macOS Apps - Inspecting, debugging and Fuzzing
Last updated
Last updated
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Možete preuzeti disarm отсуда.
Možete preuzeti jtool2 ovde ili ga instalirati pomoću brew
.
jtool je zastareo u korist disarm
Codesign
se može naći u macOS, dok se ldid
može naći u iOS
SuspiciousPackage је алат користан за инспекцију .pkg фајлова (инсталатера) и за преглед онога што се налази унутра пре инсталирања.
Ови инсталатери имају preinstall
и postinstall
bash скрипте које аутори малвера обично злоупотребљавају да постигну упорност малвера.
Овај алат омогућава монтирање Apple слика дискова (.dmg) да би их инспектовали пре него што покренете било шта:
It will be mounted in /Volumes
Proverite visoku entropiju
Proverite stringove (ako gotovo da nema razumljivih stringova, pakovano)
UPX pakera za MacOS generiše sekciju pod nazivom "__XHDR"
Napomena da programi napisani u Objective-C zadržavaju svoje deklaracije klasa kada se kompajliraju u Mach-O binarne datoteke. Takve deklaracije klasa uključuju ime i tip:
Definisani interfejsi
Metode interfejsa
Instance varijable interfejsa
Definisani protokoli
Napomena da ova imena mogu biti obfuskovana kako bi se otežalo obrnuto inženjerstvo binarne datoteke.
Kada se funkcija poziva u binarnoj datoteci koja koristi Objective-C, kompajlirani kod umesto pozivanja te funkcije, poziva objc_msgSend
. Koji će pozvati konačnu funkciju:
Parametri koje ova funkcija očekuje su:
Prvi parametar (self) je "pokazivač koji pokazuje na instancu klase koja treba da primi poruku". Ili jednostavnije rečeno, to je objekat na kojem se metoda poziva. Ako je metoda metoda klase, ovo će biti instanca objekta klase (kao celina), dok će za metodu instance, self pokazivati na instanciranu instancu klase kao objekat.
Drugi parametar, (op), je "selektor metode koja obrađuje poruku". Ponovo, jednostavnije rečeno, ovo je samo ime metode.
Preostali parametri su bilo koje vrednosti koje su potrebne metodi (op).
Pogledajte kako da dobijete ove informacije lako sa lldb
u ARM64 na ovoj stranici:
x64:
Argument
Register
(za) objc_msgSend
1st argument
rdi
self: objekat na kojem se metoda poziva
2nd argument
rsi
op: ime metode
3rd argument
rdx
1st argument to the method
4th argument
rcx
2nd argument to the method
5th argument
r8
3rd argument to the method
6th argument
r9
4th argument to the method
7th+ argument
rsp+ (na steku)
5th+ argument to the method
Dynadump je alat za class-dump Objective-C binarnih datoteka. Github specificira dylibs, ali ovo takođe funkcioniše sa izvršnim datotekama.
U vreme pisanja, ovo je trenutno ono što najbolje funkcioniše.
class-dump je originalni alat koji generiše deklaracije za klase, kategorije i protokole u kodu formatiranom u ObjetiveC.
Stari je i nije održavan, tako da verovatno neće raditi ispravno.
iCDump je moderan i multiplatformski Objective-C dump. U poređenju sa postojećim alatima, iCDump može da radi nezavisno od Apple ekosistema i izlaže Python vezivanja.
Sa Swift binarnim datotekama, pošto postoji kompatibilnost sa Objective-C, ponekad možete izvući deklaracije koristeći class-dump ali ne uvek.
Sa jtool -l
ili otool -l
komandama moguće je pronaći nekoliko sekcija koje počinju sa __swift5
prefiksom:
Možete pronaći dodatne informacije o informacijama koje se čuvaju u ovoj sekciji u ovom blog postu.
Pored toga, Swift binarni fajlovi mogu imati simbole (na primer, biblioteke treba da čuvaju simbole kako bi se njihove funkcije mogle pozivati). Simboli obično imaju informacije o imenu funkcije i atributima na ružan način, tako da su veoma korisni i postoje "demangleri" koji mogu dobiti originalno ime:
Napomena da je za debagovanje binarnih datoteka, SIP potrebno onemogućiti (csrutil disable
ili csrutil enable --without debug
) ili kopirati binarne datoteke u privremenu fasciklu i ukloniti potpis sa codesign --remove-signature <binary-path>
ili omogućiti debagovanje binarne datoteke (možete koristiti ovaj skript)
Napomena da je za instrumentaciju sistemskih binarnih datoteka, (kao što je cloudconfigurationd
) na macOS-u, SIP potrebno onemogućiti (samo uklanjanje potpisa neće raditi).
macOS izlaže neke zanimljive API-je koji daju informacije o procesima:
proc_info
: Ovo je glavni API koji daje mnogo informacija o svakom procesu. Potrebno je biti root da biste dobili informacije o drugim procesima, ali vam nisu potrebna posebna ovlašćenja ili mach portovi.
libsysmon.dylib
: Omogućava dobijanje informacija o procesima putem XPC izloženih funkcija, međutim, potrebno je imati ovlašćenje com.apple.sysmond.client
.
Stackshotting je tehnika koja se koristi za hvatanje stanja procesa, uključujući pozivne stekove svih aktivnih niti. Ovo je posebno korisno za debagovanje, analizu performansi i razumevanje ponašanja sistema u određenom trenutku. Na iOS-u i macOS-u, stackshotting se može izvesti korišćenjem nekoliko alata i metoda kao što su alati sample
i spindump
.
Ovaj alat (/usr/bini/ysdiagnose
) u suštini prikuplja mnogo informacija sa vašeg računara izvršavajući desetine različitih komandi kao što su ps
, zprint
...
Mora se pokrenuti kao root i demon /usr/libexec/sysdiagnosed
ima veoma zanimljiva ovlašćenja kao što su com.apple.system-task-ports
i get-task-allow
.
Njegov plist se nalazi u /System/Library/LaunchDaemons/com.apple.sysdiagnose.plist
koji deklarira 3 MachServices:
com.apple.sysdiagnose.CacheDelete
: Briše stare arhive u /var/rmp
com.apple.sysdiagnose.kernel.ipc
: Poseban port 23 (kernel)
com.apple.sysdiagnose.service.xpc
: Interfejs korisničkog moda kroz Libsysdiagnose
Obj-C klasu. Tri argumenta u rečniku mogu biti prosleđena (compress
, display
, run
)
MacOS generiše mnogo logova koji mogu biti veoma korisni kada se pokreće aplikacija koja pokušava da razume šta radi.
Štaviše, postoje neki logovi koji će sadržati oznaku <private>
da sakriju neke korisničke ili računarske identifikacione informacije. Međutim, moguće je instalirati sertifikat da bi se otkrile ove informacije. Pratite objašnjenja ovde.
Na levoj panelu Hoper-a moguće je videti simbole (Labels) binarne datoteke, listu procedura i funkcija (Proc) i stringove (Str). To nisu svi stringovi, već oni definisani u nekoliko delova Mac-O datoteke (kao što su cstring ili objc_methname
).
Na srednjoj panelu možete videti disasemblirani kod. I možete ga videti kao sirov disasembler, kao graf, kao dekompajliran i kao binarni klikom na odgovarajuću ikonu:
Desnim klikom na objekat koda možete videti reference na/iz tog objekta ili čak promeniti njegovo ime (ovo ne funkcioniše u dekompajliranom pseudokodu):
Štaviše, u donjem srednjem delu možete pisati python komande.
Na desnoj panelu možete videti zanimljive informacije kao što su istorija navigacije (tako da znate kako ste došli do trenutne situacije), call graf gde možete videti sve funkcije koje pozivaju ovu funkciju i sve funkcije koje ova funkcija poziva, i informacije o lokalnim varijablama.
Omogućava korisnicima pristup aplikacijama na ekstremno niskom nivou i pruža način za korisnike da prate programe i čak promene njihov tok izvršenja. Dtrace koristi probes koje su postavljene širom kernela i nalaze se na mestima kao što su početak i kraj sistemskih poziva.
DTrace koristi funkciju dtrace_probe_create
za kreiranje probe za svaki sistemski poziv. Ove probe mogu biti aktivirane u ulaznoj i izlaznoj tački svakog sistemskog poziva. Interakcija sa DTrace se odvija kroz /dev/dtrace koji je dostupan samo za root korisnika.
Da biste omogućili Dtrace bez potpunog onemogućavanja SIP zaštite, možete izvršiti u režimu oporavka: csrutil enable --without dtrace
Takođe možete dtrace
ili dtruss
binarne datoteke koje ste sami kompajlirali.
Dostupne probe dtrace mogu se dobiti sa:
Ime probe se sastoji od četiri dela: provajder, modul, funkcija i ime (fbt:mach_kernel:ptrace:entry
). Ako ne navedete neki deo imena, Dtrace će taj deo primeniti kao džoker.
Da bismo konfigurisali DTrace da aktivira probe i da odredimo koje akcije da izvrši kada se aktiviraju, moraćemo da koristimo D jezik.
Detaljnije objašnjenje i više primera možete pronaći na https://illumos.org/books/dtrace/chp-intro.html
Pokrenite man -k dtrace
da biste prikazali dostupne DTrace skripte. Primer: sudo dtruss -n binary
U liniji
скрипт
To je funkcija za praćenje jezgra. Dokumentovani kodovi se mogu naći u /usr/share/misc/trace.codes
.
Alati kao što su latency
, sc_usage
, fs_usage
i trace
koriste je interno.
Za interakciju sa kdebug
koristi se sysctl
preko kern.kdebug
imenskog prostora, a MIB-ovi koji se mogu koristiti nalaze se u sys/sysctl.h
gde su funkcije implementirane u bsd/kern/kdebug.c
.
Da bi se interagovalo sa kdebug-om sa prilagođenim klijentom, obično su to koraci:
Uklonite postojeće postavke sa KERN_KDSETREMOVE
Postavite praćenje sa KERN_KDSETBUF i KERN_KDSETUP
Koristite KERN_KDGETBUF da dobijete broj unosa u baferu
Izvucite svog klijenta iz praćenja sa KERN_KDPINDEX
Omogućite praćenje sa KERN_KDENABLE
Pročitajte bafer pozivajući KERN_KDREADTR
Da biste povezali svaku nit sa njenim procesom, pozovite KERN_KDTHRMAP.
Da biste dobili ove informacije, moguće je koristiti Apple alat trace
ili prilagođeni alat kDebugView (kdv).
Napomena: Kdebug je dostupan samo za 1 korisnika u isto vreme. Dakle, samo jedan alat sa k-debug podrškom može se izvršavati u isto vreme.
ktrace_*
API-ji dolaze iz libktrace.dylib
koji obavijaju one iz Kdebug
. Tada klijent može jednostavno pozvati ktrace_session_create
i ktrace_events_[single/class]
da postavi povratne pozive na specifične kodove i zatim ga pokrenuti sa ktrace_start
.
Možete koristiti ovo čak i sa SIP aktiviranim
Možete koristiti kao klijente alat ktrace
:
Or tailspin
.
Ovo se koristi za profilisanje na nivou kernela i izgrađeno je koristeći Kdebug
pozive.
U suštini, globalna promenljiva kernel_debug_active
se proverava i ako je postavljena, poziva kperf_kdebug_handler
sa Kdebug
kodom i adresom kernel okvira koji poziva. Ako se Kdebug
kod poklapa sa jednim od odabranih, dobijaju se "akcije" konfigurirane kao bitmap (proverite osfmk/kperf/action.h
za opcije).
Kperf takođe ima sysctl MIB tabelu: (kao root) sysctl kperf
. Ovi kodovi se mogu naći u osfmk/kperf/kperfbsd.c
.
Pored toga, deo funkcionalnosti Kperfa se nalazi u kpc
, koji pruža informacije o brojačima performansi mašine.
ProcessMonitor je veoma koristan alat za proveru akcija vezanih za procese koje proces izvršava (na primer, praćenje koje nove procese proces kreira).
SpriteTree je alat koji štampa odnose između procesa.
Morate da pratite vaš mac sa komandom kao što je sudo eslogger fork exec rename create > cap.json
(terminal koji pokreće ovo zahteva FDA). A zatim možete učitati json u ovaj alat da biste videli sve odnose:
FileMonitor omogućava praćenje događaja vezanih za fajlove (kao što su kreiranje, modifikacije i brisanja) pružajući detaljne informacije o takvim događajima.
Crescendo je GUI alat sa izgledom i osećajem koji korisnici Windows-a možda poznaju iz Microsoft Sysinternal’s Procmon. Ovaj alat omogućava snimanje različitih tipova događaja koji se mogu započeti i zaustaviti, omogućava filtriranje ovih događaja po kategorijama kao što su fajl, proces, mreža, itd., i pruža funkcionalnost za čuvanje snimljenih događaja u json formatu.
Apple Instruments su deo Xcode-ovih razvojnog alata – koriste se za praćenje performansi aplikacija, identifikovanje curenja memorije i praćenje aktivnosti na datotečnom sistemu.
Omogućava praćenje akcija koje izvode procesi:
Taskexplorer je koristan za pregled biblioteka koje koristi binarni fajl, fajlova koje koristi i mrežnih konekcija. Takođe proverava binarne procese protiv virustotal i prikazuje informacije o binarnom fajlu.
U ovom blog postu možete pronaći primer o tome kako da debug-ujete pokrenuti daemon koji koristi PT_DENY_ATTACH
da spreči debagovanje čak i kada je SIP onemogućen.
lldb je de facto alat za macOS binarno debugovanje.
Možete postaviti intel varijantu kada koristite lldb kreiranjem datoteke pod nazivom .lldbinit
u vašem domaćem folderu sa sledećom linijom:
Unutar lldb, dump-ujte proces sa process save-core
(lldb) Komanda
Opis
run (r)
Pokreće izvršavanje, koje će se nastaviti bez prekida dok se ne dostigne tačka prekida ili proces ne završi.
process launch --stop-at-entry
Pokreće izvršavanje zaustavljajući se na ulaznoj tački
continue (c)
Nastavlja izvršavanje debagovanog procesa.
nexti (n / ni)
Izvršava sledeću instrukciju. Ova komanda će preskočiti pozive funkcija.
stepi (s / si)
Izvršava sledeću instrukciju. Za razliku od nexti komande, ova komanda će ući u pozive funkcija.
finish (f)
Izvršava ostatak instrukcija u trenutnoj funkciji (“frame”) i vraća se i zaustavlja.
control + c
Pauzira izvršavanje. Ako je proces pokrenut (r) ili nastavljen (c), ovo će uzrokovati da proces stane ...gde god trenutno izvršava.
breakpoint (b)
b main
#Bilo koja funkcija nazvana main
b <binname>`main
#Glavna funkcija binarija
b set -n main --shlib <lib_name>
#Glavna funkcija označenog binarija
breakpoint set -r '\[NSFileManager .*\]$'
#Bilo koja NSFileManager metoda
breakpoint set -r '\[NSFileManager contentsOfDirectoryAtPath:.*\]$'
break set -r . -s libobjc.A.dylib
# Prekini u svim funkcijama te biblioteke
b -a 0x0000000100004bd9
br l
#Lista tačaka prekida
br e/dis <num>
#Omogući/Onemogući tačku prekida
breakpoint delete <num>
help
help breakpoint #Dobijte pomoć za komandu tačke prekida
help memory write #Dobijte pomoć za pisanje u memoriju
reg
x/s <reg/adresa u memoriji>
Prikazuje memoriju kao string koji se završava nulom.
x/i <reg/adresa u memoriji>
Prikazuje memoriju kao instrukciju asemblera.
x/b <reg/adresa u memoriji>
Prikazuje memoriju kao bajt.
print object (po)
Ovo će odštampati objekat na koji se poziva parametar
po $raw
{
dnsChanger = {
"affiliate" = "";
"blacklist_dns" = ();
Napomena da većina Apple-ovih Objective-C API-ja ili metoda vraća objekte, i stoga bi trebala biti prikazana putem komande “print object” (po). Ako po ne daje smislen izlaz, koristite x/b
memory
memory read 0x000.... memory read $x0+0xf2a memory write 0x100600000 -s 4 0x41414141 #Upiši AAAA na tu adresu memory write -f s $rip+0x11f+7 "AAAA" #Upiši AAAA na adresu
disassembly
dis #Disas trenutnu funkciju
dis -n <funcname> #Disas funkciju
dis -n <funcname> -b <basename> #Disas funkciju dis -c 6 #Disas 6 linija dis -c 0x100003764 -e 0x100003768 # Od jedne adrese do druge dis -p -c 4 # Počni u trenutnoj adresi disasemblerajući
parray
parray 3 (char **)$x1 # Proveri niz od 3 komponente u x1 registru
image dump sections
Štampa mapu trenutne memorije procesa
image dump symtab <library>
image dump symtab CoreNLP
#Dobij adresu svih simbola iz CoreNLP
Kada se poziva funkcija objc_sendMsg
, registar rsi sadrži ime metode kao string koji se završava nulom (“C”). Da biste odštampali ime putem lldb, uradite:
(lldb) x/s $rsi: 0x1000f1576: "startMiningWithPort:password:coreCount:slowMemory:currency:"
(lldb) print (char*)$rsi:
(char *) $1 = 0x00000001000f1576 "startMiningWithPort:password:coreCount:slowMemory:currency:"
(lldb) reg read $rsi: rsi = 0x00000001000f1576 "startMiningWithPort:password:coreCount:slowMemory:currency:"
Komanda sysctl hw.model
vraća "Mac" kada je host MacOS, ali nešto drugo kada je VM.
Igrajući se sa vrednostima hw.logicalcpu
i hw.physicalcpu
, neki malveri pokušavaju da detektuju da li je u pitanju VM.
Neki malveri takođe mogu detektovati da li je mašina VMware na osnovu MAC adrese (00:50:56).
Takođe je moguće otkriti da li se proces debaguje jednostavnim kodom kao što je:
if(P_TRACED == (info.kp_proc.p_flag & P_TRACED)){ //proces se debaguje }
Takođe može pozvati ptrace
sistemski poziv sa PT_DENY_ATTACH
flagom. Ovo sprečava debugger da se priključi i prati.
Možete proveriti da li je funkcija sysctl
ili ptrace
importovana (ali malver bi mogao da je importuje dinamički)
Kao što je navedeno u ovom izveštaju, “Defeating Anti-Debug Techniques: macOS ptrace variants” : “Poruka Process # exited with status = 45 (0x0000002d) obično je znak da je cilj debagovanja u upotrebi PT_DENY_ATTACH”
Core dumps se kreiraju ako:
kern.coredump
sysctl je postavljen na 1 (po defaultu)
Ako proces nije suid/sgid ili kern.sugid_coredump
je 1 (po defaultu je 0)
AS_CORE
limit dozvoljava operaciju. Moguće je suprimirati kreiranje core dump-ova pozivom ulimit -c 0
i ponovo ih omogućiti sa ulimit -c unlimited
.
U tim slučajevima, core dump se generiše prema kern.corefile
sysctl i obično se čuva u /cores/core/.%P
.
ReportCrash analizira procese koji se ruše i čuva izveštaj o padu na disk. Izveštaj o padu sadrži informacije koje mogu pomoći programeru da dijagnostikuje uzrok pada.
Za aplikacije i druge procese koji se izvršavaju u kontekstu per-user launchd, ReportCrash se pokreće kao LaunchAgent i čuva izveštaje o padu u korisnikovom ~/Library/Logs/DiagnosticReports/
Za demone, druge procese koji se izvršavaju u sistemskom launchd kontekstu i druge privilegovane procese, ReportCrash se pokreće kao LaunchDaemon i čuva izveštaje o padu u sistemskom /Library/Logs/DiagnosticReports
Ako ste zabrinuti zbog izveštaja o padu koji se šalju Apple-u, možete ih onemogućiti. Ako ne, izveštaji o padu mogu biti korisni za utvrđivanje kako je server pao.
Dok fuzzing-a na MacOS-u, važno je ne dozvoliti Mac-u da ide u stanje mirovanja:
systemsetup -setsleep Never
pmset, System Preferences
Ako fuzzujete putem SSH veze, važno je osigurati da sesija ne isključi. Tako da promenite sshd_config datoteku sa:
TCPKeepAlive Yes
ClientAliveInterval 0
ClientAliveCountMax 0
Pogledajte sledeću stranicu da biste saznali kako možete pronaći koja aplikacija je odgovorna za rukovanje određenim shemama ili protokolima:
macOS File Extension & URL scheme app handlersOvo je zanimljivo za pronalaženje procesa koji upravljaju mrežnim podacima:
Ili koristite netstat
ili lsof
Radi za CLI alate
Prosto radi sa macOS GUI alatima. Imajte na umu da neki macOS aplikacije imaju specifične zahteve kao što su jedinstvena imena datoteka, prava ekstenzija, potreba da se čitaju datoteke iz sandbox-a (~/Library/Containers/com.apple.Safari/Data
)...
Neki primeri:
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)