macOS .Net Applications Injection
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Αυτή είναι μια περίληψη της ανάρτησης https://blog.xpnsec.com/macos-injection-via-third-party-frameworks/. Ελέγξτε την για περισσότερες λεπτομέρειες!
Η διαχείριση της επικοινωνίας μεταξύ του debugger και του debuggee στο .NET γίνεται μέσω του dbgtransportsession.cpp. Αυτό το συστατικό ρυθμίζει δύο ονομαστικούς σωλήνες ανά διαδικασία .NET όπως φαίνεται στο dbgtransportsession.cpp#L127, οι οποίοι ξεκινούν μέσω του twowaypipe.cpp#L27. Αυτοί οι σωλήνες έχουν το επίθημα -in
και -out
.
Επισκεπτόμενος το $TMPDIR
του χρήστη, μπορεί κανείς να βρει διαθέσιμους FIFOs για debugging εφαρμογών .Net.
DbgTransportSession::TransportWorker είναι υπεύθυνος για τη διαχείριση της επικοινωνίας από έναν debugger. Για να ξεκινήσει μια νέα συνεδρία debugging, ένας debugger πρέπει να στείλει ένα μήνυμα μέσω του σωλήνα out
που ξεκινά με μια δομή MessageHeader
, λεπτομερώς στο πηγαίο κώδικα του .NET:
Για να ζητήσετε μια νέα συνεδρία, αυτή η δομή συμπληρώνεται ως εξής, ορίζοντας τον τύπο μηνύματος σε MT_SessionRequest
και την έκδοση πρωτοκόλλου στην τρέχουσα έκδοση:
Αυτή η κεφαλίδα αποστέλλεται στη συνέχεια στον στόχο χρησιμοποιώντας την κλήση συστήματος write
, ακολουθούμενη από τη δομή sessionRequestData
που περιέχει ένα GUID για τη συνεδρία:
Μια λειτουργία ανάγνωσης στον σωλήνα out
επιβεβαιώνει την επιτυχία ή την αποτυχία της εγκατάστασης της συνεδρίας αποσφαλμάτωσης:
Μόλις καθοριστεί μια συνεδρία αποσφαλμάτωσης, η μνήμη μπορεί να διαβαστεί χρησιμοποιώντας τον τύπο μηνύματος MT_ReadMemory
. Η συνάρτηση readMemory περιγράφεται λεπτομερώς, εκτελώντας τα απαραίτητα βήματα για να στείλει ένα αίτημα ανάγνωσης και να ανακτήσει την απάντηση:
The complete proof of concept (POC) is available here.
Ομοίως, η μνήμη μπορεί να γραφτεί χρησιμοποιώντας τη συνάρτηση writeMemory
. Η διαδικασία περιλαμβάνει την ρύθμιση του τύπου μηνύματος σε MT_WriteMemory
, καθορίζοντας τη διεύθυνση και το μήκος των δεδομένων, και στη συνέχεια στέλνοντας τα δεδομένα:
Η σχετική POC είναι διαθέσιμη εδώ.
Για να εκτελέσετε κώδικα, πρέπει να εντοπίσετε μια περιοχή μνήμης με άδειες rwx, κάτι που μπορεί να γίνει χρησιμοποιώντας vmmap -pages:
Είναι απαραίτητο να εντοπιστεί μια τοποθεσία για να αντικατασταθεί ένας δείκτης συνάρτησης και στο .NET Core, αυτό μπορεί να γίνει στοχεύοντας τον Dynamic Function Table (DFT). Αυτός ο πίνακας, που περιγράφεται στο jithelpers.h
, χρησιμοποιείται από το runtime για τις βοηθητικές συναρτήσεις JIT compilation.
Για συστήματα x64, η αναζήτηση υπογραφών μπορεί να χρησιμοποιηθεί για να βρεθεί μια αναφορά στο σύμβολο _hlpDynamicFuncTable
στο libcorclr.dll
.
Η συνάρτηση debugger MT_GetDCB
παρέχει χρήσιμες πληροφορίες, συμπεριλαμβανομένης της διεύθυνσης μιας βοηθητικής συνάρτησης, m_helperRemoteStartAddr
, που υποδεικνύει την τοποθεσία του libcorclr.dll
στη μνήμη της διαδικασίας. Αυτή η διεύθυνση χρησιμοποιείται στη συνέχεια για να ξεκινήσει μια αναζήτηση για τον DFT και να αντικατασταθεί ένας δείκτης συνάρτησης με τη διεύθυνση του shellcode.
Ο πλήρης κωδικός POC για την ένεση στο PowerShell είναι προσβάσιμος εδώ.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)