macOS .Net Applications Injection
To jest streszczenie postu https://blog.xpnsec.com/macos-injection-via-third-party-frameworks/. Sprawdź go, aby uzyskać więcej szczegółów!
Debugowanie .NET Core
Ustanawianie sesji debugowania
Komunikacja między debugerem a debugowanym programem w .NET jest zarządzana przez dbgtransportsession.cpp. Ten komponent ustawia dwa nazwane potoki dla każdego procesu .NET, jak widać w dbgtransportsession.cpp#L127, które są inicjowane za pomocą twowaypipe.cpp#L27. Te potoki mają przyrostki -in
i -out
.
Przez odwiedzenie folderu $TMPDIR
użytkownik może znaleźć dostępne potoki debugowania dla aplikacji .Net.
DbgTransportSession::TransportWorker jest odpowiedzialny za zarządzanie komunikacją z debugerem. Aby rozpocząć nową sesję debugowania, debuger musi wysłać wiadomość za pomocą potoku out
, zaczynając od struktury MessageHeader
, szczegółowo opisanej w kodzie źródłowym .NET:
Aby poprosić o nową sesję, ta struktura jest wypełniana w następujący sposób, ustawiając typ wiadomości na MT_SessionRequest
i wersję protokołu na bieżącą wersję:
Ten nagłówek jest następnie wysyłany do celu za pomocą wywołania systemowego write
, a następnie struktura sessionRequestData
zawierająca GUID sesji:
Operacja odczytu na rurze out
potwierdza powodzenie lub niepowodzenie ustanowienia sesji debugowania:
Odczytywanie pamięci
Po ustanowieniu sesji debugowania, pamięć można odczytać za pomocą typu wiadomości MT_ReadMemory
. Funkcja readMemory jest szczegółowo opisana i wykonuje niezbędne kroki, aby wysłać żądanie odczytu i odebrać odpowiedź:
Pełny dowód koncepcji (POC) jest dostępny tutaj.
Zapisywanie do pamięci
Podobnie, pamięć można zapisać za pomocą funkcji writeMemory
. Proces polega na ustawieniu typu wiadomości na MT_WriteMemory
, określeniu adresu i długości danych, a następnie wysłaniu danych:
Powiązany POC jest dostępny tutaj.
Wykonanie kodu .NET Core
Aby wykonać kod, należy zidentyfikować obszar pamięci z uprawnieniami rwx, co można zrobić za pomocą polecenia vmmap -pages:
Zlokalizowanie miejsca do nadpisania wskaźnika funkcji jest konieczne, a w .NET Core można to zrobić, docelowo kierując się do Dynamic Function Table (DFT). Ta tabela, szczegółowo opisana w jithelpers.h
, jest używana przez środowisko wykonawcze do funkcji pomocniczych kompilacji JIT.
Dla systemów x64 można użyć metody poszukiwania sygnatury, aby znaleźć odniesienie do symbolu _hlpDynamicFuncTable
w libcorclr.dll
.
Funkcja debugera MT_GetDCB
dostarcza przydatnych informacji, w tym adresu funkcji pomocniczej m_helperRemoteStartAddr
, wskazującego na lokalizację libcorclr.dll
w pamięci procesu. Ten adres jest następnie używany do rozpoczęcia poszukiwania DFT i nadpisania wskaźnika funkcji adresem kodu shell.
Pełny kod POC do wstrzykiwania w PowerShell jest dostępny tutaj.
Odwołania
Last updated