macOS Dirty NIB

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

For further detail about the technique check the original post from: https://blog.xpnsec.com/dirtynib/ and the following post by https://sector7.computest.nl/post/2024-04-bringing-process-injection-into-view-exploiting-all-macos-apps-using-nib-files/. Here is a summary:

NIBファイルとは

Nib（NeXT Interface Builderの略）ファイルは、Appleの開発エコシステムの一部であり、アプリケーション内のUI要素とその相互作用を定義するために使用されます。これらはウィンドウやボタンなどのシリアライズされたオブジェクトを含み、ランタイムで読み込まれます。現在も使用されていますが、Appleはより包括的なUIフローの視覚化のためにStoryboardを推奨しています。

主要なNibファイルは、アプリケーションのInfo.plistファイル内の**NSMainNibFileの値で参照され、アプリケーションのmain関数で実行されるNSApplicationMain**関数によって読み込まれます。

ダーティNibインジェクションプロセス

NIBファイルの作成と設定

初期設定:

XCodeを使用して新しいNIBファイルを作成します。
インターフェースにオブジェクトを追加し、そのクラスをNSAppleScriptに設定します。
ユーザー定義のランタイム属性を介して初期のsourceプロパティを設定します。

コード実行ガジェット:

この設定により、必要に応じてAppleScriptを実行できます。
Apple Scriptオブジェクトをアクティブにするボタンを統合し、特にexecuteAndReturnError:セレクタをトリガーします。

テスト:

テスト用のシンプルなApple Script:

set theDialogText to "PWND"
display dialog theDialogText

XCodeデバッガーで実行し、ボタンをクリックしてテストします。

アプリケーションのターゲット（例：Pages）

準備:

ターゲットアプリ（例：Pages）を別のディレクトリ（例：/tmp/）にコピーします。
Gatekeeperの問題を回避し、アプリをキャッシュするためにアプリを起動します。

NIBファイルの上書き:

既存のNIBファイル（例：About Panel NIB）を作成したDirtyNIBファイルで置き換えます。

実行:

アプリと対話して実行をトリガーします（例：Aboutメニュー項目を選択）。

概念実証：ユーザーデータへのアクセス

ユーザーの同意なしに、AppleScriptを修正して写真などのユーザーデータにアクセスし、抽出します。

コードサンプル：悪意のある.xibファイル

任意のコードを実行することを示す悪意のある.xibファイルのサンプルにアクセスして確認します。

その他の例

投稿https://sector7.computest.nl/post/2024-04-bringing-process-injection-into-view-exploiting-all-macos-apps-using-nib-files/では、ダーティNibの作成方法に関するチュートリアルを見つけることができます。

起動制約への対処

起動制約は、予期しない場所（例：/tmp）からのアプリの実行を妨げます。
起動制約によって保護されていないアプリを特定し、NIBファイルインジェクションのターゲットにすることが可能です。

追加のmacOS保護

macOS Sonoma以降、アプリバンドル内の変更が制限されています。ただし、以前の方法は次のように行われました：

アプリを別の場所（例：/tmp/）にコピーします。
初期の保護を回避するために、アプリバンドル内のディレクトリの名前を変更します。
Gatekeeperに登録するためにアプリを実行した後、アプリバンドルを変更します（例：MainMenu.nibをDirty.nibに置き換えます）。
ディレクトリの名前を元に戻し、アプリを再実行してインジェクトされたNIBファイルを実行します。

注意: 最近のmacOSのアップデートにより、Gatekeeperキャッシュ後にアプリバンドル内のファイル変更が防止され、この脆弱性は無効化されました。

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousmacOS Process Abuse NextmacOS Chromium Injection

Last updated 1 day ago