macOS Thread Injection via Task port

支持 HackTricks

代码

1. 线程劫持

最初,task_threads() 函数在任务端口上被调用,以从远程任务获取线程列表。选择一个线程进行劫持。这种方法与传统的代码注入方法不同,因为由于新的缓解措施阻止了 thread_create_running(),创建新的远程线程是被禁止的。

为了控制线程,调用 thread_suspend(),暂停其执行。

在远程线程上允许的唯一操作是 停止启动 它,检索修改 其寄存器值。通过将寄存器 x0x7 设置为 参数,配置 pc 以指向所需函数,并激活线程,来发起远程函数调用。确保线程在返回后不崩溃需要检测返回。

一种策略是使用 thread_set_exception_ports() 为远程线程 注册异常处理程序,在函数调用之前将 lr 寄存器设置为无效地址。这会在函数执行后触发异常,向异常端口发送消息,使得可以检查线程的状态以恢复返回值。或者,采用 Ian Beer 的 triple_fetch 漏洞,将 lr 设置为无限循环。然后持续监控线程的寄存器,直到 pc 指向该指令

2. 用于通信的 Mach 端口

接下来的阶段涉及建立 Mach 端口,以便与远程线程进行通信。这些端口在任务之间传输任意的发送和接收权限中起着重要作用。

为了实现双向通信,创建两个 Mach 接收权限:一个在本地任务中,另一个在远程任务中。随后,将每个端口的发送权限转移到对应的任务,从而实现消息交换。

关注本地端口,接收权限由本地任务持有。该端口通过 mach_port_allocate() 创建。挑战在于将此端口的发送权限转移到远程任务中。

一种策略是利用 thread_set_special_port() 将本地端口的发送权限放置在远程线程的 THREAD_KERNEL_PORT 中。然后,指示远程线程调用 mach_thread_self() 以检索发送权限。

对于远程端口,过程基本上是反向的。指示远程线程通过 mach_reply_port() 生成一个 Mach 端口(因为 mach_port_allocate() 不适合由于其返回机制)。在端口创建后,在远程线程中调用 mach_port_insert_right() 来建立发送权限。然后使用 thread_set_special_port() 将该权限存储在内核中。在本地任务中,使用 thread_get_special_port() 在远程线程上获取对新分配的 Mach 端口的发送权限。

完成这些步骤后,建立了 Mach 端口,为双向通信奠定了基础。

3. 基本内存读/写原语

在本节中,重点是利用执行原语建立基本的内存读写原语。这些初步步骤对于获得对远程进程的更多控制至关重要,尽管此阶段的原语不会发挥太大作用。很快,它们将升级为更高级的版本。

使用执行原语进行内存读取和写入

目标是使用特定函数执行内存读取和写入。用于读取内存的函数类似于以下结构:

uint64_t read_func(uint64_t *address) {
return *address;
}

并且用于写入内存的函数类似于这个结构:

void write_func(uint64_t *address, uint64_t value) {
*address = value;
}

这些函数对应于给定的汇编指令:

_read_func:
ldr x0, [x0]
ret
_write_func:
str x1, [x0]
ret

识别合适的函数

对常见库的扫描揭示了这些操作的合适候选者:

  1. 读取内存: property_getName() 函数来自 Objective-C 运行时库,被识别为读取内存的合适函数。该函数如下所述:

const char *property_getName(objc_property_t prop) {
return prop->name;
}

这个函数有效地充当了 read_func 的角色,通过返回 objc_property_t 的第一个字段。

  1. 写入内存: 找到一个预构建的写入内存的函数更具挑战性。然而,来自 libxpc 的 _xpc_int64_set_value() 函数是一个合适的候选者,具有以下反汇编:

__xpc_int64_set_value:
str x1, [x0, #0x18]
ret

要在特定地址执行64位写入,远程调用的结构为:

_xpc_int64_set_value(address - 0x18, value)

随着这些原语的建立,创建共享内存的阶段已经设定,这标志着对远程进程控制的重大进展。

4. 共享内存设置

目标是在本地和远程任务之间建立共享内存,简化数据传输并促进带有多个参数的函数调用。该方法涉及利用 libxpc 及其基于 Mach 内存条目的 OS_xpc_shmem 对象类型。

过程概述:

  1. 内存分配

  • 使用 mach_vm_allocate() 分配共享内存。

  • 使用 xpc_shmem_create() 为分配的内存区域创建 OS_xpc_shmem 对象。此函数将管理 Mach 内存条目的创建,并在 OS_xpc_shmem 对象的偏移量 0x18 存储 Mach 发送权限。

  1. 在远程进程中创建共享内存

  • 通过对 malloc() 的远程调用,在远程进程中为 OS_xpc_shmem 对象分配内存。

  • 将本地 OS_xpc_shmem 对象的内容复制到远程进程。然而,这个初始复制在偏移量 0x18 处将具有不正确的 Mach 内存条目名称。

  1. 修正 Mach 内存条目

  • 利用 thread_set_special_port() 方法将 Mach 内存条目的发送权限插入到远程任务中。

  • 通过用远程内存条目的名称覆盖偏移量 0x18 处的 Mach 内存条目字段来修正它。

  1. 完成共享内存设置

  • 验证远程 OS_xpc_shmem 对象。

  • 通过对 xpc_shmem_remote() 的远程调用建立共享内存映射。

通过遵循这些步骤,本地和远程任务之间的共享内存将有效设置,允许简单的数据传输和执行需要多个参数的函数。

其他代码片段

用于内存分配和共享内存对象创建:

mach_vm_allocate();
xpc_shmem_create();

为了在远程进程中创建和修正共享内存对象:

malloc(); // for allocating memory remotely
thread_set_special_port(); // for inserting send right

记得正确处理Mach端口和内存条目名称的细节,以确保共享内存设置正常工作。

5. 实现完全控制

在成功建立共享内存并获得任意执行能力后,我们基本上获得了对目标进程的完全控制。实现这种控制的关键功能包括:

  1. 任意内存操作

  • 通过调用memcpy()从共享区域复制数据,执行任意内存读取。

  • 通过使用memcpy()将数据传输到共享区域,执行任意内存写入。

  1. 处理多个参数的函数调用

  • 对于需要超过8个参数的函数,按照调用约定将额外参数安排在栈上。

  1. Mach端口传输

  • 通过先前建立的端口,通过Mach消息在任务之间传输Mach端口。

  1. 文件描述符传输

  • 使用fileports在进程之间传输文件描述符,这一技术由Ian Beer在triple_fetch中强调。

这种全面控制被封装在threadexec库中,提供了详细的实现和用户友好的API,以便与受害进程进行交互。

重要考虑事项:

  • 确保正确使用memcpy()进行内存读/写操作,以维护系统稳定性和数据完整性。

  • 在传输Mach端口或文件描述符时,遵循适当的协议并负责任地处理资源,以防止泄漏或意外访问。

通过遵循这些指南并利用threadexec库,可以有效地管理和与进程进行细粒度交互,实现对目标进程的完全控制。

参考文献

Support HackTricks

Last updated