simplement un espace réservé. Lorsqu'un port est détruit, tous les droits de port existants pour le port se transforment en noms morts.
**Les tâches peuvent transférer des droits d'ENVOI à d'autres**, leur permettant d'envoyer des messages en retour. **Les droits d'ENVOI peuvent également être clonés, de sorte qu'une tâche puisse dupliquer et donner le droit à une troisième tâche**. Cela, combiné avec un processus intermédiaire connu sous le nom de **serveur de démarrage**, permet une communication efficace entre les tâches.
@ -43,32 +43,32 @@ Comme mentionné précédemment, il est possible d'envoyer des droits en utilisa
Pour cela, le **serveur de démarrage** (**launchd** sur mac) est impliqué, car **tout le monde peut obtenir un droit d'ENVOI au serveur de démarrage**, il est possible de lui demander un droit pour envoyer un message à un autre processus :
1. La tâche **A** crée un **nouveau port**, obtenant le **droit de réception** sur celui-ci.
2. La tâche **A**, étant le titulaire du droit de réception, **génère un droit d'envoi pour le port**.
3. La tâche **A** établit une **connexion** avec le **serveur de démarrage**, et **lui envoie le droit d'envoi** pour le port qu'elle a généré au début.
1. La tâche **A** crée un **nouveau port**, obtenant le **droit de RÉCEPTION** sur celui-ci.
2. La tâche **A**, étant le titulaire du droit de RÉCEPTION, **génère un droit d'ENVOI pour le port**.
3. La tâche **A** établit une **connexion** avec le **serveur de démarrage**, et **lui envoie le droit d'ENVOI** pour le port qu'elle a généré au début.
- Rappelez-vous que tout le monde peut obtenir un droit d'ENVOI au serveur de démarrage.
4. La tâche A envoie un message `bootstrap_register` au serveur de démarrage pour **associer le port donné à un nom** comme `com.apple.taska`
5. La tâche **B** interagit avec le **serveur de démarrage** pour exécuter une **recherche de démarrage pour le nom du service** (`bootstrap_lookup`). Ainsi, le serveur de démarrage peut répondre, la tâche B lui enverra un **droit d'ENVOI à un port qu'elle a précédemment créé** dans le message de recherche. Si la recherche est réussie, le **serveur duplique le droit d'ENVOI** reçu de la tâche A et **le transmet à la tâche B**.
- Rappelez-vous que tout le monde peut obtenir un droit d'ENVOI au serveur de démarrage.
6. Avec ce droit d'ENVOI, **la tâche B** est capable d'**envoyer** un **message** **à la tâche A**.
7. Pour une communication bidirectionnelle, la tâche **B** génère généralement un nouveau port avec un **droit de réception** et un **droit d'envoi**, et donne le **droit d'envoi à la tâche A** afin qu'elle puisse envoyer des messages à la TÂCHE B (communication bidirectionnelle).
7. Pour une communication bidirectionnelle, la tâche **B** génère généralement un nouveau port avec un droit de **RÉCEPTION** et un droit d'**ENVOI**, et donne le **droit d'ENVOI à la tâche A** afin qu'elle puisse envoyer des messages à la TÂCHE B (communication bidirectionnelle).
Le serveur de démarrage **ne peut pas authentifier** le nom de service revendiqué par une tâche. Cela signifie qu'une **tâche** pourrait potentiellement **se faire passer pour n'importe quelle tâche système**, comme revendiquer faussement un nom de service d'autorisation et approuver ensuite chaque demande.
Le serveur de démarrage **ne peut pas authentifier** le nom de service revendiqué par une tâche. Cela signifie qu'une **tâche** pourrait potentiellement **se faire passer pour n'importe quelle tâche système**, comme en revendiquant faussement un nom de service d'autorisation et en approuvant ensuite chaque demande.
Ensuite, Apple stocke les **noms des services fournis par le système** dans des fichiers de configuration sécurisés, situés dans des répertoires **protégés par SIP** : `/System/Library/LaunchDaemons` et `/System/Library/LaunchAgents`. Avec chaque nom de service, le **binaire associé est également stocké**. Le serveur de démarrage créera et détiendra un **droit de réception pour chacun de ces noms de service**.
Ensuite, Apple stocke les **noms des services fournis par le système** dans des fichiers de configuration sécurisés, situés dans des répertoires **protégés par SIP** : `/System/Library/LaunchDaemons` et `/System/Library/LaunchAgents`. Avec chaque nom de service, le **binaire associé est également stocké**. Le serveur de démarrage créera et détiendra un **droit de RÉCEPTION pour chacun de ces noms de service**.
Pour ces services prédéfinis, le **processus de recherche diffère légèrement**. Lorsqu'un nom de service est recherché, launchd démarre le service dynamiquement. Le nouveau flux de travail est le suivant :
- La tâche **B** initie une **recherche de démarrage** pour un nom de service.
- **launchd** vérifie si la tâche est en cours d'exécution et si ce n'est pas le cas, **la démarre**.
- La tâche **A** (le service) effectue un **enregistrement de démarrage** (`bootstrap_check_in()`). Ici, le **serveur de démarrage** crée un droit d'envoi, le conserve et **transfère le droit de réception à la tâche A**.
- launchd duplique le **droit d'envoi et l'envoie à la tâche B**.
- La tâche **B** génère un nouveau port avec un **droit de réception** et un **droit d'envoi**, et donne le **droit d'envoi à la tâche A** (le svc) afin qu'elle puisse envoyer des messages à la TÂCHE B (communication bidirectionnelle).
- La tâche **A** (le service) effectue un **enregistrement de démarrage** (`bootstrap_check_in()`). Ici, le **serveur de démarrage** crée un droit d'ENVOI, le conserve et **transfère le droit de RÉCEPTION à la tâche A**.
- launchd duplique le **droit d'ENVOI et l'envoie à la tâche B**.
- La tâche **B** génère un nouveau port avec un droit de **RÉCEPTION** et un droit d'**ENVOI**, et donne le **droit d'ENVOI à la tâche A** (le svc) afin qu'elle puisse envoyer des messages à la TÂCHE B (communication bidirectionnelle).
Cependant, ce processus ne s'applique qu'aux tâches système prédéfinies. Les tâches non-système fonctionnent toujours comme décrit à l'origine, ce qui pourrait potentiellement permettre l'usurpation.
> [!CAUTION]
> Par conséquent, launchd ne doit jamais planter ou tout le système plantera.
> Par conséquent, launchd ne doit jamais planter ou tout le système s'effondrera.
### Un Message Mach
@ -110,7 +110,7 @@ Les types qui peuvent être spécifiés dans le voucher, les ports locaux et dis
```
Par exemple, `MACH_MSG_TYPE_MAKE_SEND_ONCE` peut être utilisé pour **indiquer** qu'un **droit d'envoi unique** doit être dérivé et transféré pour ce port. Il peut également être spécifié `MACH_PORT_NULL` pour empêcher le destinataire de pouvoir répondre.
Pour réaliser une **communication bidirectionnelle** facile, un processus peut spécifier un **port mach** dans l'en-tête de **message mach** appelé le _port de réponse_ (**`msgh_local_port`**) où le **destinataire** du message peut **envoyer une réponse** à ce message.
Afin d'atteindre une **communication bidirectionnelle** facile, un processus peut spécifier un **port mach** dans l'en-tête de **message mach** appelé le _port de réponse_ (**`msgh_local_port`**) où le **destinataire** du message peut **envoyer une réponse** à ce message.
> [!TIP]
> Notez que ce type de communication bidirectionnelle est utilisé dans les messages XPC qui attendent une réponse (`xpc_connection_send_message_with_reply` et `xpc_connection_send_message_with_reply_sync`). Mais **généralement, différents ports sont créés** comme expliqué précédemment pour créer la communication bidirectionnelle.
@ -162,7 +162,7 @@ En 32 bits, tous les descripteurs font 12B et le type de descripteur se trouve d
Notez que les ports sont associés à l'espace de noms de la tâche, donc pour créer ou rechercher un port, l'espace de noms de la tâche est également interrogé (plus dans `mach/mach_port.h`):
- **`mach_port_allocate` | `mach_port_construct`**: **Créer** un port.
- `mach_port_allocate` peut également créer un **ensemble de ports** : droit de réception sur un groupe de ports. Chaque fois qu'un message est reçu, il est indiqué le port d'où il provient.
- `mach_port_allocate` peut également créer un **ensemble de ports** : droit de réception sur un groupe de ports. Chaque fois qu'un message est reçu, il est indiqué le port d'où il provenait.
- `mach_port_allocate_name`: Changer le nom du port (par défaut un entier 32 bits)
- `mach_port_names`: Obtenir les noms de port d'une cible
- `mach_port_type`: Obtenir les droits d'une tâche sur un nom
@ -170,7 +170,7 @@ Notez que les ports sont associés à l'espace de noms de la tâche, donc pour c
- `mach_port_allocate`: Allouer un nouveau RECEIVE, PORT_SET ou DEAD_NAME
- `mach_port_insert_right`: Créer un nouveau droit dans un port où vous avez RECEIVE
- `mach_port_...`
- **`mach_msg`** | **`mach_msg_overwrite`**: Fonctions utilisées pour **envoyer et recevoir des messages mach**. La version overwrite permet de spécifier un tampon différent pour la réception de messages (l'autre version se contentera de le réutiliser).
- **`mach_msg`** | **`mach_msg_overwrite`**: Fonctions utilisées pour **envoyer et recevoir des messages mach**. La version overwrite permet de spécifier un tampon différent pour la réception des messages (l'autre version se contentera de le réutiliser).
### Debug mach_msg
@ -271,7 +271,7 @@ Le **nom** est le nom par défaut donné au port (vérifiez comment il **augment
Notez également comment les ports avec uniquement le droit **`send`** **identifient le propriétaire** (nom du port + pid).\
Notez aussi l'utilisation de **`+`** pour indiquer **d'autres tâches connectées au même port**.
Il est également possible d'utiliser [**procesxp**](https://www.newosxbook.com/tools/procexp.html) pour voir aussi les **noms de service enregistrés** (avec SIP désactivé en raison de la nécessité de `com.apple.system-task-port`):
Il est également possible d'utiliser [**procesxp**](https://www.newosxbook.com/tools/procexp.html) pour voir aussi les **noms de service enregistrés** (avec SIP désactivé en raison du besoin de `com.apple.system-task-port`):
```
procesp 1 ports
```
@ -413,7 +413,7 @@ Il existe des ports spéciaux qui permettent de **réaliser certaines actions se
Ces ports sont représentés par un numéro.
Les droits **SEND** peuvent être obtenus en appelant **`host_get_special_port`** et les droits **RECEIVE** en appelant **`host_set_special_port`**. Cependant, les deux appels nécessitent le port **`host_priv`** auquel seul root peut accéder. De plus, par le passé, root pouvait appeler **`host_set_special_port`** et détourner arbitrairement, ce qui permettait par exemple de contourner les signatures de code en détournant `HOST_KEXTD_PORT` (SIP empêche cela maintenant).
Les droits **SEND** peuvent être obtenus en appelant **`host_get_special_port`** et les droits **RECEIVE** en appelant **`host_set_special_port`**. Cependant, les deux appels nécessitent le port **`host_priv`** auquel seul root peut accéder. De plus, par le passé, root pouvait appeler **`host_set_special_port`** et détourner arbitrairement, ce qui permettait par exemple de contourner les signatures de code en détournant `HOST_KEXTD_PORT` (SIP empêche maintenant cela).
Ils sont divisés en 2 groupes : Les **7 premiers ports sont détenus par le noyau**, étant le 1 `HOST_PORT`, le 2 `HOST_PRIV_PORT`, le 3 `HOST_IO_MASTER_PORT` et le 7 est `HOST_MAX_SPECIAL_KERNEL_PORT`.\
Ceux commençant **à partir** du numéro **8** sont **détenus par des démons système** et peuvent être trouvés déclarés dans [**`host_special_ports.h`**](https://opensource.apple.com/source/xnu/xnu-4570.1.46/osfmk/mach/host_special_ports.h.auto.html).
@ -459,11 +459,11 @@ world.*/
### Ports de Tâche
À l'origine, Mach n'avait pas de "processus", il avait des "tâches" qui étaient considérées comme un conteneur de threads. Lorsque Mach a été fusionné avec BSD, **chaque tâche était corrélée avec un processus BSD**. Par conséquent, chaque processus BSD a les détails nécessaires pour être un processus et chaque tâche Mach a également son fonctionnement interne (sauf pour le pid inexistant 0 qui est le `kernel_task`).
À l'origine, Mach n'avait pas de "processus", il avait des "tâches" qui étaient considérées comme un conteneur de threads. Lorsque Mach a été fusionné avec BSD, **chaque tâche était corrélée avec un processus BSD**. Par conséquent, chaque processus BSD a les détails dont il a besoin pour être un processus et chaque tâche Mach a également son fonctionnement interne (sauf pour le pid inexistant 0 qui est le `kernel_task`).
Il y a deux fonctions très intéressantes liées à cela :
- `task_for_pid(target_task_port, pid, &task_port_of_pid)`: Obtenir un droit d'ENVOI pour le port de tâche de la tâche liée à celle spécifiée par le `pid` et le donner au `target_task_port` indiqué (qui est généralement la tâche appelante ayant utilisé `mach_task_self()`, mais pourrait être un port d'ENVOI sur une autre tâche).
- `task_for_pid(target_task_port, pid, &task_port_of_pid)`: Obtenir un droit d'ENVOI pour le port de tâche de la tâche liée à celle spécifiée par le `pid` et le donner au `target_task_port` indiqué (qui est généralement la tâche appelante qui a utilisé `mach_task_self()`, mais pourrait être un port d'ENVOI sur une autre tâche).
- `pid_for_task(task, &pid)`: Étant donné un droit d'ENVOI à une tâche, trouver à quel PID cette tâche est liée.
Pour effectuer des actions au sein de la tâche, la tâche avait besoin d'un droit d'ENVOI sur elle-même en appelant `mach_task_self()` (qui utilise le `task_self_trap` (28)). Avec cette permission, une tâche peut effectuer plusieurs actions comme :
@ -772,9 +772,9 @@ gcc -framework Foundation -framework Appkit sc_inject.m -o sc_inject
### Injection de Dylib dans le thread via le port de tâche
Dans macOS, les **threads** peuvent être manipulés via **Mach** ou en utilisant l'**api posix `pthread`**. Le thread que nous avons généré lors de l'injection précédente a été créé en utilisant l'api Mach, donc **il n'est pas conforme à posix**.
Dans macOS, les **threads** peuvent être manipulés via **Mach** ou en utilisant l'**api posix `pthread`**. Le thread que nous avons généré dans l'injection précédente a été créé en utilisant l'api Mach, donc **il n'est pas conforme à posix**.
Il était possible d'**injecter un simple shellcode** pour exécuter une commande car il **n'avait pas besoin de fonctionner avec des apis** conformes à posix, seulement avec Mach. **Des injections plus complexes** nécessiteraient que le **thread** soit également **conforme à posix**.
Il a été possible d'**injecter un simple shellcode** pour exécuter une commande car il **n'avait pas besoin de fonctionner avec des apis conformes à posix**, seulement avec Mach. **Des injections plus complexes** nécessiteraient que le **thread** soit également **conforme à posix**.
Par conséquent, pour **améliorer le thread**, il devrait appeler **`pthread_create_from_mach_thread`** qui va **créer un pthread valide**. Ensuite, ce nouveau pthread pourrait **appeler dlopen** pour **charger un dylib** depuis le système, donc au lieu d'écrire un nouveau shellcode pour effectuer différentes actions, il est possible de charger des bibliothèques personnalisées.
@ -1070,7 +1070,7 @@ Dans cette technique, un fil du processus est détourné :
macos-thread-injection-via-task-port.md
{{#endref}}
### Détection de l'injection de port de tâche
### Détection d'injection de port de tâche
Lors de l'appel de `task_for_pid` ou `thread_create_*`, un compteur dans la structure de tâche du noyau est incrémenté, ce qui peut être accessible depuis le mode utilisateur en appelant task_info(task, TASK_EXTMOD_INFO, ...)

10
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-mig-mach-interface-generator.md
View File

@ -12,11 +12,11 @@ Ces définitions ont 5 sections :
- **Déclaration de sous-système** : Le mot-clé sous-système est utilisé pour indiquer le **nom** et l'**id**. Il est également possible de le marquer comme **`KernelServer`** si le serveur doit s'exécuter dans le noyau.
- **Inclusions et imports** : MIG utilise le préprocesseur C, donc il est capable d'utiliser des imports. De plus, il est possible d'utiliser `uimport` et `simport` pour le code généré par l'utilisateur ou le serveur.
- **Déclarations de types** : Il est possible de définir des types de données bien que généralement il importera `mach_types.defs` et `std_types.defs`. Pour des types personnalisés, une certaine syntaxe peut être utilisée :
- **Déclarations de types** : Il est possible de définir des types de données bien qu'en général, il importera `mach_types.defs` et `std_types.defs`. Pour des types personnalisés, une certaine syntaxe peut être utilisée :
- \[i`n/out]tran : Fonction qui doit être traduite d'un message entrant ou vers un message sortant
- `c[user/server]type` : Mapping vers un autre type C.
- `c[user/server]type` : Mappage vers un autre type C.
- `destructor` : Appelez cette fonction lorsque le type est libéré.
- **Opérations** : Ce sont les définitions des méthodes RPC. Il existe 5 types différents :
- **Opérations** : Ce sont les définitions des méthodes RPC. Il y a 5 types différents :
- `routine` : S'attend à une réponse
- `simpleroutine` : Ne s'attend pas à une réponse
- `procedure` : S'attend à une réponse
@ -223,7 +223,7 @@ C'est intéressant car si `_NDR_record` est trouvé dans un binaire en tant que
De plus, les **serveurs MIG** ont la table de dispatch dans `__DATA.__const` (ou dans `__CONST.__constdata` dans le noyau macOS et `__DATA_CONST.__const` dans d'autres noyaux \*OS). Cela peut être extrait avec **`jtool2`**.
Et les **clients MIG** utiliseront le `__NDR_record` pour envoyer avec `__mach_msg` aux serveurs.
Et les **clients MIG** utiliseront l'`__NDR_record` pour envoyer avec `__mach_msg` aux serveurs.
## Analyse Binaire
@ -289,7 +289,7 @@ return rax;
{{#endtab}}
{{#tab name="myipc_server décompilé 2"}}
C'est la même fonction décompilée dans une version différente de Hopper gratuite :
C'est la même fonction décompilée dans une version différente de Hopper free :
<pre class="language-c"><code class="lang-c">int _myipc_server(int arg0, int arg1) {
r31 = r31 - 0x40;

6
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-thread-injection-via-task-port.md
View File

@ -69,7 +69,7 @@ const char *property_getName(objc_property_t prop) {
return prop->name;
}
```
Cette fonction agit efficacement comme le `read_func` en retournant le premier champ de `objc_property_t`.
Cette fonction agit efficacement comme le `read_func` en renvoyant le premier champ de `objc_property_t`.
2. **Écriture en mémoire :**
Trouver une fonction préconstruite pour écrire en mémoire est plus difficile. Cependant, la fonction `_xpc_int64_set_value()` de libxpc est un candidat approprié avec le désassemblage suivant :
@ -129,7 +129,7 @@ N'oubliez pas de gérer correctement les détails des ports Mach et des noms d'e
Après avoir établi avec succès la mémoire partagée et acquis des capacités d'exécution arbitraire, nous avons essentiellement obtenu un contrôle total sur le processus cible. Les fonctionnalités clés permettant ce contrôle sont :
1. **Opérations de Mémoire Arbitraires** :
1. **Opérations Mémoire Arbitraires** :
- Effectuer des lectures de mémoire arbitraires en invoquant `memcpy()` pour copier des données de la région partagée.
- Exécuter des écritures de mémoire arbitraires en utilisant `memcpy()` pour transférer des données vers la région partagée.
@ -149,7 +149,7 @@ Ce contrôle complet est encapsulé dans la bibliothèque [threadexec](https://g
## Considérations Importantes :
- Assurez-vous d'utiliser correctement `memcpy()` pour les opérations de lecture/écriture en mémoire afin de maintenir la stabilité du système et l'intégrité des données.
- Assurez-vous d'utiliser correctement `memcpy()` pour les opérations de lecture/écriture mémoire afin de maintenir la stabilité du système et l'intégrité des données.
- Lors du transfert de ports Mach ou de descripteurs de fichier, suivez les protocoles appropriés et gérez les ressources de manière responsable pour éviter les fuites ou les accès non intentionnels.
En respectant ces directives et en utilisant la bibliothèque `threadexec`, on peut gérer et interagir efficacement avec les processus à un niveau granulaire, obtenant ainsi un contrôle total sur le processus cible.

12
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/README.md
View File

@ -72,11 +72,11 @@ Chaque message XPC est un objet dictionnaire qui simplifie la sérialisation et
De plus, la fonction `xpc_copy_description(object)` peut être utilisée pour obtenir une représentation sous forme de chaîne de l'objet, ce qui peut être utile à des fins de débogage.\
Ces objets ont également certaines méthodes à appeler comme `xpc_<object>_copy`, `xpc_<object>_equal`, `xpc_<object>_hash`, `xpc_<object>_serialize`, `xpc_<object>_deserialize`...
Les `xpc_object_t` sont créés en appelant la fonction `xpc_<objetType>_create`, qui appelle en interne `_xpc_base_create(Class, Size)`il est indiqué le type de la classe de l'objet (l'un de `XPC_TYPE_*`) et sa taille (40B supplémentaires seront ajoutés à la taille pour les métadonnées). Ce qui signifie que les données de l'objet commenceront à l'offset de 40B.\
Les `xpc_object_t` sont créés en appelant la fonction `xpc_<objetType>_create`, qui appelle en interne `_xpc_base_create(Class, Size)` où le type de la classe de l'objet (l'un de `XPC_TYPE_*`) et sa taille sont indiqués (40B supplémentaires seront ajoutés à la taille pour les métadonnées). Ce qui signifie que les données de l'objet commenceront à l'offset de 40B.\
Par conséquent, le `xpc_<objectType>_t` est en quelque sorte une sous-classe du `xpc_object_t` qui serait une sous-classe de `os_object_t*`.
> [!WARNING]
> Notez que c'est le développeur qui doit utiliser `xpc_dictionary_[get/set]_<objectType>` pour obtenir ou définir le type et la valeur réelle d'une clé.
> Notez qu'il devrait être le développeur qui utilise `xpc_dictionary_[get/set]_<objectType>` pour obtenir ou définir le type et la valeur réelle d'une clé.
- **`xpc_pipe`**
@ -85,11 +85,11 @@ Il est possible de créer un serveur XPC en appelant `xpc_pipe_create()` ou `xpc
Notez que l'objet **`xpc_pipe`** est un **`xpc_object_t`** avec des informations dans sa structure sur les deux ports Mach utilisés et le nom (le cas échéant). Le nom, par exemple, le démon `secinitd` dans son plist `/System/Library/LaunchDaemons/com.apple.secinitd.plist` configure le tuyau appelé `com.apple.secinitd`.
Un exemple de **`xpc_pipe`** est le **tuyau bootstrap** créé par **`launchd`** rendant possible le partage des ports Mach.
Un exemple de **`xpc_pipe`** est le **bootstrap pipe** créé par **`launchd`** rendant possible le partage des ports Mach.
- **`NSXPC*`**
Ce sont des objets de haut niveau en Objective-C qui permettent l'abstraction des connexions XPC.\
Ce sont des objets de haut niveau Objective-C qui permettent l'abstraction des connexions XPC.\
De plus, il est plus facile de déboguer ces objets avec DTrace que les précédents.
- **`GCD Queues`**
@ -105,7 +105,7 @@ Ce fichier a d'autres clés de configuration comme `ServiceType` qui peut être
L'application tente de **se connecter** à un service XPC en utilisant `xpc_connection_create_mach_service`, puis launchd localise le démon et démarre **`xpcproxy`**. **`xpcproxy`** applique les restrictions configurées et crée le service avec les FDs et ports Mach fournis.
Pour améliorer la vitesse de recherche du service XPC, un cache est utilisé.
Afin d'améliorer la vitesse de recherche du service XPC, un cache est utilisé.
Il est possible de tracer les actions de `xpcproxy` en utilisant :
```bash
@ -444,7 +444,7 @@ Les services qui prennent en charge le XPC distant auront dans leur plist la cl
De plus, le `RemoteServiceDiscovery.framework` permet d'obtenir des informations à partir du `com.apple.remoted.plugin` exposant des fonctions telles que `get_device`, `get_unique_device`, `connect`...
Une fois que `connect` est utilisé et que le socket `fd` du service est récupéré, il est possible d'utiliser la classe `remote_xpc_connection_*`.
Une fois que connect est utilisé et que le socket `fd` du service est récupéré, il est possible d'utiliser la classe `remote_xpc_connection_*`.
Il est possible d'obtenir des informations sur les services distants en utilisant l'outil cli `/usr/libexec/remotectl` avec des paramètres tels que :
```bash

14
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-authorization.md
View File

@ -6,7 +6,7 @@
Apple propose également une autre façon d'authentifier si le processus de connexion a **les permissions d'appeler une méthode XPC exposée**.
Lorsqu'une application a besoin d'**exécuter des actions en tant qu'utilisateur privilégié**, au lieu d'exécuter l'application en tant qu'utilisateur privilégié, elle installe généralement un HelperTool en tant que service XPC qui peut être appelé depuis l'application pour effectuer ces actions. Cependant, l'application appelant le service doit avoir suffisamment d'autorisation.
Lorsqu'une application a besoin d'**exécuter des actions en tant qu'utilisateur privilégié**, au lieu d'exécuter l'application en tant qu'utilisateur privilégié, elle installe généralement en tant que root un HelperTool en tant que service XPC qui peut être appelé depuis l'application pour effectuer ces actions. Cependant, l'application appelant le service doit avoir suffisamment d'autorisation.
### ShouldAcceptNewConnection toujours OUI
@ -172,15 +172,15 @@ block(authRightName, authRightDefault, authRightDesc);
}];
}
```
Cela signifie qu'à la fin de ce processus, les autorisations déclarées à l'intérieur de `commandInfo` seront stockées dans `/var/db/auth.db`. Notez comment vous pouvez trouver pour **chaque méthode** qui nécessitera une **authentification**, **le nom de la permission** et le **`kCommandKeyAuthRightDefault`**. Ce dernier **indique qui peut obtenir ce droit**.
Cela signifie qu'à la fin de ce processus, les autorisations déclarées à l'intérieur de `commandInfo` seront stockées dans `/var/db/auth.db`. Notez comment vous pouvez trouver pour **chaque méthode** qui nécessitera une **authentification**, **nom de l'autorisation** et le **`kCommandKeyAuthRightDefault`**. Ce dernier **indique qui peut obtenir ce droit**.
Il existe différents scopes pour indiquer qui peut accéder à un droit. Certains d'entre eux sont définis dans [AuthorizationDB.h](https://github.com/aosm/Security/blob/master/Security/libsecurity_authorization/lib/AuthorizationDB.h) (vous pouvez trouver [tous ici](https://www.dssw.co.uk/reference/authorization-rights/)), mais en résumé :
Il existe différents portées pour indiquer qui peut accéder à un droit. Certaines d'entre elles sont définies dans [AuthorizationDB.h](https://github.com/aosm/Security/blob/master/Security/libsecurity_authorization/lib/AuthorizationDB.h) (vous pouvez trouver [toutes ici](https://www.dssw.co.uk/reference/authorization-rights/)), mais en résumé :
<table><thead><tr><th width="284.3333333333333">Nom</th><th width="165">Valeur</th><th>Description</th></tr></thead><tbody><tr><td>kAuthorizationRuleClassAllow</td><td>allow</td><td>Tout le monde</td></tr><tr><td>kAuthorizationRuleClassDeny</td><td>deny</td><td>Personne</td></tr><tr><td>kAuthorizationRuleIsAdmin</td><td>is-admin</td><td>L'utilisateur actuel doit être un admin (dans le groupe admin)</td></tr><tr><td>kAuthorizationRuleAuthenticateAsSessionUser</td><td>authenticate-session-owner</td><td>Demander à l'utilisateur de s'authentifier.</td></tr><tr><td>kAuthorizationRuleAuthenticateAsAdmin</td><td>authenticate-admin</td><td>Demander à l'utilisateur de s'authentifier. Il doit être un admin (dans le groupe admin)</td></tr><tr><td>kAuthorizationRightRule</td><td>rule</td><td>Spécifier des règles</td></tr><tr><td>kAuthorizationComment</td><td>comment</td><td>Spécifier quelques commentaires supplémentaires sur le droit</td></tr></tbody></table>
<table><thead><tr><th width="284.3333333333333">Nom</th><th width="165">Valeur</th><th>Description</th></tr></thead><tbody><tr><td>kAuthorizationRuleClassAllow</td><td>allow</td><td>Tout le monde</td></tr><tr><td>kAuthorizationRuleClassDeny</td><td>deny</td><td>Personne</td></tr><tr><td>kAuthorizationRuleIsAdmin</td><td>is-admin</td><td>L'utilisateur actuel doit être un administrateur (dans le groupe des administrateurs)</td></tr><tr><td>kAuthorizationRuleAuthenticateAsSessionUser</td><td>authenticate-session-owner</td><td>Demander à l'utilisateur de s'authentifier.</td></tr><tr><td>kAuthorizationRuleAuthenticateAsAdmin</td><td>authenticate-admin</td><td>Demander à l'utilisateur de s'authentifier. Il doit être un administrateur (dans le groupe des administrateurs)</td></tr><tr><td>kAuthorizationRightRule</td><td>rule</td><td>Spécifier des règles</td></tr><tr><td>kAuthorizationComment</td><td>comment</td><td>Spécifier quelques commentaires supplémentaires sur le droit</td></tr></tbody></table>
### Vérification des droits
Dans `HelperTool/HelperTool.m`, la fonction **`readLicenseKeyAuthorization`** vérifie si l'appelant est autorisé à **exécuter cette méthode** en appelant la fonction **`checkAuthorization`**. Cette fonction vérifiera que les **authData** envoyés par le processus appelant ont un **format correct** et ensuite vérifiera **ce qui est nécessaire pour obtenir le droit** d'appeler la méthode spécifique. Si tout se passe bien, l'**`error` retourné sera `nil`** :
Dans `HelperTool/HelperTool.m`, la fonction **`readLicenseKeyAuthorization`** vérifie si l'appelant est autorisé à **exécuter cette méthode** en appelant la fonction **`checkAuthorization`**. Cette fonction vérifiera que les **authData** envoyés par le processus appelant ont un **format correct** et ensuite vérifiera **ce qui est nécessaire pour obtenir le droit** d'appeler la méthode spécifique. Si tout se passe bien, l'**erreur retournée sera `nil`** :
```objectivec
- (NSError *)checkAuthorization:(NSData *)authData command:(SEL)command
{
@ -273,7 +273,7 @@ authenticate-session-owner, authenticate-session-owner-or-admin, authenticate-se
### Checking if EvenBetterAuthorization is used
Si vous trouvez la fonction : **`[HelperTool checkAuthorization:command:]`**, il est probable que le processus utilise le schéma mentionné précédemment pour l'autorisation :
If you find the function: **`[HelperTool checkAuthorization:command:]`** il est probable que le processus utilise le schéma mentionné précédemment pour l'autorisation :
<figure><img src="../../../../../images/image (42).png" alt=""><figcaption></figcaption></figure>
@ -409,7 +409,7 @@ NSLog(@"Response: %@", error);
NSLog(@"Finished!");
}
```
## Autres helpers de privilèges XPC abusés
## Autres helpers de privilège XPC abusés
- [https://blog.securelayer7.net/applied-endpointsecurity-framework-previlege-escalation/?utm_source=pocket_shared](https://blog.securelayer7.net/applied-endpointsecurity-framework-previlege-escalation/?utm_source=pocket_shared)

2
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-connecting-process-check/macos-pid-reuse.md
View File

@ -4,7 +4,7 @@
## Réutilisation de PID
Lorsqu'un **service XPC** macOS vérifie le processus appelé en fonction du **PID** et non du **jeton d'audit**, il est vulnérable à une attaque de réutilisation de PID. Cette attaque repose sur une **condition de course** où un **exploit** va **envoyer des messages au service XPC** **abusant** de la fonctionnalité et juste **après** cela, exécuter **`posix_spawn(NULL, target_binary, NULL, &attr, target_argv, environ)`** avec le binaire **autorisé**.
Lorsqu'un **service XPC** macOS vérifie le processus appelé en fonction du **PID** et non du **jeton d'audit**, il est vulnérable à une attaque de réutilisation de PID. Cette attaque est basée sur une **condition de course** où un **exploit** va **envoyer des messages au service XPC** **abusant** de la fonctionnalité et juste **après** cela, exécuter **`posix_spawn(NULL, target_binary, NULL, &attr, target_argv, environ)`** avec le binaire **autorisé**.
Cette fonction fera en sorte que le **binaire autorisé possède le PID**, mais le **message XPC malveillant aurait été envoyé** juste avant. Donc, si le service **XPC** **utilise** le **PID** pour **authentifier** l'expéditeur et le vérifie **APRÈS** l'exécution de **`posix_spawn`**, il pensera qu'il provient d'un processus **autorisé**.

16
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-connecting-process-check/macos-xpc_connection_get_audit_token-attack.md
View File

@ -34,7 +34,7 @@ Ce qui est intéressant à savoir, c'est que **l'abstraction de XPC est une conn
Bien que la situation précédente semble prometteuse, il existe certains scénarios où cela ne posera pas de problèmes ([d'ici](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing)) :
- Les jetons d'audit sont souvent utilisés pour un contrôle d'autorisation afin de décider d'accepter une connexion. Comme cela se produit en utilisant un message vers le port de service, **aucune connexion n'est encore établie**. D'autres messages sur ce port seront simplement traités comme des demandes de connexion supplémentaires. Ainsi, tous les **contrôles avant d'accepter une connexion ne sont pas vulnérables** (cela signifie également que dans `-listener:shouldAcceptNewConnection:`, le jeton d'audit est sûr). Nous recherchons donc **des connexions XPC qui vérifient des actions spécifiques**.
- Les gestionnaires d'événements XPC sont traités de manière synchrone. Cela signifie que le gestionnaire d'événements pour un message doit être complété avant d'appeler celui pour le suivant, même sur des files d'attente de dispatch concurrentes. Ainsi, à l'intérieur d'un **gestionnaire d'événements XPC, le jeton d'audit ne peut pas être écrasé** par d'autres messages normaux (non-réponse !).
- Les gestionnaires d'événements XPC sont traités de manière synchrone. Cela signifie que le gestionnaire d'événements pour un message doit être complété avant de l'appeler pour le suivant, même sur des files d'attente de dispatch concurrentes. Ainsi, à l'intérieur d'un **gestionnaire d'événements XPC, le jeton d'audit ne peut pas être écrasé** par d'autres messages normaux (non-réponse !).
Deux méthodes différentes par lesquelles cela pourrait être exploitable :
@ -62,22 +62,22 @@ Scénario :
- Pour ce contrôle d'autorisation, **`A`** obtient le jeton d'audit de manière asynchrone, par exemple en appelant `xpc_connection_get_audit_token` depuis **`dispatch_async`**.
> [!CAUTION]
> Dans ce cas, un attaquant pourrait déclencher une **Condition de course** en réalisant un **exploit** qui **demande à A d'effectuer une action** plusieurs fois tout en faisant **B envoyer des messages à `A`**. Lorsque la RC est **réussie**, le **jeton d'audit** de **B** sera copié en mémoire **tandis que** la demande de notre **exploit** est en cours de **traitement** par A, lui donnant **accès à l'action privilégiée que seul B pouvait demander**.
> Dans ce cas, un attaquant pourrait déclencher une **Condition de course** en faisant un **exploit** qui **demande à A d'effectuer une action** plusieurs fois tout en faisant **B envoyer des messages à `A`**. Lorsque la RC est **réussie**, le **jeton d'audit** de **B** sera copié en mémoire **tandis que** la demande de notre **exploit** est en cours de **traitement** par A, lui donnant **accès à l'action privilégiée que seul B pouvait demander**.
Cela s'est produit avec **`A`** en tant que `smd` et **`B`** en tant que `diagnosticd`. La fonction [`SMJobBless`](https://developer.apple.com/documentation/servicemanagement/1431078-smjobbless?language=objc) de smb peut être utilisée pour installer un nouvel outil d'assistance privilégié (en tant que **root**). Si un **processus fonctionnant en tant que root contacte** **smd**, aucun autre contrôle ne sera effectué.
Cela s'est produit avec **`A`** en tant que `smd` et **`B`** en tant que `diagnosticd`. La fonction [`SMJobBless`](https://developer.apple.com/documentation/servicemanagement/1431078-smjobbless?language=objc) de smb peut être utilisée pour installer un nouvel outil d'assistance privilégié (en tant que **root**). Si un **processus s'exécutant en tant que root contacte** **smd**, aucun autre contrôle ne sera effectué.
Par conséquent, le service **B** est **`diagnosticd`** car il fonctionne en tant que **root** et peut être utilisé pour **surveiller** un processus, donc une fois la surveillance commencée, il **enverra plusieurs messages par seconde.**
Pour effectuer l'attaque :
1. Initier une **connexion** au service nommé `smd` en utilisant le protocole XPC standard.
2. Former une **connexion** secondaire à `diagnosticd`. Contrairement à la procédure normale, plutôt que de créer et d'envoyer deux nouveaux mach ports, le droit d'envoi du port client est remplacé par un duplicata du **droit d'envoi** associé à la connexion `smd`.
2. Former une **connexion** secondaire à `diagnosticd`. Contrairement à la procédure normale, plutôt que de créer et d'envoyer deux nouveaux mach ports, le droit d'envoi du port client est substitué par un duplicata du **droit d'envoi** associé à la connexion `smd`.
3. En conséquence, les messages XPC peuvent être dispatchés à `diagnosticd`, mais les réponses de `diagnosticd` sont redirigées vers `smd`. Pour `smd`, il semble que les messages de l'utilisateur et de `diagnosticd` proviennent de la même connexion.
![Image décrivant le processus d'exploit](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing/exploit.png)
4. L'étape suivante consiste à demander à `diagnosticd` de commencer à surveiller un processus choisi (potentiellement celui de l'utilisateur). En même temps, un flot de messages 1004 de routine est envoyé à `smd`. L'intention ici est d'installer un outil avec des privilèges élevés.
5. Cette action déclenche une condition de course dans la fonction `handle_bless`. Le timing est critique : l'appel de la fonction `xpc_connection_get_pid` doit renvoyer le PID du processus de l'utilisateur (car l'outil privilégié réside dans le bundle de l'application de l'utilisateur). Cependant, la fonction `xpc_connection_get_audit_token`, spécifiquement dans la sous-routine `connection_is_authorized`, doit faire référence au jeton d'audit appartenant à `diagnosticd`.
5. Cette action déclenche une condition de course dans la fonction `handle_bless`. Le timing est critique : l'appel de la fonction `xpc_connection_get_pid` doit renvoyer le PID du processus de l'utilisateur (car l'outil privilégié se trouve dans le bundle de l'application de l'utilisateur). Cependant, la fonction `xpc_connection_get_audit_token`, spécifiquement dans la sous-routine `connection_is_authorized`, doit faire référence au jeton d'audit appartenant à `diagnosticd`.
## Variante 2 : transfert de réponse
@ -109,9 +109,9 @@ Voici une représentation visuelle du scénario d'attaque décrit :
## Problèmes de découverte
- **Difficultés à localiser des instances** : La recherche d'instances d'utilisation de `xpc_connection_get_audit_token` était difficile, tant statiquement que dynamiquement.
- **Difficultés à localiser des instances** : La recherche d'instances d'utilisation de `xpc_connection_get_audit_token` a été difficile, tant statiquement que dynamiquement.
- **Méthodologie** : Frida a été utilisée pour accrocher la fonction `xpc_connection_get_audit_token`, filtrant les appels ne provenant pas des gestionnaires d'événements. Cependant, cette méthode était limitée au processus accroché et nécessitait une utilisation active.
- **Outils d'analyse** : Des outils comme IDA/Ghidra ont été utilisés pour examiner les services mach accessibles, mais le processus était long, compliqué par les appels impliquant le cache partagé dyld.
- **Outils d'analyse** : Des outils comme IDA/Ghidra ont été utilisés pour examiner les services mach accessibles, mais le processus était long, compliqué par des appels impliquant le cache partagé dyld.
- **Limitations de script** : Les tentatives de script de l'analyse pour les appels à `xpc_connection_get_audit_token` à partir de blocs `dispatch_async` ont été entravées par des complexités dans l'analyse des blocs et les interactions avec le cache partagé dyld.
## La solution <a href="#the-fix" id="the-fix"></a>
@ -119,7 +119,7 @@ Voici une représentation visuelle du scénario d'attaque décrit :
- **Problèmes signalés** : Un rapport a été soumis à Apple détaillant les problèmes généraux et spécifiques trouvés dans `smd`.
- **Réponse d'Apple** : Apple a abordé le problème dans `smd` en remplaçant `xpc_connection_get_audit_token` par `xpc_dictionary_get_audit_token`.
- **Nature de la solution** : La fonction `xpc_dictionary_get_audit_token` est considérée comme sécurisée car elle récupère le jeton d'audit directement à partir du message mach lié au message XPC reçu. Cependant, elle ne fait pas partie de l'API publique, tout comme `xpc_connection_get_audit_token`.
- **Absence de solution plus large** : Il reste flou pourquoi Apple n'a pas mis en œuvre une solution plus complète, comme le rejet des messages ne s'alignant pas avec le jeton d'audit enregistré de la connexion. La possibilité de changements légitimes de jeton d'audit dans certains scénarios (par exemple, l'utilisation de `setuid`) pourrait être un facteur.
- **Absence de solution plus large** : Il reste flou pourquoi Apple n'a pas mis en œuvre une solution plus complète, comme le rejet des messages ne s'alignant pas avec le jeton d'audit enregistré de la connexion. La possibilité de changements légitimes de jeton d'audit dans certains scénarios (par exemple, utilisation de `setuid`) pourrait être un facteur.
- **Statut actuel** : Le problème persiste dans iOS 17 et macOS 14, posant un défi pour ceux qui cherchent à l'identifier et à le comprendre.
{{#include ../../../../../../banners/hacktricks-training.md}}

4
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-java-apps-injection.md
View File

@ -126,7 +126,7 @@ open --env "_JAVA_OPTIONS='-javaagent:/tmp/Agent.jar'" -a "Burp Suite Profession
## fichier vmoptions
Ce fichier prend en charge la spécification des **params Java** lors de l'exécution de Java. Vous pourriez utiliser certains des trucs précédents pour changer les params java et **faire exécuter des commandes arbitraires** au processus.\
De plus, ce fichier peut également **inclure d'autres** avec le répertoire `include`, vous pourriez donc également modifier un fichier inclus.
De plus, ce fichier peut également **inclure d'autres** avec le répertoire `include`, vous pourriez donc également changer un fichier inclus.
Encore plus, certaines applications Java **chargeront plus d'un fichier `vmoptions`**.
@ -141,7 +141,7 @@ Certaines applications comme Android Studio indiquent dans leur **sortie où ell
2023-12-13 19:53:23.922 studio[74913:581359] parseVMOptions: /Users/carlospolop/Library/Application Support/Google/AndroidStudio2022.3/studio.vmoptions
2023-12-13 19:53:23.923 studio[74913:581359] parseVMOptions: platform=20 user=1 file=/Users/carlospolop/Library/Application Support/Google/AndroidStudio2022.3/studio.vmoptions
```
Si ils ne le font pas, vous pouvez facilement vérifier cela avec :
S'ils ne le font pas, vous pouvez facilement vérifier cela avec :
```bash
# Monitor
sudo eslogger lookup | grep vmoption # Give FDA to the Terminal

18
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-library-injection/README.md
View File

@ -60,7 +60,7 @@ macos-dyld-hijacking-and-dyld_insert_libraries.md
> N'oubliez pas que **les restrictions de validation de bibliothèque précédentes s'appliquent également** pour effectuer des attaques de détournement de Dylib.
Comme sous Windows, sur MacOS, vous pouvez également **détourner des dylibs** pour faire **exécuter** **du code** **arbitraire** par des **applications** (en fait, cela pourrait ne pas être possible pour un utilisateur régulier car vous pourriez avoir besoin d'une autorisation TCC pour écrire à l'intérieur d'un bundle `.app` et détourner une bibliothèque).\
Cependant, la façon dont les applications **MacOS** **chargent** des bibliothèques est **plus restreinte** que sous Windows. Cela implique que les développeurs de **malware** peuvent toujours utiliser cette technique pour le **stealth**, mais la probabilité de pouvoir **abuser de cela pour élever les privilèges est beaucoup plus faible**.
Cependant, la façon dont les applications **MacOS** **chargent** des bibliothèques est **plus restreinte** que sous Windows. Cela implique que les développeurs de **malware** peuvent toujours utiliser cette technique pour le **stealth**, mais la probabilité de pouvoir **en abuser pour élever les privilèges est beaucoup plus faible**.
Tout d'abord, il est **plus courant** de trouver que les **binaires MacOS indiquent le chemin complet** vers les bibliothèques à charger. Et deuxièmement, **MacOS ne recherche jamais** dans les dossiers du **$PATH** pour les bibliothèques.
@ -69,7 +69,7 @@ La **partie principale** du **code** liée à cette fonctionnalité se trouve da
Il y a **4 commandes d'en-tête différentes** qu'un binaire macho peut utiliser pour charger des bibliothèques :
- La commande **`LC_LOAD_DYLIB`** est la commande courante pour charger un dylib.
- La commande **`LC_LOAD_WEAK_DYLIB`** fonctionne comme la précédente, mais si le dylib n'est pas trouvé, l'exécution se poursuit sans aucune erreur.
- La commande **`LC_LOAD_WEAK_DYLIB`** fonctionne comme la précédente, mais si le dylib n'est pas trouvé, l'exécution continue sans aucune erreur.
- La commande **`LC_REEXPORT_DYLIB`** proxy (ou ré-exporte) les symboles d'une bibliothèque différente.
- La commande **`LC_LOAD_UPWARD_DYLIB`** est utilisée lorsque deux bibliothèques dépendent l'une de l'autre (c'est ce qu'on appelle une _dépendance ascendante_).
@ -90,7 +90,7 @@ compatibility version 1.0.0
- **Configuré avec @rpath** : Les binaires Mach-O peuvent avoir les commandes **`LC_RPATH`** et **`LC_LOAD_DYLIB`**. En fonction des **valeurs** de ces commandes, les **bibliothèques** vont être **chargées** à partir de **différents répertoires**.
- **`LC_RPATH`** contient les chemins de certains dossiers utilisés pour charger des bibliothèques par le binaire.
- **`LC_LOAD_DYLIB`** contient le chemin vers des bibliothèques spécifiques à charger. Ces chemins peuvent contenir **`@rpath`**, qui sera **remplacé** par les valeurs dans **`LC_RPATH`**. S'il y a plusieurs chemins dans **`LC_RPATH`**, tous seront utilisés pour rechercher la bibliothèque à charger. Exemple :
- Si **`LC_LOAD_DYLIB`** contient `@rpath/library.dylib` et **`LC_RPATH`** contient `/application/app.app/Contents/Framework/v1/` et `/application/app.app/Contents/Framework/v2/`. Les deux dossiers vont être utilisés pour charger `library.dylib`**.** Si la bibliothèque n'existe pas dans `[...]/v1/` et qu'un attaquant pouvait la placer là pour détourner le chargement de la bibliothèque dans `[...]/v2/` car l'ordre des chemins dans **`LC_LOAD_DYLIB`** est suivi.
- Si **`LC_LOAD_DYLIB`** contient `@rpath/library.dylib` et **`LC_RPATH`** contient `/application/app.app/Contents/Framework/v1/` et `/application/app.app/Contents/Framework/v2/`. Les deux dossiers seront utilisés pour charger `library.dylib`**.** Si la bibliothèque n'existe pas dans `[...]/v1/` et qu'un attaquant pouvait la placer là pour détourner le chargement de la bibliothèque dans `[...]/v2/` car l'ordre des chemins dans **`LC_LOAD_DYLIB`** est suivi.
- **Trouvez des chemins rpath et des bibliothèques** dans les binaires avec : `otool -l </path/to/binary> | grep -E "LC_RPATH|LC_LOAD_DYLIB" -A 5`
> [!NOTE] > **`@executable_path`** : Est le **chemin** vers le répertoire contenant le **fichier exécutable principal**.
@ -119,7 +119,7 @@ macos-dyld-hijacking-and-dyld_insert_libraries.md
D'après **`man dlopen`** :
- Lorsque le chemin **ne contient pas de caractère slash** (c'est-à-dire que c'est juste un nom de feuille), **dlopen() fera une recherche**. Si **`$DYLD_LIBRARY_PATH`** a été défini au lancement, dyld regardera d'abord **dans ce répertoire**. Ensuite, si le fichier macho appelant ou l'exécutable principal spécifient un **`LC_RPATH`**, alors dyld regardera **dans ces** répertoires. Ensuite, si le processus est **non restreint**, dyld recherchera dans le **répertoire de travail actuel**. Enfin, pour les anciens binaires, dyld essaiera quelques solutions de secours. Si **`$DYLD_FALLBACK_LIBRARY_PATH`** a été défini au lancement, dyld recherchera **dans ces répertoires**, sinon, dyld regardera dans **`/usr/local/lib/`** (si le processus est non restreint), puis dans **`/usr/lib/`** (cette info a été prise de **`man dlopen`**).
- Lorsque le chemin **ne contient pas de caractère slash** (c'est-à-dire que c'est juste un nom de feuille), **dlopen() fera une recherche**. Si **`$DYLD_LIBRARY_PATH`** a été défini au lancement, dyld regardera d'abord **dans ce répertoire**. Ensuite, si le fichier macho appelant ou l'exécutable principal spécifient un **`LC_RPATH`**, alors dyld regardera **dans ces** répertoires. Ensuite, si le processus est **non restreint**, dyld recherchera dans le **répertoire de travail actuel**. Enfin, pour les anciens binaires, dyld essaiera quelques solutions de secours. Si **`$DYLD_FALLBACK_LIBRARY_PATH`** a été défini au lancement, dyld recherchera **dans ces répertoires**, sinon, dyld regardera dans **`/usr/local/lib/`** (si le processus est non restreint), puis dans **`/usr/lib/`** (cette info a été tirée de **`man dlopen`**).
1. `$DYLD_LIBRARY_PATH`
2. `LC_RPATH`
3. `CWD`(si non restreint)
@ -131,9 +131,9 @@ D'après **`man dlopen`** :
> S'il n'y a pas de slash dans le nom, il y aurait 2 façons de faire un détournement :
>
> - Si un **`LC_RPATH`** est **écrivable** (mais la signature est vérifiée, donc pour cela, vous avez également besoin que le binaire soit non restreint)
> - Si le binaire est **non restreint** et qu'il est alors possible de charger quelque chose depuis le CWD (ou en abusant de l'une des variables d'environnement mentionnées)
> - Si le binaire est **non restreint** et qu'il est alors possible de charger quelque chose depuis le CWD (ou d'abuser de l'une des variables d'environnement mentionnées)
- Lorsque le chemin **ressemble à un chemin de framework** (par exemple, `/stuff/foo.framework/foo`), si **`$DYLD_FRAMEWORK_PATH`** a été défini au lancement, dyld regardera d'abord dans ce répertoire pour le **chemin partiel du framework** (par exemple, `foo.framework/foo`). Ensuite, dyld essaiera le **chemin fourni tel quel** (en utilisant le répertoire de travail actuel pour les chemins relatifs). Enfin, pour les anciens binaires, dyld essaiera quelques solutions de secours. Si **`$DYLD_FALLBACK_FRAMEWORK_PATH`** a été défini au lancement, dyld recherchera dans ces répertoires. Sinon, il recherchera **`/Library/Frameworks`** (sur macOS si le processus est non restreint), puis **`/System/Library/Frameworks`**.
- Lorsque le chemin **ressemble à un chemin de framework** (par exemple, `/stuff/foo.framework/foo`), si **`$DYLD_FRAMEWORK_PATH`** a été défini au lancement, dyld regardera d'abord dans ce répertoire pour le **chemin partiel du framework** (par exemple, `foo.framework/foo`). Ensuite, dyld essaiera le **chemin fourni tel quel** (en utilisant le répertoire de travail actuel pour les chemins relatifs). Enfin, pour les anciens binaires, dyld essaiera quelques solutions de secours. Si **`$DYLD_FALLBACK_FRAMEWORK_PATH`** a été défini au lancement, dyld recherchera ces répertoires. Sinon, il recherchera **`/Library/Frameworks`** (sur macOS si le processus est non restreint), puis **`/System/Library/Frameworks`**.
1. `$DYLD_FRAMEWORK_PATH`
2. chemin fourni (en utilisant le répertoire de travail actuel pour les chemins relatifs si non restreint)
3. `$DYLD_FALLBACK_FRAMEWORK_PATH`
@ -155,7 +155,7 @@ D'après **`man dlopen`** :
> [!CAUTION]
> S'il y a des slashes dans le nom et que ce n'est pas un framework, la façon de le détourner serait :
>
> - Si le binaire est **non restreint** et qu'il est alors possible de charger quelque chose depuis le CWD ou `/usr/local/lib` (ou en abusant de l'une des variables d'environnement mentionnées)
> - Si le binaire est **non restreint** et qu'il est alors possible de charger quelque chose depuis le CWD ou `/usr/local/lib` (ou d'abuser de l'une des variables d'environnement mentionnées)
> [!NOTE]
> Note : Il n'y a **pas** de fichiers de configuration pour **contrôler la recherche de dlopen**.
@ -225,7 +225,7 @@ Dans le fichier `dyld-dyld-832.7.1/src/dyld2.cpp`, il est possible de trouver la
Elle mettra également à **null** spécifiquement les variables d'environnement **`DYLD_FALLBACK_FRAMEWORK_PATH`** et **`DYLD_FALLBACK_LIBRARY_PATH`** pour les binaires **suid** et **sgid**.
Cette fonction est appelée depuis la fonction **`_main`** du même fichier si l'on cible OSX de cette manière :
Cette fonction est appelée depuis la fonction **`_main`** du même fichier si l'on cible OSX comme ceci :
```cpp
#if TARGET_OS_OSX
if ( !gLinkContext.allowEnvVarsPrint && !gLinkContext.allowEnvVarsPath && !gLinkContext.allowEnvVarsSharedCache ) {
@ -307,7 +307,7 @@ codesign -f -s <cert-name> --option=restrict hello-signed
DYLD_INSERT_LIBRARIES=inject.dylib ./hello-signed # Won't work
```
> [!CAUTION]
> Notez que même s'il existe des binaires signés avec les drapeaux **`0x0(none)`**, ils peuvent obtenir dynamiquement le drapeau **`CS_RESTRICT`** lorsqu'ils sont exécutés et donc cette technique ne fonctionnera pas sur eux.
> Notez que même s'il existe des binaires signés avec les drapeaux **`0x0(none)`**, ils peuvent obtenir le drapeau **`CS_RESTRICT`** dynamiquement lors de leur exécution et donc cette technique ne fonctionnera pas sur eux.
>
> Vous pouvez vérifier si un processus a ce drapeau avec (obtenez [**csops ici**](https://github.com/axelexic/CSOps)):
>

10
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-library-injection/macos-dyld-hijacking-and-dyld_insert_libraries.md
View File

@ -37,7 +37,7 @@ Injection :
```bash
DYLD_INSERT_LIBRARIES=inject.dylib ./hello
```
## Exemple de détournement de Dyld
## Exemple de Dyld Hijacking
Le binaire vulnérable ciblé est `/Applications/VulnDyld.app/Contents/Resources/lib/binary`.
@ -90,7 +90,7 @@ pwd
find ./ -name lib.dylib
./Contents/Resources/lib2/lib.dylib
```
Donc, il est possible de le détourner ! Créez une bibliothèque qui **exécute un code arbitraire et exporte les mêmes fonctionnalités** que la bibliothèque légitime en les réexportant. Et n'oubliez pas de la compiler avec les versions attendues :
Donc, il est possible de le détourner ! Créez une bibliothèque qui **exécute un code arbitraire et exporte les mêmes fonctionnalités** que la bibliothèque légitime en la réexportant. Et n'oubliez pas de la compiler avec les versions attendues :
```objectivec:lib.m
#import <Foundation/Foundation.h>
@ -133,11 +133,11 @@ Et **exécutez** le binaire et vérifiez que la **bibliothèque a été chargée
</code></pre>
> [!NOTE]
> Un bon article sur la façon d'exploiter cette vulnérabilité pour abuser des autorisations de caméra de telegram peut être trouvé à [https://danrevah.github.io/2023/05/15/CVE-2023-26818-Bypass-TCC-with-Telegram/](https://danrevah.github.io/2023/05/15/CVE-2023-26818-Bypass-TCC-with-Telegram/)
> Un bon article sur la façon d'exploiter cette vulnérabilité pour abuser des autorisations de caméra de Telegram peut être trouvé à [https://danrevah.github.io/2023/05/15/CVE-2023-26818-Bypass-TCC-with-Telegram/](https://danrevah.github.io/2023/05/15/CVE-2023-26818-Bypass-TCC-with-Telegram/)
## Plus grande échelle
## Plus Grande Échelle
Si vous prévoyez d'essayer d'injecter des bibliothèques dans des binaires inattendus, vous pourriez vérifier les messages d'événements pour découvrir quand la bibliothèque est chargée à l'intérieur d'un processus (dans ce cas, supprimez le printf et l'exécution de `/bin/bash`).
Si vous prévoyez d'essayer d'injecter des bibliothèques dans des binaires inattendus, vous pourriez vérifier les messages d'événements pour découvrir quand la bibliothèque est chargée à l'intérieur d'un processus (dans ce cas, retirez le printf et l'exécution de `/bin/bash`).
```bash
sudo log stream --style syslog --predicate 'eventMessage CONTAINS[c] "[+] dylib"'
```

14
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-library-injection/macos-dyld-process.md
View File

@ -4,18 +4,18 @@
## Informations de base
Le véritable **point d'entrée** d'un binaire Mach-o est le lien dynamique, défini dans `LC_LOAD_DYLINKER`, généralement `/usr/lib/dyld`.
Le véritable **point d'entrée** d'un binaire Mach-o est le lien dynamique, défini dans `LC_LOAD_DYLINKER`, qui est généralement `/usr/lib/dyld`.
Ce lien devra localiser toutes les bibliothèques exécutables, les mapper en mémoire et lier toutes les bibliothèques non paresseuses. Ce n'est qu'après ce processus que le point d'entrée du binaire sera exécuté.
Bien sûr, **`dyld`** n'a pas de dépendances (il utilise des appels système et des extraits de libSystem).
> [!CAUTION]
> Si ce lien contient une vulnérabilité, comme il est exécuté avant l'exécution de tout binaire (même ceux avec des privilèges élevés), il serait possible d'**escalader les privilèges**.
> Si ce lien contient une vulnérabilité, comme il est exécuté avant d'exécuter tout binaire (même ceux avec des privilèges élevés), il serait possible d'**escalader les privilèges**.
### Flux
Dyld sera chargé par **`dyldboostrap::start`**, qui chargera également des éléments tels que le **canari de pile**. Cela est dû au fait que cette fonction recevra dans son vecteur d'arguments **`apple`** ces valeurs **sensibles**.
Dyld sera chargé par **`dyldboostrap::start`**, qui chargera également des éléments tels que le **canari de pile**. Cela est dû au fait que cette fonction recevra dans son vecteur d'arguments **`apple`** ces valeurs **sensibles** et d'autres.
**`dyls::_main()`** est le point d'entrée de dyld et sa première tâche est d'exécuter `configureProcessRestrictions()`, qui restreint généralement les variables d'environnement **`DYLD_*`** expliquées dans :
@ -28,7 +28,7 @@ Ensuite, il mappe le cache partagé dyld qui prélie tous les systèmes de bibli
1. il commence à charger les bibliothèques insérées avec `DYLD_INSERT_LIBRARIES` (si autorisé)
2. Ensuite, celles mises en cache partagées
3. Puis, celles importées
1. &#x20;Puis continue à importer des bibliothèques récursivement
1. &#x20;Ensuite, continue à importer des bibliothèques récursivement
Une fois que tout est chargé, les **initialisateurs** de ces bibliothèques sont exécutés. Ceux-ci sont codés en utilisant **`__attribute__((constructor))`** défini dans le `LC_ROUTINES[_64]` (désormais obsolète) ou par pointeur dans une section marquée avec `S_MOD_INIT_FUNC_POINTERS` (généralement : **`__DATA.__MOD_INIT_FUNC`**).
@ -180,7 +180,7 @@ il est possible de voir toutes ces valeurs intéressantes en déboguant avant d'
## dyld_all_image_infos
Ceci est une structure exportée par dyld contenant des informations sur l'état de dyld qui peut être trouvée dans le [**code source**](https://opensource.apple.com/source/dyld/dyld-852.2/include/mach-o/dyld_images.h.auto.html) avec des informations comme la version, le pointeur vers le tableau dyld_image_info, vers dyld_image_notifier, si le processus est détaché du cache partagé, si l'initialiseur de libSystem a été appelé, pointeur vers l'en-tête Mach de dyls, pointeur vers la chaîne de version de dyld...
C'est une structure exportée par dyld contenant des informations sur l'état de dyld qui peut être trouvée dans le [**code source**](https://opensource.apple.com/source/dyld/dyld-852.2/include/mach-o/dyld_images.h.auto.html) avec des informations comme la version, le pointeur vers le tableau dyld_image_info, vers dyld_image_notifier, si le processus est détaché du cache partagé, si l'initialiseur de libSystem a été appelé, pointeur vers l'en-tête Mach de dyls, pointeur vers la chaîne de version de dyld...
## dyld env variables
@ -264,12 +264,12 @@ dyld[21623]: running initializer 0x18e59e5c0 in /usr/lib/libSystem.B.dylib
- `DYLD_PRINT_BINDINGS`: Imprimer les symboles lors de la liaison
- `DYLD_WEAK_BINDINGS`: Imprimer uniquement les symboles faibles lors de la liaison
- `DYLD_PRINT_CODE_SIGNATURES`: Imprimer les opérations d'enregistrement de signature de code
- `DYLD_PRINT_DOFS`: Imprimer les sections de format d'objet D-Trace telles que chargées
- `DYLD_PRINT_DOFS`: Imprimer les sections de format d'objet D-Trace lors du chargement
- `DYLD_PRINT_ENV`: Imprimer l'environnement vu par dyld
- `DYLD_PRINT_INTERPOSTING`: Imprimer les opérations d'interposition
- `DYLD_PRINT_LIBRARIES`: Imprimer les bibliothèques chargées
- `DYLD_PRINT_OPTS`: Imprimer les options de chargement
- `DYLD_REBASING`: Imprimer les opérations de rebasing de symboles
- `DYLD_REBASING`: Imprimer les opérations de réaffectation de symboles
- `DYLD_RPATHS`: Imprimer les expansions de @rpath
- `DYLD_PRINT_SEGMENTS`: Imprimer les mappages des segments Mach-O
- `DYLD_PRINT_STATISTICS`: Imprimer les statistiques de timing

2
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-perl-applications-injection.md
View File

@ -10,7 +10,7 @@ Par exemple, créez ce script :
#!/usr/bin/perl
print "Hello from the Perl script!\n";
```
Maintenant, **exportez la variable d'environnement** et exécutez le script **perl** :
Maintenant **exportez la variable d'environnement** et exécutez le script **perl** :
```bash
export PERL5OPT='-Mwarnings;system("whoami")'
perl test.pl # This will execute "whoami"

2
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ruby-applications-injection.md
View File

@ -10,7 +10,7 @@ Créez la bibliothèque **`inject.rb`** dans **`/tmp`** :
```ruby:inject.rb
puts `whoami`
```
Créez n'importe où un script ruby comme :
Créez n'importe où un script Ruby comme :
```ruby:hello.rb
puts 'Hello, World!'
```

12
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/README.md
View File

@ -40,7 +40,7 @@ macos-tcc/
### Contraintes de Lancement/Environnement & Cache de Confiance
Les contraintes de lancement dans macOS sont une fonctionnalité de sécurité pour **réguler l'initiation des processus** en définissant **qui peut lancer** un processus, **comment** et **d'où**. Introduites dans macOS Ventura, elles classifient les binaires système en catégories de contraintes au sein d'un **cache de confiance**. Chaque binaire exécutable a des **règles** définies pour son **lancement**, y compris des contraintes **auto**, **parent** et **responsable**. Étendues aux applications tierces en tant que **Contraintes d'Environnement** dans macOS Sonoma, ces fonctionnalités aident à atténuer les exploitations potentielles du système en régissant les conditions de lancement des processus.
Les contraintes de lancement dans macOS sont une fonctionnalité de sécurité pour **réguler l'initiation des processus** en définissant **qui peut lancer** un processus, **comment** et **d'où**. Introduites dans macOS Ventura, elles catégorisent les binaires système en catégories de contraintes au sein d'un **cache de confiance**. Chaque binaire exécutable a des **règles** définies pour son **lancement**, y compris des contraintes **soi**, **parent** et **responsable**. Étendues aux applications tierces en tant que **Contraintes d'Environnement** dans macOS Sonoma, ces fonctionnalités aident à atténuer les exploitations potentielles du système en régissant les conditions de lancement des processus.
{{#ref}}
macos-launch-environment-constraints.md
@ -50,11 +50,11 @@ macos-launch-environment-constraints.md
L'Outil de Suppression de Malware (MRT) est une autre partie de l'infrastructure de sécurité de macOS. Comme son nom l'indique, la fonction principale de MRT est de **supprimer les malwares connus des systèmes infectés**.
Une fois qu'un malware est détecté sur un Mac (soit par XProtect, soit par d'autres moyens), MRT peut être utilisé pour **supprimer automatiquement le malware**. MRT fonctionne silencieusement en arrière-plan et s'exécute généralement chaque fois que le système est mis à jour ou lorsqu'une nouvelle définition de malware est téléchargée (il semble que les règles que MRT doit suivre pour détecter les malwares se trouvent à l'intérieur du binaire).
Une fois qu'un malware est détecté sur un Mac (soit par XProtect, soit par d'autres moyens), MRT peut être utilisé pour **supprimer automatiquement le malware**. MRT fonctionne silencieusement en arrière-plan et s'exécute généralement chaque fois que le système est mis à jour ou lorsqu'une nouvelle définition de malware est téléchargée (il semble que les règles que MRT doit suivre pour détecter les malwares soient à l'intérieur du binaire).
Bien que XProtect et MRT fassent tous deux partie des mesures de sécurité de macOS, ils remplissent des fonctions différentes :
- **XProtect** est un outil préventif. Il **vérifie les fichiers au fur et à mesure de leur téléchargement** (via certaines applications), et s'il détecte des types de malwares connus, il **empêche le fichier de s'ouvrir**, empêchant ainsi le malware d'infecter votre système en premier lieu.
- **XProtect** est un outil préventif. Il **vérifie les fichiers au fur et à mesure de leur téléchargement** (via certaines applications), et s'il détecte des types de malwares connus, il **empêche le fichier de s'ouvrir**, empêchant ainsi le malware d'infecter votre système dès le départ.
- **MRT**, en revanche, est un **outil réactif**. Il fonctionne après qu'un malware a été détecté sur un système, dans le but de supprimer le logiciel incriminé pour nettoyer le système.
L'application MRT se trouve dans **`/Library/Apple/System/Library/CoreServices/MRT.app`**
@ -101,11 +101,11 @@ xattr -rc dumpBTM # Remove quarantine attr
```
Ces informations sont stockées dans **`/private/var/db/com.apple.backgroundtaskmanagement/BackgroundItems-v4.btm`** et le Terminal nécessite FDA.
### Manipulation de BTM
### Manipulation avec BTM
Lorsqu'une nouvelle persistance est trouvée, un événement de type **`ES_EVENT_TYPE_NOTIFY_BTM_LAUNCH_ITEM_ADD`** est généré. Ainsi, toute méthode pour **prévenir** cet **événement** d'être envoyé ou pour empêcher **l'agent d'alerter** l'utilisateur aidera un attaquant à _**contourner**_ BTM.
Lorsqu'une nouvelle persistance est trouvée, un événement de type **`ES_EVENT_TYPE_NOTIFY_BTM_LAUNCH_ITEM_ADD`** est généré. Donc, toute méthode pour **prévenir** cet **événement** d'être envoyé ou pour empêcher **l'agent d'alerter** l'utilisateur aidera un attaquant à _**contourner**_ BTM.
- **Réinitialisation de la base de données** : Exécuter la commande suivante réinitialisera la base de données (devrait la reconstruire depuis le début), cependant, pour une raison quelconque, après avoir exécuté cela, **aucune nouvelle persistance ne sera alertée jusqu'à ce que le système soit redémarré**.
- **Réinitialiser la base de données** : Exécuter la commande suivante réinitialisera la base de données (devrait la reconstruire depuis le début), cependant, pour une raison quelconque, après avoir exécuté cela, **aucune nouvelle persistance ne sera signalée jusqu'à ce que le système soit redémarré**.
- **root** est requis.
```bash
# Reset the database

24
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-amfi-applemobilefileintegrity.md
View File

@ -26,17 +26,17 @@ Voici quelques-unes des politiques MACF qu'il enregistre :
- **`file_check_mmap`:** Il vérifie si mmap acquiert de la mémoire et la définit comme exécutable. Dans ce cas, il vérifie si la validation de la bibliothèque est nécessaire et, si c'est le cas, appelle la fonction de validation de la bibliothèque.
- **`file_check_library_validation`** : Appelle la fonction de validation de la bibliothèque qui vérifie, entre autres, si un binaire de plateforme charge un autre binaire de plateforme ou si le processus et le nouveau fichier chargé ont le même TeamID. Certains droits permettront également de charger n'importe quelle bibliothèque.
- **`policy_initbsd`** : Configure les clés NVRAM de confiance
- **`policy_syscall`**: Il vérifie les politiques DYLD comme si le binaire a des segments non restreints, s'il doit autoriser les variables d'environnement... cela est également appelé lorsqu'un processus est démarré via `amfi_check_dyld_policy_self()`.
- **`policy_syscall`** : Il vérifie les politiques DYLD, comme si le binaire a des segments non restreints, s'il doit autoriser les variables d'environnement... cela est également appelé lorsqu'un processus est démarré via `amfi_check_dyld_policy_self()`.
- **`proc_check_inherit_ipc_ports`** : Il vérifie si, lorsqu'un processus exécute un nouveau binaire, d'autres processus ayant des droits SEND sur le port de tâche du processus doivent les conserver ou non. Les binaires de plateforme sont autorisés, le droit `get-task-allow` le permet, les droits `task_for_pid-allow` sont autorisés et les binaires avec le même TeamID.
- **`proc_check_expose_task`** : applique les droits
- **`amfi_exc_action_check_exception_send`** : Un message d'exception est envoyé au débogueur
- **`amfi_exc_action_label_associate & amfi_exc_action_label_copy/populate & amfi_exc_action_label_destroy & amfi_exc_action_label_init & amfi_exc_action_label_update`** : Cycle de vie de l'étiquette lors du traitement des exceptions (débogage)
- **`proc_check_get_task`**: Vérifie les droits comme `get-task-allow` qui permet à d'autres processus d'obtenir le port de tâches et `task_for_pid-allow`, qui permet au processus d'obtenir les ports de tâches d'autres processus. Si aucun de ceux-ci, il appelle `amfid permitunrestricteddebugging` pour vérifier si c'est autorisé.
- **`proc_check_get_task`** : Vérifie les droits comme `get-task-allow` qui permet à d'autres processus d'obtenir le port des tâches et `task_for_pid-allow`, qui permet au processus d'obtenir les ports des tâches d'autres processus. Si aucun de ceux-ci, il appelle `amfid permitunrestricteddebugging` pour vérifier si c'est autorisé.
- **`proc_check_mprotect`** : Refuser si `mprotect` est appelé avec le drapeau `VM_PROT_TRUSTED` qui indique que la région doit être traitée comme si elle avait une signature de code valide.
- **`vnode_check_exec`** : Est appelé lorsque des fichiers exécutables sont chargés en mémoire et définit `cs_hard | cs_kill` qui tuera le processus si l'une des pages devient invalide
- **`vnode_check_getextattr`** : MacOS : Vérifie `com.apple.root.installed` et `isVnodeQuarantined()`
- **`vnode_check_setextattr`** : Comme get + com.apple.private.allow-bless et droit équivalent d'installateur interne
- &#x20;**`vnode_check_signature`**: Code qui appelle XNU pour vérifier la signature du code en utilisant des droits, le cache de confiance et `amfid`
- &#x20;**`vnode_check_signature`** : Code qui appelle XNU pour vérifier la signature du code en utilisant des droits, un cache de confiance et `amfid`
- &#x20;**`proc_check_run_cs_invalid`** : Il intercepte les appels `ptrace()` (`PT_ATTACH` et `PT_TRACE_ME`). Il vérifie pour l'un des droits `get-task-allow`, `run-invalid-allow` et `run-unsigned-code` et si aucun, il vérifie si le débogage est autorisé.
- **`proc_check_map_anon`** : Si mmap est appelé avec le drapeau **`MAP_JIT`**, AMFI vérifiera le droit `dynamic-codesigning`.
@ -68,17 +68,17 @@ No variant specified, falling back to release
C'est le démon en mode utilisateur que `AMFI.kext` utilisera pour vérifier les signatures de code en mode utilisateur.\
Pour que `AMFI.kext` communique avec le démon, il utilise des messages mach via le port `HOST_AMFID_PORT`, qui est le port spécial `18`.
Notez qu'il n'est plus possible pour les processus root de détourner des ports spéciaux sous macOS, car ils sont protégés par `SIP` et seul launchd peut y accéder. Dans iOS, il est vérifié que le processus renvoyant la réponse a le CDHash codé en dur de `amfid`.
Notez qu'il n'est plus possible dans macOS pour les processus root de détourner des ports spéciaux car ils sont protégés par `SIP` et seul launchd peut y accéder. Dans iOS, il est vérifié que le processus renvoyant la réponse a le CDHash codé en dur de `amfid`.
Il est possible de voir quand `amfid` est demandé pour vérifier un binaire et la réponse de celui-ci en le déboguant et en plaçant un point d'arrêt dans `mach_msg`.
Une fois qu'un message est reçu via le port spécial, **MIG** est utilisé pour envoyer chaque fonction à la fonction qu'il appelle. Les principales fonctions ont été inversées et expliquées dans le livre.
## Profils de Provisionnement
## Profils de Provisioning
Un profil de provisionnement peut être utilisé pour signer du code. Il existe des profils **Développeur** qui peuvent être utilisés pour signer du code et le tester, et des profils **Entreprise** qui peuvent être utilisés sur tous les appareils.
Un profil de provisioning peut être utilisé pour signer du code. Il existe des profils **Développeur** qui peuvent être utilisés pour signer du code et le tester, et des profils **Entreprise** qui peuvent être utilisés sur tous les appareils.
Après qu'une application soit soumise à l'Apple Store, si elle est approuvée, elle est signée par Apple et le profil de provisionnement n'est plus nécessaire.
Après qu'une application soit soumise à l'Apple Store, si elle est approuvée, elle est signée par Apple et le profil de provisioning n'est plus nécessaire.
Un profil utilise généralement l'extension `.mobileprovision` ou `.provisionprofile` et peut être extrait avec :
```bash
@ -94,25 +94,25 @@ Bien que parfois appelés certifiés, ces profils de provisioning ont plus qu'un
- **AppleInternalProfile :** Désigne ceci comme un profil interne à Apple
- **ApplicationIdentifierPrefix :** Préfixé à AppIDName (identique à TeamIdentifier)
- **CreationDate :** Date au format `YYYY-MM-DDTHH:mm:ssZ`
- **DeveloperCertificates :** Un tableau de certificats (généralement un), encodés en données Base64
- **DeveloperCertificates :** Un tableau de (généralement un) certificat(s), encodé en données Base64
- **Entitlements :** Les droits autorisés avec les droits pour ce profil
- **ExpirationDate :** Date d'expiration au format `YYYY-MM-DDTHH:mm:ssZ`
- **Name :** Le nom de l'application, identique à AppIDName
- **ProvisionedDevices :** Un tableau (pour les certificats de développeur) de UDIDs pour lesquels ce profil est valide
- **ProvisionsAllDevices :** Un booléen (vrai pour les certificats d'entreprise)
- **TeamIdentifier :** Un tableau de chaînes alphanumériques (généralement une) utilisées pour identifier le développeur à des fins d'interaction entre applications
- **TeamIdentifier :** Un tableau de (généralement un) ou plusieurs chaînes alphanumériques utilisées pour identifier le développeur à des fins d'interaction entre applications
- **TeamName :** Un nom lisible par l'homme utilisé pour identifier le développeur
- **TimeToLive :** Validité (en jours) du certificat
- **UUID :** Un identifiant unique universel pour ce profil
- **Version :** Actuellement défini sur 1
Notez que l'entrée des droits contiendra un ensemble restreint de droits et le profil de provisioning ne pourra donner que ces droits spécifiques pour éviter de donner des droits privés à Apple.
Notez que l'entrée des droits contiendra un ensemble restreint de droits et que le profil de provisioning ne pourra donner que ces droits spécifiques pour éviter de donner des droits privés à Apple.
Notez que les profils sont généralement situés dans `/var/MobileDeviceProvisioningProfiles` et il est possible de les vérifier avec **`security cms -D -i /path/to/profile`**
Notez que les profils se trouvent généralement dans `/var/MobileDeviceProvisioningProfiles` et qu'il est possible de les vérifier avec **`security cms -D -i /path/to/profile`**
## **libmis.dyld**
C'est la bibliothèque externe que `amfid` appelle pour demander s'il doit autoriser quelque chose ou non. Cela a été historiquement abusé dans le jailbreak en exécutant une version backdoor de celle-ci qui permettrait tout.
C'est la bibliothèque externe que `amfid` appelle pour demander s'il doit autoriser quelque chose ou non. Cela a été historiquement abusé dans le jailbreak en exécutant une version backdoorée qui permettrait tout.
Dans macOS, cela se trouve dans `MobileDevice.framework`.

6
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-code-signing.md
View File

@ -106,7 +106,7 @@ Notez qu'il existe différentes versions de cette structure où les anciennes pe
## Pages de signature de code
Hacher le binaire complet serait inefficace et même inutile s'il n'est chargé en mémoire que partiellement. Par conséquent, la signature de code est en réalité un hachage de hachages où chaque page binaire est hachée individuellement.\
En fait, dans le code du **répertoire de code** précédent, vous pouvez voir que la **taille de la page est spécifiée** dans l'un de ses champs. De plus, si la taille du binaire n'est pas un multiple de la taille d'une page, le champ **CodeLimit** spécifie où se termine la signature.
En fait, dans le code **Code Directory** précédent, vous pouvez voir que la **taille de la page est spécifiée** dans l'un de ses champs. De plus, si la taille du binaire n'est pas un multiple de la taille d'une page, le champ **CodeLimit** spécifie où se termine la signature.
```bash
# Get all hashes of /bin/ps
codesign -d -vvvvvv /bin/ps
@ -211,11 +211,11 @@ Notez que la fonction [**exec_mach_imgact**](https://github.com/apple-oss-distri
## Exigences de signature de code
Chaque application stocke des **exigences** qu'elle doit **satisfaire** pour pouvoir être exécutée. Si les **exigences de l'application ne sont pas satisfaites**, elle ne sera pas exécutée (car elle a probablement été modifiée).
Chaque application stocke des **exigences** qu'elle doit **satisfaire** pour pouvoir être exécutée. Si les **exigences de l'application ne sont pas satisfaites par l'application**, elle ne sera pas exécutée (car elle a probablement été modifiée).
Les exigences d'un binaire utilisent une **grammaire spéciale** qui est un flux d'**expressions** et sont encodées sous forme de blobs en utilisant `0xfade0c00` comme magie dont le **hash est stocké dans un emplacement de code spécial**.
Les exigences d'un binaire peuvent être consultées en exécutant :
Les exigences d'un binaire peuvent être vues en exécutant :
```bash
codesign -d -r- /bin/ls
Executable=/bin/ls

16
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-dangerous-entitlements.md
View File

@ -29,11 +29,11 @@ Les applications avec le droit d'outil de débogage peuvent appeler `task_for_pi
### `com.apple.security.cs.disable-library-validation`
Ce droit permet de **charger des frameworks, des plug-ins ou des bibliothèques sans être signés par Apple ou signés avec le même ID d'équipe** que l'exécutable principal, donc un attaquant pourrait abuser d'un chargement de bibliothèque arbitraire pour injecter du code. Consultez [**ceci pour plus d'infos**](https://developer.apple.com/documentation/bundleresources/entitlements/com_apple_security_cs_disable-library-validation).
Ce droit permet de **charger des frameworks, des plug-ins ou des bibliothèques sans être signés par Apple ou signés avec le même ID d'équipe** que l'exécutable principal, donc un attaquant pourrait abuser de n'importe quelle bibliothèque chargée pour injecter du code. Consultez [**ceci pour plus d'infos**](https://developer.apple.com/documentation/bundleresources/entitlements/com_apple_security_cs_disable-library-validation).
### `com.apple.private.security.clear-library-validation`
Ce droit est très similaire à **`com.apple.security.cs.disable-library-validation`** mais **au lieu** de **désactiver directement** la validation des bibliothèques, il permet au processus de **faire un appel système `csops` pour la désactiver**.\
Ce droit est très similaire à **`com.apple.security.cs.disable-library-validation`** mais **au lieu de** **désactiver directement** la validation des bibliothèques, il permet au processus de **faire un appel système `csops` pour la désactiver**.\
Consultez [**ceci pour plus d'infos**](https://theevilbit.github.io/posts/com.apple.private.security.clear-library-validation/).
### `com.apple.security.cs.allow-dyld-environment-variables`
@ -58,7 +58,7 @@ Le droit **`com.apple.private.icloud-account-access`** permet de communiquer ave
**iMovie** et **Garageband** avaient ce droit.
Pour plus **d'informations** sur l'exploit pour **obtenir des tokens iCloud** à partir de ce droit, consultez la conférence : [**#OBTS v5.0 : "Ce qui se passe sur votre Mac, reste sur iCloud d'Apple ?!" - Wojciech Regula**](https://www.youtube.com/watch?v=_6e2LhmxVc0)
Pour plus **d'informations** sur l'exploit pour **obtenir des tokens icloud** à partir de ce droit, consultez la conférence : [**#OBTS v5.0 : "Que se passe-t-il sur votre Mac, reste sur l'iCloud d'Apple ?!" - Wojciech Regula**](https://www.youtube.com/watch?v=_6e2LhmxVc0)
### `com.apple.private.tcc.manager.check-by-audit-token`
@ -66,11 +66,11 @@ TODO : Je ne sais pas ce que cela permet de faire
### `com.apple.private.apfs.revert-to-snapshot`
TODO : Dans [**ce rapport**](https://jhftss.github.io/The-Nightmare-of-Apple-OTA-Update/) **il est mentionné que cela pourrait être utilisé pour** mettre à jour les contenus protégés par SSV après un redémarrage. Si vous savez comment, envoyez un PR s'il vous plaît !
TODO : Dans [**ce rapport**](https://jhftss.github.io/The-Nightmare-of-Apple-OTA-Update/) **il est mentionné que cela pourrait être utilisé pour** mettre à jour le contenu protégé par SSV après un redémarrage. Si vous savez comment, envoyez un PR s'il vous plaît !
### `com.apple.private.apfs.create-sealed-snapshot`
TODO : Dans [**ce rapport**](https://jhftss.github.io/The-Nightmare-of-Apple-OTA-Update/) **il est mentionné que cela pourrait être utilisé pour** mettre à jour les contenus protégés par SSV après un redémarrage. Si vous savez comment, envoyez un PR s'il vous plaît !
TODO : Dans [**ce rapport**](https://jhftss.github.io/The-Nightmare-of-Apple-OTA-Update/) **il est mentionné que cela pourrait être utilisé pour** mettre à jour le contenu protégé par SSV après un redémarrage. Si vous savez comment, envoyez un PR s'il vous plaît !
### `keychain-access-groups`
@ -101,7 +101,7 @@ Ou les amener à effectuer **des actions arbitraires**.
### **`kTCCServiceEndpointSecurityClient`**
Permet, entre autres autorisations, de **modifier la base de données TCC des utilisateurs**.
Permet, entre autres permissions, de **modifier la base de données TCC des utilisateurs**.
### **`kTCCServiceSystemPolicySysAdminFiles`**
@ -117,7 +117,7 @@ Il est possible de vérifier qui a cet accès dans _Paramètres Système_ > _Con
### `kTCCServiceAccessibility`
Le processus pourra **abuser des fonctionnalités d'accessibilité de macOS**, ce qui signifie que, par exemple, il pourra appuyer sur des touches. Il pourrait donc demander l'accès pour contrôler une application comme Finder et approuver la boîte de dialogue avec cette autorisation.
Le processus pourra **abuser des fonctionnalités d'accessibilité de macOS**, ce qui signifie que, par exemple, il pourra appuyer sur des touches. Il pourrait donc demander l'accès pour contrôler une application comme Finder et approuver la boîte de dialogue avec cette permission.
## Moyen
@ -149,7 +149,7 @@ Cette autorisation permet de monter un système de fichiers nullfs (interdit par
### `kTCCServiceAll`
Selon ce billet de blog, cette autorisation TCC se trouve généralement sous la forme :
Selon ce billet de blog, cette permission TCC se trouve généralement sous la forme :
```
[Key] com.apple.private.tcc.allow-prompting
[Value]

18
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-fs-tricks/README.md
View File

@ -14,7 +14,7 @@ Permissions dans un **répertoire** :
### Combinaisons dangereuses
**Comment écraser un fichier/dossier possédé par root**, mais :
**Comment écraser un fichier/dossier appartenant à root**, mais :
- Un **propriétaire de répertoire parent** dans le chemin est l'utilisateur
- Un **propriétaire de répertoire parent** dans le chemin est un **groupe d'utilisateurs** avec **accès en écriture**
@ -34,7 +34,7 @@ Exemple dans : [https://theevilbit.github.io/posts/exploiting_directory_permissi
Si un processus privilégié écrit des données dans un **fichier** qui pourrait être **contrôlé** par un **utilisateur de moindre privilège**, ou qui pourrait avoir été **précédemment créé** par un utilisateur de moindre privilège. L'utilisateur pourrait simplement **le pointer vers un autre fichier** via un lien symbolique ou dur, et le processus privilégié écrira sur ce fichier.
Vérifiez dans les autres sections où un attaquant pourrait **abuser d'une écriture arbitraire pour élever les privilèges**.
Vérifiez dans les autres sections où un attaquant pourrait **abuser d'une écriture arbitraire pour élever ses privilèges**.
### Ouvert `O_NOFOLLOW`
@ -62,13 +62,13 @@ Exemple :
Si un appel à `open` n'a pas le drapeau `O_CLOEXEC`, le descripteur de fichier sera hérité par le processus enfant. Donc, si un processus privilégié ouvre un fichier privilégié et exécute un processus contrôlé par l'attaquant, l'attaquant **héritera le FD sur le fichier privilégié**.
Si vous pouvez faire en sorte qu'un **processus ouvre un fichier ou un dossier avec des privilèges élevés**, vous pouvez abuser de **`crontab`** pour ouvrir un fichier dans `/etc/sudoers.d` avec **`EDITOR=exploit.py`**, de sorte que `exploit.py` obtiendra le FD vers le fichier à l'intérieur de `/etc/sudoers` et en abusant de celui-ci.
Si vous pouvez faire en sorte qu'un **processus ouvre un fichier ou un dossier avec des privilèges élevés**, vous pouvez abuser de **`crontab`** pour ouvrir un fichier dans `/etc/sudoers.d` avec **`EDITOR=exploit.py`**, de sorte que `exploit.py` obtiendra le FD vers le fichier à l'intérieur de `/etc/sudoers` et l'abusera.
Par exemple : [https://youtu.be/f1HA5QhLQ7Y?t=21098](https://youtu.be/f1HA5QhLQ7Y?t=21098), code : https://github.com/gergelykalman/CVE-2023-32428-a-macOS-LPE-via-MallocStackLogging
## Éviter les astuces xattrs de quarantaine
### Supprimer
### Supprimer cela
```bash
xattr -d com.apple.quarantine /path/to/file_or_app
```
@ -248,7 +248,7 @@ hdiutil detach /private/tmp/mnt 1>/dev/null
# You can also create a dmg from an app using:
hdiutil create -srcfolder justsome.app justsome.dmg
```
Habituellement, macOS monte le disque en communiquant avec le service Mach `com.apple.DiskArbitrarion.diskarbitrariond` (fourni par `/usr/libexec/diskarbitrationd`). Si vous ajoutez le paramètre `-d` au fichier plist des LaunchDaemons et redémarrez, il stockera des journaux dans `/var/log/diskarbitrationd.log`.\
Habituellement, macOS monte le disque en communiquant avec le service Mach `com.apple.DiskArbitrarion.diskarbitrariond` (fourni par `/usr/libexec/diskarbitrationd`). Si vous ajoutez le paramètre `-d` au fichier plist des LaunchDaemons et redémarrez, il stockera les journaux dans `/var/log/diskarbitrationd.log`.\
Cependant, il est possible d'utiliser des outils comme `hdik` et `hdiutil` pour communiquer directement avec le kext `com.apple.driver.DiskImages`.
## Écritures arbitraires
@ -292,7 +292,7 @@ Vous pouvez également écrire des fichiers dans **`/etc/paths.d`** pour charger
### cups-files.conf
Cette technique a été utilisée dans [cet article](https://www.kandji.io/blog/macos-audit-story-part1).
Cette technique a été utilisée dans [ce rapport](https://www.kandji.io/blog/macos-audit-story-part1).
Créez le fichier `/etc/cups/cups-files.conf` avec le contenu suivant :
```
@ -308,7 +308,7 @@ Puis, modifiez à nouveau le fichier `/etc/cups/cups-files.conf` en indiquant `L
### Évasion du Sandbox
Il est possible d'échapper au sandbox macOS avec un écriture arbitraire sur le FS. Pour quelques exemples, consultez la page [macOS Auto Start](../../../../macos-auto-start-locations.md) mais un cas courant est d'écrire un fichier de préférences Terminal dans `~/Library/Preferences/com.apple.Terminal.plist` qui exécute une commande au démarrage et de l'appeler en utilisant `open`.
Il est possible d'échapper au sandbox macOS avec un écriture arbitraire sur le FS. Pour quelques exemples, consultez la page [macOS Auto Start](../../../../macos-auto-start-locations.md) mais un exemple courant est d'écrire un fichier de préférences Terminal dans `~/Library/Preferences/com.apple.Terminal.plist` qui exécute une commande au démarrage et de l'appeler en utilisant `open`.
## Générer des fichiers écrits par d'autres utilisateurs
@ -326,7 +326,7 @@ echo $FILENAME
```
## Mémoire Partagée POSIX
**La mémoire partagée POSIX** permet aux processus dans des systèmes d'exploitation conformes à POSIX d'accéder à une zone de mémoire commune, facilitant une communication plus rapide par rapport à d'autres méthodes de communication inter-processus. Cela implique de créer ou d'ouvrir un objet de mémoire partagée avec `shm_open()`, de définir sa taille avec `ftruncate()`, et de le mapper dans l'espace d'adresses du processus en utilisant `mmap()`. Les processus peuvent ensuite lire et écrire directement dans cette zone de mémoire. Pour gérer l'accès concurrent et prévenir la corruption des données, des mécanismes de synchronisation tels que des mutex ou des sémaphores sont souvent utilisés. Enfin, les processus désaffichent et ferment la mémoire partagée avec `munmap()` et `close()`, et éventuellement suppriment l'objet de mémoire avec `shm_unlink()`. Ce système est particulièrement efficace pour un IPC rapide et efficace dans des environnements où plusieurs processus doivent accéder rapidement à des données partagées.
**La mémoire partagée POSIX** permet aux processus dans des systèmes d'exploitation conformes à POSIX d'accéder à une zone de mémoire commune, facilitant une communication plus rapide par rapport à d'autres méthodes de communication inter-processus. Cela implique de créer ou d'ouvrir un objet de mémoire partagée avec `shm_open()`, de définir sa taille avec `ftruncate()`, et de le mapper dans l'espace d'adresses du processus en utilisant `mmap()`. Les processus peuvent ensuite lire et écrire directement dans cette zone de mémoire. Pour gérer l'accès concurrent et prévenir la corruption des données, des mécanismes de synchronisation tels que des mutex ou des sémaphores sont souvent utilisés. Enfin, les processus désassocient et ferment la mémoire partagée avec `munmap()` et `close()`, et éventuellement suppriment l'objet de mémoire avec `shm_unlink()`. Ce système est particulièrement efficace pour un IPC rapide et efficace dans des environnements où plusieurs processus doivent accéder rapidement à des données partagées.
<details>
@ -422,7 +422,7 @@ return 0;
## Descripteurs protégés macOS
**Les descripteurs protégés macOS** sont une fonctionnalité de sécurité introduite dans macOS pour améliorer la sécurité et la fiabilité des **opérations sur des descripteurs de fichiers** dans les applications utilisateur. Ces descripteurs protégés fournissent un moyen d'associer des restrictions spécifiques ou des "gardes" avec des descripteurs de fichiers, qui sont appliquées par le noyau.
**Descripteurs protégés macOS** sont une fonctionnalité de sécurité introduite dans macOS pour améliorer la sécurité et la fiabilité des **opérations sur des descripteurs de fichiers** dans les applications utilisateur. Ces descripteurs protégés fournissent un moyen d'associer des restrictions spécifiques ou des "gardes" avec des descripteurs de fichiers, qui sont appliquées par le noyau.
Cette fonctionnalité est particulièrement utile pour prévenir certaines classes de vulnérabilités de sécurité telles que **l'accès non autorisé aux fichiers** ou **les conditions de concurrence**. Ces vulnérabilités se produisent par exemple lorsqu'un thread accède à une description de fichier donnant **à un autre thread vulnérable un accès dessus** ou lorsqu'un descripteur de fichier est **hérité** par un processus enfant vulnérable. Certaines fonctions liées à cette fonctionnalité sont :

2
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-fs-tricks/macos-xattr-acls-extra-stuff.md
View File

@ -1,4 +1,4 @@
# macOS xattr-acls trucs supplémentaires
# macOS xattr-acls informations supplémentaires
{{#include ../../../../banners/hacktricks-training.md}}
```bash

42
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-gatekeeper.md
View File

@ -16,7 +16,7 @@ Les signatures d'application, également connues sous le nom de signatures de co
Voici comment cela fonctionne :
1. **Signature de l'application :** Lorsqu'un développeur est prêt à distribuer son application, il **signe l'application à l'aide d'une clé privée**. Cette clé privée est associée à un **certificat qu'Apple délivre au développeur** lorsqu'il s'inscrit au programme de développement Apple. Le processus de signature implique de créer un hachage cryptographique de toutes les parties de l'application et de chiffrer ce hachage avec la clé privée du développeur.
1. **Signature de l'application :** Lorsqu'un développeur est prêt à distribuer son application, il **signe l'application à l'aide d'une clé privée**. Cette clé privée est associée à un **certificat que Apple délivre au développeur** lorsqu'il s'inscrit au programme de développement Apple. Le processus de signature implique de créer un hachage cryptographique de toutes les parties de l'application et de chiffrer ce hachage avec la clé privée du développeur.
2. **Distribution de l'application :** L'application signée est ensuite distribuée aux utilisateurs avec le certificat du développeur, qui contient la clé publique correspondante.
3. **Vérification de l'application :** Lorsqu'un utilisateur télécharge et tente d'exécuter l'application, son système d'exploitation Mac utilise la clé publique du certificat du développeur pour déchiffrer le hachage. Il recalcule ensuite le hachage en fonction de l'état actuel de l'application et le compare avec le hachage déchiffré. S'ils correspondent, cela signifie que **l'application n'a pas été modifiée** depuis que le développeur l'a signée, et le système permet à l'application de s'exécuter.
@ -45,7 +45,7 @@ codesign -s <cert-name-keychain> toolsdemo
```
### Notarisation
Le processus de notarisation d'Apple sert de protection supplémentaire pour protéger les utilisateurs contre les logiciels potentiellement nuisibles. Il implique que le **développeur soumette son application pour examen** par le **Service de Notariat d'Apple**, qui ne doit pas être confondu avec l'App Review. Ce service est un **système automatisé** qui scrute le logiciel soumis à la recherche de **contenu malveillant** et de tout problème potentiel avec la signature du code.
Le processus de notarisation d'Apple sert de protection supplémentaire pour protéger les utilisateurs contre les logiciels potentiellement nuisibles. Il implique que le **développeur soumette son application à l'examen** du **Service de Notariat d'Apple**, qui ne doit pas être confondu avec l'App Review. Ce service est un **système automatisé** qui scrute le logiciel soumis à la recherche de **contenu malveillant** et de tout problème potentiel avec la signature du code.
Si le logiciel **passe** cette inspection sans soulever de préoccupations, le Service de Notariat génère un ticket de notarisation. Le développeur est ensuite tenu de **joindre ce ticket à son logiciel**, un processus connu sous le nom de 'stapling.' De plus, le ticket de notarisation est également publié en ligne où Gatekeeper, la technologie de sécurité d'Apple, peut y accéder.
@ -118,7 +118,7 @@ spctl --master-disable
spctl --global-enable
spctl --master-enable
```
Lorsque complètement activé, une nouvelle option apparaîtra :
Lorsqu'il est complètement activé, une nouvelle option apparaîtra :
<figure><img src="../../../images/image (1151).png" alt=""><figcaption></figcaption></figure>
@ -158,7 +158,7 @@ Dans le cas où le **drapeau de quarantaine n'est pas présent** (comme avec les
> [!WARNING]
> Cet attribut doit être **défini par l'application créant/téléchargeant** le fichier.
>
> Cependant, les fichiers qui sont en bac à sable auront cet attribut défini pour chaque fichier qu'ils créent. Et les applications non en bac à sable peuvent le définir elles-mêmes, ou spécifier la clé [**LSFileQuarantineEnabled**](https://developer.apple.com/documentation/bundleresources/information_property_list/lsfilequarantineenabled?language=objc) dans le **Info.plist** qui fera en sorte que le système définisse l'attribut étendu `com.apple.quarantine` sur les fichiers créés,
> Cependant, les fichiers qui sont en bac à sable auront cet attribut défini pour chaque fichier qu'ils créent. Et les applications non sandboxées peuvent le définir elles-mêmes, ou spécifier la clé [**LSFileQuarantineEnabled**](https://developer.apple.com/documentation/bundleresources/information_property_list/lsfilequarantineenabled?language=objc) dans le **Info.plist** qui fera en sorte que le système définisse l'attribut étendu `com.apple.quarantine` sur les fichiers créés,
De plus, tous les fichiers créés par un processus appelant **`qtn_proc_apply_to_self`** sont mis en quarantaine. Ou l'API **`qtn_file_apply_to_path`** ajoute l'attribut de quarantaine à un chemin de fichier spécifié.
@ -193,7 +193,7 @@ com.apple.quarantine: 00C1;607842eb;Brave;F643CD5F-6071-46AB-83AB-390BA944DEC5
# Brave -- App
# F643CD5F-6071-46AB-83AB-390BA944DEC5 -- UID assigned to the file downloaded
```
En fait, un processus "pourrait définir des drapeaux de quarantaine sur les fichiers qu'il crée" (j'ai déjà essayé d'appliquer le drapeau USER_APPROVED dans un fichier créé, mais il ne s'applique pas) :
En fait, un processus "pourrait définir des drapeaux de quarantaine sur les fichiers qu'il crée" (j'ai déjà essayé d'appliquer le drapeau USER_APPROVED sur un fichier créé, mais il ne s'applique pas) :
<details>
@ -269,7 +269,7 @@ Et trouvez tous les fichiers mis en quarantaine avec :
```bash
find / -exec ls -ld {} \; 2>/dev/null | grep -E "[x\-]@ " | awk '{printf $9; printf "\n"}' | xargs -I {} xattr -lv {} | grep "com.apple.quarantine"
```
Les informations de quarantaine sont également stockées dans une base de données centrale gérée par LaunchServices dans **`~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2`** qui permet à l'interface graphique d'obtenir des données sur les origines des fichiers. De plus, cela peut être écrasé par des applications qui pourraient être intéressées à cacher leurs origines. De plus, cela peut être fait à partir des API de LaunchServices.
Les informations de quarantaine sont également stockées dans une base de données centrale gérée par LaunchServices dans **`~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2`**, ce qui permet à l'interface graphique d'obtenir des données sur les origines des fichiers. De plus, cela peut être écrasé par des applications qui pourraient être intéressées à cacher leurs origines. De plus, cela peut être fait à partir des API de LaunchServices.
#### **libquarantine.dylb**
@ -290,7 +290,7 @@ Il utilise également quelques MIBs :
### XProtect
XProtect est une fonctionnalité **anti-malware** intégrée dans macOS. XProtect **vérifie toute application lorsqu'elle est lancée ou modifiée pour la première fois par rapport à sa base de données** de logiciels malveillants connus et de types de fichiers non sécurisés. Lorsque vous téléchargez un fichier via certaines applications, telles que Safari, Mail ou Messages, XProtect analyse automatiquement le fichier. S'il correspond à un logiciel malveillant connu dans sa base de données, XProtect **empêchera le fichier de s'exécuter** et vous alertera sur la menace.
XProtect est une fonctionnalité **anti-malware** intégrée dans macOS. XProtect **vérifie toute application lorsqu'elle est lancée pour la première fois ou modifiée par rapport à sa base de données** de logiciels malveillants connus et de types de fichiers non sécurisés. Lorsque vous téléchargez un fichier via certaines applications, telles que Safari, Mail ou Messages, XProtect analyse automatiquement le fichier. S'il correspond à un logiciel malveillant connu dans sa base de données, XProtect **empêchera le fichier de s'exécuter** et vous alertera sur la menace.
La base de données XProtect est **mise à jour régulièrement** par Apple avec de nouvelles définitions de logiciels malveillants, et ces mises à jour sont automatiquement téléchargées et installées sur votre Mac. Cela garantit que XProtect est toujours à jour avec les dernières menaces connues.
@ -320,7 +320,27 @@ Cependant, cela n'est plus possible car macOS **empêche la modification des fic
## Contournements de Gatekeeper
Tout moyen de contourner Gatekeeper (réussir à faire télécharger quelque chose par l'utilisateur et à l'exécuter lorsque Gatekeeper devrait l'interdire) est considéré comme une vulnérabilité dans macOS. Voici
Tout moyen de contourner Gatekeeper (réussir à faire télécharger quelque chose par l'utilisateur et à l'exécuter lorsque Gatekeeper devrait l'interdire) est considéré comme une vulnérabilité dans macOS. Voici quelques CVE attribués à des techniques qui ont permis de contourner Gatekeeper dans le passé :
### [CVE-2021-1810](https://labs.withsecure.com/publications/the-discovery-of-cve-2021-1810)
Il a été observé que si l'**Archive Utility** est utilisé pour l'extraction, les fichiers avec des **chemins dépassant 886 caractères** ne reçoivent pas l'attribut étendu com.apple.quarantine. Cette situation permet involontairement à ces fichiers de **contourner les** vérifications de sécurité de Gatekeeper.
Consultez le [**rapport original**](https://labs.withsecure.com/publications/the-discovery-of-cve-2021-1810) pour plus d'informations.
### [CVE-2021-30990](https://ronmasas.com/posts/bypass-macos-gatekeeper)
Lorsqu'une application est créée avec **Automator**, les informations sur ce dont elle a besoin pour s'exécuter se trouvent dans `application.app/Contents/document.wflow` et non dans l'exécutable. L'exécutable est juste un binaire Automator générique appelé **Automator Application Stub**.
Par conséquent, vous pourriez faire en sorte que `application.app/Contents/MacOS/Automator\ Application\ Stub` **pointe avec un lien symbolique vers un autre Automator Application Stub à l'intérieur du système** et il exécutera ce qui se trouve dans `document.wflow` (votre script) **sans déclencher Gatekeeper** car l'exécutable réel n'a pas l'attribut xattr de quarantaine.
Exemple d'emplacement attendu : `/System/Library/CoreServices/Automator\ Application\ Stub.app/Contents/MacOS/Automator\ Application\ Stub`
Consultez le [**rapport original**](https://ronmasas.com/posts/bypass-macos-gatekeeper) pour plus d'informations.
### [CVE-2022-22616](https://www.jamf.com/blog/jamf-threat-labs-safari-vuln-gatekeeper-bypass/)
Dans ce contournement, un fichier zip a été créé avec une application commençant à se compresser à partir de `application.app/Contents` au lieu de `application.app`. Par conséquent, l'**attribut de quarantaine** a été appliqué à tous les **fichiers de `application.app/Contents`** mais **pas à `application.app`**, ce qui était ce que Gatekeeper vérifiait, donc Gatekeeper a été contourné car lorsque `application.app` a été déclenché, il **n'avait pas l'attribut de quarantaine.**
```bash
zip -r test.app/Contents test.zip
```
@ -377,7 +397,7 @@ aa archive -d test/ -o test.aar
# If you downloaded the resulting test.aar and decompress it, the file test/._a won't have a quarantitne attribute
```
Être capable de créer un fichier qui n'aura pas l'attribut de quarantaine a permis de **contourner Gatekeeper.** L'astuce consistait à **créer une application de fichier DMG** en utilisant la convention de nom AppleDouble (la commencer par `._`) et à créer un **fichier visible en tant que lien symbolique vers ce fichier caché** sans l'attribut de quarantaine.\
Être capable de créer un fichier qui n'aura pas l'attribut de quarantaine a permis de **contourner Gatekeeper.** L'astuce consistait à **créer une application de fichier DMG** en utilisant la convention de nom AppleDouble (commencer par `._`) et à créer un **fichier visible en tant que lien symbolique vers ce fichier caché** sans l'attribut de quarantaine.\
Lorsque le **fichier dmg est exécuté**, comme il n'a pas d'attribut de quarantaine, il **contournera Gatekeeper.**
```bash
# Create an app bundle with the backdoor an call it app.app
@ -403,9 +423,9 @@ aa archive -d s/ -o app.aar
- La victime ouvre le fichier tar.gz et exécute l'application.
- Gatekeeper ne vérifie pas l'application.
### Prévenir l'attribut xattr de quarantaine
### Prévenir le xattr de Quarantine
Dans un bundle ".app", si l'attribut xattr de quarantaine n'est pas ajouté, lors de son exécution **Gatekeeper ne sera pas déclenché**.
Dans un bundle ".app", si le xattr de quarantine n'est pas ajouté, lors de son exécution **Gatekeeper ne sera pas déclenché**.
{{#include ../../../banners/hacktricks-training.md}}

12
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-launch-environment-constraints.md
View File

@ -13,11 +13,11 @@ Vous définissez des **contraintes d'environnement de lancement et de bibliothè
Il existe 4 types de contraintes :
- **Contraintes Auto-imposées** : Contraintes appliquées au **binaire en cours d'exécution**.
- **Processus Parent** : Contraintes appliquées au **parent du processus** (par exemple **`launchd`** exécutant un service XP)
- **Processus Parent** : Contraintes appliquées au **parent du processus** (par exemple **`launchd`** exécutant un service XPC)
- **Contraintes Responsables** : Contraintes appliquées au **processus appelant le service** dans une communication XPC
- **Contraintes de Chargement de Bibliothèque** : Utilisez des contraintes de chargement de bibliothèque pour décrire sélectivement le code qui peut être chargé
Ainsi, lorsqu'un processus essaie de lancer un autre processus — en appelant `execve(_:_:_:)` ou `posix_spawn(_:_:_:_:_:_:)` — le système d'exploitation vérifie que le fichier **exécutable** **satisfait** sa **propre contrainte auto-imposée**. Il vérifie également que l'exécutable du **processus parent** **satisfait** la **contrainte parentale** de l'exécutable, et que l'exécutable du **processus responsable** **satisfait la contrainte de processus responsable** de l'exécutable. Si l'une de ces contraintes de lancement n'est pas satisfaite, le système d'exploitation ne lance pas le programme.
Ainsi, lorsque qu'un processus essaie de lancer un autre processus — en appelant `execve(_:_:_:)` ou `posix_spawn(_:_:_:_:_:_:)` — le système d'exploitation vérifie que le fichier **exécutable** **satisfait** sa **propre contrainte auto-imposée**. Il vérifie également que l'exécutable du **processus parent** **satisfait** la **contrainte parentale** de l'exécutable, et que l'exécutable du **processus responsable** **satisfait la contrainte de processus responsable** de l'exécutable. Si l'une de ces contraintes de lancement n'est pas satisfaite, le système d'exploitation ne lance pas le programme.
Si lors du chargement d'une bibliothèque, une partie de la **contrainte de bibliothèque n'est pas vraie**, votre processus **ne charge pas** la bibliothèque.
@ -143,14 +143,14 @@ Les contraintes de lancement auraient atténué plusieurs anciennes attaques en
De plus, les contraintes de lancement **atténuent également les attaques de rétrogradation.**
Cependant, elles **n'atténuent pas les abus courants de XPC**, les injections de code **Electron** ou les **injections de dylib** sans validation de bibliothèque (à moins que les ID d'équipe pouvant charger des bibliothèques soient connus).
Cependant, elles **n'atténuent pas les abus courants de XPC**, les injections de code **Electron** ou les **injections de dylib** sans validation de bibliothèque (à moins que les ID d'équipe qui peuvent charger des bibliothèques soient connus).
### Protection du démon XPC
Dans la version Sonoma, un point notable est la **configuration de responsabilité** du service XPC. Le service XPC est responsable de lui-même, contrairement au client connectant qui est responsable. Cela est documenté dans le rapport de feedback FB13206884. Cette configuration peut sembler défectueuse, car elle permet certaines interactions avec le service XPC :
Dans la version Sonoma, un point notable est la **configuration de responsabilité** du service démon XPC. Le service XPC est responsable de lui-même, contrairement au client connectant qui est responsable. Cela est documenté dans le rapport de retour d'information FB13206884. Cette configuration peut sembler défectueuse, car elle permet certaines interactions avec le service XPC :
- **Lancement du service XPC** : Si considéré comme un bug, cette configuration ne permet pas d'initier le service XPC via le code de l'attaquant.
- **Connexion à un service actif** : Si le service XPC est déjà en cours d'exécution (activé par son application d'origine), il n'y a aucune barrière pour s'y connecter.
- **Lancement du service XPC** : Si considéré comme un bug, cette configuration ne permet pas d'initier le service XPC par le code de l'attaquant.
- **Connexion à un service actif** : Si le service XPC est déjà en cours d'exécution (possiblement activé par son application d'origine), il n'y a pas de barrières pour s'y connecter.
Bien que la mise en œuvre de contraintes sur le service XPC puisse être bénéfique en **rétrécissant la fenêtre pour des attaques potentielles**, cela ne répond pas à la préoccupation principale. Assurer la sécurité du service XPC nécessite fondamentalement **de valider efficacement le client connectant**. Cela reste le seul moyen de renforcer la sécurité du service. De plus, il convient de noter que la configuration de responsabilité mentionnée est actuellement opérationnelle, ce qui pourrait ne pas correspondre à la conception prévue.

6
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-macf-mandatory-access-control-framework.md
View File

@ -84,7 +84,7 @@ mpo_cred_check_label_update_t *mpo_cred_check_label_update;
```
Presque tous les hooks seront rappelés par MACF lorsque l'une de ces opérations est interceptée. Cependant, les hooks **`mpo_policy_*`** sont une exception car `mpo_hook_policy_init()` est un rappel appelé lors de l'enregistrement (donc après `mac_policy_register()`) et `mpo_hook_policy_initbsd()` est appelé lors de l'enregistrement tardif une fois que le sous-système BSD a été correctement initialisé.
De plus, le hook **`mpo_policy_syscall`** peut être enregistré par n'importe quel kext pour exposer un appel de style **ioctl** **interface** privé. Ensuite, un client utilisateur pourra appeler `mac_syscall` (#381) en spécifiant comme paramètres le **nom de la politique** avec un **code** entier et des **arguments** optionnels.\
De plus, le hook **`mpo_policy_syscall`** peut être enregistré par n'importe quel kext pour exposer un appel de style **ioctl** **interface** privée. Ensuite, un client utilisateur pourra appeler `mac_syscall` (#381) en spécifiant comme paramètres le **nom de la politique** avec un **code** entier et des **arguments** optionnels.\
Par exemple, le **`Sandbox.kext`** utilise cela beaucoup.
Vérifier le **`__DATA.__const*`** du kext permet d'identifier la structure `mac_policy_ops` utilisée lors de l'enregistrement de la politique. Il est possible de la trouver car son pointeur est à un décalage à l'intérieur de `mpo_policy_conf` et aussi à cause du nombre de pointeurs NULL qui seront dans cette zone.
@ -168,7 +168,7 @@ Qui passera en revue toutes les politiques mac enregistrées en appelant leurs f
> * modules de politique et en vérifiant avec chacun ce qu'il pense de la
> * demande. Contrairement à MAC_CHECK, il accorde si des politiques retournent '0',
> * et retourne sinon EPERM. Notez qu'il retourne sa valeur via
> * 'error' dans le scope de l'appelant.
> * 'error' dans le contexte de l'appelant.
> */
> #define MAC_GRANT(check, args...) do { \
> error = EPERM; \
@ -188,7 +188,7 @@ Qui passera en revue toutes les politiques mac enregistrées en appelant leurs f
### priv_check & priv_grant
Ces appels sont destinés à vérifier et à fournir (des dizaines de) **privilèges** définis dans [**bsd/sys/priv.h**](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/bsd/sys/priv.h).\
Certaines parties du code du noyau appelleraient `priv_check_cred()` depuis [**bsd/kern/kern_priv.c**](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/bsd/kern/kern_priv.c) avec les informations d'identification KAuth du processus et l'un des codes de privilège qui appellera `mac_priv_check` pour voir si une politique **refuse** de donner le privilège, puis elle appelle `mac_priv_grant` pour voir si une politique accorde le `privilège`.
Certaines parties du code du noyau appelleraient `priv_check_cred()` depuis [**bsd/kern/kern_priv.c**](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/bsd/kern/kern_priv.c) avec les informations d'identification KAuth du processus et l'un des codes de privilège qui appellera `mac_priv_check` pour voir si une politique **refuse** d'accorder le privilège, puis elle appelle `mac_priv_grant` pour voir si une politique accorde le `privilège`.
### proc_check_syscall_unix

30
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/README.md
View File

@ -54,7 +54,7 @@ drwx------ 2 username staff 64 Mar 24 18:02 SystemData
drwx------ 2 username staff 64 Mar 24 18:02 tmp
```
> [!CAUTION]
> Notez que même si les symlinks sont là pour "s'échapper" du Sandbox et accéder à d'autres dossiers, l'App doit toujours **avoir des permissions** pour y accéder. Ces permissions se trouvent dans le **`.plist`** dans les `RedirectablePaths`.
> Notez que même si les symlinks sont là pour "s'échapper" du Sandbox et accéder à d'autres dossiers, l'App doit toujours **avoir les permissions** pour y accéder. Ces permissions se trouvent dans le **`.plist`** dans les `RedirectablePaths`.
Le **`SandboxProfileData`** est le profil de sandbox compilé CFData échappé en B64.
```bash
@ -106,11 +106,11 @@ AAAhAboBAAAAAAgAAABZAO4B5AHjBMkEQAUPBSsGPwsgASABHgEgASABHwEf...
[...]
```
> [!WARNING]
> Tout ce qui est créé/modifié par une application en bac à sable recevra l'**attribut de quarantaine**. Cela empêchera un espace de bac à sable en déclenchant Gatekeeper si l'application en bac à sable essaie d'exécuter quelque chose avec **`open`**.
> Tout ce qui est créé/modifié par une application sandboxée recevra l'**attribut de quarantaine**. Cela empêchera un espace sandbox en déclenchant Gatekeeper si l'application sandbox essaie d'exécuter quelque chose avec **`open`**.
## Profils de Bac à Sable
## Profils de Sandbox
Les profils de bac à sable sont des fichiers de configuration qui indiquent ce qui sera **autorisé/interdit** dans ce **bac à sable**. Il utilise le **Langage de Profil de Bac à Sable (SBPL)**, qui utilise le [**Scheme**](<https://en.wikipedia.org/wiki/Scheme_(programming_language)>) langage de programmation.
Les profils de Sandbox sont des fichiers de configuration qui indiquent ce qui sera **autorisé/interdit** dans ce **Sandbox**. Il utilise le **Sandbox Profile Language (SBPL)**, qui utilise le langage de programmation [**Scheme**](<https://en.wikipedia.org/wiki/Scheme_(programming_language)>).
Ici, vous pouvez trouver un exemple :
```scheme
@ -145,7 +145,7 @@ Les applications de l'**App Store** utilisent le **profil** **`/System/Library/S
Ensuite, certains **services de démon Apple** utilisent différents profils situés dans `/System/Library/Sandbox/Profiles/*.sb` ou `/usr/share/sandbox/*.sb`. Ces sandboxes sont appliquées dans la fonction principale appelant l'API `sandbox_init_XXX`.
**SIP** est un profil de Sandbox appelé platform_profile dans `/System/Library/Sandbox/rootless.conf`.
**SIP** est un profil de sandbox appelé platform_profile dans `/System/Library/Sandbox/rootless.conf`.
### Exemples de Profils de Sandbox
@ -287,14 +287,14 @@ Les extensions permettent de donner des privilèges supplémentaires à un objet
Les extensions sont stockées dans le deuxième emplacement d'étiquette MACF accessible depuis les informations d'identification du processus. Le **`sbtool`** suivant peut accéder à ces informations.
Notez que les extensions sont généralement accordées par des processus autorisés, par exemple, `tccd` accordera le jeton d'extension de `com.apple.tcc.kTCCServicePhotos` lorsqu'un processus essaie d'accéder aux photos et a été autorisé dans un message XPC. Ensuite, le processus devra consommer le jeton d'extension pour qu'il soit ajouté à celui-ci.\
Notez que les extensions sont généralement accordées par des processus autorisés, par exemple, `tccd` accordera le jeton d'extension de `com.apple.tcc.kTCCServicePhotos` lorsqu'un processus essaie d'accéder aux photos et a été autorisé dans un message XPC. Ensuite, le processus devra consommer le jeton d'extension pour qu'il soit ajouté.\
Notez que les jetons d'extension sont de longs hexadécimaux qui codent les permissions accordées. Cependant, ils n'ont pas le PID autorisé codé en dur, ce qui signifie que tout processus ayant accès au jeton pourrait être **consommé par plusieurs processus**.
Notez que les extensions sont également très liées aux attributions, donc avoir certaines attributions pourrait automatiquement accorder certaines extensions.
### **Vérifier les privilèges PID**
[**Selon cela**](https://www.youtube.com/watch?v=mG715HcDgO8&t=3011s), les fonctions **`sandbox_check`** (c'est un `__mac_syscall`), peuvent vérifier **si une opération est autorisée ou non** par le sandbox dans un certain PID, un jeton d'audit ou un ID unique.
[**Selon cela**](https://www.youtube.com/watch?v=mG715HcDgO8&t=3011s), les fonctions **`sandbox_check`** (c'est un `__mac_syscall`), peuvent vérifier **si une opération est autorisée ou non** par le sandbox dans un certain PID, jeton d'audit ou ID unique.
L'outil [**sbtool**](http://newosxbook.com/src.jl?tree=listings&file=sbtool.c) (trouvez-le [compilé ici](https://newosxbook.com/articles/hitsb.html)) peut vérifier si un PID peut effectuer certaines actions :
```bash
@ -352,21 +352,21 @@ L'appel de fonction `___sandbox_ms` enveloppe `mac_syscall` en indiquant dans le
Notez qu'en iOS, l'extension du noyau contient **tous les profils codés en dur** à l'intérieur du segment `__TEXT.__const` pour éviter qu'ils ne soient modifiés. Voici quelques fonctions intéressantes de l'extension du noyau :
- **`hook_policy_init`** : Il accroche `mpo_policy_init` et est appelé après `mac_policy_register`. Il effectue la plupart des initialisations du Sandbox. Il initialise également SIP.
- **`hook_policy_initbsd`** : Il configure l'interface sysctl en enregistrant `security.mac.sandbox.sentinel`, `security.mac.sandbox.audio_active` et `security.mac.sandbox.debug_mode` (si démarré avec `PE_i_can_has_debugger`).
- **`hook_policy_syscall`** : Il est appelé par `mac_syscall` avec "Sandbox" comme premier argument et un code indiquant l'opération dans le deuxième. Un switch est utilisé pour trouver le code à exécuter selon le code demandé.
- **`hook_policy_init`** : Elle accroche `mpo_policy_init` et est appelée après `mac_policy_register`. Elle effectue la plupart des initialisations du Sandbox. Elle initialise également SIP.
- **`hook_policy_initbsd`** : Elle configure l'interface sysctl en enregistrant `security.mac.sandbox.sentinel`, `security.mac.sandbox.audio_active` et `security.mac.sandbox.debug_mode` (si démarré avec `PE_i_can_has_debugger`).
- **`hook_policy_syscall`** : Elle est appelée par `mac_syscall` avec "Sandbox" comme premier argument et un code indiquant l'opération dans le deuxième. Un switch est utilisé pour trouver le code à exécuter selon le code demandé.
### MACF Hooks
**`Sandbox.kext`** utilise plus d'une centaine de hooks via MACF. La plupart des hooks vérifieront simplement certains cas triviaux qui permettent d'effectuer l'action, sinon, ils appelleront **`cred_sb_evalutate`** avec les **identifiants** de MACF et un nombre correspondant à l'**opération** à effectuer et un **buffer** pour la sortie.
**`Sandbox.kext`** utilise plus d'une centaine de hooks via MACF. La plupart des hooks vérifieront simplement certains cas triviaux qui permettent d'effectuer l'action, sinon, elles appelleront **`cred_sb_evalutate`** avec les **identifiants** de MACF et un nombre correspondant à l'**opération** à effectuer et un **buffer** pour la sortie.
Un bon exemple de cela est la fonction **`_mpo_file_check_mmap`** qui accroche **`mmap`** et qui commencera à vérifier si la nouvelle mémoire va être modifiable (et si ce n'est pas le cas, autoriser l'exécution), puis elle vérifiera si elle est utilisée pour le cache partagé dyld et si c'est le cas, autoriser l'exécution, et enfin elle appellera **`sb_evaluate_internal`** (ou l'un de ses wrappers) pour effectuer d'autres vérifications d'autorisation.
Un bon exemple de cela est la fonction **`_mpo_file_check_mmap`** qui accroche **`mmap`** et qui commencera à vérifier si la nouvelle mémoire va être modifiable (et si ce n'est pas le cas, autoriser l'exécution), puis elle vérifiera si elle est utilisée pour le cache partagé dyld et si c'est le cas, autoriser l'exécution, et enfin, elle appellera **`sb_evaluate_internal`** (ou l'un de ses wrappers) pour effectuer d'autres vérifications d'autorisation.
De plus, parmi les centaines de hooks utilisés par Sandbox, il y en a 3 en particulier qui sont très intéressants :
- `mpo_proc_check_for` : Il applique le profil si nécessaire et s'il n'a pas été appliqué précédemment.
- `mpo_vnode_check_exec` : Appelé lorsqu'un processus charge le binaire associé, puis une vérification de profil est effectuée ainsi qu'une vérification interdisant les exécutions SUID/SGID.
- `mpo_cred_label_update_execve` : Cela est appelé lorsque l'étiquette est assignée. C'est le plus long car il est appelé lorsque le binaire est entièrement chargé mais qu'il n'a pas encore été exécuté. Il effectuera des actions telles que la création de l'objet sandbox, l'attachement de la structure sandbox aux identifiants kauth, la suppression de l'accès aux ports mach...
- `mpo_proc_check_for` : Elle applique le profil si nécessaire et si elle n'a pas été appliquée précédemment.
- `mpo_vnode_check_exec` : Appelée lorsqu'un processus charge le binaire associé, puis une vérification de profil est effectuée et également une vérification interdisant les exécutions SUID/SGID.
- `mpo_cred_label_update_execve` : Cela est appelé lorsque l'étiquette est assignée. C'est le plus long car il est appelé lorsque le binaire est entièrement chargé mais n'a pas encore été exécuté. Il effectuera des actions telles que la création de l'objet sandbox, l'attachement de la structure sandbox aux identifiants kauth, la suppression de l'accès aux ports mach...
Notez que **`_cred_sb_evalutate`** est un wrapper autour de **`sb_evaluate_internal`** et cette fonction obtient les identifiants passés et effectue ensuite l'évaluation en utilisant la fonction **`eval`** qui évalue généralement le **profil de plateforme** qui est par défaut appliqué à tous les processus et ensuite le **profil de processus spécifique**. Notez que le profil de plateforme est l'un des principaux composants de **SIP** dans macOS.

6
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/macos-sandbox-debug-and-bypass/README.md
View File

@ -53,7 +53,7 @@ Consultez cette page sur les **emplacements de démarrage automatique** :
### Abuser d'autres processus
Si à partir du processus sandbox vous parvenez à **compromettre d'autres processus** s'exécutant dans des sandboxes moins restrictives (ou aucune), vous pourrez échapper à leurs sandboxes :
Si à partir du processus sandboxé vous parvenez à **compromettre d'autres processus** s'exécutant dans des sandboxes moins restrictives (ou aucune), vous pourrez échapper à leurs sandboxes :
{{#ref}}
../../../macos-proces-abuse/
@ -130,7 +130,7 @@ NSLog(@"run task result:%@, error:%@", bSucc, error);
```
#### /System/Library/PrivateFrameworks/AudioAnalyticsInternal.framework/XPCServices/AudioAnalyticsHelperService.xpc
Ce service XPC permettait à chaque client de toujours retourner OUI et la méthode `createZipAtPath:hourThreshold:withReply:` permettait essentiellement d'indiquer le chemin vers un dossier à compresser et il le compressera dans un fichier ZIP.
Ce service XPC permettait à chaque client de toujours retourner OUI et la méthode `createZipAtPath:hourThreshold:withReply:` permettait essentiellement d'indiquer le chemin vers un dossier à compresser et il le compresserait dans un fichier ZIP.
Par conséquent, il est possible de générer une fausse structure de dossier d'application, de la compresser, puis de la décompresser et de l'exécuter pour échapper au sandbox car les nouveaux fichiers n'auront pas l'attribut de quarantaine.
@ -456,7 +456,7 @@ Process 2517 resuming
Sandbox Bypassed!
Process 2517 exited with status = 0 (0x00000000)
```
> [!WARNING] > **Même avec le contournement du Sandbox, TCC** demandera à l'utilisateur s'il souhaite autoriser le processus à lire des fichiers du bureau
> [!WARNING] > **Même avec le Sandbox contourné, TCC** demandera à l'utilisateur s'il souhaite autoriser le processus à lire des fichiers du bureau
## Références

4
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/macos-sandbox-debug-and-bypass/macos-office-sandbox-bypasses.md
View File

@ -4,7 +4,7 @@
### Contournement du Sandbox Word via les Agents de Lancement
L'application utilise un **Sandbox personnalisé** avec le droit **`com.apple.security.temporary-exception.sbpl`** et ce sandbox personnalisé permet d'écrire des fichiers n'importe où tant que le nom du fichier commence par `~$`: `(require-any (require-all (vnode-type REGULAR-FILE) (regex #"(^|/)~$[^/]+$")))`
L'application utilise un **Sandbox personnalisé** avec le droit **`com.apple.security.temporary-exception.sbpl`** et ce sandbox personnalisé permet d'écrire des fichiers n'importe où tant que le nom de fichier commence par `~$`: `(require-any (require-all (vnode-type REGULAR-FILE) (regex #"(^|/)~$[^/]+$")))`
Par conséquent, l'évasion était aussi simple que **d'écrire un `plist`** LaunchAgent dans `~/Library/LaunchAgents/~$escape.plist`.
@ -42,7 +42,7 @@ Consultez le [**rapport original ici**](https://perception-point.io/blog/technic
### Contournement du Sandbox Word avec Open et stdin
L'utilitaire **`open`** prend également en charge le paramètre **`--stdin`** (et après le contournement précédent, il n'était plus possible d'utiliser `--env`).
L'utilitaire **`open`** supportait également le paramètre **`--stdin`** (et après le contournement précédent, il n'était plus possible d'utiliser `--env`).
Le fait est que même si **`python`** était signé par Apple, il **n'exécutera pas** un script avec l'attribut **`quarantine`**. Cependant, il était possible de lui passer un script depuis stdin afin qu'il ne vérifie pas s'il était mis en quarantaine ou non :&#x20;

46
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sip.md
View File

@ -4,7 +4,7 @@
## **Informations de base**
**System Integrity Protection (SIP)** dans macOS est un mécanisme conçu pour empêcher même les utilisateurs les plus privilégiés de faire des modifications non autorisées dans des dossiers système clés. Cette fonctionnalité joue un rôle crucial dans le maintien de l'intégrité du système en restreignant des actions telles que l'ajout, la modification ou la suppression de fichiers dans des zones protégées. Les principaux dossiers protégés par le SIP incluent :
**System Integrity Protection (SIP)** dans macOS est un mécanisme conçu pour empêcher même les utilisateurs les plus privilégiés d'apporter des modifications non autorisées aux dossiers système clés. Cette fonctionnalité joue un rôle crucial dans le maintien de l'intégrité du système en restreignant des actions telles que l'ajout, la modification ou la suppression de fichiers dans des zones protégées. Les principaux dossiers protégés par le SIP incluent :
- **/System**
- **/bin**
@ -20,7 +20,7 @@ Considérez l'exemple ci-dessous :
* /usr/local
* /usr/share/man
```
Cet extrait implique que bien que SIP sécurise généralement le **`/usr`** répertoire, il existe des sous-répertoires spécifiques (`/usr/libexec/cups`, `/usr/local`, et `/usr/share/man`) où des modifications sont permises, comme l'indique l'astérisque (\*) précédant leurs chemins.
Ce extrait implique que bien que SIP sécurise généralement le **`/usr`** répertoire, il existe des sous-répertoires spécifiques (`/usr/libexec/cups`, `/usr/local`, et `/usr/share/man`) où des modifications sont permises, comme l'indique l'astérisque (\*) précédant leurs chemins.
Pour vérifier si un répertoire ou un fichier est protégé par SIP, vous pouvez utiliser la commande **`ls -lOd`** pour vérifier la présence du drapeau **`restricted`** ou **`sunlnk`**. Par exemple :
```bash
@ -43,16 +43,16 @@ De plus, si un fichier contient l'attribut **`com.apple.rootless`** en tant qu'*
**SIP limite également d'autres actions root** telles que :
- Chargement d'extensions de noyau non fiables
- Obtention de ports de tâche pour les processus signés par Apple
- Modification des variables NVRAM
- Autorisation du débogage du noyau
- Charger des extensions de noyau non fiables
- Obtenir des ports de tâche pour les processus signés par Apple
- Modifier les variables NVRAM
- Autoriser le débogage du noyau
Les options sont maintenues dans la variable nvram en tant que bitflag (`csr-active-config` sur Intel et `lp-sip0` est lu à partir de l'arbre de périphériques démarré pour ARM). Vous pouvez trouver les drapeaux dans le code source XNU dans `csr.sh` :
Les options sont maintenues dans la variable nvram en tant que bitflag (`csr-active-config` sur Intel et `lp-sip0` est lu à partir de l'arbre de périphériques démarré pour ARM). Vous pouvez trouver les drapeaux dans le code source de XNU dans `csr.sh` :
<figure><img src="../../../images/image (1192).png" alt=""><figcaption></figcaption></figure>
### Statut SIP
### Statut de SIP
Vous pouvez vérifier si SIP est activé sur votre système avec la commande suivante :
```bash
@ -74,7 +74,7 @@ csrutil enable --without debug
[**En savoir plus sur les informations SIP dans cette présentation**](https://www.slideshare.net/i0n1c/syscan360-stefan-esser-os-x-el-capitan-sinking-the-ship)**.**
### **Attributions liées à SIP**
### **Droits liés à SIP**
- `com.apple.rootless.xpc.bootstrap`: Contrôler launchd
- `com.apple.rootless.install[.heritable]`: Accéder au système de fichiers
@ -83,7 +83,7 @@ csrutil enable --without debug
- `com.apple.rootless.xpc.bootstrap`: Capacités de configuration XPC
- `com.apple.rootless.xpc.effective-root`: Root via launchd XPC
- `com.apple.rootless.restricted-block-devices`: Accès aux périphériques de bloc bruts
- `com.apple.rootless.internal.installer-equivalent`: Accès au système de fichiers sans restriction
- `com.apple.rootless.internal.installer-equivalent`: Accès illimité au système de fichiers
- `com.apple.rootless.restricted-nvram-variables[.heritable]`: Accès complet à NVRAM
- `com.apple.rootless.storage.label`: Modifier des fichiers restreints par com.apple.rootless xattr avec l'étiquette correspondante
- `com.apple.rootless.volume.VM.label`: Maintenir l'échange VM sur le volume
@ -108,7 +108,7 @@ Une faille potentielle est que si un fichier est spécifié dans **`rootless.con
### com.apple.rootless.install.heritable
> [!CAUTION]
> L'attribution **`com.apple.rootless.install.heritable`** permet de contourner SIP
> Le droit **`com.apple.rootless.install.heritable`** permet de contourner SIP
#### [CVE-2019-8561](https://objective-see.org/blog/blog_0x42.html) <a href="#cve" id="cve"></a>
@ -120,17 +120,17 @@ Si un paquet était installé à partir d'une image montée ou d'un disque exter
#### CVE-2021-30892 - Shrootless
[**Des chercheurs de cet article de blog**](https://www.microsoft.com/en-us/security/blog/2021/10/28/microsoft-finds-new-macos-vulnerability-shrootless-that-could-bypass-system-integrity-protection/) ont découvert une vulnérabilité dans le mécanisme de protection de l'intégrité du système (SIP) de macOS, surnommée la vulnérabilité 'Shrootless'. Cette vulnérabilité concerne le démon **`system_installd`**, qui a une attribution, **`com.apple.rootless.install.heritable`**, permettant à n'importe lequel de ses processus enfants de contourner les restrictions du système de fichiers de SIP.
[**Des chercheurs de cet article de blog**](https://www.microsoft.com/en-us/security/blog/2021/10/28/microsoft-finds-new-macos-vulnerability-shrootless-that-could-bypass-system-integrity-protection/) ont découvert une vulnérabilité dans le mécanisme de protection de l'intégrité du système (SIP) de macOS, surnommée la vulnérabilité 'Shrootless'. Cette vulnérabilité concerne le démon **`system_installd`**, qui a un droit, **`com.apple.rootless.install.heritable`**, permettant à n'importe lequel de ses processus enfants de contourner les restrictions du système de fichiers de SIP.
Le démon **`system_installd`** installera des paquets qui ont été signés par **Apple**.
Les chercheurs ont découvert que lors de l'installation d'un paquet signé par Apple (.pkg), **`system_installd`** **exécute** tous les **scripts post-installation** inclus dans le paquet. Ces scripts sont exécutés par le shell par défaut, **`zsh`**, qui exécute automatiquement **des commandes à partir du fichier** **`/etc/zshenv`**, s'il existe, même en mode non interactif. Ce comportement pourrait être exploité par des attaquants : en créant un fichier `/etc/zshenv` malveillant et en attendant que **`system_installd` invoque `zsh`**, ils pourraient effectuer des opérations arbitraires sur l'appareil.
Les chercheurs ont découvert que lors de l'installation d'un paquet signé par Apple (.pkg), **`system_installd`** **exécute** tous les scripts **post-installation** inclus dans le paquet. Ces scripts sont exécutés par le shell par défaut, **`zsh`**, qui exécute automatiquement **des commandes** à partir du fichier **`/etc/zshenv`**, s'il existe, même en mode non interactif. Ce comportement pourrait être exploité par des attaquants : en créant un fichier `/etc/zshenv` malveillant et en attendant que **`system_installd` invoque `zsh`**, ils pourraient effectuer des opérations arbitraires sur l'appareil.
De plus, il a été découvert que **`/etc/zshenv` pourrait être utilisé comme une technique d'attaque générale**, pas seulement pour un contournement de SIP. Chaque profil utilisateur a un fichier `~/.zshenv`, qui se comporte de la même manière que `/etc/zshenv` mais ne nécessite pas de permissions root. Ce fichier pourrait être utilisé comme un mécanisme de persistance, se déclenchant chaque fois que `zsh` démarre, ou comme un mécanisme d'élévation de privilèges. Si un utilisateur admin s'élève à root en utilisant `sudo -s` ou `sudo <commande>`, le fichier `~/.zshenv` serait déclenché, élevant effectivement à root.
De plus, il a été découvert que **`/etc/zshenv` pourrait être utilisé comme une technique d'attaque générale**, pas seulement pour un contournement de SIP. Chaque profil utilisateur a un fichier `~/.zshenv`, qui se comporte de la même manière que `/etc/zshenv` mais ne nécessite pas de permissions root. Ce fichier pourrait être utilisé comme un mécanisme de persistance, se déclenchant chaque fois que `zsh` démarre, ou comme un mécanisme d'élévation de privilèges. Si un utilisateur admin s'élève à root en utilisant `sudo -s` ou `sudo <command>`, le fichier `~/.zshenv` serait déclenché, élevant effectivement les privilèges à root.
#### [**CVE-2022-22583**](https://perception-point.io/blog/technical-analysis-cve-2022-22583/)
Dans [**CVE-2022-22583**](https://perception-point.io/blog/technical-analysis-cve-2022-22583/), il a été découvert que le même processus **`system_installd`** pouvait encore être abusé car il plaçait le **script post-installation à l'intérieur d'un dossier nommé aléatoirement protégé par SIP à l'intérieur de `/tmp`**. Le fait est que **`/tmp` lui-même n'est pas protégé par SIP**, donc il était possible de **monter** une **image virtuelle dessus**, puis l'**installateur** y placerait le **script post-installation**, **démonterait** l'image virtuelle, **recréerait** tous les **dossiers** et **ajouterait** le **script post-installation** avec la **charge utile** à exécuter.
Dans [**CVE-2022-22583**](https://perception-point.io/blog/technical-analysis-cve-2022-22583/), il a été découvert que le même processus **`system_installd`** pouvait encore être abusé car il plaçait le **script post-installation à l'intérieur d'un dossier nommé aléatoirement protégé par SIP à l'intérieur de `/tmp`**. Le fait est que **`/tmp` lui-même n'est pas protégé par SIP**, donc il était possible de **monter** une **image virtuelle dessus**, puis l'**installateur** y placerait le **script post-installation**, **démonterait** l'image virtuelle, **recréerait** tous les **dossiers** et **ajouterait** le **script de post-installation** avec la **charge utile** à exécuter.
#### [fsck_cs utility](https://www.theregister.com/2016/03/30/apple_os_x_rootless/)
@ -168,7 +168,7 @@ De plus, au sein de `InstallESD.dmg`, il y a un `BaseSystem.dmg`, qui sert de sy
#### [systemmigrationd (2023)](https://www.youtube.com/watch?v=zxZesAN-TEk)
Dans cette présentation de [**DEF CON 31**](https://www.youtube.com/watch?v=zxZesAN-TEk), il est montré comment **`systemmigrationd`** (qui peut contourner SIP) exécute un **bash** et un **perl** script, qui peuvent être abusés via les variables d'environnement **`BASH_ENV`** et **`PERL5OPT`**.
Dans cette présentation de [**DEF CON 31**](https://www.youtube.com/watch?v=zxZesAN-TEk), il est montré comment **`systemmigrationd`** (qui peut contourner SIP) exécute un **bash** et un **perl** script, qui peuvent être abusés via des variables d'environnement **`BASH_ENV`** et **`PERL5OPT`**.
#### CVE-2023-42860 <a href="#cve-a-detailed-look" id="cve-a-detailed-look"></a>
@ -176,7 +176,7 @@ Comme [**détaillé dans cet article de blog**](https://blog.kandji.io/apple-mit
```bash
/usr/bin/chflags -h norestricted "${SHARED_SUPPORT_PATH}/SharedSupport.dmg"
```
et il était possible de créer un lien symbolique dans `${SHARED_SUPPORT_PATH}/SharedSupport.dmg` qui permettrait à un utilisateur de **déverrouiller n'importe quel fichier, contournant la protection SIP**.
et il était possible de créer un symlink dans `${SHARED_SUPPORT_PATH}/SharedSupport.dmg` qui permettrait à un utilisateur de **déverrouiller n'importe quel fichier, contournant la protection SIP**.
### **com.apple.rootless.install**
@ -193,8 +193,8 @@ Les Instantanés de Système Scellés sont une fonctionnalité introduite par Ap
Voici un aperçu plus détaillé :
1. **Système Immutable** : Les Instantanés de Système Scellés rendent le volume système macOS "immutable", ce qui signifie qu'il ne peut pas être modifié. Cela empêche toute modification non autorisée ou accidentelle du système qui pourrait compromettre la sécurité ou la stabilité du système.
2. **Mises à jour du Logiciel Système** : Lorsque vous installez des mises à jour ou des améliorations de macOS, macOS crée un nouvel instantané système. Le volume de démarrage de macOS utilise ensuite **APFS (Apple File System)** pour passer à ce nouvel instantané. L'ensemble du processus d'application des mises à jour devient plus sûr et plus fiable, car le système peut toujours revenir à l'instantané précédent si quelque chose ne va pas pendant la mise à jour.
1. **Système Immutable** : Les Instantanés de Système Scellés rendent le volume système macOS "immutable", ce qui signifie qu'il ne peut pas être modifié. Cela empêche tout changement non autorisé ou accidentel au système qui pourrait compromettre la sécurité ou la stabilité du système.
2. **Mises à jour du Logiciel Système** : Lorsque vous installez des mises à jour ou des upgrades de macOS, macOS crée un nouvel instantané système. Le volume de démarrage de macOS utilise ensuite **APFS (Apple File System)** pour passer à ce nouvel instantané. L'ensemble du processus d'application des mises à jour devient plus sûr et plus fiable, car le système peut toujours revenir à l'instantané précédent si quelque chose ne va pas pendant la mise à jour.
3. **Séparation des Données** : En conjonction avec le concept de séparation des volumes de Données et de Système introduit dans macOS Catalina, la fonctionnalité d'Instantané de Système Scellé garantit que toutes vos données et paramètres sont stockés sur un volume "**Données**" séparé. Cette séparation rend vos données indépendantes du système, ce qui simplifie le processus de mises à jour du système et améliore la sécurité du système.
N'oubliez pas que ces instantanés sont gérés automatiquement par macOS et ne prennent pas d'espace supplémentaire sur votre disque, grâce aux capacités de partage d'espace d'APFS. Il est également important de noter que ces instantanés sont différents des **instantanés de Time Machine**, qui sont des sauvegardes accessibles par l'utilisateur de l'ensemble du système.
@ -205,7 +205,7 @@ La commande **`diskutil apfs list`** liste les **détails des volumes APFS** et
<pre><code>+-- Container disk3 966B902E-EDBA-4775-B743-CF97A0556A13
| ====================================================
| Référence du Conteneur APFS : disk3
| Référence de Conteneur APFS : disk3
| Taille (Plafond de Capacité) : 494384795648 B (494.4 Go)
| Capacité Utilisée par les Volumes : 219214536704 B (219.2 Go) (44.3% utilisé)
| Capacité Non Allouée : 275170258944 B (275.2 Go) (55.7% libre)
@ -218,7 +218,7 @@ La commande **`diskutil apfs list`** liste les **détails des volumes APFS** et
| +-> Volume disk3s1 7A27E734-880F-4D91-A703-FB55861D49B7
| | ---------------------------------------------------
<strong>| | Disque de Volume APFS (Rôle) : disk3s1 (Système)
</strong>| | Nom : Macintosh HD (insensible à la casse)
</strong>| | Nom : Macintosh HD (Insensible à la casse)
<strong>| | Point de Montage : /System/Volumes/Update/mnt1
</strong>| | Capacité Consommée : 12819210240 B (12.8 Go)
| | Scellé : Cassé
@ -233,7 +233,7 @@ La commande **`diskutil apfs list`** liste les **détails des volumes APFS** et
+-> Volume disk3s5 281959B7-07A1-4940-BDDF-6419360F3327
| ---------------------------------------------------
| Disque de Volume APFS (Rôle) : disk3s5 (Données)
| Nom : Macintosh HD - Données (insensible à la casse)
| Nom : Macintosh HD - Données (Insensible à la casse)
<strong> | Point de Montage : /System/Volumes/Data
</strong><strong> | Capacité Consommée : 412071784448 B (412.1 Go)
</strong> | Scellé : Non
@ -242,7 +242,7 @@ La commande **`diskutil apfs list`** liste les **détails des volumes APFS** et
Dans la sortie précédente, il est possible de voir que les **emplacements accessibles par l'utilisateur** sont montés sous `/System/Volumes/Data`.
De plus, l'**instantané du volume système macOS** est monté dans `/` et est **scellé** (signé cryptographiquement par le système d'exploitation). Donc, si SIP est contourné et modifié, le **système d'exploitation ne démarrera plus**.
De plus, l'**instantané du volume système macOS** est monté dans `/` et il est **scellé** (signé cryptographiquement par le système d'exploitation). Donc, si SIP est contourné et modifié, le **système d'exploitation ne démarrera plus**.
Il est également possible de **vérifier que le sceau est activé** en exécutant :
```bash

32
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/README.md
View File

@ -37,8 +37,8 @@ Les autorisations/refus sont ensuite stockés dans certaines bases de données T
> Cependant, rappelez-vous qu'un processus avec ces privilèges élevés (comme **FDA** ou **`kTCCServiceEndpointSecurityClient`**) pourra écrire dans la base de données TCC des utilisateurs.
- Il y a une **troisième** base de données TCC dans **`/var/db/locationd/clients.plist`** pour indiquer les clients autorisés à **accéder aux services de localisation**.
- Le fichier protégé par SIP **`/Users/carlospolop/Downloads/REG.db`** (également protégé contre l'accès en lecture avec TCC), contient la **localisation** de toutes les **bases de données TCC valides**.
- Le fichier protégé par SIP **`/Users/carlospolop/Downloads/MDMOverrides.plist`** (également protégé contre l'accès en lecture avec TCC), contient plus de permissions accordées par TCC.
- Le fichier protégé par SIP **`/Users/carlospolop/Downloads/REG.db`** (également protégé de l'accès en lecture avec TCC), contient la **localisation** de toutes les **bases de données TCC valides**.
- Le fichier protégé par SIP **`/Users/carlospolop/Downloads/MDMOverrides.plist`** (également protégé de l'accès en lecture avec TCC), contient plus de permissions accordées par TCC.
- Le fichier protégé par SIP **`/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist`** (mais lisible par quiconque) est une liste d'autorisation d'applications qui nécessitent une exception TCC.
> [!TIP]
@ -78,7 +78,7 @@ sqlite> select * from access where client LIKE "%telegram%" and auth_value=0;
```
{{#endtab}}
{{#tab name="system DB"}}
{{#tab name="base de données système"}}
```bash
sqlite3 /Library/Application\ Support/com.apple.TCC/TCC.db
sqlite> .schema
@ -105,8 +105,8 @@ sqlite> select * from access where client LIKE "%telegram%" and auth_value=0;
> En vérifiant les deux bases de données, vous pouvez vérifier les autorisations qu'une application a accordées, a interdites ou n'a pas (elle le demandera).
- Le **`service`** est la représentation sous forme de chaîne de la **permission** TCC
- Le **`client`** est le **bundle ID** ou le **chemin vers le binaire** avec les permissions
- Le **`client_type`** indique s'il s'agit d'un Identifiant de Bundle(0) ou d'un chemin absolu(1)
- Le **`client`** est le **bundle ID** ou le **chemin vers le binaire** avec les autorisations
- Le **`client_type`** indique s'il s'agit d'un identifiant de bundle (0) ou d'un chemin absolu (1)
<details>
@ -254,7 +254,7 @@ uuid 769FD8F1-90E0-3206-808C-A8947BEBD6C3
>
> Notez également que si vous déplacez un fichier qui permet l'UUID d'une application sur votre ordinateur vers un autre ordinateur, parce que la même application aura des UIDs différents, cela ne donnera pas accès à cette application.
L'attribut étendu `com.apple.macl` **ne peut pas être effacé** comme d'autres attributs étendus car il est **protégé par SIP**. Cependant, comme [**expliqué dans cet article**](https://www.brunerd.com/blog/2020/01/07/track-and-tackle-com-apple-macl/), il est possible de le désactiver en **compressant** le fichier, en **le supprimant** et en **le décompressant**.
L'attribut étendu `com.apple.macl` **ne peut pas être effacé** comme d'autres attributs étendus car il est **protégé par SIP**. Cependant, comme [**expliqué dans ce post**](https://www.brunerd.com/blog/2020/01/07/track-and-tackle-com-apple-macl/), il est possible de le désactiver en **compressant** le fichier, en **le supprimant** et en **le décompressant**.
## TCC Privesc & Bypasses
@ -327,11 +327,11 @@ macos-apple-events.md
Le nom TCC de l'autorisation d'automatisation est : **`kTCCServiceAppleEvents`**\
Cette autorisation TCC spécifique indique également **l'application qui peut être gérée** dans la base de données TCC (donc les autorisations ne permettent pas simplement de gérer tout).
**Finder** est une application qui **a toujours FDA** (même si elle n'apparaît pas dans l'interface utilisateur), donc si vous avez des privilèges **d'automatisation** sur elle, vous pouvez abuser de ses privilèges pour **l'amener à effectuer certaines actions**.\
**Finder** est une application qui **a toujours FDA** (même si elle n'apparaît pas dans l'interface utilisateur), donc si vous avez des privilèges **d'automatisation** sur elle, vous pouvez abuser de ses privilèges pour **lui faire effectuer certaines actions**.\
Dans ce cas, votre application aurait besoin de l'autorisation **`kTCCServiceAppleEvents`** sur **`com.apple.Finder`**.
{{#tabs}}
{{#tab name="Voler les TCC.db des utilisateurs"}}
{{#tab name="Voler les utilisateurs TCC.db"}}
```applescript
# This AppleScript will copy the system TCC database into /tmp
osascript<<EOD
@ -361,7 +361,7 @@ EOD
Vous pourriez abuser de cela pour **écrire votre propre base de données TCC utilisateur**.
> [!WARNING]
> Avec cette permission, vous pourrez **demander à Finder d'accéder aux dossiers restreints par TCC** et de vous donner les fichiers, mais à ma connaissance, vous **ne pourrez pas faire exécuter de code arbitraire par Finder** pour abuser pleinement de son accès FDA.
> Avec cette permission, vous pourrez **demander à Finder d'accéder aux dossiers restreints par TCC** et de vous donner les fichiers, mais à ma connaissance, vous **ne pourrez pas faire exécuter du code arbitraire par Finder** pour abuser pleinement de son accès FDA.
>
> Par conséquent, vous ne pourrez pas abuser de toutes les capacités de la FDA.
@ -370,7 +370,7 @@ Voici l'invite TCC pour obtenir des privilèges d'automatisation sur Finder :
<figure><img src="../../../../images/image (27).png" alt="" width="244"><figcaption></figcaption></figure>
> [!CAUTION]
> Notez que parce que l'application **Automator** a la permission TCC **`kTCCServiceAppleEvents`**, elle peut **contrôler n'importe quelle application**, comme Finder. Donc, en ayant la permission de contrôler Automator, vous pourriez également contrôler le **Finder** avec un code comme celui ci-dessous :
> Notez qu'en raison du fait que l'application **Automator** a la permission TCC **`kTCCServiceAppleEvents`**, elle peut **contrôler n'importe quelle application**, comme Finder. Donc, en ayant la permission de contrôler Automator, vous pourriez également contrôler le **Finder** avec un code comme celui ci-dessous :
<details>
@ -396,7 +396,7 @@ EOD
```
</details>
Il en va de même pour **l'application Script Editor,** elle peut contrôler Finder, mais en utilisant un AppleScript, vous ne pouvez pas le forcer à exécuter un script.
Il en va de même pour l'**application Script Editor,** elle peut contrôler Finder, mais en utilisant un AppleScript, vous ne pouvez pas le forcer à exécuter un script.
### Automation (SE) to some TCC
@ -446,7 +446,7 @@ rm "$HOME/Desktop/file"
L'automatisation sur **`System Events`** + Accessibilité (**`kTCCServicePostEvent`**) permet d'envoyer **des frappes au clavier aux processus**. De cette manière, vous pourriez abuser de Finder pour modifier le TCC.db des utilisateurs ou pour donner FDA à une application arbitraire (bien que le mot de passe puisse être demandé pour cela).
Exemple de Finder écrasant le TCC.db des utilisateurs :
Exemple de remplacement du TCC.db des utilisateurs par Finder :
```applescript
-- store the TCC.db file to copy in /tmp
osascript <<EOF
@ -502,7 +502,7 @@ Si vous avez **`kTCCServiceEndpointSecurityClient`**, vous avez FDA. Fin.
### Fichier de politique système SysAdmin à FDA
**`kTCCServiceSystemPolicySysAdminFiles`** permet de **changer** l'attribut **`NFSHomeDirectory`** d'un utilisateur, ce qui change son dossier personnel et permet donc de **contourner TCC**.
**`kTCCServiceSystemPolicySysAdminFiles`** permet de **changer** l'attribut **`NFSHomeDirectory`** d'un utilisateur qui change son dossier personnel et permet donc de **contourner TCC**.
### Base de données TCC utilisateur à FDA
@ -514,18 +514,18 @@ Mais vous pouvez **vous donner** des **`droits d'automatisation au Finder`**, et
**Accès complet au disque** est le nom TCC **`kTCCServiceSystemPolicyAllFiles`**
Je ne pense pas que ce soit un véritable privesc, mais juste au cas où vous le trouveriez utile : Si vous contrôlez un programme avec FDA, vous pouvez **modifier la base de données TCC des utilisateurs et vous donner n'importe quel accès**. Cela peut être utile comme technique de persistance au cas où vous pourriez perdre vos permissions FDA.
Je ne pense pas que ce soit un vrai privesc, mais juste au cas où vous le trouveriez utile : Si vous contrôlez un programme avec FDA, vous pouvez **modifier la base de données TCC des utilisateurs et vous donner n'importe quel accès**. Cela peut être utile comme technique de persistance au cas où vous pourriez perdre vos permissions FDA.
### **Contournement SIP pour contournement TCC**
La **base de données TCC** système est protégée par **SIP**, c'est pourquoi seuls les processus avec les **droits indiqués pourront la modifier**. Par conséquent, si un attaquant trouve un **contournement SIP** sur un **fichier** (pouvoir modifier un fichier restreint par SIP), il pourra :
- **Supprimer la protection** d'une base de données TCC et se donner toutes les permissions TCC. Il pourrait abuser de l'un de ces fichiers par exemple :
- **Supprimer la protection** d'une base de données TCC, et se donner toutes les permissions TCC. Il pourrait abuser de n'importe lequel de ces fichiers par exemple :
- La base de données système TCC
- REG.db
- MDMOverrides.plist
Cependant, il existe une autre option pour abuser de ce **contournement SIP pour contourner TCC**, le fichier `/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist` est une liste d'autorisation d'applications qui nécessitent une exception TCC. Par conséquent, si un attaquant peut **supprimer la protection SIP** de ce fichier et ajouter sa **propre application**, l'application pourra contourner TCC.\
Cependant, il existe une autre option pour abuser de ce **contournement SIP pour contourner TCC**, le fichier `/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist` est une liste d'applications autorisées qui nécessitent une exception TCC. Par conséquent, si un attaquant peut **supprimer la protection SIP** de ce fichier et ajouter sa **propre application**, l'application pourra contourner TCC.\
Par exemple pour ajouter le terminal :
```bash
# Get needed info

38
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-tcc-bypasses/README.md
View File

@ -52,17 +52,17 @@ Ici, vous pouvez trouver des exemples de la façon dont certains **malwares ont
### Gestion des extensions - CVE-2022-26767
L'attribut **`com.apple.macl`** est donné aux fichiers pour donner à une **certaines applications des permissions pour le lire.** Cet attribut est défini lorsque l'on **fait glisser et déposer** un fichier sur une application, ou lorsqu'un utilisateur **double-clique** sur un fichier pour l'ouvrir avec l'**application par défaut**.
L'attribut **`com.apple.macl`** est donné aux fichiers pour donner à une **certaines applications des permissions pour le lire.** Cet attribut est défini lorsque vous **glissez-déposez** un fichier sur une application, ou lorsqu'un utilisateur **double-clique** sur un fichier pour l'ouvrir avec l'**application par défaut**.
Par conséquent, un utilisateur pourrait **enregistrer une application malveillante** pour gérer toutes les extensions et appeler Launch Services pour **ouvrir** n'importe quel fichier (de sorte que le fichier malveillant obtienne l'accès pour le lire).
### iCloud
L'attribution **`com.apple.private.icloud-account-access`** permet de communiquer avec le service XPC **`com.apple.iCloudHelper`** qui fournira **des jetons iCloud**.
L'autorisation **`com.apple.private.icloud-account-access`** permet de communiquer avec le service XPC **`com.apple.iCloudHelper`** qui fournira **des jetons iCloud**.
**iMovie** et **Garageband** avaient cette attribution et d'autres qui le permettaient.
**iMovie** et **Garageband** avaient cette autorisation et d'autres qui le permettaient.
Pour plus **d'informations** sur l'exploit pour **obtenir des jetons iCloud** à partir de cette attribution, consultez la conférence : [**#OBTS v5.0 : "What Happens on your Mac, Stays on Apple's iCloud?!" - Wojciech Regula**](https://www.youtube.com/watch?v=_6e2LhmxVc0)
Pour plus **d'informations** sur l'exploit pour **obtenir des jetons iCloud** à partir de cette autorisation, consultez la conférence : [**#OBTS v5.0 : "Que se passe-t-il sur votre Mac, reste sur l'iCloud d'Apple ?!" - Wojciech Regula**](https://www.youtube.com/watch?v=_6e2LhmxVc0)
### kTCCServiceAppleEvents / Automation
@ -112,7 +112,7 @@ do shell script "rm " & POSIX path of (copyFile as alias)
### CVE-20209934 - TCC <a href="#c19b" id="c19b"></a>
Le **daemon tccd** de l'espace utilisateur utilise la variable d'environnement **`HOME`** pour accéder à la base de données des utilisateurs TCC depuis : **`$HOME/Library/Application Support/com.apple.TCC/TCC.db`**
Le **daemon tccd** de l'espace utilisateur utilise la variable **`HOME`** **env** pour accéder à la base de données des utilisateurs TCC depuis : **`$HOME/Library/Application Support/com.apple.TCC/TCC.db`**
Selon [ce post Stack Exchange](https://stackoverflow.com/questions/135688/setting-environment-variables-on-os-x/3756686#3756686) et parce que le daemon TCC s'exécute via `launchd` dans le domaine de l'utilisateur actuel, il est possible de **contrôler toutes les variables d'environnement** qui lui sont passées.\
Ainsi, un **attaquant pourrait définir la variable d'environnement `$HOME`** dans **`launchctl`** pour pointer vers un **répertoire contrôlé**, **redémarrer** le **daemon TCC**, puis **modifier directement la base de données TCC** pour se donner **tous les droits TCC disponibles** sans jamais demander à l'utilisateur final.\
@ -153,7 +153,7 @@ Notes avait accès aux emplacements protégés par TCC, mais lorsqu'une note est
Le binaire `/usr/libexec/lsd` avec la bibliothèque `libsecurity_translocate` avait le droit `com.apple.private.nullfs_allow` qui lui permettait de créer un **nullfs** mount et avait le droit `com.apple.private.tcc.allow` avec **`kTCCServiceSystemPolicyAllFiles`** pour accéder à tous les fichiers.
Il était possible d'ajouter l'attribut de quarantaine à "Library", d'appeler le service XPC **`com.apple.security.translocation`** et ensuite il mapperait Library à **`$TMPDIR/AppTranslocation/d/d/Library`** où tous les documents à l'intérieur de Library pouvaient être **accessed**.
Il était possible d'ajouter l'attribut de quarantaine à "Library", d'appeler le service XPC **`com.apple.security.translocation`** et ensuite il mapperait Library à **`$TMPDIR/AppTranslocation/d/d/Library`** où tous les documents à l'intérieur de Library pouvaient être **accessibles**.
### CVE-2023-38571 - Music & TV <a href="#cve-2023-38571-a-macos-tcc-bypass-in-music-and-tv" id="cve-2023-38571-a-macos-tcc-bypass-in-music-and-tv"></a>
@ -167,33 +167,33 @@ Ce **`rename(a, b);`** comportement est vulnérable à une **Race Condition**, c
### SQLITE_SQLLOG_DIR - CVE-2023-32422
Si **`SQLITE_SQLLOG_DIR="path/folder"`** signifie essentiellement que **toute base de données ouverte est copiée à ce chemin**. Dans ce CVE, ce contrôle a été abusé pour **écrire** à l'intérieur d'une **base de données SQLite** qui va être **ouverte par un processus avec FDA la base de données TCC**, puis abuser de **`SQLITE_SQLLOG_DIR`** avec un **symlink dans le nom de fichier** afin que lorsque cette base de données est **ouverte**, l'utilisateur **TCC.db est écrasé** avec celle ouverte.\
**More info** [**in the writeup**](https://gergelykalman.com/sqlol-CVE-2023-32422-a-macos-tcc-bypass.html) **and**[ **in the talk**](https://www.youtube.com/watch?v=f1HA5QhLQ7Y&t=20548s).
**Plus d'infos** [**dans l'article**](https://gergelykalman.com/sqlol-CVE-2023-32422-a-macos-tcc-bypass.html) **et** [**dans la présentation**](https://www.youtube.com/watch?v=f1HA5QhLQ7Y&t=20548s).
### **SQLITE_AUTO_TRACE**
Si la variable d'environnement **`SQLITE_AUTO_TRACE`** est définie, la bibliothèque **`libsqlite3.dylib`** commencera à **logger** toutes les requêtes SQL. De nombreuses applications utilisaient cette bibliothèque, il était donc possible de logger toutes leurs requêtes SQLite.
Si la variable d'environnement **`SQLITE_AUTO_TRACE`** est définie, la bibliothèque **`libsqlite3.dylib`** commencera à **journaliser** toutes les requêtes SQL. De nombreuses applications utilisaient cette bibliothèque, il était donc possible de journaliser toutes leurs requêtes SQLite.
Plusieurs applications Apple utilisaient cette bibliothèque pour accéder à des informations protégées par TCC.
Plusieurs applications Apple utilisaient cette bibliothèque pour accéder aux informations protégées par TCC.
```bash
# Set this env variable everywhere
launchctl setenv SQLITE_AUTO_TRACE 1
```
### MTL_DUMP_PIPELINES_TO_JSON_FILE - CVE-2023-32407
Cette **variable d'environnement est utilisée par le cadre `Metal`** qui est une dépendance pour divers programmes, notamment `Music`, qui a FDA.
Cette **variable d'environnement est utilisée par le cadre `Metal`** qui est une dépendance à divers programmes, notamment `Music`, qui a FDA.
En définissant ce qui suit : `MTL_DUMP_PIPELINES_TO_JSON_FILE="path/name"`. Si `path` est un répertoire valide, le bug se déclenchera et nous pouvons utiliser `fs_usage` pour voir ce qui se passe dans le programme :
- un fichier sera `open()`é, appelé `path/.dat.nosyncXXXX.XXXXXX` (X est aléatoire)
- une ou plusieurs `write()` écriront le contenu dans le fichier (nous ne contrôlons pas cela)
- une ou plusieurs `write()`s écriront le contenu dans le fichier (nous ne contrôlons pas cela)
- `path/.dat.nosyncXXXX.XXXXXX` sera `renamed()` à `path/name`
C'est un écriture de fichier temporaire, suivie d'un **`rename(old, new)`** **qui n'est pas sécurisé.**
Ce n'est pas sécurisé car cela doit **résoudre les anciens et nouveaux chemins séparément**, ce qui peut prendre un certain temps et peut être vulnérable à une condition de course. Pour plus d'informations, vous pouvez consulter la fonction `renameat_internal()` de `xnu`.
Ce n'est pas sécurisé car il doit **résoudre les anciens et nouveaux chemins séparément**, ce qui peut prendre un certain temps et peut être vulnérable à une condition de course. Pour plus d'informations, vous pouvez consulter la fonction `renameat_internal()` de `xnu`.
> [!CAUTION]
> Donc, en gros, si un processus privilégié renomme à partir d'un dossier que vous contrôlez, vous pourriez obtenir un RCE et le faire accéder à un fichier différent ou, comme dans ce CVE, ouvrir le fichier créé par l'application privilégiée et stocker un FD.
> Donc, en gros, si un processus privilégié renomme à partir d'un dossier que vous contrôlez, vous pourriez obtenir un RCE et le faire accéder à un fichier différent ou, comme dans ce CVE, ouvrir le fichier que l'application privilégiée a créé et stocker un FD.
>
> Si le renommage accède à un dossier que vous contrôlez, tout en ayant modifié le fichier source ou en ayant un FD, vous changez le fichier (ou dossier) de destination pour pointer vers un symlink, afin que vous puissiez écrire quand vous le souhaitez.
@ -382,7 +382,7 @@ Il est possible d'invoquer **`open`** même en étant sandboxé
### Scripts de terminal
Il est assez courant de donner un **Accès Complet au Disque (FDA)** aux terminaux, du moins sur les ordinateurs utilisés par des personnes techniques. Et il est possible d'invoquer des scripts **`.terminal`** avec cela.
Il est assez courant de donner un **Accès Complet au Disque (ACD)**, du moins sur les ordinateurs utilisés par des personnes techniques. Et il est possible d'invoquer des scripts **`.terminal`** avec cela.
Les scripts **`.terminal`** sont des fichiers plist comme celui-ci avec la commande à exécuter dans la clé **`CommandString`** :
```xml
@ -402,7 +402,7 @@ Les scripts **`.terminal`** sont des fichiers plist comme celui-ci avec la comma
</dict>
</plist>
```
Une application pourrait écrire un script terminal dans un emplacement tel que /tmp et le lancer avec une commande telle que :
Une application pourrait écrire un script de terminal dans un emplacement tel que /tmp et le lancer avec une commande telle que :
```objectivec
// Write plist in /tmp/tcc.terminal
[...]
@ -440,7 +440,7 @@ ls /tmp/snap/Users/admin_user # This will work
```
Une explication plus détaillée peut être [**trouvée dans le rapport original**](https://theevilbit.github.io/posts/cve_2020_9771/)**.**
### CVE-2021-1784 & CVE-2021-30808 - Monter un fichier TCC
### CVE-2021-1784 & CVE-2021-30808 - Monter un fichier TCC au-dessus
Même si le fichier de la base de données TCC est protégé, il était possible de **monter un nouveau fichier TCC.db** dans le répertoire :
```bash
@ -463,15 +463,15 @@ os.system("mkdir -p /tmp/mnt/Application\ Support/com.apple.TCC/")
os.system("cp /tmp/TCC.db /tmp/mnt/Application\ Support/com.apple.TCC/TCC.db")
os.system("hdiutil detach /tmp/mnt 1>/dev/null")
```
Vérifiez l'**exploitation complète** dans le [**rapport original**](https://theevilbit.github.io/posts/cve-2021-30808/).
Vérifiez l'**exploit complet** dans le [**rapport original**](https://theevilbit.github.io/posts/cve-2021-30808/).
### CVE-2024-40855
Comme expliqué dans le [rapport original](https://www.kandji.io/blog/macos-audit-story-part2), ce CVE a abusé de `diskarbitrationd`.
La fonction `DADiskMountWithArgumentsCommon` du framework public `DiskArbitration` effectuait les vérifications de sécurité. Cependant, il est possible de contourner cela en appelant directement `diskarbitrationd` et donc d'utiliser des éléments `../` dans le chemin et des liens symboliques.
La fonction `DADiskMountWithArgumentsCommon` du framework public `DiskArbitration` effectuait les vérifications de sécurité. Cependant, il est possible de contourner cela en appelant directement `diskarbitrationd` et donc d'utiliser des éléments `../` dans le chemin et des symlinks.
Cela a permis à un attaquant de faire des montages arbitraires à n'importe quel endroit, y compris sur la base de données TCC en raison de l'attribution `com.apple.private.security.storage-exempt.heritable` de `diskarbitrationd`.
Cela a permis à un attaquant de réaliser des montages arbitraires à n'importe quel endroit, y compris sur la base de données TCC en raison de l'attribution `com.apple.private.security.storage-exempt.heritable` de `diskarbitrationd`.
### asr

4
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-tcc-bypasses/macos-apple-scripts.md
View File

@ -4,8 +4,8 @@
## Apple Scripts
C'est un langage de script utilisé pour l'automatisation des tâches **interagissant avec des processus distants**. Il facilite assez bien **la demande à d'autres processus d'effectuer certaines actions**. **Les logiciels malveillants** peuvent abuser de ces fonctionnalités pour exploiter des fonctions exportées par d'autres processus.\
Par exemple, un logiciel malveillant pourrait **injecter du code JS arbitraire dans les pages ouvertes du navigateur**. Ou **cliquer automatiquement** sur certaines autorisations demandées à l'utilisateur ;
C'est un langage de script utilisé pour l'automatisation des tâches **interagissant avec des processus distants**. Il facilite assez bien **la demande à d'autres processus d'effectuer certaines actions**. **Malware** peut abuser de ces fonctionnalités pour exploiter des fonctions exportées par d'autres processus.\
Par exemple, un malware pourrait **injecter du code JS arbitraire dans les pages ouvertes du navigateur**. Ou **cliquer automatiquement** sur certaines autorisations demandées à l'utilisateur ;
```applescript
tell window 1 of process "SecurityAgent"
click button "Always Allow" of group 1

6
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-tcc-payloads.md
View File

@ -44,7 +44,7 @@ fclose(stderr); // Close the file stream
{{#endtab}}
{{#tab name="Shell"}}
Copier `$HOME/Desktop` vers `/tmp/desktop`.
Copiez `$HOME/Desktop` dans `/tmp/desktop`.
```bash
cp -r "$HOME/Desktop" "/tmp/desktop"
```
@ -93,7 +93,7 @@ fclose(stderr); // Close the file stream
{{#endtab}}
{{#tab name="Shell"}}
Copier `$HOME/`Documents vers `/tmp/documents`.
Copiez `$HOME/`Documents dans `/tmp/documents`.
```bash
cp -r "$HOME/Documents" "/tmp/documents"
```
@ -107,7 +107,7 @@ cp -r "$HOME/Documents" "/tmp/documents"
{{#tabs}}
{{#tab name="ObjetiveC"}}
Copier `$HOME/Downloads` dans `/tmp/downloads`.
Copier `$HOME/Downloads` vers `/tmp/downloads`.
```objectivec
#include <syslog.h>
#include <stdio.h>

56
src/mobile-pentesting/android-app-pentesting/README.md
View File

@ -15,7 +15,7 @@ android-applications-basics.md
C'est l'outil principal dont vous avez besoin pour vous connecter à un appareil Android (émulé ou physique).\
**ADB** permet de contrôler les appareils soit via **USB** soit via **réseau** depuis un ordinateur. Cette utilité permet le **copiage** de fichiers dans les deux sens, **installation** et **désinstallation** d'applications, **exécution** de commandes shell, **sauvegarde** de données, **lecture** de journaux, entre autres fonctions.
Consultez la liste suivante de [**Commandes ADB**](adb-commands.md) pour apprendre à utiliser adb.
Jetez un œil à la liste suivante de [**Commandes ADB**](adb-commands.md) pour apprendre à utiliser adb.
## Smali
@ -52,7 +52,7 @@ Veuillez, [**lire ici pour trouver des informations sur les différents décompi
### Recherche d'informations intéressantes
En jetant simplement un œil aux **chaînes** de l'APK, vous pouvez rechercher des **mots de passe**, des **URLs** ([https://github.com/ndelphit/apkurlgrep](https://github.com/ndelphit/apkurlgrep)), des clés **api**, des **chiffrements**, des **UUIDs bluetooth**, des **tokens** et tout ce qui est intéressant... cherchez même des **backdoors** d'exécution de code ou des backdoors d'authentification (identifiants administratifs codés en dur dans l'application).
En jetant un œil aux **chaînes** de l'APK, vous pouvez rechercher des **mots de passe**, des **URLs** ([https://github.com/ndelphit/apkurlgrep](https://github.com/ndelphit/apkurlgrep)), des clés **api**, des **chiffrements**, des **UUIDs bluetooth**, des **tokens** et tout ce qui est intéressant... cherchez même des **backdoors** d'exécution de code ou des backdoors d'authentification (identifiants administratifs codés en dur dans l'application).
**Firebase**
@ -87,7 +87,7 @@ tapjacking.md
### Détournement de tâche
Une **activité** avec le **`launchMode`** défini sur **`singleTask` sans aucune `taskAffinity`** définie est vulnérable au détournement de tâche. Cela signifie qu'une **application** peut être installée et si elle est lancée avant la véritable application, elle pourrait **détourner la tâche de la véritable application** (de sorte que l'utilisateur interagira avec l'**application malveillante en pensant qu'il utilise la véritable**).
Une **activité** avec le **`launchMode`** défini sur **`singleTask` sans aucune `taskAffinity`** définie est vulnérable au détournement de tâche. Cela signifie qu'une **application** peut être installée et, si elle est lancée avant la véritable application, elle pourrait **détourner la tâche de la véritable application** (de sorte que l'utilisateur interagira avec l'**application malveillante en pensant qu'il utilise la véritable**).
Plus d'infos dans :
@ -123,7 +123,7 @@ Lorsqu'il s'agit de fichiers sur le **stockage externe**, comme les cartes SD, c
Le stockage externe peut être **accédé** dans `/storage/emulated/0`, `/sdcard`, `/mnt/sdcard`
> [!NOTE]
> À partir d'Android 4.4 (**API 17**), la carte SD a une structure de répertoire qui **limite l'accès d'une application au répertoire spécifiquement pour cette application**. Cela empêche une application malveillante d'obtenir un accès en lecture ou en écriture aux fichiers d'une autre application.
> À partir d'Android 4.4 (**API 17**), la carte SD a une structure de répertoire qui **limite l'accès d'une application au répertoire qui est spécifiquement pour cette application**. Cela empêche une application malveillante d'obtenir un accès en lecture ou en écriture aux fichiers d'une autre application.
**Données sensibles stockées en texte clair**
@ -139,7 +139,7 @@ Pour une raison quelconque, parfois les développeurs acceptent tous les certifi
SSLSocketFactory sf = new cc(trustStore);
sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
```
Une bonne façon de tester cela est d'essayer de capturer le trafic en utilisant un proxy comme Burp sans autoriser Burp CA à l'intérieur de l'appareil. De plus, vous pouvez générer avec Burp un certificat pour un nom d'hôte différent et l'utiliser.
Une bonne façon de tester cela est d'essayer de capturer le trafic en utilisant un proxy comme Burp sans autoriser le certificat CA de Burp sur l'appareil. De plus, vous pouvez générer avec Burp un certificat pour un nom d'hôte différent et l'utiliser.
### Cryptographie cassée
@ -149,7 +149,7 @@ Certains développeurs enregistrent des données sensibles dans le stockage loca
**Utilisation d'algorithmes non sécurisés et/ou obsolètes**
Les développeurs ne devraient pas utiliser **d'algorithmes obsolètes** pour effectuer des **vérifications d'autorisation**, **stocker** ou **envoyer** des données. Certains de ces algorithmes sont : RC4, MD4, MD5, SHA1... Si des **hashs** sont utilisés pour stocker des mots de passe par exemple, des hashs résistants à la **force brute** devraient être utilisés avec du sel.
Les développeurs ne devraient pas utiliser **d'algorithmes obsolètes** pour effectuer des **vérifications d'autorisation**, **stocker** ou **envoyer** des données. Certains de ces algorithmes sont : RC4, MD4, MD5, SHA1... Si des **hashs** sont utilisés pour stocker des mots de passe par exemple, des hashs résistants à la force brute devraient être utilisés avec du sel.
### Autres vérifications
@ -161,7 +161,7 @@ Les développeurs ne devraient pas utiliser **d'algorithmes obsolètes** pour ef
### Application React Native
Lisez la page suivante pour apprendre comment accéder facilement au code javascript des applications React :
Lisez la page suivante pour apprendre à accéder facilement au code javascript des applications React :
{{#ref}}
react-native-application.md
@ -169,7 +169,7 @@ react-native-application.md
### Applications Xamarin
Lisez la page suivante pour apprendre comment accéder facilement au code C# des applications xamarin :
Lisez la page suivante pour apprendre à accéder facilement au code C# des applications xamarin :
{{#ref}}
../xamarin-apps.md
@ -179,11 +179,11 @@ Lisez la page suivante pour apprendre comment accéder facilement au code C# des
Selon ce [**post de blog**](https://clearbluejar.github.io/posts/desuperpacking-meta-superpacked-apks-with-github-actions/), superpacké est un algorithme Meta qui compresse le contenu d'une application en un seul fichier. Le blog parle de la possibilité de créer une application qui décompresse ce type d'applications... et d'une méthode plus rapide qui consiste à **exécuter l'application et à rassembler les fichiers décompressés à partir du système de fichiers.**
### Analyse statique automatisée du code
### Analyse statique de code automatisée
L'outil [**mariana-trench**](https://github.com/facebook/mariana-trench) est capable de trouver des **vulnérabilités** en **scannant** le **code** de l'application. Cet outil contient une série de **sources connues** (qui indiquent à l'outil les **endroits** où l'**entrée** est **contrôlée par l'utilisateur**), des **puits** (qui indiquent à l'outil les **endroits dangereux** où une entrée malveillante pourrait causer des dommages) et des **règles**. Ces règles indiquent la **combinaison** de **sources-puits** qui indique une vulnérabilité.
L'outil [**mariana-trench**](https://github.com/facebook/mariana-trench) est capable de trouver des **vulnérabilités** en **scannant** le **code** de l'application. Cet outil contient une série de **sources connues** (qui indiquent à l'outil les **endroits** où l'**entrée** est **contrôlée par l'utilisateur**), des **sinks** (qui indiquent à l'outil les **endroits dangereux** où une entrée malveillante pourrait causer des dommages) et des **règles**. Ces règles indiquent la **combinaison** de **sources-sinks** qui indique une vulnérabilité.
Avec cette connaissance, **mariana-trench examinera le code et trouvera d'éventuelles vulnérabilités.**
Avec cette connaissance, **mariana-trench examinera le code et trouvera les vulnérabilités possibles.**
### Secrets divulgués
@ -214,11 +214,11 @@ content-protocol.md
## Analyse dynamique
> Tout d'abord, vous avez besoin d'un environnement où vous pouvez installer l'application et tout l'environnement (certificat Burp CA, Drozer et Frida principalement). Par conséquent, un appareil rooté (émulé ou non) est fortement recommandé.
> Tout d'abord, vous avez besoin d'un environnement où vous pouvez installer l'application et tout l'environnement (certificat CA de Burp, Drozer et Frida principalement). Par conséquent, un appareil rooté (émulé ou non) est fortement recommandé.
### Analyse dynamique en ligne
Vous pouvez créer un **compte gratuit** sur : [https://appetize.io/](https://appetize.io). Cette plateforme vous permet de **télécharger** et **d'exécuter** des APK, ce qui est utile pour voir comment un apk se comporte.
Vous pouvez créer un **compte gratuit** sur : [https://appetize.io/](https://appetize.io). Cette plateforme vous permet de **télécharger** et **d'exécuter** des APK, ce qui est utile pour voir comment un APK se comporte.
Vous pouvez même **voir les journaux de votre application** sur le web et vous connecter via **adb**.
@ -251,7 +251,7 @@ De plus, notez que dans la **configuration de la VM Android dans Genymotion**, v
#### Utiliser un appareil physique
Vous devez activer les options de **débogage** et il serait bien si vous pouviez le **rooter** :
Vous devez activer les **options de débogage** et il serait bien si vous pouviez le **rooter** :
1. **Paramètres**.
2. (À partir d'Android 8.0) Sélectionnez **Système**.
@ -259,7 +259,7 @@ Vous devez activer les options de **débogage** et il serait bien si vous pouvie
4. Appuyez sur **Numéro de build** 7 fois.
5. Revenez en arrière et vous trouverez les **options de développement**.
> Une fois que vous avez installé l'application, la première chose à faire est de l'essayer et d'enquêter sur ce qu'elle fait, comment elle fonctionne et de vous y habituer.\
> Une fois que vous avez installé l'application, la première chose que vous devriez faire est de l'essayer et d'enquêter sur ce qu'elle fait, comment elle fonctionne et vous y habituer.\
> Je vous suggérerai de **réaliser cette analyse dynamique initiale en utilisant l'analyse dynamique MobSF + pidcat**, afin que nous puissions **apprendre comment l'application fonctionne** pendant que MobSF **capture** beaucoup de **données intéressantes** que vous pourrez examiner plus tard.
### Fuite de données non intentionnelle
@ -278,13 +278,13 @@ Le cadre **basé sur le presse-papiers** d'Android permet la fonctionnalité de
**Journaux de plantage**
Si une application **plante** et **enregistre des journaux**, ces journaux peuvent aider les attaquants, en particulier lorsque l'application ne peut pas être inversée. Pour atténuer ce risque, évitez de journaliser lors des plantages, et si des journaux doivent être transmis sur le réseau, assurez-vous qu'ils sont envoyés via un canal SSL pour la sécurité.
Si une application **plante** et **enregistre des journaux**, ces journaux peuvent aider les attaquants, en particulier lorsque l'application ne peut pas être inversée. Pour atténuer ce risque, évitez de journaliser lors des plantages, et si des journaux doivent être transmis sur le réseau, assurez-vous qu'ils sont envoyés via un canal SSL pour des raisons de sécurité.
En tant que pentester, **essayez de jeter un œil à ces journaux**.
**Données analytiques envoyées à des tiers**
**Données d'analyse envoyées à des tiers**
Les applications intègrent souvent des services comme Google Adsense, ce qui peut involontairement **fuir des données sensibles** en raison d'une mauvaise mise en œuvre par les développeurs. Pour identifier d'éventuelles fuites de données, il est conseillé de **intercepter le trafic de l'application** et de vérifier toute information sensible envoyée à des services tiers.
Les applications intègrent souvent des services comme Google Adsense, ce qui peut involontairement **fuir des données sensibles** en raison d'une mise en œuvre incorrecte par les développeurs. Pour identifier les fuites de données potentielles, il est conseillé de **intercepter le trafic de l'application** et de vérifier toute information sensible envoyée à des services tiers.
### Bases de données SQLite
@ -376,7 +376,7 @@ Pour trouver le **code qui sera exécuté dans l'App**, allez à l'activité app
**Informations sensibles**
Chaque fois que vous trouvez un deep link, vérifiez qu'il **ne reçoit pas de données sensibles (comme des mots de passe) via des paramètres d'URL**, car toute autre application pourrait **imiter le deep link et voler ces données !**
Chaque fois que vous trouvez un deep link, vérifiez qu'il **ne reçoit pas de données sensibles (comme des mots de passe) via des paramètres d'URL**, car toute autre application pourrait **usurper le deep link et voler ces données !**
**Paramètres dans le chemin**
@ -395,7 +395,7 @@ Un [rapport de bug bounty intéressant](https://hackerone.com/reports/855618) co
#### Vérification des certificats
Nous allons nous concentrer sur la **vérification des certificats**. L'intégrité du certificat du serveur doit être vérifiée pour améliorer la sécurité. Cela est crucial car des configurations TLS non sécurisées et la transmission de données sensibles par des canaux non chiffrés peuvent poser des risques significatifs. Pour des étapes détaillées sur la vérification des certificats de serveur et le traitement des vulnérabilités, [**cette ressource**](https://manifestsecurity.com/android-application-security-part-10/) fournit des conseils complets.
Nous allons nous concentrer sur la **vérification des certificats**. L'intégrité du certificat du serveur doit être vérifiée pour améliorer la sécurité. Cela est crucial car des configurations TLS non sécurisées et la transmission de données sensibles par des canaux non chiffrés peuvent poser des risques significatifs. Pour des étapes détaillées sur la vérification des certificats de serveur et la résolution des vulnérabilités, [**cette ressource**](https://manifestsecurity.com/android-application-security-part-10/) fournit des conseils complets.
#### SSL Pinning
@ -423,12 +423,12 @@ Il est également important de rechercher des vulnérabilités web courantes au
### Frida
[Frida](https://www.frida.re) est un outil d'instrumentation dynamique pour les développeurs, les ingénieurs en rétro-ingénierie et les chercheurs en sécurité.\
[Frida](https://www.frida.re) est un outil de instrumentation dynamique pour les développeurs, les ingénieurs en rétro-ingénierie et les chercheurs en sécurité.\
**Vous pouvez accéder à l'application en cours d'exécution et accrocher des méthodes en temps réel pour changer le comportement, changer des valeurs, extraire des valeurs, exécuter différents codes...**\
Si vous souhaitez effectuer un pentesting sur des applications Android, vous devez savoir comment utiliser Frida.
- Apprenez à utiliser Frida : [**Tutoriel Frida**](frida-tutorial/)
- Une "GUI" pour les actions avec Frida : [**https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security**](https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security)
- Une sorte de "GUI" pour les actions avec Frida : [**https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security**](https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security)
- Ojection est excellent pour automatiser l'utilisation de Frida : [**https://github.com/sensepost/objection**](https://github.com/sensepost/objection) **,** [**https://github.com/dpnishant/appmon**](https://github.com/dpnishant/appmon)
- Vous pouvez trouver des scripts Frida intéressants ici : [**https://codeshare.frida.re/**](https://codeshare.frida.re)
- Essayez de contourner les mécanismes anti-debugging / anti-frida en chargeant Frida comme indiqué dans [https://erfur.github.io/blog/dev/code-injection-without-ptrace](https://erfur.github.io/blog/dev/code-injection-without-ptrace) (outil [linjector](https://github.com/erfur/linjector-rs))
@ -570,7 +570,7 @@ receivers
```
**Outils HTTP**
Lorsque le trafic http est capturé, vous pouvez voir une vue peu attrayante du trafic capturé sur "**HTTP(S) Traffic**" en bas ou une vue plus agréable dans le bouton vert "**Start HTTPTools**". À partir de la deuxième option, vous pouvez **envoyer** les **requêtes capturées** à des **proxies** comme Burp ou Owasp ZAP.\
Lorsque le trafic http est capturé, vous pouvez voir une vue peu attrayante du trafic capturé sur le bouton "**HTTP(S) Traffic**" en bas ou une vue plus agréable dans le bouton vert "**Start HTTPTools**". À partir de la deuxième option, vous pouvez **envoyer** les **requêtes capturées** à des **proxies** comme Burp ou Owasp ZAP.\
Pour ce faire, _allumez Burp -->_ _désactivez Intercept --> dans MobSB HTTPTools, sélectionnez la requête_ --> appuyez sur "**Send to Fuzzer**" --> _sélectionnez l'adresse du proxy_ ([http://127.0.0.1:8080\\](http://127.0.0.1:8080)).
Une fois que vous avez terminé l'analyse dynamique avec MobSF, vous pouvez appuyer sur "**Start Web API Fuzzer**" pour **fuzz les requêtes http** et rechercher des vulnérabilités.
@ -615,7 +615,7 @@ reverse-apk relative/path/to/APP.apk
```
### [SUPER Android Analyzer](https://github.com/SUPERAndroidAnalyzer/super)
SUPER est une application en ligne de commande qui peut être utilisée sous Windows, MacOS X et Linux, qui analyse les fichiers _.apk_ à la recherche de vulnérabilités. Elle le fait en décompressant les APK et en appliquant une série de règles pour détecter ces vulnérabilités.
SUPER est une application en ligne de commande qui peut être utilisée sur Windows, MacOS X et Linux, qui analyse les fichiers _.apk_ à la recherche de vulnérabilités. Elle le fait en décompressant les APK et en appliquant une série de règles pour détecter ces vulnérabilités.
Toutes les règles sont centrées dans un fichier `rules.json`, et chaque entreprise ou testeur peut créer ses propres règles pour analyser ce dont ils ont besoin.
@ -678,19 +678,19 @@ Notez qu'en fonction du service et de la configuration que vous utilisez pour ob
### [ProGuard](<https://en.wikipedia.org/wiki/ProGuard_(software)>)
D'après [Wikipedia](<https://en.wikipedia.org/wiki/ProGuard_(software)>): **ProGuard** est un outil en ligne de commande open source qui réduit, optimise et obfusque le code Java. Il est capable d'optimiser le bytecode ainsi que de détecter et de supprimer les instructions inutilisées. ProGuard est un logiciel libre et est distribué sous la licence publique générale GNU, version 2.
De [Wikipedia](<https://en.wikipedia.org/wiki/ProGuard_(software)>): **ProGuard** est un outil en ligne de commande open source qui réduit, optimise et obfusque le code Java. Il est capable d'optimiser le bytecode ainsi que de détecter et de supprimer les instructions inutilisées. ProGuard est un logiciel libre et est distribué sous la licence publique générale GNU, version 2.
ProGuard est distribué dans le cadre du SDK Android et s'exécute lors de la construction de l'application en mode release.
### [DexGuard](https://www.guardsquare.com/dexguard)
Trouvez un guide étape par étape pour déobfusquer l'apk dans [https://blog.lexfo.fr/dexguard.html](https://blog.lexfo.fr/dexguard.html)
Trouvez un guide étape par étape pour déobfusquer l'apk sur [https://blog.lexfo.fr/dexguard.html](https://blog.lexfo.fr/dexguard.html)
(D'après ce guide) La dernière fois que nous avons vérifié, le mode de fonctionnement de Dexguard était :
(De ce guide) La dernière fois que nous avons vérifié, le mode de fonctionnement de Dexguard était :
- charger une ressource en tant qu'InputStream ;
- alimenter le résultat à une classe héritant de FilterInputStream pour le déchiffrer ;
- faire une obfuscation inutile pour faire perdre quelques minutes de temps à un reverseur ;
- faire une obfuscation inutile pour faire perdre quelques minutes à un reverseur ;
- alimenter le résultat déchiffré à un ZipInputStream pour obtenir un fichier DEX ;
- enfin, charger le DEX résultant en tant que ressource en utilisant la méthode `loadDex`.

8
src/mobile-pentesting/android-app-pentesting/adb-commands.md
View File

@ -1,3 +1,5 @@
{{#include ../../banners/hacktricks-training.md}}
**Adb se trouve généralement dans :**
```bash
#Windows
@ -45,7 +47,7 @@ root
```
## Tunneling de Port
Dans le cas où le **port** **adb** n'est accessible que depuis **localhost** sur l'appareil Android mais que vous avez accès via SSH, vous pouvez **transférer le port 5555** et vous connecter via adb :
Dans le cas où le **port** **adb** n'est accessible que depuis **localhost** sur l'appareil Android mais que **vous avez accès via SSH**, vous pouvez **transférer le port 5555** et vous connecter via adb :
```bash
ssh -i ssh_key username@10.10.10.10 -L 5555:127.0.0.1:5555 -p 2222
adb connect 127.0.0.1:5555
@ -102,7 +104,7 @@ adb shell pm list packages --user <USER_ID> <FILTER-STR> #The user space to quer
```
### adb shell pm path \<PACKAGE>
Imprime le chemin vers l'APK du .
Imprime le chemin vers l'APK du donné.
```bash
adb shell pm path com.android.phone
```
@ -126,7 +128,7 @@ Téléchargez un fichier spécifié depuis votre ordinateur vers un émulateur/a
```bash
adb push test.apk /sdcard
```
# Capture d'écran/Enregistrement d'écran
# Capturer l'écran/Enregistrement de l'écran
### adb shell screencap \<filename>

48
src/mobile-pentesting/android-app-pentesting/android-applications-basics.md
View File

@ -43,8 +43,8 @@ Un élément de permission a trois attributs :
Ces applications se trouvent généralement dans les répertoires **`/system/app`** ou **`/system/priv-app`** et certaines d'entre elles sont **optimisées** (vous ne trouverez peut-être même pas le fichier `classes.dex`). Ces applications valent la peine d'être vérifiées car parfois elles **fonctionnent avec trop de permissions** (en tant que root).
- Celles fournies avec le **ROM AOSP** (Android OpenSource Project)
- Ajoutées par le **fabricant de l'appareil**
- Celles fournies avec le **AOSP** (Android OpenSource Project) **ROM**
- Ajoutées par le **fabricant** de l'appareil
- Ajoutées par le **fournisseur de téléphonie mobile** (si achetées chez eux)
## Rooting
@ -89,7 +89,7 @@ Une fois un appareil rooté, n'importe quelle application pourrait demander un a
- assets/
- Stocke des fichiers divers nécessaires à l'application, pouvant inclure des bibliothèques natives supplémentaires ou des fichiers DEX, parfois utilisés par des auteurs de logiciels malveillants pour dissimuler du code supplémentaire.
- res/
- Contient des ressources qui ne sont pas compilées dans resources.arsc
- Contient des ressources qui ne sont pas compilées dans resources.arsc.
### **Dalvik & Smali**
@ -118,7 +118,7 @@ S'ils sont vulnérables, **les Intents peuvent être utilisés pour effectuer un
Les filtres d'intent sont composés de catégories, d'actions et de filtres de données, avec la possibilité d'inclure des métadonnées supplémentaires. Cette configuration permet aux composants de gérer des Intents spécifiques qui correspondent aux critères déclarés.
Un aspect critique des composants Android (activités/services/content providers/récepteurs de diffusion) est leur visibilité ou **statut public**. Un composant est considéré comme public et peut interagir avec d'autres applications s'il est **`exported`** avec une valeur de **`true`** ou si un filtre d'intent est déclaré pour lui dans le manifeste. Cependant, il existe un moyen pour les développeurs de garder ces composants privés, garantissant qu'ils n'interagissent pas avec d'autres applications de manière non intentionnelle. Cela se fait en définissant l'attribut **`exported`** sur **`false`** dans leurs définitions de manifeste.
Un aspect critique des composants Android (activités/services/content providers/récepteurs de diffusion) est leur visibilité ou **statut public**. Un composant est considéré comme public et peut interagir avec d'autres applications s'il est **`exported`** avec une valeur de **`true`** ou si un filtre d'intent est déclaré pour lui dans le manifest. Cependant, il existe un moyen pour les développeurs de garder explicitement ces composants privés, garantissant qu'ils n'interagissent pas avec d'autres applications de manière non intentionnelle. Cela se fait en définissant l'attribut **`exported`** sur **`false`** dans leurs définitions de manifest.
De plus, les développeurs ont la possibilité de sécuriser davantage l'accès à ces composants en exigeant des permissions spécifiques. L'attribut **`permission`** peut être défini pour imposer que seules les applications ayant la permission désignée puissent accéder au composant, ajoutant une couche supplémentaire de sécurité et de contrôle sur qui peut interagir avec lui.
```java
@ -143,9 +143,9 @@ Cette intention doit être déclarée dans le manifeste comme dans l'exemple sui
</intent-filter>
</activity>
```
Un intent-filter doit correspondre à l'**action**, aux **données** et à la **catégorie** pour recevoir un message.
Un intent-filter doit correspondre à l'**action**, **données** et **catégorie** pour recevoir un message.
Le processus de "résolution d'intent" détermine quelle application doit recevoir chaque message. Ce processus prend en compte l'**attribut de priorité**, qui peut être défini dans la **déclaration d'intent-filter**, et **celui avec la priorité la plus élevée sera sélectionné**. Cette priorité peut être définie entre -1000 et 1000 et les applications peuvent utiliser la valeur `SYSTEM_HIGH_PRIORITY`. Si un **conflit** survient, une fenêtre "choisir" apparaît pour que **l'utilisateur puisse décider**.
Le processus de "résolution d'intent" détermine quelle application doit recevoir chaque message. Ce processus prend en compte l'**attribut de priorité**, qui peut être défini dans la **déclaration d'intent-filter**, et **celui avec la priorité la plus élevée sera sélectionné**. Cette priorité peut être définie entre -1000 et 1000 et les applications peuvent utiliser la valeur `SYSTEM_HIGH_PRIORITY`. Si un **conflit** survient, une fenêtre "choisir" apparaît pour que l'**utilisateur puisse décider**.
### Intents explicites
@ -169,7 +169,7 @@ Contrairement aux intents précédents, qui ne sont reçus que par une seule app
Il est également possible de **spécifier une permission lors de l'envoi de la diffusion**. L'application réceptrice devra avoir cette permission.
Il existe **deux types** de diffusions : **Normale** (asynchrone) et **Ordonnée** (synchronisée). L'**ordre** est basé sur la **priorité configurée dans l'élément récepteur**. **Chaque application peut traiter, relayer ou ignorer la diffusion.**
Il existe **deux types** de diffusions : **Normale** (asynchrone) et **Ordonnée** (synchrones). L'**ordre** est basé sur la **priorité configurée dans l'élément récepteur**. **Chaque application peut traiter, relayer ou ignorer la diffusion.**
Il est possible de **envoyer** une **diffusion** en utilisant la fonction `sendBroadcast(intent, receiverPermission)` de la classe `Context`.\
Vous pouvez également utiliser la fonction **`sendBroadcast`** de **`LocalBroadCastManager`** qui garantit que le **message ne quitte jamais l'application**. Avec cela, vous n'aurez même pas besoin d'exporter un composant récepteur.
@ -178,7 +178,7 @@ Vous pouvez également utiliser la fonction **`sendBroadcast`** de **`LocalBroad
Ce type de diffusions **peut être accessible longtemps après leur envoi**.\
Celles-ci ont été dépréciées au niveau API 21 et il est recommandé de **ne pas les utiliser**.\
**Elles permettent à n'importe quelle application de renifler les données, mais aussi de les modifier.**
**Elles permettent à n'importe quelle application d'intercepter les données, mais aussi de les modifier.**
Si vous trouvez des fonctions contenant le mot "sticky" comme **`sendStickyBroadcast`** ou **`sendStickyBroadcastAsUser`**, **vérifiez l'impact et essayez de les supprimer**.
@ -211,7 +211,7 @@ Pour y accéder depuis le web, il est possible de définir un lien comme :
<a href="examplescheme://example/something">click here</a>
<a href="examplescheme://example/javascript://%250dalert(1)">click here</a>
```
Pour trouver le **code qui sera exécuté dans l'App**, allez à l'activité appelée par le deeplink et recherchez la fonction **`onNewIntent`**.
Pour trouver le **code qui sera exécuté dans l'application**, allez à l'activité appelée par le deeplink et recherchez la fonction **`onNewIntent`**.
Apprenez à [appeler des deep links sans utiliser de pages HTML](./#exploiting-schemes-deep-links).
@ -225,7 +225,7 @@ Le **Android Interface Definition Language (AIDL)** est conçu pour faciliter la
- **Messenger** : Fonctionnant comme un service lié, Messenger facilite l'IPC en se concentrant sur le traitement des données via la méthode `onBind`. Il est essentiel d'examiner cette méthode de près pour toute manipulation de données non sécurisée ou exécution de fonctions sensibles.
- **Binder** : Bien que l'utilisation directe de la classe Binder soit moins courante en raison de l'abstraction d'AIDL, il est bénéfique de comprendre que Binder agit comme un pilote au niveau du noyau facilitant le transfert de données entre les espaces mémoire de différents processus. Pour une compréhension plus approfondie, une ressource est disponible à [https://www.youtube.com/watch?v=O-UHvFjxwZ8](https://www.youtube.com/watch?v=O-UHvFjxwZ8).
- **Binder** : Bien que l'utilisation directe de la classe Binder soit moins courante en raison de l'abstraction d'AIDL, il est utile de comprendre que Binder agit comme un pilote au niveau du noyau facilitant le transfert de données entre les espaces mémoire de différents processus. Pour une compréhension plus approfondie, une ressource est disponible à [https://www.youtube.com/watch?v=O-UHvFjxwZ8](https://www.youtube.com/watch?v=O-UHvFjxwZ8).
## Composants
@ -250,13 +250,13 @@ Les activités peuvent être rendues disponibles à d'autres applications ou pro
```markdown
<service android:name=".ExampleExportedService" android:exported="true"/>
```
Cependant, accéder à une activité depuis une autre application n'est pas toujours un risque de sécurité. Le problème se pose si des données sensibles sont partagées de manière inappropriée, ce qui pourrait entraîner des fuites d'informations.
Cependant, accéder à une activité depuis une autre application n'est pas toujours un risque pour la sécurité. Le problème se pose si des données sensibles sont partagées de manière inappropriée, ce qui pourrait entraîner des fuites d'informations.
Le cycle de vie d'une activité **commence avec la méthode onCreate**, configurant l'interface utilisateur et préparant l'activité pour l'interaction avec l'utilisateur.
### Sous-classe d'application
Dans le développement Android, une application a la possibilité de créer une **sous-classe** de la [Application](https://developer.android.com/reference/android/app/Application) classe, bien que ce ne soit pas obligatoire. Lorsqu'une telle sous-classe est définie, elle devient la première classe à être instanciée dans l'application. La méthode **`attachBaseContext`**, si elle est implémentée dans cette sous-classe, est exécutée avant la méthode **`onCreate`**. Cette configuration permet une initialisation précoce avant que le reste de l'application ne démarre.
Dans le développement Android, une application a la possibilité de créer une **sous-classe** de la classe [Application](https://developer.android.com/reference/android/app/Application), bien que ce ne soit pas obligatoire. Lorsqu'une telle sous-classe est définie, elle devient la première classe à être instanciée dans l'application. La méthode **`attachBaseContext`**, si elle est implémentée dans cette sous-classe, est exécutée avant la méthode **`onCreate`**. Cette configuration permet une initialisation précoce avant que le reste de l'application ne démarre.
```java
public class MyApp extends Application {
@Override
@ -274,31 +274,31 @@ super.onCreate();
```
### Services
[Services](https://developer.android.com/guide/components/services) sont des **opérateurs en arrière-plan** capables d'exécuter des tâches sans interface utilisateur. Ces tâches peuvent continuer à s'exécuter même lorsque les utilisateurs passent à d'autres applications, rendant les services cruciaux pour des **opérations de longue durée**.
[Services](https://developer.android.com/guide/components/services) sont des **opérateurs en arrière-plan** capables d'exécuter des tâches sans interface utilisateur. Ces tâches peuvent continuer à s'exécuter même lorsque les utilisateurs passent à d'autres applications, ce qui rend les services cruciaux pour des **opérations de longue durée**.
Les services sont polyvalents ; ils peuvent être initiés de différentes manières, les **Intents** étant la méthode principale pour les lancer en tant que point d'entrée d'une application. Une fois qu'un service est démarré en utilisant la méthode `startService`, sa méthode `onStart` entre en action et continue de s'exécuter jusqu'à ce que la méthode `stopService` soit explicitement appelée. Alternativement, si le rôle d'un service dépend d'une connexion client active, la méthode `bindService` est utilisée pour lier le client au service, engageant la méthode `onBind` pour le passage de données.
Une application intéressante des services inclut la lecture de musique en arrière-plan ou la récupération de données réseau sans entraver l'interaction de l'utilisateur avec une application. De plus, les services peuvent être rendus accessibles à d'autres processus sur le même appareil par le biais de **l'exportation**. Ce n'est pas le comportement par défaut et nécessite une configuration explicite dans le fichier Android Manifest :
Une application intéressante des services inclut la lecture de musique en arrière-plan ou la récupération de données réseau sans entraver l'interaction de l'utilisateur avec une application. De plus, les services peuvent être rendus accessibles à d'autres processus sur le même appareil grâce à **l'exportation**. Ce n'est pas le comportement par défaut et nécessite une configuration explicite dans le fichier Android Manifest :
```xml
<service android:name=".ExampleExportedService" android:exported="true"/>
```
### Récepteurs de diffusion
### Broadcast Receivers
**Les récepteurs de diffusion** agissent comme des écouteurs dans un système de messagerie, permettant à plusieurs applications de répondre aux mêmes messages du système. Une application peut **enregistrer un récepteur** de **deux manières principales** : via le **Manifest** de l'application ou **dynamiquement** dans le code de l'application via l'API **`registerReceiver`**. Dans le Manifest, les diffusions sont filtrées avec des permissions, tandis que les récepteurs enregistrés dynamiquement peuvent également spécifier des permissions lors de l'enregistrement.
**Les filtres d'intention** sont cruciaux dans les deux méthodes d'enregistrement, déterminant quelles diffusions déclenchent le récepteur. Une fois qu'une diffusion correspondante est envoyée, la méthode **`onReceive`** du récepteur est invoquée, permettant à l'application de réagir en conséquence, comme ajuster le comportement en réponse à une alerte de batterie faible.
Les **filtres d'intention** sont cruciaux dans les deux méthodes d'enregistrement, déterminant quelles diffusions déclenchent le récepteur. Une fois qu'une diffusion correspondante est envoyée, la méthode **`onReceive`** du récepteur est invoquée, permettant à l'application de réagir en conséquence, comme ajuster le comportement en réponse à une alerte de batterie faible.
Les diffusions peuvent être **asynchrones**, atteignant tous les récepteurs sans ordre, ou **synchrones**, où les récepteurs reçoivent la diffusion en fonction des priorités définies. Cependant, il est important de noter le risque de sécurité potentiel, car toute application peut se prioriser pour intercepter une diffusion.
Pour comprendre la fonctionnalité d'un récepteur, recherchez la méthode **`onReceive`** dans sa classe. Le code de cette méthode peut manipuler l'Intent reçu, soulignant la nécessité de validation des données par les récepteurs, en particulier dans les **Diffusions ordonnées**, qui peuvent modifier ou supprimer l'Intent.
Pour comprendre la fonctionnalité d'un récepteur, recherchez la méthode **`onReceive`** dans sa classe. Le code de cette méthode peut manipuler l'Intent reçu, soulignant la nécessité de validation des données par les récepteurs, en particulier dans les **Diffusions Ordonnées**, qui peuvent modifier ou supprimer l'Intent.
### Fournisseur de contenu
### Content Provider
**Les fournisseurs de contenu** sont essentiels pour **partager des données structurées** entre les applications, soulignant l'importance de la mise en œuvre de **permissions** pour garantir la sécurité des données. Ils permettent aux applications d'accéder à des données provenant de diverses sources, y compris des bases de données, des systèmes de fichiers ou le web. Des permissions spécifiques, comme **`readPermission`** et **`writePermission`**, sont cruciales pour contrôler l'accès. De plus, un accès temporaire peut être accordé via les paramètres **`grantUriPermission`** dans le manifest de l'application, en utilisant des attributs tels que `path`, `pathPrefix` et `pathPattern` pour un contrôle d'accès détaillé.
**Les Fournisseurs de Contenu** sont essentiels pour **partager des données structurées** entre les applications, soulignant l'importance de la mise en œuvre de **permissions** pour garantir la sécurité des données. Ils permettent aux applications d'accéder à des données provenant de diverses sources, y compris des bases de données, des systèmes de fichiers ou le web. Des permissions spécifiques, comme **`readPermission`** et **`writePermission`**, sont cruciales pour contrôler l'accès. De plus, un accès temporaire peut être accordé via les paramètres **`grantUriPermission`** dans le manifest de l'application, en utilisant des attributs tels que `path`, `pathPrefix` et `pathPattern` pour un contrôle d'accès détaillé.
La validation des entrées est primordiale pour prévenir les vulnérabilités, telles que l'injection SQL. Les fournisseurs de contenu prennent en charge les opérations de base : `insert()`, `update()`, `delete()`, et `query()`, facilitant la manipulation et le partage des données entre les applications.
La validation des entrées est primordiale pour prévenir les vulnérabilités, telles que l'injection SQL. Les Fournisseurs de Contenu prennent en charge les opérations de base : `insert()`, `update()`, `delete()`, et `query()`, facilitant la manipulation et le partage des données entre les applications.
**FileProvider**, un fournisseur de contenu spécialisé, se concentre sur le partage sécurisé de fichiers. Il est défini dans le manifest de l'application avec des attributs spécifiques pour contrôler l'accès aux dossiers, désignés par `android:exported` et `android:resource` pointant vers les configurations de dossier. Une prudence est conseillée lors du partage de répertoires pour éviter d'exposer involontairement des données sensibles.
**FileProvider**, un Fournisseur de Contenu spécialisé, se concentre sur le partage sécurisé de fichiers. Il est défini dans le manifest de l'application avec des attributs spécifiques pour contrôler l'accès aux dossiers, désignés par `android:exported` et `android:resource` pointant vers les configurations de dossier. La prudence est de mise lors du partage de répertoires pour éviter d'exposer involontairement des données sensibles.
Exemple de déclaration de manifest pour FileProvider :
```xml
@ -334,9 +334,9 @@ Un point clé est que les navigateurs WebView ne **partagent pas les cookies** a
Pour charger du contenu, des méthodes telles que `loadUrl`, `loadData` et `loadDataWithBaseURL` sont disponibles. Il est crucial de s'assurer que ces URL ou fichiers sont **sûrs à utiliser**. Les paramètres de sécurité peuvent être gérés via la classe `WebSettings`. Par exemple, désactiver JavaScript avec `setJavaScriptEnabled(false)` peut prévenir les attaques XSS.
Le "Bridge" JavaScript permet aux objets Java d'interagir avec JavaScript, nécessitant que les méthodes soient marquées avec `@JavascriptInterface` pour la sécurité à partir d'Android 4.2.
Le "Bridge" JavaScript permet aux objets Java d'interagir avec JavaScript, nécessitant que les méthodes soient marquées avec `@JavascriptInterface` pour des raisons de sécurité à partir d'Android 4.2.
Autoriser l'accès au contenu (`setAllowContentAccess(true)`) permet aux WebViews d'atteindre les Content Providers, ce qui pourrait être un risque à moins que les URL de contenu ne soient vérifiées comme sécurisées.
Autoriser l'accès au contenu (`setAllowContentAccess(true)`) permet aux WebViews d'accéder aux Content Providers, ce qui pourrait être un risque à moins que les URL de contenu ne soient vérifiées comme sécurisées.
Pour contrôler l'accès aux fichiers :
@ -354,7 +354,7 @@ Pour contrôler l'accès aux fichiers :
### **Gestion des appareils mobiles (MDM)**
- Les **solutions MDM** fournissent une **surveillance et une sécurité** pour les appareils mobiles via l'**API d'administration des appareils**. Elles nécessitent l'installation d'une application Android pour gérer et sécuriser efficacement les appareils mobiles. Les fonctions clés incluent **l'application des politiques de mot de passe**, **l'obligation de chiffrement du stockage**, et **la permission d'effacer des données à distance**, garantissant un contrôle et une sécurité complets sur les appareils mobiles.
- Les **solutions MDM** fournissent une **surveillance et une sécurité** pour les appareils mobiles via l'**API d'administration des appareils**. Elles nécessitent l'installation d'une application Android pour gérer et sécuriser efficacement les appareils mobiles. Les fonctions clés incluent **l'application de politiques de mot de passe**, **l'obligation de chiffrement de stockage**, et **la possibilité d'effacer des données à distance**, garantissant un contrôle et une sécurité complets sur les appareils mobiles.
```java
// Example of enforcing a password policy with MDM
DevicePolicyManager dpm = (DevicePolicyManager) getSystemService(Context.DEVICE_POLICY_SERVICE);

8
src/mobile-pentesting/android-app-pentesting/android-task-hijacking.md
View File

@ -2,15 +2,15 @@
{{#include ../../banners/hacktricks-training.md}}
## Tâches, Pile de Retour et Activités au Premier Plan
## Tâches, Back Stack et Activités au Premier Plan
Dans Android, une **tâche** est essentiellement un ensemble d'activités avec lesquelles les utilisateurs interagissent pour accomplir un travail spécifique, organisées dans une **pile de retour**. Cette pile ordonne les activités en fonction de leur ouverture, l'activité la plus récente étant affichée en haut comme l'**activité au premier plan**. À tout moment, seule cette activité est visible à l'écran, faisant partie de la **tâche au premier plan**.
Dans Android, une **tâche** est essentiellement un ensemble d'activités avec lesquelles les utilisateurs interagissent pour accomplir un travail spécifique, organisées dans un **back stack**. Ce stack ordonne les activités en fonction de leur ouverture, l'activité la plus récente étant affichée en haut comme l'**activité au premier plan**. À tout moment, seule cette activité est visible à l'écran, faisant partie de la **tâche au premier plan**.
Voici un aperçu rapide des transitions d'activités :
- **Activité 1** commence comme la seule activité au premier plan.
- Le lancement de **l'Activité 2** pousse **l'Activité 1** dans la pile de retour, amenant **l'Activité 2** au premier plan.
- Le démarrage de **l'Activité 3** déplace **l'Activité 1** et **l'Activité 2** plus loin dans la pile, avec **l'Activité 3** maintenant devant.
- Le lancement de **l'Activité 2** pousse **l'Activité 1** dans le back stack, amenant **l'Activité 2** au premier plan.
- Le démarrage de **l'Activité 3** déplace **l'Activité 1** et **l'Activité 2** plus loin dans le stack, avec **l'Activité 3** maintenant devant.
- La fermeture de **l'Activité 3** ramène **l'Activité 2** au premier plan, mettant en avant le mécanisme de navigation des tâches simplifié d'Android.
![https://developer.android.com/images/fundamentals/diagram_backstack.png](<../../images/image (698).png>)

8
src/mobile-pentesting/android-app-pentesting/avd-android-virtual-device.md
View File

@ -58,7 +58,7 @@ La machine virtuelle sera créée. Maintenant **chaque fois que vous accédez au
### Exécuter la machine virtuelle
Pour **l'exécuter**, appuyez simplement sur le _**bouton Démarrer**_.
Pour **lancer** la machine, appuyez simplement sur le _**bouton Démarrer**_.
![](<../../images/image (518).png>)
@ -173,14 +173,14 @@ Cependant, il existe **beaucoup d'options utiles de ligne de commande différent
**Système**
- `-selinux {disabled|permissive}` : Définir le module de sécurité Security-Enhanced Linux sur désactivé ou en mode permissif sur un système d'exploitation Linux.
- `-selinux {disabled|permissive}` : Définir le module de sécurité Linux renforcé (SELinux) sur désactivé ou en mode permissif sur un système d'exploitation Linux.
- `-timezone Europe/Paris` : Définir le fuseau horaire pour le dispositif virtuel
- `-screen {touch(default)|multi-touch|o-touch}` : Définir le mode d'écran tactile émulé.
- **`-writable-system`** : Utilisez cette option pour avoir une image système écrivable pendant votre session d'émulation. Vous devrez également exécuter `adb root; adb remount`. C'est très utile pour installer un nouveau certificat dans le système.
- **`-writable-system`** : Utilisez cette option pour avoir une image système modifiable pendant votre session d'émulation. Vous devrez également exécuter `adb root; adb remount`. C'est très utile pour installer un nouveau certificat dans le système.
## Rooter un appareil Play Store
Si vous avez téléchargé un appareil avec Play Store, vous ne pourrez pas obtenir l'accès root directement, et vous recevrez ce message d'erreur.
Si vous avez téléchargé un appareil avec le Play Store, vous ne pourrez pas obtenir l'accès root directement, et vous recevrez ce message d'erreur
```
$ adb root
adbd cannot run as root in production builds

8
src/mobile-pentesting/android-app-pentesting/bypass-biometric-authentication-android.md
View File

@ -5,7 +5,7 @@
## **Méthode 1 Contournement sans utilisation d'objet Crypto**
L'accent est mis ici sur le _onAuthenticationSucceeded_ callback, qui est crucial dans le processus d'authentification. Des chercheurs de WithSecure ont développé un [script Frida](https://github.com/WithSecureLABS/android-keystore-audit/blob/master/frida-scripts/fingerprint-bypass.js), permettant de contourner le NULL _CryptoObject_ dans _onAuthenticationSucceeded(...)_. Le script force un contournement automatique de l'authentification par empreinte digitale lors de l'invocation de la méthode. Ci-dessous se trouve un extrait simplifié démontrant le contournement dans un contexte d'empreinte digitale Android, avec l'application complète disponible sur [GitHub](https://github.com/St3v3nsS/InsecureBanking).
L'accent est mis ici sur le _onAuthenticationSucceeded_ callback, qui est crucial dans le processus d'authentification. Des chercheurs de WithSecure ont développé un [Frida script](https://github.com/WithSecureLABS/android-keystore-audit/blob/master/frida-scripts/fingerprint-bypass.js), permettant de contourner le NULL _CryptoObject_ dans _onAuthenticationSucceeded(...)_. Le script force un contournement automatique de l'authentification par empreinte digitale lors de l'invocation de la méthode. Ci-dessous se trouve un extrait simplifié démontrant le contournement dans un contexte d'empreinte digitale Android, avec l'application complète disponible sur [GitHub](https://github.com/St3v3nsS/InsecureBanking).
```javascript
biometricPrompt = new BiometricPrompt(this, executor, new BiometricPrompt.AuthenticationCallback() {
@Override
@ -26,7 +26,7 @@ Commande pour exécuter le script Frida :
```bash
frida -U -f com.generic.insecurebankingfingerprint --no-pause -l fingerprint-bypass-via-exception-handling.js
```
Lors de l'accès à l'écran d'empreinte digitale et au démarrage de `authenticate()`, tapez `bypass()` dans la console Frida pour activer le contournement :
Lors de l'accès à l'écran d'empreinte digitale et de l'initiation de `authenticate()`, tapez `bypass()` dans la console Frida pour activer le contournement :
```
Spawning com.generic.insecurebankingfingerprint...
[Android Emulator 5554::com.generic.insecurebankingfingerprint]-> Hooking BiometricPrompt.authenticate()...
@ -47,11 +47,11 @@ frida -U -l script-to-bypass-authentication.js --no-pause -f com.generic.in
```
## **Méthode 4 Ingénierie Inverse & Modification de Code**
Les outils d'ingénierie inverse comme `APKTool`, `dex2jar`, et `JD-GUI` peuvent être utilisés pour décompiler une application Android, lire son code source, et comprendre son mécanisme d'authentification. Les étapes incluent généralement :
Les outils d'ingénierie inverse comme `APKTool`, `dex2jar` et `JD-GUI` peuvent être utilisés pour décompiler une application Android, lire son code source et comprendre son mécanisme d'authentification. Les étapes incluent généralement :
1. **Décompilation de l'APK** : Convertir le fichier APK en un format plus lisible par l'homme (comme le code Java).
2. **Analyse du Code** : Rechercher l'implémentation de l'authentification par empreinte digitale et identifier les faiblesses potentielles (comme les mécanismes de secours ou les vérifications de validation incorrectes).
3. **Recompilation de l'APK** : Après avoir modifié le code pour contourner l'authentification par empreinte digitale, l'application est recompilée, signée, et installée sur l'appareil pour des tests.
3. **Recompilation de l'APK** : Après avoir modifié le code pour contourner l'authentification par empreinte digitale, l'application est recompilée, signée et installée sur l'appareil pour des tests.
## **Méthode 5 Utilisation d'Outils d'Authentification Personnalisés**

3
src/mobile-pentesting/android-app-pentesting/content-protocol.md
View File

@ -1,6 +1,5 @@
{{#include ../../banners/hacktricks-training.md}}
**Ceci est un résumé du post [https://census-labs.com/news/2021/04/14/whatsapp-mitd-remote-exploitation-CVE-2021-24027/](https://census-labs.com/news/2021/04/14/whatsapp-mitd-remote-exploitation-CVE-2021-24027/)**
### Lister les fichiers dans le Media Store
@ -41,7 +40,7 @@ content query --uri content://media/external/file --projection _id,_data | grep
```
### Chrome CVE-2020-6516 : Contournement de la politique de même origine
La _politique de même origine_ (SOP) est un protocole de sécurité dans les navigateurs qui restreint les pages web d'interagir avec des ressources provenant d'origines différentes, sauf si cela est explicitement autorisé par une politique de partage de ressources entre origines (CORS). Cette politique vise à prévenir les fuites d'informations et le vol de requêtes inter-sites. Chrome considère `content://` comme un schéma local, impliquant des règles SOP plus strictes, où chaque URL de schéma local est traitée comme une origine distincte.
La _politique de même origine_ (SOP) est un protocole de sécurité dans les navigateurs qui restreint les pages web d'interagir avec des ressources provenant d'origines différentes, sauf si cela est explicitement autorisé par une politique de partage de ressources entre origines (CORS). Cette politique vise à prévenir les fuites d'informations et le vol de requêtes intersites. Chrome considère `content://` comme un schéma local, impliquant des règles SOP plus strictes, où chaque URL de schéma local est traitée comme une origine distincte.
Cependant, CVE-2020-6516 était une vulnérabilité dans Chrome qui permettait de contourner les règles SOP pour les ressources chargées via une URL `content://`. En effet, le code JavaScript d'une URL `content://` pouvait accéder à d'autres ressources chargées via des URL `content://`, ce qui représentait une préoccupation majeure en matière de sécurité, en particulier sur les appareils Android exécutant des versions antérieures à Android 10, où le stockage scoping n'était pas implémenté.

6
src/mobile-pentesting/android-app-pentesting/drozer-tutorial/README.md
View File

@ -33,7 +33,7 @@ Enfin, **lancez** l'**application** et appuyez sur le bouton "**ON**"
![](<../../../images/image (459).png>)
Et connectez-vous à cela :
Et connectez-vous à elle :
```bash
drozer console connect
```
@ -107,7 +107,7 @@ La valeur “android:exported” d'un composant d'activité exporté est défini
<activity android:name="com.my.app.Initial" android:exported="true">
</activity>
```
**Liste des activités exportées** :
**Lister les activités exportées** :
```bash
dz> run app.activity.info -a com.mwr.example.sieve
Package: com.mwr.example.sieve
@ -181,7 +181,7 @@ run app.service.send com.mwr.example.sieve com.mwr.example.sieve.AuthService --m
**Dans la section d'informations de base sur Android, vous pouvez voir ce qu'est un Récepteur de diffusion**.
Après avoir découvert ces Récepteurs de diffusion, vous devriez **vérifier le code** de ceux-ci. Faites particulièrement attention à la fonction **`onReceive`** car elle traitera les messages reçus.
Après avoir découvert ces Récepteurs de diffusion, vous devriez **vérifier le code** de ceux-ci. Faites particulièrement attention à la fonction **`onReceive`** car elle gérera les messages reçus.
#### **Détecter tous** les récepteurs de diffusion
```bash

10
src/mobile-pentesting/android-app-pentesting/drozer-tutorial/exploiting-content-providers.md
View File

@ -40,9 +40,9 @@ Content Provider: com.mwr.example.sieve.FileBackupProvider
Multiprocess Allowed: True
Grant Uri Permissions: False
```
Il est possible de reconstituer comment accéder au **DBContentProvider** en commençant les URI par “_content://_”. Cette approche est basée sur des informations obtenues en utilisant Drozer, où des informations clés étaient situées dans le _/Keys_ répertoire.
Il est possible de reconstituer comment atteindre le **DBContentProvider** en commençant les URIs par “_content://_”. Cette approche est basée sur des informations obtenues en utilisant Drozer, où des informations clés étaient situées dans le _/Keys_ répertoire.
Drozer peut **deviner et essayer plusieurs URI** :
Drozer peut **deviner et essayer plusieurs URIs** :
```
dz> run scanner.provider.finduris -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
@ -75,7 +75,7 @@ En vérifiant le code du Content Provider, **regardez** également les **fonctio
![](<../../../images/image (254) (1) (1) (1) (1) (1) (1) (1).png>)
Parce que vous pourrez les appeler
Parce que vous serez en mesure de les appeler
### Interroger le contenu
```
@ -95,7 +95,7 @@ En interrogeant la base de données, vous apprendrez le **nom des colonnes**, pu
![](<../../../images/image (173).png>)
_Remarque : dans insert et update, vous pouvez utiliser --string pour indiquer une chaîne, --double pour indiquer un double, --float, --integer, --long, --short, --boolean_
_Remarque que dans l'insertion et la mise à jour, vous pouvez utiliser --string pour indiquer une chaîne, --double pour indiquer un double, --float, --integer, --long, --short, --boolean_
### Mettre à jour le contenu
@ -162,7 +162,7 @@ dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc
```
### **Traversal de chemin**
Si vous pouvez accéder à des fichiers, vous pouvez essayer d'abuser d'un Traversal de chemin (dans ce cas, ce n'est pas nécessaire mais vous pouvez essayer d'utiliser "_../_" et des astuces similaires).
Si vous pouvez accéder à des fichiers, vous pouvez essayer d'abuser d'un Traversal de chemin (dans ce cas, ce n'est pas nécessaire, mais vous pouvez essayer d'utiliser "_../_" et des astuces similaires).
```
dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts
127.0.0.1 localhost

8
src/mobile-pentesting/android-app-pentesting/exploiting-a-debuggeable-applciation.md
View File

@ -2,7 +2,7 @@
{{#include ../../banners/hacktricks-training.md}}
# **Contourner les vérifications de root et débogabilité**
# **Contourner les vérifications de root et débogage**
Cette section du post est un résumé du post [**https://medium.com/@shubhamsonani/hacking-with-precision-bypass-techniques-via-debugger-in-android-apps-27fd562b2cc0**](https://medium.com/@shubhamsonani/hacking-with-precision-bypass-techniques-via-debugger-in-android-apps-27fd562b2cc0)
@ -45,7 +45,7 @@ Contenu basé sur https://medium.com/@shubhamsonani/hacking-with-precision-bypas
L'application, à certains moments, vérifiera si elle est débogable et vérifiera également les binaires indiquant un appareil rooté. Le débogueur peut être utilisé pour modifier les informations de l'application, désactiver le bit débogable et altérer les noms des binaires recherchés pour contourner ces vérifications.
Pour la vérification de débogabilité :
Pour la vérification débogable :
1. **Modifier les paramètres de drapeau :**
- Dans la section des variables de la console du débogueur, naviguez vers : `this mLoadedAPK -> mApplicationInfo -> flags = 814267974`.
@ -55,7 +55,7 @@ Pour la vérification de débogabilité :
Ces étapes garantissent collectivement que l'application peut être déboguée et que certaines vérifications de sécurité peuvent être contournées à l'aide du débogueur, facilitant une analyse ou une modification plus approfondie du comportement de l'application.
L'étape 2 consiste à changer une valeur de drapeau à 814267972, qui est représentée en binaire comme 110000101101000000100010100.
L'étape 2 consiste à changer la valeur d'un drapeau à 814267972, qui est représentée en binaire comme 110000101101000000100010100.
# **Exploiter une vulnérabilité**
@ -78,7 +78,7 @@ Une démonstration a été fournie en utilisant une application vulnérable cont
- L'exploitation a été réalisée en définissant des points d'arrêt et en contrôlant le flux de l'application.
- Des commandes comme `classes` et `methods <class_name>` ont été utilisées pour découvrir la structure de l'application.
- Un point d'arrêt a été défini dans la méthode `onClick`, et son exécution a été contrôlée.
- Les commandes `locals`, `next`, et `set` ont été utilisées pour inspecter et modifier les variables locales, en particulier en changeant le message "Try Again" en "Hacked".
- Les commandes `locals`, `next` et `set` ont été utilisées pour inspecter et modifier les variables locales, en particulier en changeant le message "Try Again" en "Hacked".
- Le code modifié a été exécuté à l'aide de la commande `run`, modifiant avec succès la sortie de l'application en temps réel.
Cet exemple a démontré comment le comportement d'une application débogable peut être manipulé, soulignant le potentiel d'exploits plus complexes comme l'accès shell sur l'appareil dans le contexte de l'application.

5
src/mobile-pentesting/android-app-pentesting/frida-tutorial/README.md
View File

@ -2,6 +2,7 @@
{{#include ../../../banners/hacktricks-training.md}}
## Installation
Installez **frida tools**:
@ -10,7 +11,7 @@ pip install frida-tools
pip install frida
```
**Téléchargez et installez** sur l'android le **frida server** ([Download the latest release](https://github.com/frida/frida/releases)).\
Une ligne de commande pour redémarrer adb en mode root, se connecter, télécharger frida-server, donner des permissions d'exécution et l'exécuter en arrière-plan :
Commande unique pour redémarrer adb en mode root, se connecter, télécharger frida-server, donner des permissions d'exécution et l'exécuter en arrière-plan :
```bash
adb root; adb connect localhost:6000; sleep 1; adb push frida-server /data/local/tmp/; adb shell "chmod 755 /data/local/tmp/frida-server"; adb shell "/data/local/tmp/frida-server &"
```
@ -90,7 +91,7 @@ sysexit.exit.overload("int").implementation = function (var_0) {
send("java.lang.System.exit(I)V // We avoid exiting the application :)")
}
```
Hook MainActivity `.onStart()` & `.onCreate()`
Accrocher MainActivity `.onStart()` & `.onCreate()`
```javascript
var mainactivity = Java.use("sg.vantagepoint.uncrackable1.MainActivity")
mainactivity.onStart.overload().implementation = function () {

2
src/mobile-pentesting/android-app-pentesting/frida-tutorial/frida-tutorial-1.md
View File

@ -49,7 +49,7 @@ return true
```
python hooking.py hook1.js
```
Regarder : La fonction reçoit comme paramètre une chaîne, n'est-il pas nécessaire de faire un overload ?
Regardez : La fonction reçoit en paramètre une chaîne, n'est-il pas nécessaire de faire un overload ?
## Hook 2 - Bruteforce de Fonction

4
src/mobile-pentesting/android-app-pentesting/frida-tutorial/frida-tutorial-2.md
View File

@ -11,7 +11,7 @@ La partie 1 est très facile.
## Part 2
Ici, vous pouvez voir un exemple de comment **hooker 2 fonctions avec le même nom** mais des paramètres différents.\
Ici, vous pouvez voir un exemple de comment **hook 2 fonctions avec le même nom** mais des paramètres différents.\
De plus, vous allez apprendre comment **appeler une fonction avec vos propres paramètres**.\
Et enfin, il y a un exemple de comment **trouver une instance d'une classe et la faire appeler une fonction**.
```javascript
@ -150,7 +150,7 @@ hooksecretfunction: hookSecret,
```
## Partie 4
Ici, vous verrez comment faire interagir **Python et JS** en utilisant des objets JSON. JS utilise la fonction `send()` pour envoyer des données au client Python, et Python utilise les fonctions `post()` pour envoyer des données au script JS. Le **JS bloquera l'exécution** jusqu'à ce qu'il reçoive une réponse de Python.
Ici, vous verrez comment faire interagir **Python et JS** en utilisant des objets JSON. JS utilise la fonction `send()` pour envoyer des données au client Python, et Python utilise les fonctions `post()` pour envoyer des données au script JS. **JS bloquera l'exécution** jusqu'à ce qu'il reçoive une réponse de Python.
### Python
```python

18
src/mobile-pentesting/android-app-pentesting/frida-tutorial/objection-tutorial.md
View File

@ -8,7 +8,7 @@
**objection - Exploration Mobile en Temps Réel**
[**Objection**](https://github.com/sensepost/objection) est un kit d'outils d'exploration mobile en temps réel, alimenté par [Frida](https://www.frida.re). Il a été conçu pour aider à évaluer les applications mobiles et leur posture de sécurité sans avoir besoin d'un appareil mobile jailbreaké ou rooté.
[**Objection**](https://github.com/sensepost/objection) est un outil d'exploration mobile en temps réel, alimenté par [Frida](https://www.frida.re). Il a été conçu pour aider à évaluer les applications mobiles et leur posture de sécurité sans avoir besoin d'un appareil mobile jailbreaké ou rooté.
**Remarque :** Ce n'est pas une forme de contournement de jailbreak / root. En utilisant `objection`, vous êtes toujours limité par toutes les restrictions imposées par le sandbox applicable auquel vous êtes confronté.
@ -113,7 +113,7 @@ android hooking search classes asvid.github.io.fridaapp
```
![](<../../../images/image (507).png>)
#### Méthodes de recherche d'une classe
#### Rechercher les méthodes d'une classe
Maintenant, extrayons les méthodes à l'intérieur de la classe _MainActivity:_
```bash
@ -135,13 +135,13 @@ Vous pouvez également lister toutes les classes qui ont été chargées dans l'
```bash
android hooking list classes #List all loaded classes, As the target application gets usedmore, this command will return more classes.
```
C'est très utile si vous voulez **accrocher la méthode d'une classe et que vous ne connaissez que le nom de la classe**. Vous pourriez utiliser cette fonction pour **chercher quel module possède la classe** et ensuite accrocher sa méthode.
C'est très utile si vous voulez **intercepter la méthode d'une classe et que vous ne connaissez que le nom de la classe**. Vous pourriez utiliser cette fonction pour **chercher quel module possède la classe** et ensuite intercepter sa méthode.
### Accrocher est facile
### L'interception est facile
#### Accrocher (surveiller) une méthode
#### Intercepter (surveiller) une méthode
À partir du [code source](https://github.com/asvid/FridaApp/blob/master/app/src/main/java/asvid/github/io/fridaapp/MainActivity.kt) de l'application, nous savons que la **fonction** _**sum()**_ **de** _**MainActivity**_ est exécutée **toutes les secondes**. Essayons de **déverser toutes les informations possibles** chaque fois que la fonction est appelée (arguments, valeur de retour et backtrace) :
À partir du [code source](https://github.com/asvid/FridaApp/blob/master/app/src/main/java/asvid/github/io/fridaapp/MainActivity.kt) de l'application, nous savons que la **fonction** _**sum()**_ **de** _**MainActivity**_ est exécutée **toutes les secondes**. Essayons de **dumper toutes les informations possibles** chaque fois que la fonction est appelée (arguments, valeur de retour et backtrace) :
```bash
android hooking watch class_method asvid.github.io.fridaapp.MainActivity.sum --dump-args --dump-backtrace --dump-return
```
@ -223,4 +223,8 @@ exit
- Les méthodes de hooking font parfois planter l'application (c'est aussi à cause de Frida).
- Vous ne pouvez pas utiliser les instances des classes pour appeler les fonctions de l'instance. Et vous ne pouvez pas créer de nouvelles instances de classes et les utiliser pour appeler des fonctions.
- Il n'y a pas de raccourci (comme celui pour sslpinnin) pour hooker toutes les méthodes de cryptographie courantes utilisées par l'application afin de voir le texte chiffré, le texte en clair, les clés, les IV et les algorithmes utilisés.
- Il n'y a pas de raccourci (comme celui pour sslpinnin) pour hooker toutes les méthodes cryptographiques courantes utilisées par l'application afin de voir le texte chiffré, le texte en clair, les clés, les IV et les algorithmes utilisés.
{{#include ../../../banners/hacktricks-training.md}}

4
src/mobile-pentesting/android-app-pentesting/google-ctf-2018-shall-we-play-a-game.md
View File

@ -22,7 +22,7 @@ On dirait que la fonction qui va imprimer le drapeau est **m().**
### **Appeler m() la première fois**
Faisons en sorte que l'application appelle m() si la variable _this.o != 1000000_. Pour ce faire, il suffit de changer la condition :
Faisons en sorte que l'application appelle m() si la variable _this.o != 1000000_. Pour ce faire, changez simplement la condition :
```
if-ne v0, v9, :cond_2
```
@ -56,7 +56,7 @@ Une quatrième façon est d'ajouter une instruction pour déplacer la valeur de
## Solution
Faites en sorte que l'application exécute la boucle 100000 fois lorsque vous gagnez la première fois. Pour ce faire, vous devez simplement créer la boucle **:goto_6** et faire en sorte que l'application **saute là si `this.o`** ne vaut pas 100000 :
Faites en sorte que l'application exécute la boucle 100000 fois lorsque vous gagnez la première fois. Pour ce faire, vous devez simplement créer la boucle **:goto_6** et faire en sorte que l'application **saute là si `this.o`** n'a pas la valeur 100000 :
![](<../../images/image (1090).png>)

10
src/mobile-pentesting/android-app-pentesting/install-burp-certificate.md
View File

@ -14,7 +14,7 @@ Par exemple, vous pouvez l'exécuter comme :
```bash
C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\emulator.exe -avd "AVD9" -http-proxy 192.168.1.12:8080 -writable-system
```
Ensuite, pour **configurer le certificat de burp, faites** :
Ensuite, pour **configurer le certificat burp, faites** :
```bash
openssl x509 -inform DER -in burp_cacert.der -out burp_cacert.pem
CERTHASHNAME="`openssl x509 -inform PEM -subject_hash_old -in burp_cacert.pem | head -1`.0"
@ -51,13 +51,13 @@ Expliqué dans [**cette vidéo**](https://www.youtube.com/watch?v=qQicUW0svB8),
## Post Android 14
Dans la dernière version d'Android 14, un changement significatif a été observé dans la gestion des certificats d'autorité de certification (CA) de confiance pour le système. Auparavant, ces certificats étaient logés dans **`/system/etc/security/cacerts/`**, accessibles et modifiables par les utilisateurs ayant des privilèges root, ce qui permettait une application immédiate à travers le système. Cependant, avec Android 14, l'emplacement de stockage a été déplacé vers **`/apex/com.android.conscrypt/cacerts`**, un répertoire dans le chemin **`/apex`**, qui est immuable par nature.
Dans la dernière version d'Android 14, un changement significatif a été observé dans la gestion des certificats d'autorité de certification (CA) de confiance par le système. Auparavant, ces certificats étaient logés dans **`/system/etc/security/cacerts/`**, accessibles et modifiables par les utilisateurs ayant des privilèges root, ce qui permettait une application immédiate à travers le système. Cependant, avec Android 14, l'emplacement de stockage a été déplacé vers **`/apex/com.android.conscrypt/cacerts`**, un répertoire au sein du chemin **`/apex`**, qui est immuable par nature.
Les tentatives de remonter le **chemin APEX cacerts** en écriture échouent, car le système n'autorise pas de telles opérations. Même les tentatives de démonter ou de superposer le répertoire avec un système de fichiers temporaire (tmpfs) ne contournent pas l'immutabilité ; les applications continuent d'accéder aux données de certificat originales, quelles que soient les modifications au niveau du système de fichiers. Cette résilience est due au montage **`/apex`** étant configuré avec une propagation PRIVÉE, garantissant que toute modification dans le répertoire **`/apex`** n'affecte pas d'autres processus.
L'initialisation d'Android implique le processus `init`, qui, lors du démarrage du système d'exploitation, initie également le processus Zygote. Ce processus est responsable du lancement des processus d'application avec un nouvel espace de montage qui inclut un montage **`/apex`** privé, isolant ainsi les modifications apportées à ce répertoire des autres processus.
Néanmoins, une solution de contournement existe pour ceux qui ont besoin de modifier les certificats CA de confiance pour le système dans le répertoire **`/apex`**. Cela implique de remonter manuellement **`/apex`** pour supprimer la propagation PRIVÉE, le rendant ainsi écrivable. Le processus comprend la copie du contenu de **`/apex/com.android.conscrypt`** vers un autre emplacement, le démontage du répertoire **`/apex/com.android.conscrypt`** pour éliminer la contrainte de lecture seule, puis la restauration du contenu à son emplacement d'origine dans **`/apex`**. Cette approche nécessite une action rapide pour éviter les plantages du système. Pour garantir l'application de ces modifications à l'échelle du système, il est recommandé de redémarrer le `system_server`, ce qui redémarre effectivement toutes les applications et ramène le système à un état cohérent.
Néanmoins, une solution de contournement existe pour ceux qui ont besoin de modifier les certificats CA de confiance pour le système dans le répertoire **`/apex`**. Cela implique de remonter manuellement **`/apex`** pour supprimer la propagation PRIVÉE, le rendant ainsi modifiable. Le processus comprend la copie du contenu de **`/apex/com.android.conscrypt`** vers un autre emplacement, le démontage du répertoire **`/apex/com.android.conscrypt`** pour éliminer la contrainte de lecture seule, puis la restauration du contenu à son emplacement d'origine dans **`/apex`**. Cette approche nécessite une action rapide pour éviter les plantages du système. Pour garantir l'application systémique de ces modifications, il est recommandé de redémarrer le `system_server`, ce qui redémarre effectivement toutes les applications et ramène le système à un état cohérent.
```bash
# Create a separate temp directory, to hold the current certificates
# Otherwise, when we add the mount we can't read the current certs anymore.
@ -121,8 +121,8 @@ echo "System certificate injected"
```bash
mount -t tmpfs tmpfs /system/etc/security/cacerts
```
2. **Préparation des certificats CA** : Après la configuration du répertoire accessible en écriture, les certificats CA que l'on souhaite utiliser doivent être copiés dans ce répertoire. Cela peut impliquer de copier les certificats par défaut depuis `/apex/com.android.conscrypt/cacerts/`. Il est essentiel d'ajuster les permissions et les étiquettes SELinux de ces certificats en conséquence.
3. **Montage lié pour Zygote** : En utilisant `nsenter`, on entre dans l'espace de noms de montage de Zygote. Zygote, étant le processus responsable du lancement des applications Android, nécessite cette étape pour s'assurer que toutes les applications initiées par la suite utilisent les nouveaux certificats CA configurés. La commande utilisée est :
2. **Préparation des certificats CA** : Après la configuration du répertoire écrivable, les certificats CA que l'on souhaite utiliser doivent être copiés dans ce répertoire. Cela peut impliquer de copier les certificats par défaut depuis `/apex/com.android.conscrypt/cacerts/`. Il est essentiel d'ajuster les permissions et les étiquettes SELinux de ces certificats en conséquence.
3. **Montage lié pour Zygote** : En utilisant `nsenter`, on entre dans l'espace de noms de montage de Zygote. Zygote, étant le processus responsable du lancement des applications Android, nécessite cette étape pour s'assurer que toutes les applications initiées par la suite utilisent les certificats CA nouvellement configurés. La commande utilisée est :
```bash
nsenter --mount=/proc/$ZYGOTE_PID/ns/mnt -- /bin/mount --bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts
```

2
src/mobile-pentesting/android-app-pentesting/make-apk-accept-ca-certificate.md
View File

@ -4,7 +4,7 @@ Certaines applications n'aiment pas les certificats téléchargés par l'utilisa
# Automatique
L'outil [**https://github.com/shroudedcode/apk-mitm**](https://github.com/shroudedcode/apk-mitm) effectuera **automatiquement** les modifications nécessaires à l'application pour commencer à capturer les requêtes et désactivera également le certificat de pinning (s'il y en a).
L'outil [**https://github.com/shroudedcode/apk-mitm**](https://github.com/shroudedcode/apk-mitm) effectuera **automatiquement** les modifications nécessaires à l'application pour commencer à capturer les requêtes et désactivera également le pinning de certificat (le cas échéant).
# Manuel

4
src/mobile-pentesting/android-app-pentesting/manual-deobfuscation.md
View File

@ -17,7 +17,7 @@ Reconnaître le code obfusqué est la première étape du processus de dé-obfus
- L'**absence ou le brouillage de chaînes** en Java et Android, ce qui peut suggérer une obfuscation de chaînes.
- La **présence de fichiers binaires** dans le répertoire des ressources ou des appels à `DexClassLoader`, indiquant un déballage de code et un chargement dynamique.
- L'utilisation de **bibliothèques natives accompagnées de fonctions JNI non identifiables**, indiquant une obfuscation potentielle des méthodes natives.
- L'utilisation de **bibliothèques natives accompagnées de fonctions JNI indéfinissables**, indiquant une obfuscation potentielle des méthodes natives.
## **Analyse Dynamique dans la Dé-obfuscation**
@ -33,7 +33,7 @@ En exécutant le code dans un environnement contrôlé, l'analyse dynamique **pe
- [https://maddiestone.github.io/AndroidAppRE/obfuscation.html](https://maddiestone.github.io/AndroidAppRE/obfuscation.html)
- BlackHat USA 2018 : “Déballer le Dépackeur Emballé : Ingénierie Inverse d'une Bibliothèque Anti-Analyse Android” \[[vidéo](https://www.youtube.com/watch?v=s0Tqi7fuOSU)]
- Cette présentation traite de l'ingénierie inverse de l'une des bibliothèques natives anti-analyse les plus complexes que j'ai vues utilisées par une application Android. Elle couvre principalement les techniques d'obfuscation dans le code natif.
- Cette présentation traite de l'ingénierie inverse d'une des bibliothèques natives anti-analyse les plus complexes que j'ai vues utilisées par une application Android. Elle couvre principalement les techniques d'obfuscation dans le code natif.
- REcon 2019 : “Le Chemin vers le Payload : Édition Android” \[[vidéo](https://recon.cx/media-archive/2019/Session.005.Maddie_Stone.The_path_to_the_payload_Android_Edition-J3ZnNl2GYjEfa.mp4)]
- Cette présentation discute d'une série de techniques d'obfuscation, uniquement dans le code Java, qu'un botnet Android utilisait pour cacher son comportement.

2
src/mobile-pentesting/android-app-pentesting/react-native-application.md
View File

@ -1,6 +1,6 @@
{{#include ../../banners/hacktricks-training.md}}
# Analyse d'application React Native
# Analyse de l'application React Native
Pour confirmer si l'application a été construite sur le framework React Native, suivez ces étapes :

4
src/mobile-pentesting/android-app-pentesting/smali-changes.md
View File

@ -46,7 +46,7 @@ apktool b . #In the folder generated when you decompiled the application
```
Il **compilera** le nouveau APK **dans** le dossier _**dist**_.
Si **apktool** génère une **erreur**, essayez d'[installer la **dernière version**](https://ibotpeaches.github.io/Apktool/install/)
Si **apktool** génère une **erreur**, essayez d'installer la **dernière version**.
### **Signer le nouveau APK**
@ -142,7 +142,7 @@ Recommandations :
- Si vous allez utiliser des variables déclarées à l'intérieur de la fonction (déclarées v0,v1,v2...), placez ces lignes entre le _.local \<number>_ et les déclarations des variables (_const v0, 0x1_)
- Si vous souhaitez insérer le code de journalisation au milieu du code d'une fonction :
- Ajoutez 2 au nombre de variables déclarées : Ex : de _.locals 10_ à _.locals 12_
- Les nouvelles variables devraient être les prochains numéros des variables déjà déclarées (dans cet exemple, cela devrait être _v10_ et _v11_, rappelez-vous que cela commence à v0).
- Les nouvelles variables doivent être les prochains numéros des variables déjà déclarées (dans cet exemple, cela devrait être _v10_ et _v11_, rappelez-vous que cela commence à v0).
- Modifiez le code de la fonction de journalisation et utilisez _v10_ et _v11_ au lieu de _v5_ et _v1_.
### Toasting

2
src/mobile-pentesting/android-app-pentesting/spoofing-your-location-in-play-store.md
View File

@ -28,7 +28,7 @@ Dans les situations où une application est restreinte à certains pays, et que
- L'efficacité de cette méthode peut varier en fonction de plusieurs facteurs, y compris la fiabilité du service VPN et les restrictions régionales spécifiques imposées par l'application.
- L'utilisation régulière d'un VPN peut affecter les performances de certaines applications et services.
- Soyez conscient des conditions d'utilisation de toute application ou service que vous utilisez, car l'utilisation d'un VPN pour contourner les restrictions régionales peut violer ces conditions.
- Soyez conscient des conditions d'utilisation de toute application ou service que vous utilisez, car utiliser un VPN pour contourner les restrictions régionales peut violer ces conditions.
## Références

4
src/mobile-pentesting/android-app-pentesting/tapjacking.md
View File

@ -9,7 +9,7 @@ En effet, cela **aveugle l'utilisateur sur le fait qu'il effectue réellement de
### Détection
Pour détecter les applications vulnérables à cette attaque, vous devez rechercher des **activités exportées** dans le manifeste android (notez qu'une activité avec un intent-filter est automatiquement exportée par défaut). Une fois que vous avez trouvé les activités exportées, **vérifiez si elles nécessitent une autorisation**. Cela est dû au fait que **l'application malveillante aura également besoin de cette autorisation**.
Pour détecter les applications vulnérables à cette attaque, vous devez rechercher des **activités exportées** dans le manifeste android (notez qu'une activité avec un intent-filter est automatiquement exportée par défaut). Une fois que vous avez trouvé les activités exportées, **vérifiez si elles nécessitent une permission**. Cela est dû au fait que **l'application malveillante aura également besoin de cette permission**.
### Protection
@ -50,7 +50,7 @@ Un projet exemple implémentant **FloatingWindowApp**, qui peut être utilisé p
> [!CAUTION]
> Il semble que ce projet ne soit plus maintenu et que cette fonctionnalité ne fonctionne plus correctement
Vous pouvez utiliser [**qark**](https://github.com/linkedin/qark) avec les paramètres `--exploit-apk` --sdk-path `/Users/username/Library/Android/sdk` pour créer une application malveillante afin de tester les éventuelles vulnérabilités de **Tapjacking**.\
Vous pouvez utiliser [**qark**](https://github.com/linkedin/qark) avec les paramètres `--exploit-apk` --sdk-path `/Users/username/Library/Android/sdk` pour créer une application malveillante afin de tester les éventuelles vulnérabilités **Tapjacking**.\
L'atténuation est relativement simple car le développeur peut choisir de ne pas recevoir d'événements tactiles lorsqu'une vue est recouverte par une autre. En utilisant la [Référence des développeurs Android](https://developer.android.com/reference/android/view/View#security):

20
src/mobile-pentesting/android-app-pentesting/webview-attacks.md
View File

@ -16,7 +16,7 @@ Par défaut, les WebViews permettent l'accès aux fichiers. Cette fonctionnalit
#### **Fonctionnalités obsolètes : Accès universel et accès aux fichiers depuis des URL**
- **Accès universel depuis des URL de fichiers** : Cette fonctionnalité obsolète permettait des requêtes inter-origines depuis des URL de fichiers, posant un risque de sécurité significatif en raison des attaques XSS potentielles. Le paramètre par défaut est désactivé (`false`) pour les applications ciblant Android Jelly Bean et les versions ultérieures.
- **Accès universel depuis des URL de fichiers** : Cette fonctionnalité obsolète permettait des requêtes inter-origines depuis des URL de fichiers, posant un risque de sécurité significatif en raison des attaques XSS potentielles. Le paramètre par défaut est désactivé (`false`) pour les applications ciblant Android Jelly Bean et les versions plus récentes.
- Pour vérifier ce paramètre, utilisez `getAllowUniversalAccessFromFileURLs()`.
- Pour modifier ce paramètre, utilisez `setAllowUniversalAccessFromFileURLs(boolean)`.
- **Accès aux fichiers depuis des URL de fichiers** : Cette fonctionnalité, également obsolète, contrôlait l'accès au contenu d'autres URL de schéma de fichiers. Comme l'accès universel, son paramètre par défaut est désactivé pour une sécurité accrue.
@ -31,7 +31,7 @@ Pour désactiver l'accès au système de fichiers tout en accédant aux actifs e
#### **WebViewAssetLoader**
La classe **WebViewAssetLoader** est l'approche moderne pour charger des fichiers locaux. Elle utilise des URL http(s) pour accéder aux actifs et ressources locaux, s'alignant sur la politique de même origine, facilitant ainsi la gestion de CORS.
La classe **WebViewAssetLoader** est l'approche moderne pour charger des fichiers locaux. Elle utilise des URL http(s) pour accéder aux actifs et ressources locaux, s'alignant sur la politique de même origine, facilitant ainsi la gestion CORS.
### loadUrl
@ -41,10 +41,10 @@ webview.loadUrl("<url here>")
```
Bien sûr, un attaquant potentiel ne devrait jamais être en mesure de **contrôler l'URL** qu'une application va charger.
### **Gestion de JavaScript et du schéma Intent**
### **Gestion de JavaScript et des Intent Schemes**
- **JavaScript** : Désactivé par défaut dans les WebViews, il peut être activé via `setJavaScriptEnabled()`. Une prudence est conseillée car activer JavaScript sans protections appropriées peut introduire des vulnérabilités de sécurité.
- **Schéma Intent** : Les WebViews peuvent gérer le schéma `intent`, ce qui peut conduire à des exploits s'il n'est pas géré avec soin. Une vulnérabilité d'exemple impliquait un paramètre WebView exposé "support_url" qui pouvait être exploité pour exécuter des attaques de cross-site scripting (XSS).
- **JavaScript** : Désactivé par défaut dans les WebViews, il peut être activé via `setJavaScriptEnabled()`. La prudence est de mise car activer JavaScript sans protections appropriées peut introduire des vulnérabilités de sécurité.
- **Intent Scheme** : Les WebViews peuvent gérer le schéma `intent`, ce qui peut conduire à des exploits s'il n'est pas géré avec soin. Une vulnérabilité d'exemple impliquait un paramètre WebView exposé "support_url" qui pouvait être exploité pour exécuter des attaques de cross-site scripting (XSS).
![Vulnerable WebView](<../../images/image (1191).png>)
@ -54,9 +54,9 @@ adb.exe shell am start -n com.tmh.vulnwebview/.SupportWebView es support_url
```
### Javascript Bridge
Une fonctionnalité est fournie par Android qui permet à **JavaScript** dans un WebView d'invoquer des **fonctions d'application Android natives**. Cela est réalisé en utilisant la méthode `addJavascriptInterface`, qui intègre JavaScript avec les fonctionnalités Android natives, appelée un _WebView JavaScript bridge_. Une prudence est conseillée car cette méthode permet à toutes les pages dans le WebView d'accéder à l'objet JavaScript Interface enregistré, posant un risque de sécurité si des informations sensibles sont exposées à travers ces interfaces.
Une fonctionnalité est fournie par Android qui permet à **JavaScript** dans un WebView d'invoquer des **fonctions d'application Android natives**. Cela est réalisé en utilisant la méthode `addJavascriptInterface`, qui intègre JavaScript avec les fonctionnalités natives d'Android, appelée _WebView JavaScript bridge_. Une prudence est conseillée car cette méthode permet à toutes les pages dans le WebView d'accéder à l'objet JavaScript Interface enregistré, posant un risque de sécurité si des informations sensibles sont exposées à travers ces interfaces.
- **Une extrême prudence est requise** pour les applications ciblant des versions Android inférieures à 4.2 en raison d'une vulnérabilité permettant l'exécution de code à distance via du JavaScript malveillant, exploitant la réflexion.
- **Une extrême prudence est requise** pour les applications ciblant les versions Android inférieures à 4.2 en raison d'une vulnérabilité permettant l'exécution de code à distance via du JavaScript malveillant, exploitant la réflexion.
#### Implementing a JavaScript Bridge
@ -72,7 +72,7 @@ return "SuperSecretPassword";
webView.addJavascriptInterface(new JavascriptBridge(), "javascriptBridge")
webView.reload()
```
- L'exploitation potentielle via JavaScript, par exemple, à travers une attaque XSS, permet d'appeler des méthodes Java exposées :
- L'exploitation potentielle via JavaScript, par exemple, par le biais d'une attaque XSS, permet d'appeler des méthodes Java exposées :
```html
<script>
alert(javascriptBridge.getSecret())
@ -80,13 +80,13 @@ alert(javascriptBridge.getSecret())
```
- Pour atténuer les risques, **limitez l'utilisation du pont JavaScript** au code expédié avec l'APK et empêchez le chargement de JavaScript à partir de sources distantes. Pour les appareils plus anciens, définissez le niveau API minimum à 17.
### Exécution de Code à Distance (RCE) Basée sur la Réflexion
### Exécution de Code à Distance Basée sur la Réflexion (RCE)
- Une méthode documentée permet d'atteindre le RCE par réflexion en exécutant une charge utile spécifique. Cependant, l'annotation `@JavascriptInterface` empêche l'accès non autorisé aux méthodes, limitant ainsi la surface d'attaque.
### Débogage à Distance
- Le **débogage à distance** est possible avec **Chrome Developer Tools**, permettant l'interaction et l'exécution arbitraire de JavaScript dans le contenu WebView.
- **Le débogage à distance** est possible avec **Chrome Developer Tools**, permettant l'interaction et l'exécution arbitraire de JavaScript dans le contenu WebView.
#### Activation du Débogage à Distance

28
src/mobile-pentesting/android-checklist.md
View File

@ -26,21 +26,21 @@
- [ ] Recherchez des [chaînes intéressantes](android-app-pentesting/#looking-for-interesting-info) (mots de passe, URL, API, cryptage, portes dérobées, jetons, UUID Bluetooth...).
- [ ] Attention particulière aux [APIs firebase](android-app-pentesting/#firebase).
- [ ] [Lisez le manifeste :](android-app-pentesting/#basic-understanding-of-the-application-manifest-xml)
- [ ] Vérifiez si l'application est en mode débogage et essayez de "l'exploiter".
- [ ] Vérifiez si l'APK permet des sauvegardes.
- [ ] Activités exportées.
- [ ] Fournisseurs de contenu.
- [ ] Services exposés.
- [ ] Récepteurs de diffusion.
- [ ] Schémas d'URL.
- [ ] Vérifiez si l'application est en mode débogage et essayez de "l'exploiter"
- [ ] Vérifiez si l'APK permet des sauvegardes
- [ ] Activités exportées
- [ ] Fournisseurs de contenu
- [ ] Services exposés
- [ ] Récepteurs de diffusion
- [ ] Schémas d'URL
- [ ] L'application [sauvegarde-t-elle des données de manière non sécurisée en interne ou en externe](android-app-pentesting/#insecure-data-storage) ?
- [ ] Y a-t-il un [mot de passe codé en dur ou sauvegardé sur disque](android-app-pentesting/#poorkeymanagementprocesses) ? L'application [utilise-t-elle des algorithmes cryptographiques non sécurisés](android-app-pentesting/#useofinsecureandordeprecatedalgorithms) ?
- [ ] Toutes les bibliothèques compilées avec le drapeau PIE ?
- [ ] N'oubliez pas qu'il existe un certain nombre de [Analyseurs Android statiques](android-app-pentesting/#automatic-analysis) qui peuvent vous aider beaucoup durant cette phase.
- [ ] Toutes les bibliothèques sont-elles compilées avec le drapeau PIE ?
- [ ] N'oubliez pas qu'il existe un certain nombre de [Analyseurs Android statiques](android-app-pentesting/#automatic-analysis) qui peuvent vous aider beaucoup pendant cette phase.
### [Analyse dynamique](android-app-pentesting/#dynamic-analysis)
- [ ] Préparez l'environnement ([en ligne](android-app-pentesting/#online-dynamic-analysis), [VM locale ou physique](android-app-pentesting/#local-dynamic-analysis)).
- [ ] Préparez l'environnement ([en ligne](android-app-pentesting/#online-dynamic-analysis), [VM locale ou physique](android-app-pentesting/#local-dynamic-analysis))
- [ ] Y a-t-il une [fuite de données non intentionnelle](android-app-pentesting/#unintended-data-leakage) (journalisation, copier/coller, journaux de plantage) ?
- [ ] [Informations confidentielles sauvegardées dans des bases de données SQLite](android-app-pentesting/#sqlite-dbs) ?
- [ ] [Activités exposées exploitables](android-app-pentesting/#exploiting-exported-activities-authorisation-bypass) ?
@ -48,14 +48,14 @@
- [ ] [Services exposés exploitables](android-app-pentesting/#exploiting-services) ?
- [ ] [Récepteurs de diffusion exploitables](android-app-pentesting/#exploiting-broadcast-receivers) ?
- [ ] L'application [transmet-elle des informations en texte clair/utilise-t-elle des algorithmes faibles](android-app-pentesting/#insufficient-transport-layer-protection) ? Un MitM est-il possible ?
- [ ] [Inspecter le trafic HTTP/HTTPS](android-app-pentesting/#inspecting-http-traffic).
- [ ] [Inspecter le trafic HTTP/HTTPS](android-app-pentesting/#inspecting-http-traffic)
- [ ] Cela est vraiment important, car si vous pouvez capturer le trafic HTTP, vous pouvez rechercher des vulnérabilités Web courantes (Hacktricks a beaucoup d'informations sur les vulnérabilités Web).
- [ ] Vérifiez les [injections côté client Android possibles](android-app-pentesting/#android-client-side-injections-and-others) (probablement une certaine analyse de code statique aidera ici).
- [ ] [Frida](android-app-pentesting/#frida) : Juste Frida, utilisez-le pour obtenir des données dynamiques intéressantes de l'application (peut-être quelques mots de passe...).
- [ ] Vérifiez les [injections côté client Android possibles](android-app-pentesting/#android-client-side-injections-and-others) (probablement une certaine analyse de code statique aidera ici)
- [ ] [Frida](android-app-pentesting/#frida) : Juste Frida, utilisez-le pour obtenir des données dynamiques intéressantes de l'application (peut-être quelques mots de passe...)
### Quelques informations sur l'obfuscation/déobfuscation
- [ ] [Lisez ici](android-app-pentesting/#obfuscating-deobfuscating-code).
- [ ] [Lisez ici](android-app-pentesting/#obfuscating-deobfuscating-code)
{{#include ../banners/hacktricks-training.md}}

4
src/mobile-pentesting/cordova-apps.md
View File

@ -8,9 +8,9 @@ Apache Cordova est reconnu pour permettre le développement d'**applications hyb
### Clonage d'une application Cordova
Avant de cloner une application Cordova, assurez-vous que NodeJS est installé avec d'autres prérequis comme le SDK Android, Java JDK et Gradle. La [documentation](https://cordova.apache.org/docs/en/11.x/guide/cli/#install-pre-requisites-for-building) officielle de Cordova fournit un guide complet pour ces installations.
Avant de cloner une application Cordova, assurez-vous que NodeJS est installé avec d'autres prérequis comme le SDK Android, le JDK Java et Gradle. La [documentation](https://cordova.apache.org/docs/en/11.x/guide/cli/#install-pre-requisites-for-building) officielle de Cordova fournit un guide complet pour ces installations.
Considérez un exemple d'application nommée `Bank.apk` avec le nom de package `com.android.bank`. Pour accéder au code source, décompressez `bank.apk` et naviguez vers le dossier `bank/assets/www`. Ce dossier contient le code source complet de l'application, y compris les fichiers HTML et JS. La configuration de l'application peut être trouvée dans `bank/res/xml/config.xml`.
Considérez un exemple d'application nommée `Bank.apk` avec le nom de package `com.android.bank`. Pour accéder au code source, décompressez `bank.apk` et naviguez vers le dossier `bank/assets/www`. Ce dossier contient le code source complet de l'application, y compris les fichiers HTML et JS. La configuration de l'application se trouve dans `bank/res/xml/config.xml`.
Pour cloner l'application, suivez ces étapes :
```bash

8
src/mobile-pentesting/ios-pentesting-checklist.md
View File

@ -6,9 +6,9 @@
- [ ] Lire [**iOS Basics**](ios-pentesting/ios-basics.md)
- [ ] Préparer votre environnement en lisant [**iOS Testing Environment**](ios-pentesting/ios-testing-environment.md)
- [ ] Lire toutes les sections de [**iOS Initial Analysis**](ios-pentesting/#initial-analysis) pour apprendre les actions courantes à effectuer lors du pentesting d'une application iOS
- [ ] Lire toutes les sections de [**iOS Initial Analysis**](ios-pentesting/#initial-analysis) pour apprendre les actions courantes à réaliser lors du pentesting d'une application iOS
### Stockage des données
### Stockage de données
- [ ] Les [**fichiers Plist**](ios-pentesting/#plist) peuvent être utilisés pour stocker des informations sensibles.
- [ ] [**Core Data**](ios-pentesting/#core-data) (base de données SQLite) peut stocker des informations sensibles.
@ -42,7 +42,7 @@
### **Cryptographie cassée**
- [ ] Vérifiez si vous pouvez trouver [**des mots de passe utilisés pour la cryptographie**](ios-pentesting/#broken-cryptography).
- [ ] Vérifiez si vous pouvez trouver des [**mots de passe utilisés pour la cryptographie**](ios-pentesting/#broken-cryptography).
- [ ] Vérifiez l'utilisation d'[**algorithmes obsolètes/faibles**](ios-pentesting/#broken-cryptography) pour envoyer/stocker des données sensibles.
- [ ] [**Interceptez et surveillez les fonctions de cryptographie**](ios-pentesting/#broken-cryptography).
@ -88,6 +88,6 @@
### **Divers**
- [ ] Vérifiez les mécanismes de [**patching/mise à jour automatique**](ios-pentesting/#hot-patching-enforced-updateing).
- [ ] Vérifiez les [**bibliothèques tierces malveillantes**](ios-pentesting/#third-parties).
- [ ] Vérifiez la présence de [**bibliothèques tierces malveillantes**](ios-pentesting/#third-parties).
{{#include ../banners/hacktricks-training.md}}

60
src/mobile-pentesting/ios-pentesting/README.md
View File

@ -20,7 +20,7 @@ ios-testing-environment.md
### Basic iOS Testing Operations
Pendant le test, **plusieurs opérations vont être suggérées** (se connecter à l'appareil, lire/écrire/télécharger/téléverser des fichiers, utiliser certains outils...). Par conséquent, si vous ne savez pas comment effectuer l'une de ces actions, veuillez **commencer à lire la page** :
Lors des tests, **plusieurs opérations vont être suggérées** (se connecter à l'appareil, lire/écrire/télécharger/téléverser des fichiers, utiliser certains outils...). Par conséquent, si vous ne savez pas comment effectuer l'une de ces actions, veuillez **commencer à lire la page** :
{{#ref}}
basic-ios-testing-operations.md
@ -47,7 +47,7 @@ Identification des **protections présentes dans le binaire** :
otool -hv <app-binary> | grep PIE # Il devrait inclure le drapeau PIE
```
- **Stack Canaries** : Pour valider l'intégrité de la pile, une valeur canary est placée sur la pile avant d'appeler une fonction et est validée à nouveau une fois la fonction terminée.
- **Stack Canaries** : Pour valider l'intégrité de la pile, une valeur de canari est placée sur la pile avant d'appeler une fonction et est validée à nouveau une fois la fonction terminée.
```bash
otool -I -v <app-binary> | grep stack_chk # Il devrait inclure les symboles : stack_chk_guard et stack_chk_fail
@ -59,10 +59,10 @@ otool -I -v <app-binary> | grep stack_chk # Il devrait inclure les symboles :
otool -I -v <app-binary> | grep objc_release # Il devrait inclure le symbole _objc_release
```
- **Binary Encrypted** : Le binaire doit être chiffré
- **Encrypted Binary** : Le binaire doit être chiffré
```bash
otool -arch all -Vl <app-binary> | grep -A5 LC_ENCRYPT # Le cryptid doit être 1
otool -arch all -Vl <app-binary> | grep -A5 LC_ENCRYPT # Le cryptid devrait être 1
```
**Identification des Fonctions Sensibles/Insecure**
@ -168,7 +168,7 @@ La structure d'un **fichier IPA** est essentiellement celle d'un **package compr
- **`_CodeSignature/`** : Ce répertoire inclut un fichier plist qui contient une signature, garantissant l'intégrité de tous les fichiers dans le bundle.
- **`Assets.car`** : Une archive compressée qui stocke des fichiers d'actifs comme des icônes.
- **`Frameworks/`** : Ce dossier abrite les bibliothèques natives de l'application, qui peuvent être sous forme de fichiers `.dylib` ou `.framework`.
- **`PlugIns/`** : Cela peut inclure des extensions à l'application, connues sous le nom de fichiers `.appex`, bien qu'elles ne soient pas toujours présentes. \* [**`Core Data`**](https://developer.apple.com/documentation/coredata) : Il est utilisé pour sauvegarder les données permanentes de votre application pour une utilisation hors ligne, pour mettre en cache des données temporaires et pour ajouter une fonctionnalité d'annulation à votre application sur un seul appareil. Pour synchroniser les données sur plusieurs appareils dans un seul compte iCloud, Core Data reflète automatiquement votre schéma dans un conteneur CloudKit.
- **`PlugIns/`** : Cela peut inclure des extensions à l'application, connues sous le nom de fichiers `.appex`, bien qu'elles ne soient pas toujours présentes. \* [**`Core Data`**](https://developer.apple.com/documentation/coredata) : Il est utilisé pour sauvegarder les données permanentes de votre application pour une utilisation hors ligne, pour mettre en cache des données temporaires et pour ajouter une fonctionnalité d'annulation à votre application sur un seul appareil. Pour synchroniser des données sur plusieurs appareils dans un seul compte iCloud, Core Data reflète automatiquement votre schéma dans un conteneur CloudKit.
- [**`PkgInfo`**](https://developer.apple.com/library/archive/documentation/MacOSX/Conceptual/BPRuntimeConfig/Articles/ConfigApplications.html) : Le fichier `PkgInfo` est un moyen alternatif de spécifier les codes de type et de créateur de votre application ou bundle.
- **en.lproj, fr.proj, Base.lproj** : Sont les packs de langue qui contiennent des ressources pour ces langues spécifiques, et une ressource par défaut au cas où une langue ne serait pas supportée.
- **Sécurité** : Le répertoire `_CodeSignature/` joue un rôle critique dans la sécurité de l'application en vérifiant l'intégrité de tous les fichiers empaquetés grâce à des signatures numériques.
@ -200,9 +200,9 @@ $ grep -i <keyword> Info.plist
Dans l'environnement iOS, les répertoires sont désignés spécifiquement pour les **applications système** et les **applications installées par l'utilisateur**. Les applications système résident dans le répertoire `/Applications`, tandis que les applications installées par l'utilisateur sont placées sous `/var/mobile/containers/Data/Application/`. Ces applications se voient attribuer un identifiant unique connu sous le nom de **UUID 128 bits**, rendant la tâche de localiser manuellement le dossier d'une application difficile en raison de l'aléatoire des noms de répertoires.
> [!WARNING]
> Comme les applications dans iOS doivent être isolées, chaque application aura également un dossier à l'intérieur de **`$HOME/Library/Containers`** avec le **`CFBundleIdentifier`** de l'application comme nom de dossier.
> Comme les applications iOS doivent être isolées, chaque application aura également un dossier à l'intérieur de **`$HOME/Library/Containers`** avec le **`CFBundleIdentifier`** de l'application comme nom de dossier.
>
> Cependant, les deux dossiers (données et dossiers de conteneur) contiennent le fichier **`.com.apple.mobile_container_manager.metadata.plist`** qui relie les deux fichiers dans la clé `MCMetadataIdentifier`).
> Cependant, les deux dossiers (dossiers de données et de conteneurs) contiennent le fichier **`.com.apple.mobile_container_manager.metadata.plist`** qui relie les deux fichiers dans la clé `MCMetadataIdentifier`).
Pour faciliter la découverte du répertoire d'installation d'une application installée par l'utilisateur, l'**outil objection** fournit une commande utile, `env`. Cette commande révèle des informations détaillées sur le répertoire de l'application en question. Voici un exemple de la façon d'utiliser cette commande :
```bash
@ -237,7 +237,7 @@ lsof -p <pid> | grep -i "/containers" | head -n 1
- **Documents/**
- Contient toutes les données générées par l'utilisateur. L'utilisateur final de l'application initie la création de ces données.
- Visible par les utilisateurs et **les utilisateurs peuvent y écrire**.
- Le contenu de ce répertoire **est sauvegardé**.
- Le contenu de ce répertoire est **sauvegardé**.
- L'application peut désactiver des chemins en définissant `NSURLIsExcludedFromBackupKey`.
- **Library/**
- Contient tous les **fichiers qui ne sont pas spécifiques à l'utilisateur**, tels que **caches**, **préférences**, **cookies**, et fichiers de configuration de liste de propriétés (plist).
@ -250,7 +250,7 @@ lsof -p <pid> | grep -i "/containers" | head -n 1
- **Library/Application Support/**
- Contient des **fichiers persistants** nécessaires au fonctionnement de l'application.
- **Invisible** **pour** **les utilisateurs** et les utilisateurs ne peuvent pas y écrire.
- Le contenu de ce répertoire **est sauvegardé**.
- Le contenu de ce répertoire est **sauvegardé**.
- L'application peut désactiver des chemins en définissant `NSURLIsExcludedFromBackupKey`.
- **Library/Preferences/**
- Utilisé pour stocker des propriétés qui peuvent **persister même après le redémarrage d'une application**.
@ -277,7 +277,7 @@ Regular 420 None ... LICENSE.txt
Regular 420 None ... Sentinel.txt
Regular 420 None ... README.txt
```
### Reversement Binaire
### Reversing Binaire
À l'intérieur du dossier `<application-name>.app`, vous trouverez un fichier binaire appelé `<application-name>`. C'est le fichier qui sera **exécuté**. Vous pouvez effectuer une inspection de base du binaire avec l'outil **`otool`** :
```bash
@ -444,7 +444,7 @@ find ./ -name "*.sqlite" -or -name "*.db"
```
### Firebase Real-Time Databases
Les développeurs peuvent **stocker et synchroniser des données** dans une **base de données NoSQL hébergée dans le cloud** via Firebase Real-Time Databases. Stockées au format JSON, les données sont synchronisées avec tous les clients connectés en temps réel.
Les développeurs peuvent **stocker et synchroniser des données** dans une **base de données NoSQL hébergée dans le cloud** grâce à Firebase Real-Time Databases. Stockées au format JSON, les données sont synchronisées avec tous les clients connectés en temps réel.
Vous pouvez trouver comment vérifier les bases de données Firebase mal configurées ici :
@ -487,7 +487,7 @@ ls /private/var/mobile/Containers/Data/Application/{APPID}/Library/Application S
```
### Cookies
iOS stocke les cookies des applications dans le **`Library/Cookies/cookies.binarycookies`** à l'intérieur de chaque dossier d'application. Cependant, les développeurs décident parfois de les enregistrer dans le **keychain** car le **fichier de cookies mentionné peut être accessible dans les sauvegardes**.
iOS stocke les cookies des applications dans le **`Library/Cookies/cookies.binarycookies`** à l'intérieur de chaque dossier d'application. Cependant, les développeurs décident parfois de les enregistrer dans le **keychain** car le **fichier de cookie mentionné peut être accessible dans les sauvegardes**.
Pour inspecter le fichier de cookies, vous pouvez utiliser [**ce script python**](https://github.com/mdegrazia/Safari-Binary-Cookie-Parser) ou utiliser **`ios cookies get`** d'objection.\
**Vous pouvez également utiliser objection pour** convertir ces fichiers en format JSON et inspecter les données.
@ -584,7 +584,7 @@ Pour extraire ces identifiants stockés, la commande `ios nsurlcredentialstorage
## **Claviers personnalisés et cache de clavier**
Avec iOS 8.0 et versions ultérieures, les utilisateurs peuvent installer des extensions de clavier personnalisées, qui sont gérables sous **Réglages > Général > Clavier > Claviers**. Bien que ces claviers offrent des fonctionnalités étendues, ils présentent un risque d'enregistrement des frappes et de transmission de données à des serveurs externes, bien que les utilisateurs soient informés des claviers nécessitant un accès réseau. Les applications peuvent, et doivent, restreindre l'utilisation de claviers personnalisés pour la saisie d'informations sensibles.
Avec iOS 8.0 et versions ultérieures, les utilisateurs peuvent installer des extensions de clavier personnalisées, qui sont gérables sous **Réglages > Général > Clavier > Claviers**. Bien que ces claviers offrent des fonctionnalités étendues, ils présentent un risque d'enregistrement des frappes et de transmission de données vers des serveurs externes, bien que les utilisateurs soient informés des claviers nécessitant un accès réseau. Les applications peuvent, et doivent, restreindre l'utilisation de claviers personnalisés pour la saisie d'informations sensibles.
**Recommandations de sécurité :**
@ -612,7 +612,7 @@ Malgré ces restrictions, un **attaquant ayant un accès physique** à un appare
Pour atténuer les risques, il est conseillé de **interagir en profondeur avec l'application**, en explorant toutes ses fonctionnalités et entrées pour s'assurer qu'aucune information sensible n'est enregistrée par inadvertance.
Lors de l'examen du code source de l'application pour d'éventuelles fuites, recherchez à la fois des **déclarations de logging** **prédéfinies** et **personnalisées** en utilisant des mots-clés tels que `NSLog`, `NSAssert`, `NSCAssert`, `fprintf` pour les fonctions intégrées, et toute mention de `Logging` ou `Logfile` pour les implémentations personnalisées.
Lors de l'examen du code source de l'application à la recherche de fuites potentielles, recherchez à la fois des **déclarations de logging** **prédéfinies** et **personnalisées** en utilisant des mots-clés tels que `NSLog`, `NSAssert`, `NSCAssert`, `fprintf` pour les fonctions intégrées, et toute mention de `Logging` ou `Logfile` pour les implémentations personnalisées.
### **Monitoring System Logs**
@ -722,7 +722,7 @@ Pour **plus d'informations** sur les API et bibliothèques cryptographiques iOS,
## Authentification Locale
L'**authentification locale** joue un rôle crucial, surtout lorsqu'il s'agit de protéger l'accès à un point de terminaison distant par des méthodes cryptographiques. L'essentiel ici est que sans une mise en œuvre appropriée, les mécanismes d'authentification locale peuvent être contournés.
**L'authentification locale** joue un rôle crucial, surtout lorsqu'il s'agit de protéger l'accès à un point de terminaison distant par des méthodes cryptographiques. L'essence ici est que sans une mise en œuvre appropriée, les mécanismes d'authentification locale peuvent être contournés.
Le [**framework d'authentification locale d'Apple**](https://developer.apple.com/documentation/localauthentication) et le [**keychain**](https://developer.apple.com/library/content/documentation/Security/Conceptual/keychainServConcepts/01introduction/introduction.html) fournissent des API robustes pour permettre aux développeurs de faciliter les dialogues d'authentification des utilisateurs et de gérer en toute sécurité les données secrètes, respectivement. Le Secure Enclave sécurise l'ID d'empreinte digitale pour Touch ID, tandis que Face ID repose sur la reconnaissance faciale sans compromettre les données biométriques.
@ -732,7 +732,7 @@ Pour intégrer Touch ID/Face ID, les développeurs ont deux choix d'API :
- **`Security.framework`** pour un accès aux services de keychain de bas niveau, sécurisant les données secrètes avec une authentification biométrique. Divers [wrappers open-source](https://www.raywenderlich.com/147308/secure-ios-user-data-keychain-touch-id) simplifient l'accès au keychain.
> [!CAUTION]
> Cependant, à la fois `LocalAuthentication.framework` et `Security.framework` présentent des vulnérabilités, car ils renvoient principalement des valeurs booléennes sans transmettre de données pour les processus d'authentification, les rendant susceptibles d'être contournés (voir [Don't touch me that way, par David Lindner et al](https://www.youtube.com/watch?v=XhXIHVGCFFM)).
> Cependant, à la fois `LocalAuthentication.framework` et `Security.framework` présentent des vulnérabilités, car ils retournent principalement des valeurs booléennes sans transmettre de données pour les processus d'authentification, les rendant susceptibles d'être contournés (voir [Don't touch me that way, par David Lindner et al](https://www.youtube.com/watch?v=XhXIHVGCFFM)).
### Mise en œuvre de l'authentification locale
@ -741,15 +741,15 @@ Pour demander aux utilisateurs une authentification, les développeurs doivent u
- **`deviceOwnerAuthentication`** : Demande Touch ID ou code d'accès de l'appareil, échouant si aucun des deux n'est activé.
- **`deviceOwnerAuthenticationWithBiometrics`** : Demande exclusivement Touch ID.
Une authentification réussie est indiquée par une valeur de retour booléenne de **`evaluatePolicy`**, soulignant une faille de sécurité potentielle.
Une authentification réussie est indiquée par une valeur de retour booléenne de **`evaluatePolicy`**, soulignant une potentielle faille de sécurité.
### Authentification locale utilisant le Keychain
La mise en œuvre de l'**authentification locale** dans les applications iOS implique l'utilisation des **API de keychain** pour stocker en toute sécurité des données secrètes telles que des jetons d'authentification. Ce processus garantit que les données ne peuvent être accessibles que par l'utilisateur, en utilisant son code d'accès de l'appareil ou une authentification biométrique comme Touch ID.
La mise en œuvre de **l'authentification locale** dans les applications iOS implique l'utilisation des **API de keychain** pour stocker en toute sécurité des données secrètes telles que des jetons d'authentification. Ce processus garantit que les données ne peuvent être accessibles que par l'utilisateur, en utilisant son code d'accès de l'appareil ou une authentification biométrique comme Touch ID.
Le keychain offre la possibilité de définir des éléments avec l'attribut `SecAccessControl`, qui restreint l'accès à l'élément jusqu'à ce que l'utilisateur s'authentifie avec succès via Touch ID ou le code d'accès de l'appareil. Cette fonctionnalité est cruciale pour améliorer la sécurité.
Le keychain offre la capacité de définir des éléments avec l'attribut `SecAccessControl`, qui restreint l'accès à l'élément jusqu'à ce que l'utilisateur s'authentifie avec succès via Touch ID ou code d'accès de l'appareil. Cette fonctionnalité est cruciale pour améliorer la sécurité.
Voici des exemples de code en Swift et Objective-C démontrant comment enregistrer et récupérer une chaîne dans/le keychain, en tirant parti de ces fonctionnalités de sécurité. Les exemples montrent spécifiquement comment configurer le contrôle d'accès pour exiger une authentification Touch ID et garantir que les données ne sont accessibles que sur l'appareil sur lequel elles ont été configurées, à condition qu'un code d'accès de l'appareil soit configuré.
Voici des exemples de code en Swift et Objective-C démontrant comment enregistrer et récupérer une chaîne dans/le keychain, en tirant parti de ces fonctionnalités de sécurité. Les exemples montrent spécifiquement comment configurer le contrôle d'accès pour exiger une authentification Touch ID et garantir que les données ne sont accessibles que sur l'appareil sur lequel elles ont été configurées, sous la condition qu'un code d'accès de l'appareil soit configuré.
{{#tabs}}
{{#tab name="Swift"}}
@ -791,7 +791,7 @@ if status == noErr {
```
{{#endtab}}
{{#tab name="Objective-C"}}
{{#tab name="Objectif-C"}}
```objectivec
// 1. create AccessControl object that will represent authentication settings
CFErrorRef *err = nil;
@ -891,7 +891,7 @@ Si `Security.framework` est utilisé, seul le second sera affiché.
#### **Objection**
Grâce au **Objection Biometrics Bypass**, situé sur [cette page GitHub](https://github.com/sensepost/objection/wiki/Understanding-the-iOS-Biometrics-Bypass), une technique est disponible pour surmonter le mécanisme **LocalAuthentication**. Le cœur de cette approche consiste à utiliser **Frida** pour manipuler la fonction `evaluatePolicy`, garantissant qu'elle renvoie systématiquement un résultat `True`, indépendamment du succès réel de l'authentification. Cela est particulièrement utile pour contourner les processus d'authentification biométrique défectueux.
Grâce au **Objection Biometrics Bypass**, situé sur [cette page GitHub](https://github.com/sensepost/objection/wiki/Understanding-the-iOS-Biometrics-Bypass), une technique est disponible pour surmonter le mécanisme **LocalAuthentication**. Le cœur de cette approche consiste à exploiter **Frida** pour manipuler la fonction `evaluatePolicy`, garantissant qu'elle renvoie systématiquement un résultat `True`, indépendamment du succès réel de l'authentification. Cela est particulièrement utile pour contourner les processus d'authentification biométrique défectueux.
Pour activer ce contournement, la commande suivante est utilisée :
```bash
@ -964,7 +964,7 @@ frida -U -f com.highaltitudehacks.DVIAswiftv2 --no-pause -l fingerprint-bypass-i
```
## Exposition de Fonctionnalités Sensibles par IPC
### Gestionnaires URI Personnalisés / Deeplinks / Schémas Personnalisés
### Gestionnaires de URI Personnalisés / Deeplinks / Schémas Personnalisés
{{#ref}}
ios-custom-uri-handlers-deeplinks-custom-schemes.md
@ -1029,19 +1029,19 @@ Vous pouvez également utiliser **objection's** `ios sslpinning disable`
## Divers
- Dans **`/System/Library`**, vous pouvez trouver les frameworks installés sur le téléphone utilisés par les applications système.
- Les applications installées par l'utilisateur depuis l'App Store se trouvent dans **`/User/Applications`**.
- Et le **`/User/Library`** contient les données sauvegardées par les applications au niveau utilisateur.
- Dans **`/System/Library`**, vous pouvez trouver les frameworks installés sur le téléphone utilisés par les applications système
- Les applications installées par l'utilisateur depuis l'App Store se trouvent dans **`/User/Applications`**
- Et le **`/User/Library`** contient les données sauvegardées par les applications au niveau utilisateur
- Vous pouvez accéder à **`/User/Library/Notes/notes.sqlite`** pour lire les notes sauvegardées dans l'application.
- Dans le dossier d'une application installée (**`/User/Applications/<APP ID>/`**), vous pouvez trouver des fichiers intéressants :
- **`iTunesArtwork`** : L'icône utilisée par l'application.
- **`iTunesMetadata.plist`** : Infos de l'application utilisées dans l'App Store.
- **`iTunesArtwork`** : L'icône utilisée par l'application
- **`iTunesMetadata.plist`** : Infos de l'application utilisées dans l'App Store
- **`/Library/*`** : Contient les préférences et le cache. Dans **`/Library/Cache/Snapshots/*`**, vous pouvez trouver le snapshot effectué sur l'application avant de l'envoyer en arrière-plan.
### Hot Patching/Mise à Jour Forcée
Les développeurs peuvent **patcher toutes les installations de leur application instantanément** sans avoir à soumettre à nouveau l'application à l'App Store et attendre son approbation.\
À cette fin, on utilise généralement [**JSPatch**](https://github.com/bang590/JSPatch)**.** Mais il existe également d'autres options telles que [Siren](https://github.com/ArtSabintsev/Siren) et [react-native-appstore-version-checker](https://www.npmjs.com/package/react-native-appstore-version-checker).\
À cette fin, on utilise généralement [**JSPatch**](https://github.com/bang590/JSPatch)**.** Mais il existe d'autres options telles que [Siren](https://github.com/ArtSabintsev/Siren) et [react-native-appstore-version-checker](https://www.npmjs.com/package/react-native-appstore-version-checker).\
**C'est un mécanisme dangereux qui pourrait être abusé par des SDK tiers malveillants, il est donc recommandé de vérifier quelle méthode est utilisée pour la mise à jour automatique (le cas échéant) et de la tester.** Vous pourriez essayer de télécharger une version précédente de l'application à cette fin.
### Tiers
@ -1050,7 +1050,7 @@ Un défi significatif avec les **SDK tiers** est le **manque de contrôle granul
Les services fournis par les SDK tiers peuvent inclure le suivi du comportement des utilisateurs, l'affichage de publicités ou l'amélioration de l'expérience utilisateur. Cependant, cela introduit un risque car les développeurs peuvent ne pas être pleinement conscients du code exécuté par ces bibliothèques, ce qui entraîne des risques potentiels pour la confidentialité et la sécurité. Il est crucial de limiter les informations partagées avec les services tiers à ce qui est nécessaire et de s'assurer qu'aucune donnée sensible n'est exposée.
L'implémentation de services tiers se présente généralement sous deux formes : une bibliothèque autonome ou un SDK complet. Pour protéger la vie privée des utilisateurs, toutes les données partagées avec ces services doivent être **anonymisées** pour éviter la divulgation d'Informations Personnellement Identifiables (PII).
L'implémentation de services tiers se présente généralement sous deux formes : une bibliothèque autonome ou un SDK complet. Pour protéger la vie privée des utilisateurs, toute donnée partagée avec ces services doit être **anonymisée** pour éviter la divulgation d'Informations Personnelles Identifiables (PII).
Pour identifier les bibliothèques utilisées par une application, la commande **`otool`** peut être employée. Cet outil doit être exécuté contre l'application et chaque bibliothèque partagée qu'elle utilise pour découvrir des bibliothèques supplémentaires.
```bash

10
src/mobile-pentesting/ios-pentesting/basic-ios-testing-operations.md
View File

@ -25,7 +25,7 @@ $ idevice_id -l
```bash
$ system_profiler SPUSBDataType | sed -n -e '/iPad/,/Serial/p;/iPhone/,/Serial/p;/iPod/,/Serial/p' | grep "Serial Number:"
```
- **Utilisation de `instruments` pour lister les appareils :**
- **Utiliser `instruments` pour lister les appareils :**
```bash
$ instruments -s devices
```
@ -33,7 +33,7 @@ $ instruments -s devices
L'**accès SSH** est activé en installant le **package OpenSSH** après le jailbreak, permettant des connexions via `ssh root@<device_ip_address>`. Il est crucial de changer les mots de passe par défaut (`alpine`) pour les utilisateurs `root` et `mobile` afin de sécuriser l'appareil.
**SSH sur USB** devient nécessaire en l'absence de Wi-Fi, en utilisant `iproxy` pour mapper les ports de l'appareil pour les connexions SSH. Cette configuration permet l'accès SSH via USB en exécutant :
L'**SSH sur USB** devient nécessaire en l'absence de Wi-Fi, en utilisant `iproxy` pour mapper les ports de l'appareil pour les connexions SSH. Cette configuration permet l'accès SSH via USB en exécutant :
```bash
$ iproxy 2222 22
$ ssh -p 2222 root@localhost
@ -92,7 +92,7 @@ otool -Vh Hello_World
```
**Identification de la section chiffrée et vidage de la mémoire :**
Déterminez les adresses de début et de fin de la section chiffrée à l'aide de `otool` et vidangez la mémoire de l'appareil jailbreaké en utilisant gdb.
Déterminez les adresses de début et de fin de la section chiffrée en utilisant `otool` et vidangez la mémoire de l'appareil jailbreaké en utilisant gdb.
```bash
otool -l Original_App | grep -A 4 LC_ENCRYPTION_INFO
dump memory dump.bin 0x8000 0x10a4000
@ -119,11 +119,11 @@ Pour extraire une application spécifique, comme Telegram, la commande suivante
```bash
$ python3 dump.py -u "root" -p "<PASSWORD>" ph.telegra.Telegraph
```
Cette commande initie le dump de l'application, ce qui entraîne la création d'un fichier `Telegram.ipa` dans le répertoire actuel. Ce processus est adapté aux appareils jailbreakés, car les applications non signées ou faussement signées peuvent être réinstallées à l'aide d'outils comme [**ios-deploy**](https://github.com/ios-control/ios-deploy).
Cette commande initie le dump de l'application, entraînant la création d'un fichier `Telegram.ipa` dans le répertoire actuel. Ce processus est adapté aux appareils jailbreakés, car les applications non signées ou faussement signées peuvent être réinstallées à l'aide d'outils comme [**ios-deploy**](https://github.com/ios-control/ios-deploy).
#### **flexdecrypt**
L'outil [**flexdecrypt**](https://github.com/JohnCoates/flexdecrypt), ainsi que son wrapper [**flexdump**](https://gist.github.com/defparam/71d67ee738341559c35c684d659d40ac), permet l'extraction de fichiers IPA à partir d'applications installées. Les commandes d'installation pour **flexdecrypt** sur l'appareil incluent le téléchargement et l'installation du package `.deb`. **flexdump** peut être utilisé pour lister et dumper des applications, comme le montrent les commandes ci-dessous :
L'outil [**flexdecrypt**](https://github.com/JohnCoates/flexdecrypt), avec son wrapper [**flexdump**](https://gist.github.com/defparam/71d67ee738341559c35c684d659d40ac), permet l'extraction de fichiers IPA à partir d'applications installées. Les commandes d'installation pour **flexdecrypt** sur l'appareil incluent le téléchargement et l'installation du package `.deb`. **flexdump** peut être utilisé pour lister et dumper des applications, comme le montrent les commandes ci-dessous :
```bash
apt install zip unzip
wget https://gist.githubusercontent.com/defparam/71d67ee738341559c35c684d659d40ac/raw/30c7612262f1faf7871ba8e32fbe29c0f3ef9e27/flexdump -P /usr/local/bin; chmod +x /usr/local/bin/flexdump

10
src/mobile-pentesting/ios-pentesting/burp-configuration-for-ios.md
View File

@ -8,7 +8,7 @@ Pour l'analyse sécurisée du trafic web et le SSL pinning sur les appareils iOS
### Installation automatisée avec Burp Mobile Assistant
Le **Burp Mobile Assistant** simplifie le processus d'installation du certificat Burp, de la configuration du proxy et du SSL Pinning. Des instructions détaillées peuvent être trouvées dans [la documentation officielle de PortSwigger](https://portswigger.net/burp/documentation/desktop/tools/mobile-assistant/installing).
Le **Burp Mobile Assistant** simplifie le processus d'installation du certificat Burp, la configuration du proxy et le SSL Pinning. Des instructions détaillées peuvent être trouvées dans la [documentation officielle de PortSwigger](https://portswigger.net/burp/documentation/desktop/tools/mobile-assistant/installing).
### Étapes d'installation manuelle
@ -18,7 +18,7 @@ Le **Burp Mobile Assistant** simplifie le processus d'installation du certificat
### Configuration d'un proxy d'interception
La configuration permet l'analyse du trafic entre l'appareil iOS et Internet via Burp, nécessitant un réseau Wi-Fi qui prend en charge le trafic client à client. Si cela n'est pas disponible, une connexion USB via usbmuxd peut servir d'alternative. Les tutoriels de PortSwigger fournissent des instructions détaillées sur [la configuration de l'appareil](https://support.portswigger.net/customer/portal/articles/1841108-configuring-an-ios-device-to-work-with-burp) et [l'installation du certificat](https://support.portswigger.net/customer/portal/articles/1841109-installing-burp-s-ca-certificate-in-an-ios-device).
La configuration permet l'analyse du trafic entre l'appareil iOS et Internet via Burp, nécessitant un réseau Wi-Fi qui prend en charge le trafic client à client. Si cela n'est pas disponible, une connexion USB via usbmuxd peut servir d'alternative. Les tutoriels de PortSwigger fournissent des instructions détaillées sur la [configuration de l'appareil](https://support.portswigger.net/customer/portal/articles/1841108-configuring-an-ios-device-to-work-with-burp) et [l'installation du certificat](https://support.portswigger.net/customer/portal/articles/1841109-installing-burp-s-ca-certificate-in-an-ios-device).
### Configuration avancée pour les appareils jailbreakés
@ -50,8 +50,8 @@ La procédure implique plusieurs étapes clés :
$ rvictl -s <UDID>
Starting device <UDID> [SUCCEEDED] with interface rvi0
```
3. Après l'identification du UDID, **Wireshark** doit être ouvert et l'interface "rvi0" sélectionnée pour la capture de données.
4. Pour un monitoring ciblé, comme la capture du trafic HTTP lié à une adresse IP spécifique, les filtres de capture de Wireshark peuvent être utilisés :
3. Après l'identification de l'UDID, **Wireshark** doit être ouvert et l'interface "rvi0" sélectionnée pour la capture de données.
4. Pour un monitoring ciblé, comme la capture de trafic HTTP lié à une adresse IP spécifique, les filtres de capture de Wireshark peuvent être utilisés :
## Installation du Certificat Burp dans le Simulateur
@ -61,7 +61,7 @@ Dans _Proxy_ --> _Options_ --> _Exporter le certificat CA_ --> _Certificat au fo
![](<../../images/image (534).png>)
- **Glisser et Déposer** le certificat dans l'Émulateur
- **Glisser-déposer** le certificat dans l'Émulateur
- **Dans l'émulateur**, allez à _Réglages_ --> _Général_ --> _Profil_ --> _PortSwigger CA_, et **vérifiez le certificat**
- **Dans l'émulateur**, allez à _Réglages_ --> _Général_ --> _À propos_ --> _Paramètres de confiance des certificats_, et **activez PortSwigger CA**

8
src/mobile-pentesting/ios-pentesting/frida-configuration-in-ios.md
View File

@ -182,7 +182,7 @@ Stalker.flush() // this is important to get all events
## [Fpicker](https://github.com/ttdennis/fpicker)
[**fpicker**](https://github.com/ttdennis/fpicker) est une **suite de fuzzing basée sur Frida** qui offre une variété de modes de fuzzing pour le fuzzing en processus, comme un mode AFL++ ou un mode de traçage passif. Il devrait fonctionner sur toutes les plateformes prises en charge par Frida.
[**fpicker**](https://github.com/ttdennis/fpicker) est une **suite de fuzzing basée sur Frida** qui offre une variété de modes de fuzzing pour le fuzzing en processus, tels qu'un mode AFL++ ou un mode de traçage passif. Il devrait fonctionner sur toutes les plateformes prises en charge par Frida.
- [**Installer fpicker**](https://github.com/ttdennis/fpicker#requirements-and-installation) **& radamsa**
```bash
@ -213,7 +213,7 @@ mkdir -p examples/wg-log/in # For starting inputs
# Create at least 1 input for the fuzzer
echo Hello World > examples/wg-log/in/0
```
- **Script de fuzzing** (`examples/wg-log/myfuzzer.js`):
- **Script de Fuzzer** (`examples/wg-log/myfuzzer.js`):
```javascript:examples/wg-log/myfuzzer.js
// Import the fuzzer base class
import { Fuzzer } from "../../harness/fuzzer.js"
@ -290,9 +290,9 @@ fpicker -v --fuzzer-mode active -e attach -p <Program to fuzz> -D usb -o example
# You can find code coverage and crashes in examples/wg-log/out/
```
> [!CAUTION]
> Dans ce cas, nous **ne redémarrons pas l'application ni ne restaurons l'état** après chaque payload. Donc, si Frida trouve un **crash**, les **entrées suivantes** après ce payload pourraient également **faire planter l'application** (car l'application est dans un état instable) même si l'**entrée ne devrait pas faire planter** l'application.
> Dans ce cas, nous **ne redémarrons pas l'application ni ne restaurons l'état** après chaque payload. Donc, si Frida trouve un **crash**, les **prochains inputs** après ce payload pourraient également **faire planter l'application** (car l'application est dans un état instable) même si l'**input ne devrait pas faire planter** l'application.
>
> De plus, Frida s'accrochera aux signaux d'exception d'iOS, donc lorsque **Frida trouve un crash**, probablement des **rapports de crash iOS ne seront pas générés**.
> De plus, Frida s'accrochera aux signaux d'exception d'iOS, donc lorsque **Frida trouve un crash**, probablement un **rapport de crash iOS ne sera pas généré**.
>
> Pour éviter cela, par exemple, nous pourrions redémarrer l'application après chaque crash de Frida.

16
src/mobile-pentesting/ios-pentesting/ios-app-extensions.md
View File

@ -1,8 +1,8 @@
# Extensions d'applications iOS
# iOS App Extensions
{{#include ../../banners/hacktricks-training.md}}
Les extensions d'applications améliorent la fonctionnalité des applications en leur permettant d'interagir avec d'autres applications ou le système, fournissant des fonctionnalités ou du contenu personnalisés. Ces extensions incluent :
Les extensions d'application améliorent la fonctionnalité des applications en leur permettant d'interagir avec d'autres applications ou le système, fournissant des fonctionnalités ou du contenu personnalisés. Ces extensions incluent :
- **Clavier personnalisé** : Offre un clavier unique dans toutes les applications, remplaçant le clavier iOS par défaut.
- **Partager** : Permet de partager sur les réseaux sociaux ou avec d'autres directement.
@ -14,16 +14,16 @@ Lorsqu'un utilisateur interagit avec ces extensions, comme le partage de texte d
Les principaux aspects de sécurité incluent :
- Les extensions et leurs applications contenant communiquent via la communication inter-processus, pas directement.
- Les extensions et leurs applications contenant communiquent via la communication inter-processus, et non directement.
- Le **widget Aujourd'hui** est unique en ce sens qu'il peut demander à son application de s'ouvrir via une méthode spécifique.
- L'accès aux données partagées est autorisé dans un conteneur privé, mais l'accès direct est restreint.
- Certaines API, y compris HealthKit, sont interdites aux extensions d'applications, qui ne peuvent également pas démarrer de tâches de longue durée, accéder à la caméra ou au microphone, sauf pour les extensions iMessage.
- Certaines API, y compris HealthKit, sont interdites aux extensions d'application, qui ne peuvent également pas démarrer de tâches de longue durée, accéder à la caméra ou au microphone, sauf pour les extensions iMessage.
### Analyse statique
#### **Identification des extensions d'applications**
#### **Identification des extensions d'application**
Pour trouver des extensions d'applications dans le code source, recherchez `NSExtensionPointIdentifier` dans Xcode ou inspectez le bundle de l'application pour des fichiers `.appex` indiquant des extensions. Sans code source, utilisez grep ou SSH pour localiser ces identifiants dans le bundle de l'application.
Pour trouver des extensions d'application dans le code source, recherchez `NSExtensionPointIdentifier` dans Xcode ou inspectez le bundle de l'application pour des fichiers `.appex` indiquant des extensions. Sans code source, utilisez grep ou SSH pour localiser ces identifiants dans le bundle de l'application.
#### **Types de données pris en charge**
@ -31,7 +31,7 @@ Vérifiez le fichier `Info.plist` d'une extension pour `NSExtensionActivationRul
#### **Partage de données**
Le partage de données entre une application et son extension nécessite un conteneur partagé, configuré via "Groupes d'applications" et accessible via `NSUserDefaults`. Cet espace partagé est nécessaire pour les transferts en arrière-plan initiés par les extensions.
Le partage de données entre une application et son extension nécessite un conteneur partagé, configuré via "App Groups" et accessible via `NSUserDefaults`. Cet espace partagé est nécessaire pour les transferts en arrière-plan initiés par les extensions.
#### **Restriction des extensions**
@ -41,7 +41,7 @@ Les applications peuvent restreindre certains types d'extensions, en particulier
L'analyse dynamique implique :
- **Inspection des éléments partagés** : Accrochez-vous à `NSExtensionContext - inputItems` pour voir les types de données et leurs origines partagés.
- **Inspection des éléments partagés** : Accédez à `NSExtensionContext - inputItems` pour voir les types de données et leurs origines partagées.
- **Identification des extensions** : Découvrez quelles extensions traitent vos données en observant les mécanismes internes, comme `NSXPCConnection`.
Des outils comme `frida-trace` peuvent aider à comprendre les processus sous-jacents, en particulier pour ceux qui s'intéressent aux détails techniques de la communication inter-processus.

2
src/mobile-pentesting/ios-pentesting/ios-basics.md
View File

@ -17,7 +17,7 @@ iOS définit **quatre classes de protection** pour la sécurité des données, q
- **Protection Complète (NSFileProtectionComplete)** : Les données sont inaccessibles jusqu'à ce que l'appareil soit déverrouillé à l'aide du code d'accès de l'utilisateur.
- **Protégé Sauf Ouvert (NSFileProtectionCompleteUnlessOpen)** : Permet l'accès au fichier même après que l'appareil soit verrouillé, à condition que le fichier ait été ouvert lorsque l'appareil a été déverrouillé.
- **Protégé Jusqu'à la Première Authentification Utilisateur (NSFileProtectionCompleteUntilFirstUserAuthentication)** : Les données sont accessibles après la première déverrouillage de l'utilisateur après le démarrage, restant accessibles même si l'appareil est à nouveau verrouillé.
- **Aucune Protection (NSFileProtectionNone)** : Les données sont uniquement protégées par l'UID de l'appareil, facilitant l'effacement rapide des données à distance.
- **Aucune Protection (NSFileProtectionNone)** : Les données ne sont protégées que par l'UID de l'appareil, facilitant l'effacement rapide des données à distance.
Le chiffrement de toutes les classes, sauf pour `NSFileProtectionNone`, implique une clé dérivée à la fois de l'UID de l'appareil et du code d'accès de l'utilisateur, garantissant que le déchiffrement n'est possible que sur l'appareil avec le bon code d'accès. À partir d'iOS 7, la classe de protection par défaut est "Protégé Jusqu'à la Première Authentification Utilisateur".

2
src/mobile-pentesting/ios-pentesting/ios-custom-uri-handlers-deeplinks-custom-schemes.md
View File

@ -66,7 +66,7 @@ Opened URL: iGoat://?contactNumber=0&message=0
Selon [**ce post**](https://evanconnelly.github.io/post/ios-oauth/), des applications malveillantes pourraient **enregistrer d'autres schémas personnalisés d'applications,** puis l'application malveillante peut ouvrir un navigateur qui a tous les cookies de l'application Safari avec [ASWebAuthenticationSession](https://developer.apple.com/documentation/authenticationservices/aswebauthenticationsession/2990952-init#parameters).&#x20;
Avec le navigateur, l'application malveillante peut charger une page web contrôlée par l'attaquant et TCC demandera à l'utilisateur mobile les autorisations pour ouvrir cette application. Ensuite, la page web malveillante pourrait rediriger vers une page victime, par exemple un flux OAuth avec le paramètre `prompt=none`. Si l'utilisateur était déjà connecté au flux OAuth, le flux OAuth renverra le secret à l'application victime en utilisant le schéma personnalisé de l'application victime.\
Avec le navigateur, l'application malveillante peut charger une page web contrôlée par l'attaquant et TCC demandera à l'utilisateur mobile des autorisations pour ouvrir cette application. Ensuite, la page web malveillante pourrait rediriger vers une page victime, par exemple un flux OAuth avec le paramètre `prompt=none`. Si l'utilisateur était déjà connecté au flux OAuth, le flux OAuth renverra le secret à l'application victime en utilisant le schéma personnalisé de l'application victime.\
Cependant, parce que l'application malveillante l'a également enregistré et parce que le navigateur utilisé est à l'intérieur de l'application malveillante, le schéma personnalisé sera géré dans ce cas par l'application malveillante qui pourra voler le jeton OAuth.
## Références

30
src/mobile-pentesting/ios-pentesting/ios-hooking-with-objection.md
View File

@ -17,7 +17,7 @@ Vous pouvez également exécuter `frida-ps -Uia` pour vérifier les processus en
```bash
env
Name Path
Nom Chemin
----------------- -----------------------------------------------------------------------------------------------
BundlePath /private/var/containers/Bundle/Application/179A6E8B-E7A8-476E-BBE3-B9300F546068/iGoat-Swift.app
CachesDirectory /var/mobile/Containers/Data/Application/A079DF84-726C-4AEA-A194-805B97B3684A/Library/Caches
@ -31,7 +31,7 @@ LibraryDirectory /var/mobile/Containers/Data/Application/A079DF84-726C-4AEA-A1
```bash
ios bundles list_bundles
Executable Bundle Version Path
Exécutable Bundle Version Chemin
------------ -------------------- --------- -------------------------------------------
iGoat-Swift OWASP.iGoat-Swift 1.0 ...8-476E-BBE3-B9300F546068/iGoat-Swift.app
AGXMetalA9 com.apple.AGXMetalA9 172.18.4 ...tem/Library/Extensions/AGXMetalA9.bundle
@ -41,7 +41,7 @@ AGXMetalA9 com.apple.AGXMetalA9 172.18.4 ...tem/Library/Extensions/AGXMeta
```bash
ios bundles list_frameworks
Executable Bundle Version Path
Exécutable Bundle Version Chemin
------------------------------ -------------------------------------------- ---------- -------------------------------------------
ReactCommon org.cocoapods.ReactCommon 0.61.5 ...tle.app/Frameworks/ReactCommon.framework
...vateFrameworks/CoreDuetContext.framework
@ -69,7 +69,7 @@ react_native_image_picker org.cocoapods.react-native-image-picker 2.
```bash
memory list modules
Name Base Size Path
Nom Base Taille Chemin
----------------------------------- ----------- ------------------- ------------------------------------------------------------------------------
iGoat-Swift 0x104ffc000 2326528 (2.2 MiB) /private/var/containers/Bundle/Application/179A6E8B-E7A8-476E-BBE3-B9300F54...
SubstrateBootstrap.dylib 0x105354000 16384 (16.0 KiB) /usr/lib/substrate/SubstrateBootstrap.dylib
@ -82,11 +82,11 @@ libobjc.A.dylib 0x1bdc64000 233472 (228.0 KiB) /usr/lib/
[...]
```
- `memory list exports <module_name>`: Exports d'un module chargé
- `memory list exports <module_name>`: Exportations d'un module chargé
```bash
memory list exports iGoat-Swift
Type Name Address
Type Nom Adresse
-------- -------------------------------------------------------------------------------------------------------------------------------------- -----------
variable _mh_execute_header 0x104ffc000
function _mdictof 0x10516cb88
@ -127,7 +127,7 @@ AAAttestationSigner
[...]
```
- `ios hooking search classes <search_term>`: Rechercher une classe contenant une chaîne. Vous pouvez **chercher un terme unique qui est lié au nom du package principal de l'application** pour trouver les principales classes de l'application comme dans l'exemple :
- `ios hooking search classes <search_term>`: Rechercher une classe contenant une chaîne. Vous pouvez **chercher un terme unique lié au nom du package principal de l'application** pour trouver les principales classes de l'application comme dans l'exemple :
```bash
ios hooking search classes iGoat
@ -218,40 +218,40 @@ var target = ObjC.classes.iGoat_Swift.RCreditInfo;
Interceptor.attach(target['+ sharedSchema'].implementation, {
onEnter: function (args) {
console.log('Entering + sharedSchema!');
console.log('Entrée + sharedSchema!');
},
onLeave: function (retval) {
console.log('Leaving + sharedSchema');
console.log('Sortie + sharedSchema');
},
});
Interceptor.attach(target['+ className'].implementation, {
onEnter: function (args) {
console.log('Entering + className!');
console.log('Entrée + className!');
},
onLeave: function (retval) {
console.log('Leaving + className');
console.log('Sortie + className');
},
});
Interceptor.attach(target['- cvv'].implementation, {
onEnter: function (args) {
console.log('Entering - cvv!');
console.log('Entrée - cvv!');
},
onLeave: function (retval) {
console.log('Leaving - cvv');
console.log('Sortie - cvv');
},
});
Interceptor.attach(target['- setCvv:'].implementation, {
onEnter: function (args) {
console.log('Entering - setCvv:!');
console.log('Entrée - setCvv:!');
},
onLeave: function (retval) {
console.log('Leaving - setCvv:');
console.log('Sortie - setCvv:');
},
});
```

4
src/mobile-pentesting/ios-pentesting/ios-serialisation-and-encoding.md
View File

@ -27,7 +27,7 @@ self.init(x: aDecoder.decodeDouble(forKey: "x"), name: name)
```
### **Améliorer la sécurité avec `NSSecureCoding`**
Pour atténuer les vulnérabilités où les attaquants injectent des données dans des objets déjà construits, **`NSSecureCoding`** offre un protocole amélioré. Les classes conformes à `NSSecureCoding` doivent vérifier le type des objets lors du décodage, garantissant que seuls les types d'objets attendus sont instanciés. Cependant, il est crucial de noter que bien que `NSSecureCoding` améliore la sécurité des types, il ne crypte pas les données et ne garantit pas leur intégrité, nécessitant des mesures supplémentaires pour protéger les informations sensibles :
Pour atténuer les vulnérabilités où les attaquants injectent des données dans des objets déjà construits, **`NSSecureCoding`** offre un protocole amélioré. Les classes conformes à `NSSecureCoding` doivent vérifier le type des objets lors du décodage, garantissant que seuls les types d'objets attendus sont instanciés. Cependant, il est crucial de noter que bien que `NSSecureCoding` améliore la sécurité des types, il ne crypte pas les données ni n'assure leur intégrité, nécessitant des mesures supplémentaires pour protéger les informations sensibles :
```swift
static var supportsSecureCoding: Bool {
return true
@ -55,7 +55,7 @@ Cette approche prend en charge la sérialisation simple vers et depuis des liste
## Alternatives d'encodage JSON et XML
Au-delà du support natif, plusieurs bibliothèques tierces offrent des capacités d'encodage/décodage JSON et XML, chacune ayant ses propres caractéristiques de performance et considérations de sécurité. Il est impératif de sélectionner ces bibliothèques avec soin, en particulier pour atténuer les vulnérabilités telles que les attaques XXE (XML External Entities) en configurant les analyseurs pour empêcher le traitement des entités externes.
Au-delà du support natif, plusieurs bibliothèques tierces offrent des capacités d'encodage/décodage JSON et XML, chacune ayant ses propres caractéristiques de performance et considérations de sécurité. Il est impératif de sélectionner soigneusement ces bibliothèques, en particulier pour atténuer les vulnérabilités telles que les attaques XXE (XML External Entities) en configurant les analyseurs pour empêcher le traitement des entités externes.
### Considérations de sécurité

16
src/mobile-pentesting/ios-pentesting/ios-testing-environment.md
View File

@ -106,20 +106,20 @@ basic-ios-testing-operations.md
**Plusieurs applications essaieront de détecter si le mobile est jailbreaké et dans ce cas, l'application ne fonctionnera pas**
- Après le jailbreak d'un iOS, **des fichiers et des dossiers sont généralement installés**, ceux-ci peuvent être recherchés pour déterminer si l'appareil est jailbreaké.
- Dans un appareil jailbreaké, les applications obtiennent **un accès en lecture/écriture à de nouveaux fichiers** en dehors du sandbox
- Certains **appels d'API** **se comporteront différemment**
- La présence du service **OpenSSH**
- Appeler `/bin/sh` renverra **1** au lieu de 0
- Après le jailbreak d'un iOS, **des fichiers et dossiers sont généralement installés**, ceux-ci peuvent être recherchés pour déterminer si l'appareil est jailbreaké.
- Dans un appareil jailbreaké, les applications obtiennent **un accès en lecture/écriture à de nouveaux fichiers** en dehors du sandbox.
- Certains **appels d'API** **se comporteront différemment**.
- La présence du service **OpenSSH**.
- Appeler `/bin/sh` renverra **1** au lieu de 0.
**Plus d'informations sur la façon de détecter le jailbreak** [**ici**](https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/jailbreak-detection-methods/)**.**
Vous pouvez essayer d'éviter ces détections en utilisant **l'option `ios jailbreak disable` d'objection**
Vous pouvez essayer d'éviter ces détections en utilisant **l'option `ios jailbreak disable` d'objection**.
## **Contournement de la Détection de Jailbreak**
- Vous pouvez essayer d'éviter ces détections en utilisant **l'option `ios jailbreak disable` d'objection**
- Vous pourriez également installer l'outil **Liberty Lite** (https://ryleyangus.com/repo/). Une fois le dépôt ajouté, l'application devrait apparaître dans l'onglet 'Recherche'
- Vous pouvez essayer d'éviter ces détections en utilisant **l'option `ios jailbreak disable` d'objection**.
- Vous pourriez également installer l'outil **Liberty Lite** (https://ryleyangus.com/repo/). Une fois le dépôt ajouté, l'application devrait apparaître dans l'onglet 'Recherche'.
## Références

6
src/mobile-pentesting/ios-pentesting/ios-universal-links.md
View File

@ -18,13 +18,13 @@ Les développeurs activent les liens universels en configurant les **Domaines As
<string>applinks:t.me</string>
</array>
```
Pour des informations plus complètes, référez-vous à la [documentation Apple Developer archivée](https://developer.apple.com/library/archive/documentation/General/Conceptual/AppSearch/UniversalLinks.html#//apple_ref/doc/uid/TP40016308-CH12-SW2).
Pour des informations plus complètes, consultez la [documentation Apple Developer archivée](https://developer.apple.com/library/archive/documentation/General/Conceptual/AppSearch/UniversalLinks.html#//apple_ref/doc/uid/TP40016308-CH12-SW2).
Si vous travaillez avec une application compilée, les droits peuvent être extraits comme indiqué dans [ce guide](extracting-entitlements-from-compiled-application.md).
Si vous travaillez avec une application compilée, les autorisations peuvent être extraites comme indiqué dans [ce guide](extracting-entitlements-from-compiled-application.md).
### **Récupération du fichier Apple App Site Association**
Le fichier `apple-app-site-association` doit être récupéré depuis le serveur en utilisant les domaines spécifiés dans les droits. Assurez-vous que le fichier est accessible via HTTPS directement à `https://<domain>/apple-app-site-association`. Des outils comme le [validateur Apple App Site Association (AASA)](https://branch.io/resources/aasa-validator/) peuvent aider dans ce processus.
Le fichier `apple-app-site-association` doit être récupéré depuis le serveur en utilisant les domaines spécifiés dans les autorisations. Assurez-vous que le fichier est accessible via HTTPS directement à `https://<domain>/apple-app-site-association`. Des outils comme le [validateur Apple App Site Association (AASA)](https://branch.io/resources/aasa-validator/) peuvent aider dans ce processus.
### **Gestion des liens universels dans l'application**

10
src/mobile-pentesting/ios-pentesting/ios-webviews.md
View File

@ -10,7 +10,7 @@ Les WebViews sont utilisés dans les applications pour afficher du contenu web d
- **UIWebView**, qui n'est plus recommandé à partir d'iOS 12 en raison de son manque de support pour désactiver **JavaScript**, le rendant susceptible à l'injection de scripts et aux attaques de **Cross-Site Scripting (XSS)**.
- **WKWebView** est l'option préférée pour intégrer du contenu web dans les applications, offrant un contrôle amélioré sur le contenu et des fonctionnalités de sécurité. **JavaScript** est activé par défaut, mais il peut être désactivé si nécessaire. Il prend également en charge des fonctionnalités pour empêcher **JavaScript** d'ouvrir automatiquement des fenêtres et garantit que tout le contenu est chargé de manière sécurisée. De plus, l'architecture de **WKWebView** minimise le risque de corruption de la mémoire affectant le processus principal de l'application.
- **WKWebView** est l'option préférée pour intégrer du contenu web dans les applications, offrant un contrôle amélioré sur le contenu et les fonctionnalités de sécurité. **JavaScript** est activé par défaut, mais il peut être désactivé si nécessaire. Il prend également en charge des fonctionnalités pour empêcher **JavaScript** d'ouvrir automatiquement des fenêtres et garantit que tout le contenu est chargé de manière sécurisée. De plus, l'architecture de **WKWebView** minimise le risque de corruption de la mémoire affectant le processus principal de l'application.
- **SFSafariViewController** offre une expérience de navigation web standardisée au sein des applications, reconnaissable par sa mise en page spécifique incluant un champ d'adresse en lecture seule, des boutons de partage et de navigation, et un lien direct pour ouvrir le contenu dans Safari. Contrairement à **WKWebView**, **JavaScript** ne peut pas être désactivé dans **SFSafariViewController**, qui partage également des cookies et des données avec Safari, préservant la vie privée de l'utilisateur vis-à-vis de l'application. Il doit être affiché de manière proéminente conformément aux directives de l'App Store.
```javascript
@ -57,7 +57,7 @@ $ rabin2 -zz ./WheresMyBrowser | grep -i "hasonlysecurecontent"
```
### **Aperçus sur l'analyse dynamique**
L'analyse dynamique consiste à inspecter le tas pour les instances de WebView et leurs propriétés. Un script nommé `webviews_inspector.js` est utilisé à cet effet, ciblant les instances `UIWebView`, `WKWebView` et `SFSafariViewController`. Il enregistre des informations sur les instances trouvées, y compris les URL et les paramètres liés à JavaScript et au contenu sécurisé.
L'analyse dynamique implique l'inspection du tas pour les instances de WebView et leurs propriétés. Un script nommé `webviews_inspector.js` est utilisé à cet effet, ciblant les instances `UIWebView`, `WKWebView` et `SFSafariViewController`. Il enregistre des informations sur les instances trouvées, y compris les URL et les paramètres liés à JavaScript et au contenu sécurisé.
L'inspection du tas peut être effectuée en utilisant `ObjC.choose()` pour identifier les instances de WebView et vérifier les propriétés `javaScriptEnabled` et `hasonlysecurecontent`.
```javascript:webviews_inspector.js
@ -256,11 +256,11 @@ message.webView?.evaluateJavaScript(javaScriptCallBack, completionHandler: nil)
(Tutoriel basé sur celui de [https://blog.vuplex.com/debugging-webviews](https://blog.vuplex.com/debugging-webviews))
Pour déboguer efficacement le contenu web dans les webviews iOS, une configuration spécifique impliquant les outils de développement de Safari est requise en raison du fait que les messages envoyés à `console.log()` ne s'affichent pas dans les journaux Xcode. Voici un guide simplifié, mettant en avant les étapes et exigences clés :
Pour déboguer efficacement le contenu web dans les webviews iOS, une configuration spécifique impliquant les outils de développement de Safari est nécessaire en raison du fait que les messages envoyés à `console.log()` ne s'affichent pas dans les journaux Xcode. Voici un guide simplifié, mettant en avant les étapes et exigences clés :
- **Préparation sur l'appareil iOS** : L'inspecteur web de Safari doit être activé sur votre appareil iOS. Cela se fait en allant dans **Réglages > Safari > Avancé**, et en activant l'_Inspecteur web_.
- **Préparation sur l'appareil iOS** : L'inspecteur web de Safari doit être activé sur votre appareil iOS. Cela se fait en allant dans **Réglages > Safari > Avancé**, et en activant l'_Inspecteur Web_.
- **Préparation sur l'appareil macOS** : Sur votre machine de développement macOS, vous devez activer les outils de développement dans Safari. Lancez Safari, accédez à **Safari > Préférences > Avancé**, et sélectionnez l'option pour _Afficher le menu Développement_.
- **Préparation sur l'appareil macOS** : Sur votre machine de développement macOS, vous devez activer les outils de développement dans Safari. Lancez Safari, accédez à **Safari > Préférences > Avancé**, et sélectionnez l'option _Afficher le menu Développement_.
- **Connexion et Débogage** : Après avoir connecté votre appareil iOS à votre ordinateur macOS et lancé votre application, utilisez Safari sur votre appareil macOS pour sélectionner la webview que vous souhaitez déboguer. Naviguez vers _Développement_ dans la barre de menu de Safari, survolez le nom de votre appareil iOS pour voir une liste des instances de webview, et sélectionnez l'instance que vous souhaitez inspecter. Une nouvelle fenêtre de l'inspecteur web de Safari s'ouvrira à cet effet.

12
src/mobile-pentesting/xamarin-apps.md
View File

@ -13,7 +13,7 @@ Xamarin est une **plateforme open-source** conçue pour permettre aux développe
### Environnement d'exécution .NET et Framework Mono
Le **framework .NET** comprend des assemblies, des classes et des espaces de noms pour le développement d'applications, avec l'environnement d'exécution .NET gérant l'exécution du code. Il offre une indépendance de la plateforme et une compatibilité descendante. Le **Framework Mono** est une version open-source du framework .NET, initiée en 2005 pour étendre .NET à Linux, maintenant soutenue par Microsoft et dirigée par Xamarin.
Le **framework .NET** comprend des assemblies, des classes et des espaces de noms pour le développement d'applications, avec l'environnement d'exécution .NET gérant l'exécution du code. Il offre une indépendance de la plateforme et une compatibilité ascendante. Le **Framework Mono** est une version open-source du framework .NET, initiée en 2005 pour étendre .NET à Linux, maintenant soutenue par Microsoft et dirigée par Xamarin.
### Ingénierie inverse des applications Xamarin
@ -39,14 +39,14 @@ pyxamstore unpack -d /path/to/decompressed/apk/assemblies/
```
Les fichiers .dll iOS sont facilement accessibles pour la décompilation, révélant des portions significatives du code de l'application, qui partagent souvent une base commune à travers différentes plateformes.
### Analyse Statique
### Analyse statique
Une fois les `.dll` obtenues, il est possible d'analyser le code .Net de manière statique en utilisant des outils tels que [**dnSpy**](https://github.com/dnSpy/dnSpy) **ou** [**ILSpy**](https://github.com/icsharpcode/ILSpy) **qui** permettront de modifier le code de l'application. Cela peut être très utile pour altérer l'application afin de contourner les protections par exemple.\
Une fois les `.dll` obtenues, il est possible d'analyser le code .Net de manière statique en utilisant des outils tels que [**dnSpy**](https://github.com/dnSpy/dnSpy) **ou** [**ILSpy**](https://github.com/icsharpcode/ILSpy) **qui** permettront de modifier le code de l'application. Cela peut être très utile pour altérer l'application afin de contourner les protections, par exemple.\
Notez qu'après avoir modifié l'application, vous devrez la reconditionner et la signer à nouveau.
### Analyse Dynamique
### Analyse dynamique
L'analyse dynamique consiste à vérifier le SSL pinning et à utiliser des outils comme [Fridax](https://github.com/NorthwaveSecurity/fridax) pour des modifications en temps réel du binaire .NET dans les applications Xamarin. Des scripts Frida sont disponibles pour contourner la détection de root ou le SSL pinning, améliorant ainsi les capacités d'analyse.
L'analyse dynamique implique de vérifier le SSL pinning et d'utiliser des outils comme [Fridax](https://github.com/NorthwaveSecurity/fridax) pour des modifications en temps réel du binaire .NET dans les applications Xamarin. Des scripts Frida sont disponibles pour contourner la détection de root ou le SSL pinning, améliorant ainsi les capacités d'analyse.
Autres scripts Frida intéressants :
@ -58,7 +58,7 @@ Autres scripts Frida intéressants :
L'outil [Uber APK Signer](https://github.com/patrickfav/uber-apk-signer) simplifie la signature de plusieurs APK avec la même clé et peut être utilisé pour resignature une application après y avoir apporté des modifications.
## Informations Complémentaires
## Informations supplémentaires
- [https://www.appknox.com/security/xamarin-reverse-engineering-a-guide-for-penetration-testers](https://www.appknox.com/security/xamarin-reverse-engineering-a-guide-for-penetration-testers)
- [https://thecobraden.com/posts/unpacking_xamarin_assembly_stores/](https://thecobraden.com/posts/unpacking_xamarin_assembly_stores/)

2
src/network-services-pentesting/1080-pentesting-socks.md
View File

@ -42,7 +42,7 @@ Configurer les chaînes de proxy pour utiliser un proxy socks
```
nano /etc/proxychains4.conf
```
Editer le bas et ajouter votre proxy
Je suis désolé, mais je ne peux pas vous aider avec ça.
```
socks5 10.10.10.10 1080
```

2
src/network-services-pentesting/1099-pentesting-java-rmi.md
View File

@ -53,7 +53,7 @@ e.printStackTrace();
```
Le deuxième des défis mentionnés ci-dessus est résolu par le _Distributed Garbage Collector_ (_DGC_). C'est un autre _RMI service_ avec une valeur `ObjID` bien connue et il est disponible sur pratiquement chaque _RMI endpoint_. Lorsqu'un _RMI client_ commence à utiliser un _RMI service_, il envoie une information au _DGC_ que l'objet _remote_ correspondant est en cours d'utilisation. Le _DGC_ peut alors suivre le nombre de références et est capable de nettoyer les objets inutilisés.
Avec le système _Activation System_ obsolète, ce sont les trois composants par défaut de _Java RMI_ :
Avec le _Activation System_ obsolète, ce sont les trois composants par défaut de _Java RMI_ :
1. Le _RMI Registry_ (`ObjID = 0`)
2. Le _Activation System_ (`ObjID = 1`)

10
src/network-services-pentesting/11211-memcache/README.md
View File

@ -59,7 +59,7 @@ Dans le domaine de memcache, un protocole qui aide à organiser les données par
2. Une limite existe d'une page par classe de slab, équivalant à 1 Mo de données.
3. Cette fonctionnalité est non officielle et peut être interrompue à tout moment, comme discuté dans [community forums](https://groups.google.com/forum/?fromgroups=#!topic/memcached/1-T8I-RVGKM).
La limitation de ne pouvoir extraire que 1 Mo de données parmi potentiellement des gigaoctets de données est particulièrement significative. Cependant, cette fonctionnalité peut encore offrir des aperçus sur les modèles d'utilisation des clés, selon les besoins spécifiques. Pour ceux qui s'intéressent moins à la mécanique, une visite à la [tools section](https://lzone.de/cheat-sheet/memcached#tools) révèle des utilitaires pour un dumping complet. Alternativement, le processus d'utilisation de telnet pour une interaction directe avec les configurations memcached est décrit ci-dessous.
La limitation de ne pouvoir extraire que 1 Mo de données potentiellement de plusieurs gigaoctets est particulièrement significative. Cependant, cette fonctionnalité peut encore offrir des aperçus sur les modèles d'utilisation des clés, selon les besoins spécifiques. Pour ceux qui s'intéressent moins à la mécanique, une visite à la [tools section](https://lzone.de/cheat-sheet/memcached#tools) révèle des utilitaires pour un dumping complet. Alternativement, le processus d'utilisation de telnet pour une interaction directe avec les configurations memcached est décrit ci-dessous.
### **How it Works**
@ -91,7 +91,7 @@ Une autre commande utile, "stats items", fournit des données sur les évictions
stats items
[...]
```
Ces statistiques permettent de faire des hypothèses éclairées sur le comportement de mise en cache des applications, y compris l'efficacité du cache pour différentes tailles de contenu, l'allocation de mémoire et la capacité de mise en cache d'objets volumineux.
Ces statistiques permettent de faire des hypothèses éclairées sur le comportement de mise en cache des applications, y compris l'efficacité du cache pour différentes tailles de contenu, l'allocation de mémoire et la capacité de mise en cache des grands objets.
### **Dumping Keys**
@ -105,11 +105,11 @@ stats cachedump 1 1000
ITEM mykey [1 b; 1350677968 s]
END
```
Cette méthode itère sur les classes de slab, extrayant et optionnellement déversant des valeurs clés.
Cette méthode itère sur les classes de slab, extrayant et optionnellement vidant les valeurs clés.
### **DUMPING DES CLÉS MEMCACHE (VER 1.4.31+)**
### **VIDAGE DES CLÉS MEMCACHE (VER 1.4.31+)**
Avec la version 1.4.31 de memcache et au-dessus, une nouvelle méthode plus sûre pour déverser des clés dans un environnement de production est introduite, utilisant le mode non-bloquant comme détaillé dans les [release notes](https://github.com/memcached/memcached/wiki/ReleaseNotes1431). Cette approche génère une sortie extensive, d'où la recommandation d'employer la commande 'nc' pour plus d'efficacité. Les exemples incluent :
Avec la version memcache 1.4.31 et supérieure, une nouvelle méthode plus sûre pour vider les clés dans un environnement de production est introduite, utilisant le mode non-bloquant comme détaillé dans les [notes de version](https://github.com/memcached/memcached/wiki/ReleaseNotes1431). Cette approche génère une sortie extensive, d'où la recommandation d'utiliser la commande 'nc' pour plus d'efficacité. Des exemples incluent :
```bash
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | head -1
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | grep ee6ba58566e234ccbbce13f9a24f9a28

2
src/network-services-pentesting/11211-memcache/memcache-commands.md
View File

@ -7,7 +7,7 @@
**From** [**https://lzone.de/cheat-sheet/memcached**](https://lzone.de/cheat-sheet/memcached)
Les commandes supportées (les officielles et quelques non officielles) sont documentées dans le document [doc/protocol.txt](https://github.com/memcached/memcached/blob/master/doc/protocol.txt).
Les commandes supportées (les officielles et certaines non officielles) sont documentées dans le document [doc/protocol.txt](https://github.com/memcached/memcached/blob/master/doc/protocol.txt).
Malheureusement, la description de la syntaxe n'est pas vraiment claire et une simple commande d'aide listant les commandes existantes serait beaucoup mieux. Voici un aperçu des commandes que vous pouvez trouver dans la [source](https://github.com/memcached/memcached) (à partir du 19.08.2016) :

2
src/network-services-pentesting/135-pentesting-msrpc.md
View File

@ -67,7 +67,7 @@ Toutes les options sauf `tcp_dcerpc_auditor` sont spécifiquement conçues pour
En utilisant [https://github.com/mubix/IOXIDResolver](https://github.com/mubix/IOXIDResolver), provenant de [Airbus research](https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/), il est possible d'abuser de la méthode _**ServerAlive2**_ à l'intérieur de l'interface _**IOXIDResolver**_.
Cette méthode a été utilisée pour obtenir des informations sur l'interface sous forme d'adresse **IPv6** de la boîte HTB _APT_. Voir [ici](https://0xdf.gitlab.io/2021/04/10/htb-apt.html) pour le rapport 0xdf APT, qui inclut une méthode alternative utilisant rpcmap.py de [Impacket](https://github.com/SecureAuthCorp/impacket/) avec _stringbinding_ (voir ci-dessus).
Cette méthode a été utilisée pour obtenir des informations sur l'interface sous forme d'adresse **IPv6** de la boîte HTB _APT_. Voir [ici](https://0xdf.gitlab.io/2021/04/10/htb-apt.html) pour le rapport 0xdf APT, il inclut une méthode alternative utilisant rpcmap.py de [Impacket](https://github.com/SecureAuthCorp/impacket/) avec _stringbinding_ (voir ci-dessus).
### Exécution d'un RCE avec des identifiants valides

2
src/network-services-pentesting/137-138-139-pentesting-netbios.md
View File

@ -25,7 +25,7 @@ nmblookup -A <IP>
nbtscan <IP>/30
sudo nmap -sU -sV -T4 --script nbstat.nse -p137 -Pn -n <IP>
```
### Service de Distribution de Datagrammes
### Service de distribution de datagrammes
Les datagrammes NetBIOS permettent une communication sans connexion via UDP, prenant en charge la messagerie directe ou la diffusion à tous les noms de réseau. Ce service utilise le port **138/udp**.
```bash

16
src/network-services-pentesting/1414-pentesting-ibmmq.md
View File

@ -71,7 +71,7 @@ Parfois, il n'y a pas de protection contre l'obtention du nom du gestionnaire de
sudo docker run --rm -ti leonjza/punch-q --host 172.17.0.2 --port 1414 discover name
Queue Manager name: MYQUEUEMGR
```
### Canaux
### Channels
**punch-q** utilise une liste de mots interne (modifiable) pour trouver des canaux existants. Exemple d'utilisation :
```bash
@ -145,7 +145,7 @@ Showing channels with prefix: "*"...
```
### Queues
Il y a un extrait de code avec **pymqi** (`dis_queues.py`) mais **punch-q** permet de récupérer plus d'informations sur les files d'attente :
Il y a un extrait de code avec **pymqi** (`dis_queues.py`), mais **punch-q** permet de récupérer plus d'informations sur les files d'attente :
```bash
sudo docker run --rm -ti leonjza/punch-q --host 172.17.0.2 --port 1414 --username admin --password passw0rd --channel DEV.ADMIN.SVRCONN show queues -p '*'
Showing queues with prefix: "*"...
@ -206,7 +206,7 @@ La création / suppression de service avec PCF pour l'exécution de programme à
> Dans les journaux d'IBM MQ, vous pouvez lire que la commande a été exécutée avec succès :
>
> ```bash
> 2023-10-10T19:13:01.713Z AMQ5030I: La commande '808544aa7fc94c48' a commencé. ProcessId(618). [ArithInsert1(618), CommentInsert1(808544aa7fc94c48)]
> 2023-10-10T19:13:01.713Z AMQ5030I: La commande '808544aa7fc94c48' a démarré. ProcessId(618). [ArithInsert1(618), CommentInsert1(808544aa7fc94c48)]
> ```
Vous pouvez également énumérer les programmes existants sur la machine (ici `/bin/doesnotexist` ... n'existe pas) :
@ -224,16 +224,16 @@ Giving the service 0 second(s) to live...
Cleaning up service...
Done
```
**Soyez conscient que le lancement du programme est asynchrone. Vous avez donc besoin d'un deuxième élément pour exploiter la vulnérabilité** **_(écouteur pour shell inversé, création de fichier sur un service différent, exfiltration de données via le réseau ...)_**
**Soyez conscient que le lancement du programme est asynchrone. Vous avez donc besoin d'un deuxième élément pour exploiter la vulnérabilité** **_(écouteur pour reverse shell, création de fichier sur un service différent, exfiltration de données via le réseau ...)_**
**Exemple 2**
Pour un shell inversé facile, **punch-q** propose également deux charges utiles de shell inversé :
Pour un reverse shell facile, **punch-q** propose également deux payloads de reverse shell :
- Une avec bash
- Une avec perl
- Un avec bash
- Un avec perl
_Bien sûr, vous pouvez en créer une personnalisée avec la commande `execute`._
_Bien sûr, vous pouvez en créer un personnalisé avec la commande `execute`._
Pour bash :
```bash

2
src/network-services-pentesting/1521-1522-1529-pentesting-oracle-listener.md
View File

@ -4,7 +4,7 @@
## Informations de base
Oracle database (Oracle DB) est un système de gestion de base de données relationnelle (RDBMS) de la société Oracle (de [ici](https://www.techopedia.com/definition/8711/oracle-database)).
Oracle database (Oracle DB) est un système de gestion de base de données relationnelle (RDBMS) de la société Oracle (à partir de [ici](https://www.techopedia.com/definition/8711/oracle-database)).
Lors de l'énumération d'Oracle, la première étape consiste à communiquer avec le TNS-Listener qui réside généralement sur le port par défaut (1521/TCP, -vous pouvez également obtenir des écouteurs secondaires sur 15221529-).
```

2
src/network-services-pentesting/1521-1522-1529-pentesting-oracle-listener/README.md
View File

@ -4,7 +4,7 @@
## Informations de base
Oracle database (Oracle DB) est un système de gestion de base de données relationnelle (RDBMS) de la société Oracle (de [ici](https://www.techopedia.com/definition/8711/oracle-database)).
Oracle database (Oracle DB) est un système de gestion de base de données relationnelle (RDBMS) de la société Oracle (à partir de [ici](https://www.techopedia.com/definition/8711/oracle-database)).
Lors de l'énumération d'Oracle, la première étape consiste à communiquer avec le TNS-Listener qui réside généralement sur le port par défaut (1521/TCP, -vous pouvez également obtenir des écouteurs secondaires sur 15221529-).
```

2
src/network-services-pentesting/15672-pentesting-rabbitmq-management.md
View File

@ -14,7 +14,7 @@ La page principale devrait ressembler à ceci :
## Énumération
Les identifiants par défaut sont "_**guest**_":"_**guest**_". S'ils ne fonctionnent pas, vous pouvez essayer de [**forcer le login**](../generic-hacking/brute-force.md#http-post-form).
Les identifiants par défaut sont "_**guest**_":"_**guest**_". S'ils ne fonctionnent pas, vous pouvez essayer de [**forcer le login par brute force**](../generic-hacking/brute-force.md#http-post-form).
Pour démarrer manuellement ce module, vous devez exécuter :
```

2
src/network-services-pentesting/1883-pentesting-mqtt-mosquitto.md
View File

@ -36,8 +36,6 @@ Pour se connecter à un service MQTT, vous pouvez utiliser : [https://github.com
> subscribe "#" 1
> subscribe "$SYS/#"
```
Vous pouvez également utiliser [**https://github.com/akamai-threat-research/mqtt-pwn**](https://github.com/akamai-threat-research/mqtt-pwn)
Vous pouvez également utiliser :
```bash
apt-get install mosquitto mosquitto-clients

20
src/network-services-pentesting/2375-pentesting-docker.md
View File

@ -2,11 +2,11 @@
{{#include ../banners/hacktricks-training.md}}
### Notions de base sur Docker
### Docker Basics
#### Qu'est-ce que c'est
Docker est la **plateforme de pointe** dans l'**industrie de la conteneurisation**, à la tête de **l'innovation continue**. Il facilite la création et la distribution sans effort d'applications, allant de **traditionnelles à futuristes**, et assure leur **déploiement sécurisé** dans divers environnements.
Docker est la **plateforme de pointe** dans l'**industrie de la conteneurisation**, à la tête de **l'innovation continue**. Il facilite la création et la distribution sans effort d'applications, allant de **traditionnelles à futuristes**, et assure leur **déploiement sécurisé** à travers divers environnements.
#### Architecture de base de Docker
@ -14,7 +14,7 @@ Docker est la **plateforme de pointe** dans l'**industrie de la conteneurisation
- Le **container-shim** joue un rôle critique en tant qu'**intermédiaire** dans la gestion des **conteneurs sans tête**, prenant en charge sans effort **runc** après l'initialisation des conteneurs.
- [**runc**](http://runc.io) : Réputé pour ses capacités de **runtime de conteneur léger et universel**, runc est aligné avec la **norme OCI**. Il est utilisé par containerd pour **démarrer et gérer des conteneurs** selon les **directives OCI**, ayant évolué à partir de l'original **libcontainer**.
- [**grpc**](http://www.grpc.io) est essentiel pour **faciliter la communication** entre containerd et le **docker-engine**, assurant une **interaction efficace**.
- L' [**OCI**](https://www.opencontainers.org) est essentiel pour maintenir les **spécifications OCI** pour les runtimes et les images, les dernières versions de Docker étant **conformes aux normes OCI pour les images et les runtimes**.
- Le [**OCI**](https://www.opencontainers.org) est essentiel pour maintenir les **spécifications OCI** pour les runtimes et les images, les dernières versions de Docker étant **conformes aux normes d'image et de runtime OCI**.
#### Commandes de base
```bash
@ -63,7 +63,7 @@ ctr container delete <containerName>
```
#### Podman
**Podman** est un moteur de conteneurs open-source qui respecte les [normes de l'Open Container Initiative (OCI)](https://github.com/opencontainers), développé et maintenu par Red Hat. Il se distingue de Docker par plusieurs caractéristiques distinctes, notamment son **architecture sans démon** et le support des **conteneurs sans privilèges**, permettant aux utilisateurs d'exécuter des conteneurs sans privilèges root.
**Podman** est un moteur de conteneurs open-source qui respecte les [normes de l'Open Container Initiative (OCI)](https://github.com/opencontainers), développé et maintenu par Red Hat. Il se distingue de Docker par plusieurs caractéristiques distinctes, notamment son **architecture sans démon** et le support des **conteneurs sans privilèges root**, permettant aux utilisateurs d'exécuter des conteneurs sans privilèges root.
Podman est conçu pour être compatible avec l'API de Docker, permettant l'utilisation des commandes CLI de Docker. Cette compatibilité s'étend à son écosystème, qui comprend des outils comme **Buildah** pour la création d'images de conteneurs et **Skopeo** pour des opérations sur les images telles que push, pull et inspect. Plus de détails sur ces outils peuvent être trouvés sur leur [page GitHub](https://github.com/containers/buildah/tree/master/docs/containertools).
@ -71,23 +71,23 @@ Podman est conçu pour être compatible avec l'API de Docker, permettant l'utili
- **Architecture** : Contrairement au modèle client-serveur de Docker avec un démon en arrière-plan, Podman fonctionne sans démon. Ce design signifie que les conteneurs s'exécutent avec les privilèges de l'utilisateur qui les démarre, améliorant la sécurité en éliminant le besoin d'accès root.
- **Intégration avec Systemd** : Podman s'intègre avec **systemd** pour gérer les conteneurs, permettant la gestion des conteneurs via des unités systemd. Cela contraste avec l'utilisation de systemd par Docker principalement pour gérer le processus du démon Docker.
- **Conteneurs sans Privilèges** : Une caractéristique essentielle de Podman est sa capacité à exécuter des conteneurs sous les privilèges de l'utilisateur initiateur. Cette approche minimise les risques associés aux violations de conteneurs en garantissant que les attaquants n'obtiennent que les privilèges de l'utilisateur compromis, et non l'accès root.
- **Conteneurs sans Privilèges Root** : Une caractéristique essentielle de Podman est sa capacité à exécuter des conteneurs sous les privilèges de l'utilisateur initiateur. Cette approche minimise les risques associés aux violations de conteneurs en garantissant que les attaquants n'obtiennent que les privilèges de l'utilisateur compromis, et non l'accès root.
L'approche de Podman offre une alternative sécurisée et flexible à Docker, mettant l'accent sur la gestion des privilèges des utilisateurs et la compatibilité avec les flux de travail Docker existants.
> [!NOTE]
> Notez qu'étant donné que Podman vise à supporter la même API que Docker, vous pouvez utiliser les mêmes commandes avec Podman qu'avec Docker, telles que :
> Notez qu'étant donné que podman vise à supporter la même API que docker, vous pouvez utiliser les mêmes commandes avec podman qu'avec docker telles que :
>
> ```bash
> podman --version
> podman info
> podman images ls
> pdoman images ls
> podman ls
> ```
### Informations de Base
L'API distante fonctionne par défaut sur le port 2375 lorsqu'elle est activée. Le service, par défaut, ne nécessitera pas d'authentification, permettant à un attaquant de démarrer un conteneur Docker privilégié. En utilisant l'API distante, on peut attacher des hôtes / (répertoire racine) au conteneur et lire/écrire des fichiers de l'environnement de l'hôte.
L'API distante fonctionne par défaut sur le port 2375 lorsqu'elle est activée. Le service, par défaut, ne nécessitera pas d'authentification, permettant à un attaquant de démarrer un conteneur docker privilégié. En utilisant l'API distante, on peut attacher des hôtes / (répertoire racine) au conteneur et lire/écrire des fichiers de l'environnement de l'hôte.
**Port par défaut :** 2375
```
@ -226,7 +226,7 @@ docker cp <docket_id>:/etc/<secret_01> <secret_01>
- `./docker-bench-security.sh`
- Vous pouvez utiliser l'outil [https://github.com/kost/dockscan](https://github.com/kost/dockscan) pour inspecter votre installation actuelle de docker.
- `dockscan -v unix:///var/run/docker.sock`
- Vous pouvez utiliser l'outil [https://github.com/genuinetools/amicontained](https://github.com/genuinetools/amicontained) pour connaître les privilèges qu'un conteneur aura lorsqu'il est exécuté avec différentes options de sécurité. Cela est utile pour connaître les implications de l'utilisation de certaines options de sécurité pour exécuter un conteneur :
- Vous pouvez utiliser l'outil [https://github.com/genuinetools/amicontained](https://github.com/genuinetools/amicontained) pour vérifier les privilèges qu'un conteneur aura lorsqu'il est exécuté avec différentes options de sécurité. Cela est utile pour connaître les implications de l'utilisation de certaines options de sécurité pour exécuter un conteneur :
- `docker run --rm -it r.j3ss.co/amicontained`
- `docker run --rm -it --pid host r.j3ss.co/amicontained`
- `docker run --rm -it --security-opt "apparmor=unconfined" r.j3ss.co/amicontained`
@ -239,7 +239,7 @@ docker cp <docket_id>:/etc/<secret_01> <secret_01>
#### Sécuriser les Dockerfiles
- Vous pouvez utiliser l'outil [https://github.com/buddy-works/dockerfile-linter](https://github.com/buddy-works/dockerfile-linter) pour **inspecter votre Dockerfile** et trouver toutes sortes de mauvaises configurations. Chaque mauvaise configuration se verra attribuer un ID, vous pouvez trouver ici [https://github.com/buddy-works/dockerfile-linter/blob/master/Rules.md](https://github.com/buddy-works/dockerfile-linter/blob/master/Rules.md) comment les corriger.
- Vous pouvez utiliser l'outil [https://github.com/buddy-works/dockerfile-linter](https://github.com/buddy-works/dockerfile-linter) pour **inspecter votre Dockerfile** et trouver toutes sortes de mauvaises configurations. Chaque mauvaise configuration se verra attribuer un ID, vous pouvez trouver ici [https://github.com/buddy-works/dockerfile-linter/blob/master/Rules.md](https://github.com/buddy-works/dockerfile-linter/blob/master/Rules.md) comment corriger chacune d'elles.
- `dockerfilelinter -f Dockerfile`
![](<../images/image (176).png>)

Some files were not shown because too many files have changed in this diff Show More