macOS Apps - Inspecting, debugging and Fuzzing
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ви можете завантажити disarm звідси.
Ви можете завантажити jtool2 тут або встановити його за допомогою brew
.
jtool застарілий на користь disarm
Codesign
можна знайти в macOS, а ldid
можна знайти в iOS
SuspiciousPackage - це інструмент, корисний для перевірки .pkg файлів (інсталяторів) та перегляду їх вмісту перед установкою.
Ці інсталятори мають preinstall
та postinstall
bash-скрипти, які автори шкідливого ПЗ зазвичай зловживають для постійності шкідливого ПЗ.
Цей інструмент дозволяє монтувати образи дисків Apple (.dmg) для їх перевірки перед запуском чого-небудь:
It will be mounted in /Volumes
Перевірте на високу ентропію
Перевірте рядки (якщо майже немає зрозумілого рядка, упаковано)
Упаковщик UPX для MacOS генерує секцію під назвою "__XHDR"
Зверніть увагу, що програми, написані на Objective-C, зберігають свої оголошення класів під час компіляції в Mach-O binaries. Такі оголошення класів включають ім'я та тип:
Визначені інтерфейси
Методи інтерфейсу
Змінні екземпляра інтерфейсу
Визначені протоколи
Зверніть увагу, що ці імена можуть бути обфусцировані, щоб ускладнити реверсування бінарного файлу.
Коли функція викликається в бінарному файлі, що використовує Objective-C, скомпільований код замість виклику цієї функції викликає objc_msgSend
. Це викликатиме фінальну функцію:
Параметри, які очікує ця функція:
Перший параметр (self) - "вказівник, що вказує на екземпляр класу, який має отримати повідомлення". Або простіше кажучи, це об'єкт, на якому викликається метод. Якщо метод є класовим методом, це буде екземпляр об'єкта класу (в цілому), тоді як для методу екземпляра self вказуватиме на створений екземпляр класу як об'єкт.
Другий параметр (op) - "селектор методу, який обробляє повідомлення". Знову ж таки, простіше кажучи, це просто ім'я методу.
Решта параметрів - це будь-які значення, які потрібні методу (op).
Дивіться, як отримати цю інформацію легко за допомогою lldb
в ARM64 на цій сторінці:
x64:
Аргумент
Реєстр
(для) objc_msgSend
1-й аргумент
rdi
self: об'єкт, на якому викликається метод
2-й аргумент
rsi
op: ім'я методу
3-й аргумент
rdx
1-й аргумент для методу
4-й аргумент
rcx
2-й аргумент для методу
5-й аргумент
r8
3-й аргумент для методу
6-й аргумент
r9
4-й аргумент для методу
7-й+ аргумент
rsp+ (в стеку)
5-й+ аргумент для методу
Dynadump - це інструмент для класового дампу бінарних файлів Objective-C. GitHub вказує на dylibs, але це також працює з виконуваними файлами.
На момент написання, це в даний час найкраще працює.
class-dump - це оригінальний інструмент для генерації декларацій для класів, категорій та протоколів у форматованому коді ObjectiveC.
Він старий і не підтримується, тому, ймовірно, не буде працювати належним чином.
iCDump - це сучасний крос-платформений дамп класів Objective-C. У порівнянні з існуючими інструментами, iCDump може працювати незалежно від екосистеми Apple і надає прив'язки до Python.
З бінарними файлами Swift, оскільки є сумісність з Objective-C, іноді ви можете витягти декларації за допомогою class-dump, але не завжди.
За допомогою команд jtool -l
або otool -l
можна знайти кілька секцій, які починаються з префікса __swift5
:
Ви можете знайти додаткову інформацію про інформацію, що зберігається в цих розділах, у цьому блозі.
Крім того, Swift бінарники можуть мати символи (наприклад, бібліотеки повинні зберігати символи, щоб їх функції можна було викликати). Символи зазвичай містять інформацію про ім'я функції та атрибути в неохайному вигляді, тому вони дуже корисні, і існують "деманглери", які можуть отримати оригінальне ім'я:
Зверніть увагу, що для налагодження бінарних файлів SIP потрібно вимкнути (csrutil disable
або csrutil enable --without debug
) або скопіювати бінарні файли в тимчасову папку та видалити підпис за допомогою codesign --remove-signature <binary-path>
або дозволити налагодження бінарного файлу (ви можете використовувати цей скрипт)
Зверніть увагу, що для інструментування системних бінарних файлів (таких як cloudconfigurationd
) на macOS SIP має бути вимкнено (просто видалення підпису не спрацює).
macOS надає деякі цікаві API, які надають інформацію про процеси:
proc_info
: Це основний API, який надає багато інформації про кожен процес. Вам потрібно бути root, щоб отримати інформацію про інші процеси, але спеціальні права або порти mach не потрібні.
libsysmon.dylib
: Дозволяє отримувати інформацію про процеси через функції, що надаються XPC, однак потрібно мати право com.apple.sysmond.client
.
Stackshotting — це техніка, що використовується для захоплення стану процесів, включаючи стек викликів усіх запущених потоків. Це особливо корисно для налагодження, аналізу продуктивності та розуміння поведінки системи в конкретний момент часу. На iOS та macOS stackshotting можна виконувати за допомогою кількох інструментів і методів, таких як інструменти sample
та spindump
.
Цей інструмент (/usr/bini/ysdiagnose
) в основному збирає багато інформації з вашого комп'ютера, виконуючи десятки різних команд, таких як ps
, zprint
...
Його потрібно запускати як root, а демон /usr/libexec/sysdiagnosed
має дуже цікаві права, такі як com.apple.system-task-ports
та get-task-allow
.
Його plist розташований у /System/Library/LaunchDaemons/com.apple.sysdiagnose.plist
, який оголошує 3 MachServices:
com.apple.sysdiagnose.CacheDelete
: Видаляє старі архіви в /var/rmp
com.apple.sysdiagnose.kernel.ipc
: Спеціальний порт 23 (ядро)
com.apple.sysdiagnose.service.xpc
: Інтерфейс режиму користувача через клас Libsysdiagnose
Obj-C. Три аргументи в словнику можуть бути передані (compress
, display
, run
)
MacOS генерує багато журналів, які можуть бути дуже корисними під час запуску програми, намагаючись зрозуміти що вона робить.
Більше того, є деякі журнали, які міститимуть тег <private>
, щоб сховати деяку інформацію, що ідентифікує користувача або комп'ютер. Однак можливо встановити сертифікат для розкриття цієї інформації. Слідуйте поясненням тут.
На лівій панелі Hopper можна побачити символи (Labels) бінарного файлу, список процедур і функцій (Proc) та рядки (Str). Це не всі рядки, а лише ті, що визначені в кількох частинах файлу Mac-O (як cstring або objc_methname
).
На середній панелі ви можете бачити дизасембльований код. І ви можете бачити його у сирому дизасемблюванні, як граф, як декодований і як бінарний, натискаючи на відповідну іконку:
Клацнувши правою кнопкою миші на об'єкті коду, ви можете побачити посилання на/з цього об'єкта або навіть змінити його назву (це не працює в декодованому псевдокоді):
Більше того, у середній частині ви можете писати команди python.
На правій панелі ви можете побачити цікаву інформацію, таку як історія навігації (щоб ви знали, як ви потрапили в поточну ситуацію), граф викликів, де ви можете бачити всі функції, які викликають цю функцію, і всі функції, які викликає ця функція, а також інформацію про локальні змінні.
Цей інструмент дозволяє користувачам отримувати доступ до програм на надзвичайно низькому рівні і надає спосіб для користувачів відстежувати програми і навіть змінювати їхній потік виконання. Dtrace використовує пробники, які розміщені по всьому ядру і знаходяться в таких місцях, як початок і кінець системних викликів.
DTrace використовує функцію dtrace_probe_create
для створення пробника для кожного системного виклику. Ці пробники можуть бути активовані в точках входу та виходу кожного системного виклику. Взаємодія з DTrace відбувається через /dev/dtrace, який доступний лише для користувача root.
Щоб увімкнути Dtrace, не вимикаючи повністю захист SIP, ви можете виконати в режимі відновлення: csrutil enable --without dtrace
Ви також можете dtrace
або dtruss
бінарні файли, які ви скомпілювали.
Доступні пробники dtrace можна отримати за допомогою:
Назва зонда складається з чотирьох частин: постачальник, модуль, функція та ім'я (fbt:mach_kernel:ptrace:entry
). Якщо ви не вкажете якусь частину назви, Dtrace застосує цю частину як шаблон.
Щоб налаштувати DTrace для активації зондів і вказати, які дії виконувати, коли вони спрацьовують, нам потрібно буде використовувати мову D.
Більш детальне пояснення та більше прикладів можна знайти за посиланням https://illumos.org/books/dtrace/chp-intro.html
Запустіть man -k dtrace
, щоб перерахувати доступні скрипти DTrace. Приклад: sudo dtruss -n binary
скрипт
Це засіб трасування ядра. Документовані коди можна знайти в /usr/share/misc/trace.codes
.
Інструменти, такі як latency
, sc_usage
, fs_usage
та trace
, використовують його внутрішньо.
Для взаємодії з kdebug
використовується sysctl
через простір імен kern.kdebug
, а MIB, які можна використовувати, можна знайти в sys/sysctl.h
, де реалізовані функції в bsd/kern/kdebug.c
.
Щоб взаємодіяти з kdebug за допомогою власного клієнта, зазвичай виконуються такі кроки:
Видалити існуючі налаштування з KERN_KDSETREMOVE
Встановити трасування з KERN_KDSETBUF та KERN_KDSETUP
Використовувати KERN_KDGETBUF, щоб отримати кількість записів у буфері
Отримати власного клієнта з трасування з KERN_KDPINDEX
Увімкнути трасування з KERN_KDENABLE
Прочитати буфер, викликавши KERN_KDREADTR
Щоб зіставити кожен потік з його процесом, викликати KERN_KDTHRMAP.
Щоб отримати цю інформацію, можна використовувати інструмент Apple trace
або власний інструмент kDebugView (kdv).
Зверніть увагу, що Kdebug доступний лише для 1 клієнта одночасно. Тобто лише один інструмент на базі k-debug може виконуватись одночасно.
API ktrace_*
походять з libktrace.dylib
, які обгортують ті, що з Kdebug
. Тоді клієнт може просто викликати ktrace_session_create
та ktrace_events_[single/class]
, щоб встановити зворотні виклики для конкретних кодів, а потім запустити його з ktrace_start
.
Ви можете використовувати це навіть з активованим SIP
Ви можете використовувати утиліту ktrace
як клієнт:
Or tailspin
.
Це використовується для профілювання на рівні ядра і побудоване за допомогою викликів Kdebug
.
В основному, глобальна змінна kernel_debug_active
перевіряється, і якщо вона встановлена, викликається kperf_kdebug_handler
з кодом Kdebug
та адресою кадру ядра, що викликає. Якщо код Kdebug
відповідає одному з вибраних, отримуються "дії", налаштовані як бітова карта (перевірте osfmk/kperf/action.h
для варіантів).
Kperf також має таблицю MIB sysctl: (як root) sysctl kperf
. Ці коди можна знайти в osfmk/kperf/kperfbsd.c
.
Більше того, підмножина функціональності Kperf знаходиться в kpc
, яка надає інформацію про лічильники продуктивності машини.
ProcessMonitor є дуже корисним інструментом для перевірки дій, пов'язаних з процесами, які виконує процес (наприклад, моніторинг нових процесів, які створює процес).
SpriteTree є інструментом для виведення відносин між процесами.
Вам потрібно моніторити ваш mac за допомогою команди sudo eslogger fork exec rename create > cap.json
(термінал, що запускає це, вимагає FDA). А потім ви можете завантажити json в цей інструмент, щоб переглянути всі відносини:
FileMonitor дозволяє моніторити події файлів (такі як створення, модифікації та видалення), надаючи детальну інформацію про такі події.
Crescendo є GUI-інструментом, який має вигляд і відчуття, знайомі користувачам Windows з Procmon від Microsoft Sysinternal. Цей інструмент дозволяє записувати різні типи подій, які можна запускати та зупиняти, дозволяє фільтрувати ці події за категоріями, такими як файл, процес, мережа тощо, і надає функціональність для збереження записаних подій у форматі json.
Apple Instruments є частиною інструментів розробника Xcode – використовуються для моніторингу продуктивності додатків, виявлення витоків пам'яті та відстеження активності файлової системи.
Дозволяє відстежувати дії, виконувані процесами:
Taskexplorer корисний для перегляду бібліотек, які використовуються бінарним файлом, файлів, які він використовує, та мережевих з'єднань. Він також перевіряє бінарні процеси на virustotal та показує інформацію про бінарний файл.
У цьому блозі ви можете знайти приклад того, як налагодити працюючий демон, який використовував PT_DENY_ATTACH
, щоб запобігти налагодженню, навіть якщо SIP був вимкнений.
lldb є де факто інструментом для налагодження бінарних файлів macOS.
Ви можете встановити смак intel, використовуючи lldb, створивши файл .lldbinit
у вашій домашній папці з наступним рядком:
Всередині lldb, збережіть процес за допомогою process save-core
(lldb) Команда
Опис
run (r)
Початок виконання, яке триватиме безперервно, поки не буде досягнуто точки зупинки або процес не завершиться.
process launch --stop-at-entry
Почати виконання, зупинившись на точці входу
continue (c)
Продовжити виконання налагоджуваного процесу.
nexti (n / ni)
Виконати наступну інструкцію. Ця команда пропустить виклики функцій.
stepi (s / si)
Виконати наступну інструкцію. На відміну від команди nexti, ця команда зайде в виклики функцій.
finish (f)
Виконати решту інструкцій у поточній функції (“рамці”), повернутися та зупинитися.
control + c
Призупинити виконання. Якщо процес був запущений (r) або продовжений (c), це призведе до зупинки процесу ...де б він не виконувався в даний момент.
breakpoint (b)
b main
#Будь-яка функція, названа main
b <binname>`main
#Головна функція бінарного файлу
b set -n main --shlib <lib_name>
#Головна функція вказаного бінарного файлу
breakpoint set -r '\[NSFileManager .*\]$'
#Будь-який метод NSFileManager
breakpoint set -r '\[NSFileManager contentsOfDirectoryAtPath:.*\]$'
break set -r . -s libobjc.A.dylib
# Зупинка в усіх функціях цієї бібліотеки
b -a 0x0000000100004bd9
br l
#Список точок зупинки
br e/dis <num>
#Увімкнути/Вимкнути точку зупинки
breakpoint delete <num>
help
help breakpoint #Отримати допомогу з команди точки зупинки
help memory write #Отримати допомогу для запису в пам'ять
reg
x/s <reg/memory address>
Відобразити пам'ять як рядок з нульовим закінченням.
x/i <reg/memory address>
Відобразити пам'ять як асемблерну інструкцію.
x/b <reg/memory address>
Відобразити пам'ять як байт.
print object (po)
Це надрукує об'єкт, на який посилається параметр
po $raw
{
dnsChanger = {
"affiliate" = "";
"blacklist_dns" = ();
Зверніть увагу, що більшість API або методів Objective-C від Apple повертають об'єкти, і тому їх слід відображати за допомогою команди “друк об'єкта” (po). Якщо po не дає змістовного виходу, використовуйте x/b
memory
memory read 0x000.... memory read $x0+0xf2a memory write 0x100600000 -s 4 0x41414141 #Записати AAAA за цією адресою memory write -f s $rip+0x11f+7 "AAAA" #Записати AAAA за адресою
disassembly
dis #Дизасемблювати поточну функцію
dis -n <funcname> #Дизасемблювати функцію
dis -n <funcname> -b <basename> #Дизасемблювати функцію dis -c 6 #Дизасемблювати 6 рядків dis -c 0x100003764 -e 0x100003768 # Від однієї адреси до іншої dis -p -c 4 # Почати з поточної адреси дизасемблювання
parray
parray 3 (char **)$x1 # Перевірити масив з 3 компонентів у регістрі x1
image dump sections
Друк карти пам'яті поточного процесу
image dump symtab <library>
image dump symtab CoreNLP
#Отримати адресу всіх символів з CoreNLP
При виклику функції objc_sendMsg
регістр rsi містить назву методу як рядок з нульовим закінченням (“C”). Щоб надрукувати назву через lldb, виконайте:
(lldb) x/s $rsi: 0x1000f1576: "startMiningWithPort:password:coreCount:slowMemory:currency:"
(lldb) print (char*)$rsi:
(char *) $1 = 0x00000001000f1576 "startMiningWithPort:password:coreCount:slowMemory:currency:"
(lldb) reg read $rsi: rsi = 0x00000001000f1576 "startMiningWithPort:password:coreCount:slowMemory:currency:"
Команда sysctl hw.model
повертає "Mac", коли хост є MacOS, але щось інше, коли це VM.
Граючи з значеннями hw.logicalcpu
та hw.physicalcpu
, деякі шкідливі програми намагаються виявити, чи це VM.
Деякі шкідливі програми також можуть виявити, чи машина є VMware на основі MAC-адреси (00:50:56).
Також можливо дізнатися, чи процес налагоджується за допомогою простого коду, такого як:
if(P_TRACED == (info.kp_proc.p_flag & P_TRACED)){ //процес налагоджується }
Він також може викликати системний виклик ptrace
з прапором PT_DENY_ATTACH
. Це запобігає прикріпленню та трасуванню налагоджувача.
Ви можете перевірити, чи функція sysctl
або ptrace
імпортується (але шкідлива програма може імпортувати її динамічно)
Як зазначено в цьому звіті, “Перемога над анти-дебаг техніками: варіанти macOS ptrace” : “Повідомлення Process # exited with status = 45 (0x0000002d) зазвичай є явною ознакою того, що ціль налагодження використовує PT_DENY_ATTACH”
Ядрові дампи створюються, якщо:
kern.coredump
sysctl встановлено на 1 (за замовчуванням)
Якщо процес не був suid/sgid або kern.sugid_coredump
дорівнює 1 (за замовчуванням 0)
Обмеження AS_CORE
дозволяє цю операцію. Можна подавити створення дампів, викликавши ulimit -c 0
і знову увімкнути їх за допомогою ulimit -c unlimited
.
У цих випадках ядрові дампи генеруються відповідно до kern.corefile
sysctl і зазвичай зберігаються в /cores/core/.%P
.
ReportCrash аналізує процеси, що зазнали краху, і зберігає звіт про крах на диск. Звіт про крах містить інформацію, яка може допомогти розробнику діагностувати причину краху.
Для додатків та інших процесів в контексті запуску per-user launchd, ReportCrash працює як LaunchAgent і зберігає звіти про крах у ~/Library/Logs/DiagnosticReports/
користувача.
Для демонів, інших процесів в контексті запуску системи launchd та інших привілейованих процесів, ReportCrash працює як LaunchDaemon і зберігає звіти про крах у системному /Library/Logs/DiagnosticReports
Якщо ви турбуєтеся про звіти про крах, які надсилаються Apple, ви можете їх вимкнути. Якщо ні, звіти про крах можуть бути корисними для з'ясування, як сервер зазнав краху.
Під час фуззингу на MacOS важливо не дозволяти Mac засинати:
systemsetup -setsleep Never
pmset, Системні налаштування
Якщо ви фуззите через SSH-з'єднання, важливо переконатися, що сесія не закінчиться. Тому змініть файл sshd_config на:
TCPKeepAlive Yes
ClientAliveInterval 0
ClientAliveCountMax 0
Перегляньте наступну сторінку, щоб дізнатися, яка програма відповідає за обробку вказаної схеми або протоколу:
macOS File Extension & URL scheme app handlersЦе цікаво, щоб знайти процеси, які керують мережевими даними:
Або використовуйте netstat
або lsof
Працює для CLI інструментів
Він "просто працює" з macOS GUI інструментами. Зверніть увагу, що деякі macOS додатки мають специфічні вимоги, такі як унікальні імена файлів, правильне розширення, необхідність читати файли з пісочниці (~/Library/Containers/com.apple.Safari/Data
)...
Деякі приклади:
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)