diff --git a/.gitbook/assets/image (695).png b/.gitbook/assets/image (695).png new file mode 100644 index 000000000..04b275416 Binary files /dev/null and b/.gitbook/assets/image (695).png differ diff --git a/.gitbook/assets/image (696).png b/.gitbook/assets/image (696).png new file mode 100644 index 000000000..dde297c56 Binary files /dev/null and b/.gitbook/assets/image (696).png differ diff --git a/.gitbook/assets/image (697).png b/.gitbook/assets/image (697).png new file mode 100644 index 000000000..64d3e5b2b Binary files /dev/null and b/.gitbook/assets/image (697).png differ diff --git a/.gitbook/assets/image (698).png b/.gitbook/assets/image (698).png new file mode 100644 index 000000000..3ab03424c Binary files /dev/null and b/.gitbook/assets/image (698).png differ diff --git a/.gitbook/assets/image (699).png b/.gitbook/assets/image (699).png new file mode 100644 index 000000000..2eff00bfc Binary files /dev/null and b/.gitbook/assets/image (699).png differ diff --git a/.gitbook/assets/image (700).png b/.gitbook/assets/image (700).png new file mode 100644 index 000000000..9288bbe21 Binary files /dev/null and b/.gitbook/assets/image (700).png differ diff --git a/.gitbook/assets/image (701).png b/.gitbook/assets/image (701).png new file mode 100644 index 000000000..4f13161c3 Binary files /dev/null and b/.gitbook/assets/image (701).png differ diff --git a/.gitbook/assets/image (702).png b/.gitbook/assets/image (702).png new file mode 100644 index 000000000..cd027ceda Binary files /dev/null and b/.gitbook/assets/image (702).png differ diff --git a/.gitbook/assets/image (703).png b/.gitbook/assets/image (703).png new file mode 100644 index 000000000..67050294c Binary files /dev/null and b/.gitbook/assets/image (703).png differ diff --git a/.gitbook/assets/image (704).png b/.gitbook/assets/image (704).png new file mode 100644 index 000000000..fc9d9f99d Binary files /dev/null and b/.gitbook/assets/image (704).png differ diff --git a/.gitbook/assets/image (705).png b/.gitbook/assets/image (705).png new file mode 100644 index 000000000..ad2301b73 Binary files /dev/null and b/.gitbook/assets/image (705).png differ diff --git a/.gitbook/assets/image (706).png b/.gitbook/assets/image (706).png new file mode 100644 index 000000000..295913e3a Binary files /dev/null and b/.gitbook/assets/image (706).png differ diff --git a/.gitbook/assets/image (707).png b/.gitbook/assets/image (707).png new file mode 100644 index 000000000..295913e3a Binary files /dev/null and b/.gitbook/assets/image (707).png differ diff --git a/.gitbook/assets/image (708).png b/.gitbook/assets/image (708).png new file mode 100644 index 000000000..074434342 Binary files /dev/null and b/.gitbook/assets/image (708).png differ diff --git a/.gitbook/assets/image (709).png b/.gitbook/assets/image (709).png new file mode 100644 index 000000000..7981733f5 Binary files /dev/null and b/.gitbook/assets/image (709).png differ diff --git a/SUMMARY.md b/SUMMARY.md index 07f87d83a..d6006380d 100644 --- a/SUMMARY.md +++ b/SUMMARY.md @@ -149,6 +149,7 @@ * [macOS Defensive Apps](macos-hardening/macos-security-and-privilege-escalation/macos-defensive-apps.md) * [macOS GCD - Grand Central Dispatch](macos-hardening/macos-security-and-privilege-escalation/macos-gcd-grand-central-dispatch.md) * [macOS Kernel & System Extensions](macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/README.md) + * [macOS IOKit](macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-iokit.md) * [macOS Kernel Extensions](macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-kernel-extensions.md) * [macOS System Extensions](macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-system-extensions.md) * [macOS Network Services & Protocols](macos-hardening/macos-security-and-privilege-escalation/macos-protocols.md) diff --git a/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/README.md b/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/README.md index 0e4e8de74..547145ff4 100644 --- a/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/README.md +++ b/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/README.md @@ -1,10 +1,10 @@ -# Noyau et extensions système macOS +# Architecture du noyau et des extensions système macOS
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥 -* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) ! +* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? Ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) ! * Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFT**](https://opensea.io/collection/the-peass-family) * Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com) * **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.** @@ -43,50 +43,89 @@ De plus, **Mach et BSD maintiennent chacun des modèles de sécurité différent ### I/O Kit - Pilotes -I/O Kit est le framework open source orienté objet de **gestion des pilotes de périphériques** dans le noyau XNU et est responsable de l'ajout et de la gestion des **pilotes de périphériques chargés dynamiquement**. Ces pilotes permettent d'ajouter du code modulaire au noyau de manière dynamique pour une utilisation avec différents matériels, par exemple. Ils se trouvent dans : +I/O Kit est le framework open source orienté objet de **gestion des pilotes de périphériques** dans le noyau XNU et est responsable de l'ajout et de la gestion des **pilotes de périphériques chargés dynamiquement**. Ces pilotes permettent d'ajouter du code modulaire au noyau de manière dynamique pour une utilisation avec différents matériels, par exemple. -* `/System/Library/Extensions` -* Fichiers KEXT intégrés au système d'exploitation OS X. -* `/Library/Extensions` -* Fichiers KEXT installés par des logiciels tiers -```bash -#Use kextstat to print the loaded drivers -kextstat -Executing: /usr/bin/kmutil showloaded -No variant specified, falling back to release -Index Refs Address Size Wired Name (Version) UUID -1 142 0 0 0 com.apple.kpi.bsd (20.5.0) 52A1E876-863E-38E3-AC80-09BBAB13B752 <> -2 11 0 0 0 com.apple.kpi.dsep (20.5.0) 52A1E876-863E-38E3-AC80-09BBAB13B752 <> -3 170 0 0 0 com.apple.kpi.iokit (20.5.0) 52A1E876-863E-38E3-AC80-09BBAB13B752 <> -4 0 0 0 0 com.apple.kpi.kasan (20.5.0) 52A1E876-863E-38E3-AC80-09BBAB13B752 <> -5 175 0 0 0 com.apple.kpi.libkern (20.5.0) 52A1E876-863E-38E3-AC80-09BBAB13B752 <> -6 154 0 0 0 com.apple.kpi.mach (20.5.0) 52A1E876-863E-38E3-AC80-09BBAB13B752 <> -7 88 0 0 0 com.apple.kpi.private (20.5.0) 52A1E876-863E-38E3-AC80-09BBAB13B752 <> -8 106 0 0 0 com.apple.kpi.unsupported (20.5.0) 52A1E876-863E-38E3-AC80-09BBAB13B752 <> -9 2 0xffffff8003317000 0xe000 0xe000 com.apple.kec.Libm (1) 6C1342CC-1D74-3D0F-BC43-97D5AD38200A <5> -10 12 0xffffff8003544000 0x92000 0x92000 com.apple.kec.corecrypto (11.1) F5F1255F-6552-3CF4-A9DB-D60EFDEB4A9A <8 7 6 5 3 1> -``` -Jusqu'au numéro 9, les pilotes répertoriés sont **chargés à l'adresse 0**. Cela signifie qu'il ne s'agit pas de vrais pilotes mais **d'une partie du noyau et ils ne peuvent pas être déchargés**. +{% content-ref url="macos-iokit.md" %} +[macos-iokit.md](macos-iokit.md) +{% endcontent-ref %} -Pour trouver des extensions spécifiques, vous pouvez utiliser : -```bash -kextfind -bundle-id com.apple.iokit.IOReportFamily #Search by full bundle-id -kextfind -bundle-id -substring IOR #Search by substring in bundle-id -``` -Pour charger et décharger des extensions de noyau, faites : -```bash -kextload com.apple.iokit.IOReportFamily -kextunload com.apple.iokit.IOReportFamily -``` ### IPC - Communication inter-processus {% content-ref url="macos-ipc-inter-process-communication/" %} [macos-ipc-inter-process-communication](macos-ipc-inter-process-communication/) {% endcontent-ref %} +### Kernelcache + +Le **kernelcache** est une version **précompilée et pré-liée du noyau XNU**, ainsi que des **pilotes de périphériques essentiels** et des **extensions de noyau**. Il est stocké dans un format **compressé** et est décompressé en mémoire lors du processus de démarrage. Le kernelcache facilite un **démarrage plus rapide** en ayant une version prête à l'emploi du noyau et des pilotes essentiels disponibles, ce qui réduit le temps et les ressources qui seraient sinon consacrés au chargement et à la liaison dynamique de ces composants au démarrage. + +Dans iOS, il se trouve dans **`/System/Library/Caches/com.apple.kernelcaches/kernelcache`** et dans macOS, vous pouvez le trouver avec **`find / -name kernelcache 2>/dev/null`**. +#### IMG4 + +Le format de fichier IMG4 est un format de conteneur utilisé par Apple dans ses appareils iOS et macOS pour stocker et vérifier de manière sécurisée les composants du micrologiciel (comme le **kernelcache**). Le format IMG4 comprend un en-tête et plusieurs balises qui encapsulent différentes parties de données, y compris la charge utile réelle (comme un noyau ou un chargeur de démarrage), une signature et un ensemble de propriétés de manifeste. Le format prend en charge la vérification cryptographique, permettant à l'appareil de confirmer l'authenticité et l'intégrité du composant du micrologiciel avant de l'exécuter. + +Il est généralement composé des éléments suivants : + +* **Charge utile (IM4P)** : +* Souvent compressée (LZFSE4, LZSS, ...) +* Optionnellement chiffrée +* **Manifeste (IM4M)** : +* Contient une signature +* Dictionnaire clé/valeur supplémentaire +* **Informations de restauration (IM4R)** : +* Également connu sous le nom de APNonce +* Empêche la relecture de certaines mises à jour +* FACULTATIF : Habituellement, cela n'est pas trouvé + +Décompressez le Kernelcache : +```bash +# pyimg4 (https://github.com/m1stadev/PyIMG4) +pyimg4 im4p extract -i kernelcache.release.iphone14 -o kernelcache.release.iphone14.e + +# img4tool (https://github.com/tihmstar/img4tool +img4tool -e kernelcache.release.iphone14 -o kernelcache.release.iphone14.e +``` +#### Symboles du Kernelcache + +Parfois, Apple publie des **kernelcache** avec des **symboles**. Vous pouvez télécharger certains firmwares avec des symboles en suivant les liens sur [https://theapplewiki.com](https://theapplewiki.com/). + +### IPSW + +Ce sont des **firmwares** Apple que vous pouvez télécharger depuis [**https://ipsw.me/**](https://ipsw.me/). Parmi les autres fichiers, il contient le **kernelcache**.\ +Pour **extraire** les fichiers, vous pouvez simplement les **décompresser**. + +Après avoir extrait le firmware, vous obtiendrez un fichier tel que : **`kernelcache.release.iphone14`**. Il est au format **IMG4**, vous pouvez extraire les informations intéressantes avec : + +* [**pyimg4**](https://github.com/m1stadev/PyIMG4) + +{% code overflow="wrap" %} +```bash +pyimg4 im4p extract -i kernelcache.release.iphone14 -o kernelcache.release.iphone14.e +``` +{% endcode %} + +* [**img4tool**](https://github.com/tihmstar/img4tool) +```bash +img4tool -e kernelcache.release.iphone14 -o kernelcache.release.iphone14.e +``` +Vous pouvez vérifier les symboles extraits du kernelcache avec: **`nm -a kernelcache.release.iphone14.e | wc -l`** + +Avec cela, nous pouvons maintenant extraire toutes les extensions ou celle qui vous intéresse: +```bash +# List all extensions +kextex -l kernelcache.release.iphone14.e +## Extract com.apple.security.sandbox +kextex -e com.apple.security.sandbox kernelcache.release.iphone14.e + +# Extract all +kextex_all kernelcache.release.iphone14.e + +# Check the extension for symbols +nm -a binaries/com.apple.security.sandbox | wc -l +``` ## Extensions du noyau macOS -macOS est **très restrictif pour charger les extensions du noyau** (.kext) en raison des privilèges élevés avec lesquels le code s'exécute. En fait, par défaut, il est pratiquement impossible (à moins de trouver une contournement). +macOS est **très restrictif pour charger les extensions du noyau** (.kext) en raison des privilèges élevés avec lesquels le code s'exécute. En fait, par défaut, il est pratiquement impossible de le faire (à moins de trouver une faille). {% content-ref url="macos-kernel-extensions.md" %} [macos-kernel-extensions.md](macos-kernel-extensions.md) @@ -94,7 +133,7 @@ macOS est **très restrictif pour charger les extensions du noyau** (.kext) en r ### Extensions système macOS -Au lieu d'utiliser des extensions du noyau, macOS a créé les extensions système, qui offrent des API de niveau utilisateur pour interagir avec le noyau. De cette façon, les développeurs peuvent éviter d'utiliser des extensions du noyau. +Au lieu d'utiliser des extensions du noyau, macOS a créé les extensions système, qui offrent des API de niveau utilisateur pour interagir avec le noyau. De cette manière, les développeurs peuvent éviter d'utiliser des extensions du noyau. {% content-ref url="macos-system-extensions.md" %} [macos-system-extensions.md](macos-system-extensions.md) @@ -109,7 +148,7 @@ Au lieu d'utiliser des extensions du noyau, macOS a créé les extensions systè ☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥 -* Vous travaillez dans une **entreprise de cybersécurité** ? Vous souhaitez voir votre **entreprise annoncée dans HackTricks** ? ou souhaitez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) ! +* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? Ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) ! * Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFT**](https://opensea.io/collection/the-peass-family) * Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com) * **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.** diff --git a/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-iokit.md b/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-iokit.md new file mode 100644 index 000000000..19be5fd71 --- /dev/null +++ b/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-iokit.md @@ -0,0 +1,244 @@ +# macOS IOKit + +
+ +☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥 + +* Vous travaillez dans une **entreprise de cybersécurité** ? Vous voulez voir votre **entreprise annoncée sur HackTricks** ? Ou vous voulez avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) ! +* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family) +* Obtenez le [**swag officiel de PEASS et HackTricks**](https://peass.creator-spring.com) +* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) **groupe Discord** ou le [**groupe Telegram**](https://t.me/peass) ou **suivez-moi** sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live). +* **Partagez vos astuces de piratage en envoyant une PR à** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **et** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud). + +
+ +## Informations de base + +IOKit est le framework open-source orienté objet pour les **pilotes de périphériques** dans le noyau XNU et est responsable de l'ajout et de la gestion des **pilotes de périphériques chargés dynamiquement**. Ces pilotes permettent d'ajouter dynamiquement du code modulaire au noyau pour une utilisation avec différents matériels, par exemple. + +Les pilotes IOKit **exportent essentiellement des fonctions du noyau**. Les **types** de paramètres de ces fonctions sont **prédéfinis** et vérifiés. De plus, tout comme XPC, IOKit est simplement une autre couche **au-dessus des messages Mach**. + +Le code du noyau IOKit XNU est open source et disponible sur [https://github.com/apple-oss-distributions/xnu/tree/main/iokit](https://github.com/apple-oss-distributions/xnu/tree/main/iokit). De plus, les composants IOKit de l'espace utilisateur sont également open source [https://github.com/opensource-apple/IOKitUser](https://github.com/opensource-apple/IOKitUser). + +Cependant, **aucun pilote IOKit** n'est open source. De toute façon, de temps en temps, une version d'un pilote peut être publiée avec des symboles qui facilitent son débogage. Consultez comment **obtenir les extensions de pilote à partir du micrologiciel ici**](./#ipsw)**. + +Il est écrit en **C++**. Vous pouvez obtenir les symboles C++ démanglés avec : +```bash +# Get demangled symbols +nm -C com.apple.driver.AppleJPEGDriver + +# Demangled symbols from stdin +c++filt +__ZN16IOUserClient202222dispatchExternalMethodEjP31IOExternalMethodArgumentsOpaquePK28IOExternalMethodDispatch2022mP8OSObjectPv +IOUserClient2022::dispatchExternalMethod(unsigned int, IOExternalMethodArgumentsOpaque*, IOExternalMethodDispatch2022 const*, unsigned long, OSObject*, void*) +``` +{% hint style="danger" %} +Les fonctions exposées par IOKit pourraient effectuer des vérifications de sécurité supplémentaires lorsqu'un client tente d'appeler une fonction, mais notez que les applications sont généralement limitées par le sandbox avec lesquelles les fonctions IOKit peuvent interagir. +{% endhint %} + +## Pilotes + +Dans macOS, ils se trouvent dans : + +* **`/System/Library/Extensions`** +* Fichiers KEXT intégrés au système d'exploitation OS X. +* **`/Library/Extensions`** +* Fichiers KEXT installés par des logiciels tiers. + +Dans iOS, ils se trouvent dans : + +* **`/System/Library/Extensions`** +```bash +#Use kextstat to print the loaded drivers +kextstat +Executing: /usr/bin/kmutil showloaded +No variant specified, falling back to release +Index Refs Address Size Wired Name (Version) UUID +1 142 0 0 0 com.apple.kpi.bsd (20.5.0) 52A1E876-863E-38E3-AC80-09BBAB13B752 <> +2 11 0 0 0 com.apple.kpi.dsep (20.5.0) 52A1E876-863E-38E3-AC80-09BBAB13B752 <> +3 170 0 0 0 com.apple.kpi.iokit (20.5.0) 52A1E876-863E-38E3-AC80-09BBAB13B752 <> +4 0 0 0 0 com.apple.kpi.kasan (20.5.0) 52A1E876-863E-38E3-AC80-09BBAB13B752 <> +5 175 0 0 0 com.apple.kpi.libkern (20.5.0) 52A1E876-863E-38E3-AC80-09BBAB13B752 <> +6 154 0 0 0 com.apple.kpi.mach (20.5.0) 52A1E876-863E-38E3-AC80-09BBAB13B752 <> +7 88 0 0 0 com.apple.kpi.private (20.5.0) 52A1E876-863E-38E3-AC80-09BBAB13B752 <> +8 106 0 0 0 com.apple.kpi.unsupported (20.5.0) 52A1E876-863E-38E3-AC80-09BBAB13B752 <> +9 2 0xffffff8003317000 0xe000 0xe000 com.apple.kec.Libm (1) 6C1342CC-1D74-3D0F-BC43-97D5AD38200A <5> +10 12 0xffffff8003544000 0x92000 0x92000 com.apple.kec.corecrypto (11.1) F5F1255F-6552-3CF4-A9DB-D60EFDEB4A9A <8 7 6 5 3 1> +``` +Jusqu'au numéro 9, les pilotes répertoriés sont **chargés à l'adresse 0**. Cela signifie qu'il ne s'agit pas de vrais pilotes mais **d'une partie du noyau et ils ne peuvent pas être déchargés**. + +Pour trouver des extensions spécifiques, vous pouvez utiliser : +```bash +kextfind -bundle-id com.apple.iokit.IOReportFamily #Search by full bundle-id +kextfind -bundle-id -substring IOR #Search by substring in bundle-id +``` +Pour charger et décharger des extensions de noyau, faites : +```bash +kextload com.apple.iokit.IOReportFamily +kextunload com.apple.iokit.IOReportFamily +``` +## IORegistry + +Le **IORegistry** est une partie cruciale du framework IOKit dans macOS et iOS qui sert de base de données pour représenter la configuration matérielle et l'état du système. C'est une **collection hiérarchique d'objets qui représentent tout le matériel et les pilotes** chargés sur le système, ainsi que leurs relations les uns avec les autres. + +Vous pouvez obtenir le IORegistry en utilisant la commande **`ioreg`** pour l'inspecter depuis la console (particulièrement utile pour iOS). +```bash +ioreg -l #List all +ioreg -w 0 #Not cut lines +ioreg -p #Check other plane +``` +Vous pouvez télécharger **`IORegistryExplorer`** depuis les **Outils supplémentaires Xcode** sur [**https://developer.apple.com/download/all/**](https://developer.apple.com/download/all/) et inspecter le **IORegistry macOS** à travers une interface **graphique**. + +
+ +Dans IORegistryExplorer, les "planes" sont utilisés pour organiser et afficher les relations entre différents objets dans l'IORegistry. Chaque plane représente un type spécifique de relation ou une vue particulière de la configuration matérielle et des pilotes du système. Voici quelques-uns des planes courants que vous pourriez rencontrer dans IORegistryExplorer : + +1. **Plane IOService** : Il s'agit du plane le plus général, affichant les objets de service qui représentent les pilotes et les nœuds (canaux de communication entre les pilotes). Il montre les relations fournisseur-client entre ces objets. +2. **Plane IODeviceTree** : Ce plane représente les connexions physiques entre les périphériques tels qu'ils sont attachés au système. Il est souvent utilisé pour visualiser la hiérarchie des périphériques connectés via des bus tels que l'USB ou le PCI. +3. **Plane IOPower** : Affiche les objets et leurs relations en termes de gestion de l'alimentation. Il peut montrer quels objets affectent l'état d'alimentation des autres, ce qui est utile pour le débogage des problèmes liés à l'alimentation. +4. **Plane IOUSB** : Spécifiquement axé sur les périphériques USB et leurs relations, montrant la hiérarchie des concentrateurs USB et des périphériques connectés. +5. **Plane IOAudio** : Ce plane est destiné à représenter les périphériques audio et leurs relations au sein du système. +6. ... + +## Exemple de code de communication du pilote + +Le code suivant se connecte au service IOKit `"VotreNomDeServiceIci"` et appelle la fonction à l'intérieur du sélecteur 0. Pour cela : + +* il appelle d'abord **`IOServiceMatching`** et **`IOServiceGetMatchingServices`** pour obtenir le service. +* Il établit ensuite une connexion en appelant **`IOServiceOpen`**. +* Et enfin, il appelle une fonction avec **`IOConnectCallScalarMethod`** en indiquant le sélecteur 0 (le sélecteur est le numéro attribué à la fonction que vous souhaitez appeler). +```objectivec +#import +#import + +int main(int argc, const char * argv[]) { +@autoreleasepool { +// Get a reference to the service using its name +CFMutableDictionaryRef matchingDict = IOServiceMatching("YourServiceNameHere"); +if (matchingDict == NULL) { +NSLog(@"Failed to create matching dictionary"); +return -1; +} + +// Obtain an iterator over all matching services +io_iterator_t iter; +kern_return_t kr = IOServiceGetMatchingServices(kIOMasterPortDefault, matchingDict, &iter); +if (kr != KERN_SUCCESS) { +NSLog(@"Failed to get matching services"); +return -1; +} + +// Get a reference to the first service (assuming it exists) +io_service_t service = IOIteratorNext(iter); +if (!service) { +NSLog(@"No matching service found"); +IOObjectRelease(iter); +return -1; +} + +// Open a connection to the service +io_connect_t connect; +kr = IOServiceOpen(service, mach_task_self(), 0, &connect); +if (kr != KERN_SUCCESS) { +NSLog(@"Failed to open service"); +IOObjectRelease(service); +IOObjectRelease(iter); +return -1; +} + +// Call a method on the service +// Assume the method has a selector of 0, and takes no arguments +kr = IOConnectCallScalarMethod(connect, 0, NULL, 0, NULL, NULL); +if (kr != KERN_SUCCESS) { +NSLog(@"Failed to call method"); +} + +// Cleanup +IOServiceClose(connect); +IOObjectRelease(service); +IOObjectRelease(iter); +} +return 0; +} +``` +Il existe **d'autres** fonctions qui peuvent être utilisées pour appeler des fonctions IOKit en dehors de **`IOConnectCallScalarMethod`** comme **`IOConnectCallMethod`**, **`IOConnectCallStructMethod`**... + +## Inversion du point d'entrée du pilote + +Vous pouvez les obtenir, par exemple, à partir d'une [**image du micrologiciel (ipsw)**](./#ipsw). Ensuite, chargez-le dans votre décompilateur préféré. + +Vous pouvez commencer à décompiler la fonction **`externalMethod`** car c'est la fonction du pilote qui recevra l'appel et appellera la fonction correcte : + +
+ +
+ +Cet appel démanglé horrible signifie : + +{% code overflow="wrap" %} +```cpp +IOUserClient2022::dispatchExternalMethod(unsigned int, IOExternalMethodArgumentsOpaque*, IOExternalMethodDispatch2022 const*, unsigned long, OSObject*, void*) +``` +{% endcode %} + +Notez comment dans la définition précédente, le paramètre **`self`** est manquant, la bonne définition serait : + +{% code overflow="wrap" %} +```cpp +IOUserClient2022::dispatchExternalMethod(self, unsigned int, IOExternalMethodArgumentsOpaque*, IOExternalMethodDispatch2022 const*, unsigned long, OSObject*, void*) +``` +{% endcode %} + +En réalité, vous pouvez trouver la définition réelle à l'adresse [https://github.com/apple-oss-distributions/xnu/blob/1031c584a5e37aff177559b9f69dbd3c8c3fd30a/iokit/Kernel/IOUserClient.cpp#L6388](https://github.com/apple-oss-distributions/xnu/blob/1031c584a5e37aff177559b9f69dbd3c8c3fd30a/iokit/Kernel/IOUserClient.cpp#L6388): +```cpp +IOUserClient2022::dispatchExternalMethod(uint32_t selector, IOExternalMethodArgumentsOpaque *arguments, +const IOExternalMethodDispatch2022 dispatchArray[], size_t dispatchArrayCount, +OSObject * target, void * reference) +``` +Avec ces informations, vous pouvez réécrire Ctrl+Right -> `Modifier la signature de la fonction` et définir les types connus : + +
+ +Le nouveau code décompilé ressemblera à ceci : + +
+ +Pour l'étape suivante, nous devons avoir défini la structure **`IOExternalMethodDispatch2022`**. Elle est open source sur [https://github.com/apple-oss-distributions/xnu/blob/1031c584a5e37aff177559b9f69dbd3c8c3fd30a/iokit/IOKit/IOUserClient.h#L168-L176](https://github.com/apple-oss-distributions/xnu/blob/1031c584a5e37aff177559b9f69dbd3c8c3fd30a/iokit/IOKit/IOUserClient.h#L168-L176), vous pouvez la définir : + +
+ +Maintenant, en suivant `(IOExternalMethodDispatch2022 *)&sIOExternalMethodArray`, vous pouvez voir beaucoup de données : + +
+ +Changez le type de données en **`IOExternalMethodDispatch2022:`** + +
+ +après le changement : + +
+ +Et maintenant, nous avons un **tableau de 7 éléments** (vérifiez le code décompilé final), cliquez pour créer un tableau de 7 éléments : + +
+ +Une fois le tableau créé, vous pouvez voir toutes les fonctions exportées : + +
+ +{% hint style="success" %} +Si vous vous souvenez, pour **appeler** une fonction **exportée** depuis l'espace utilisateur, nous n'avons pas besoin d'appeler le nom de la fonction, mais le **numéro de sélecteur**. Ici, vous pouvez voir que le sélecteur **0** est la fonction **`initializeDecoder`**, le sélecteur **1** est **`startDecoder`**, le sélecteur **2** est **`initializeEncoder`**... +{% endhint %} + +
+ +☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥 + +* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)! +* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family) +* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com) +* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) **grupo de Discord** o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live). +* **Comparte tus trucos de hacking enviando PR a** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **y** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud). + +
diff --git a/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-ipc-inter-process-communication/README.md b/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-ipc-inter-process-communication/README.md index 49f3fae95..2e59c92f8 100644 --- a/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-ipc-inter-process-communication/README.md +++ b/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-ipc-inter-process-communication/README.md @@ -18,40 +18,64 @@ Mach utilise des **tâches** comme **plus petite unité** pour partager des ress La communication entre les tâches se fait via la Communication Inter-Processus (IPC) de Mach, en utilisant des canaux de communication unidirectionnels. Les **messages sont transférés entre les ports**, qui agissent comme des **files d'attente de messages** gérées par le noyau. -Les droits de port, qui définissent les opérations qu'une tâche peut effectuer, sont essentiels pour cette communication. Les **droits de port possibles** sont : +Chaque processus a une **table IPC**, où il est possible de trouver les **ports Mach du processus**. Le nom d'un port Mach est en réalité un nombre (un pointeur vers l'objet du noyau). -* Le **droit de réception**, qui permet de recevoir les messages envoyés au port. Les ports Mach sont des files d'attente MPSC (multiple-producteur, unique-consommateur), ce qui signifie qu'il ne peut y avoir qu'un seul droit de réception pour chaque port dans tout le système (contrairement aux tubes, où plusieurs processus peuvent tous détenir des descripteurs de fichier pour l'extrémité de lecture d'un tube). -* Une **tâche avec le droit de réception** peut recevoir des messages et **créer des droits d'envoi**, ce qui lui permet d'envoyer des messages. À l'origine, seule la **propre tâche a le droit de réception sur son port**. +Un processus peut également envoyer un nom de port avec certains droits **à une autre tâche** et le noyau fera apparaître cette entrée dans la **table IPC de l'autre tâche**. + +Les droits de port, qui définissent les opérations qu'une tâche peut effectuer, sont essentiels pour cette communication. Les **droits de port** possibles sont : + +* Le **droit de réception**, qui permet de recevoir les messages envoyés au port. Les ports Mach sont des files d'attente MPSC (multiple-producteur, single-consommateur), ce qui signifie qu'il ne peut y avoir qu'un **seul droit de réception pour chaque port** dans tout le système (contrairement aux pipes, où plusieurs processus peuvent tous détenir des descripteurs de fichier pour l'extrémité de lecture d'un pipe). +* Une **tâche avec le droit de réception** peut recevoir des messages et **créer des droits d'envoi**, ce qui lui permet d'envoyer des messages. À l'origine, seule la **tâche elle-même a le droit de réception sur son port**. * Le **droit d'envoi**, qui permet d'envoyer des messages au port. -* Le droit d'envoi peut être **cloné**, de sorte qu'une tâche possédant un droit d'envoi peut cloner le droit et **le donner à une troisième tâche**. +* Le droit d'envoi peut être **cloné** afin qu'une tâche possédant un droit d'envoi puisse cloner le droit et **l'accorder à une troisième tâche**. * Le **droit d'envoi unique**, qui permet d'envoyer un seul message au port, puis disparaît. -* Le **droit de jeu de ports**, qui indique un _ensemble de ports_ plutôt qu'un seul port. Le défilement d'un message à partir d'un ensemble de ports défile un message à partir de l'un des ports qu'il contient. Les ensembles de ports peuvent être utilisés pour écouter plusieurs ports simultanément, un peu comme `select`/`poll`/`epoll`/`kqueue` dans Unix. -* Le **nom mort**, qui n'est pas un droit de port réel, mais simplement un espace réservé. Lorsqu'un port est détruit, tous les droits de port existants sur le port se transforment en noms morts. +* Le **droit d'ensemble de ports**, qui indique un _ensemble de ports_ plutôt qu'un seul port. Le défilement d'un message à partir d'un ensemble de ports défile un message à partir de l'un des ports qu'il contient. Les ensembles de ports peuvent être utilisés pour écouter plusieurs ports simultanément, un peu comme `select`/`poll`/`epoll`/`kqueue` dans Unix. +* Le **nom mort**, qui n'est pas un droit de port réel, mais simplement un espace réservé. Lorsqu'un port est détruit, tous les droits de port existants sur le port deviennent des noms morts. -**Les tâches peuvent transférer des droits d'ENVOI à d'autres**, leur permettant d'envoyer des messages en retour. **Les droits d'ENVOI peuvent également être clonés**, de sorte qu'une tâche peut dupliquer et donner le droit à une troisième tâche. Cela, combiné à un processus intermédiaire appelé **serveur d'amorçage**, permet une communication efficace entre les tâches. +**Les tâches peuvent transférer des droits d'ENVOI à d'autres**, leur permettant d'envoyer des messages en retour. **Les droits d'ENVOI peuvent également être clonés, de sorte qu'une tâche peut dupliquer et donner le droit à une troisième tâche**. Cela, combiné à un processus intermédiaire appelé **serveur d'amorçage**, permet une communication efficace entre les tâches. #### Étapes : -Comme mentionné, pour établir le canal de communication, le **serveur d'amorçage** (**launchd** sur Mac) est impliqué. +Comme mentionné précédemment, pour établir le canal de communication, le **serveur d'amorçage** (**launchd** sur Mac) est impliqué. -1. La tâche **A** lance un **nouveau port**, obtenant un **droit de réception** dans le processus. +1. La tâche **A** initialise un **nouveau port**, obtenant un **droit de réception** dans le processus. 2. La tâche **A**, étant le détenteur du droit de réception, **génère un droit d'envoi pour le port**. 3. La tâche **A** établit une **connexion** avec le **serveur d'amorçage**, fournissant le **nom de service du port** et le **droit d'envoi** via une procédure appelée enregistrement d'amorçage. -4. La tâche **B** interagit avec le **serveur d'amorçage** pour exécuter une **recherche d'amorçage pour le service**. Si elle réussit, le **serveur duplique le droit d'envoi** reçu de la tâche A et **le transmet à la tâche B**. +4. La tâche **B** interagit avec le **serveur d'amorçage** pour exécuter une **recherche d'amorçage pour le service**. Si cela réussit, le **serveur duplique le droit d'envoi** reçu de la tâche A et **le transmet à la tâche B**. 5. Une fois qu'il a acquis un droit d'envoi, la tâche **B** est capable de **formuler** un **message** et de l'envoyer **à la tâche A**. -Le serveur d'amorçage ne peut pas authentifier le nom de service revendiqué par une tâche. Cela signifie qu'une **tâche** pourrait potentiellement **usurper n'importe quelle tâche système**, en revendiquant faussement un nom de service d'autorisation, puis en approuvant chaque demande. +Le serveur d'amorçage ne peut pas authentifier le nom de service revendiqué par une tâche. Cela signifie qu'une **tâche** pourrait potentiellement **usurper l'identité de n'importe quelle tâche système**, en revendiquant faussement un nom de service d'autorisation, puis en approuvant chaque demande. -Ensuite, Apple stocke les **noms des services fournis par le système** dans des fichiers de configuration sécurisés, situés dans des répertoires protégés par SIP : `/System/Library/LaunchDaemons` et `/System/Library/LaunchAgents`. À côté de chaque nom de service, le **binaire associé est également stocké**. Le serveur d'amorçage créera et détiendra un **droit de réception pour chacun de ces noms de service**. +Ensuite, Apple stocke les **noms des services fournis par le système** dans des fichiers de configuration sécurisés, situés dans des répertoires protégés par SIP : `/System/Library/LaunchDaemons` et `/System/Library/LaunchAgents`. À côté de chaque nom de service, le **binaire associé est également stocké**. Le serveur d'amorçage créera et conservera un **droit de réception pour chacun de ces noms de service**. Pour ces services prédéfinis, le **processus de recherche diffère légèrement**. Lorsqu'un nom de service est recherché, launchd lance le service dynamiquement. Le nouveau flux de travail est le suivant : -* La tâche **B** lance une **recherche d'amorçage** pour un nom de service. +* La tâche **B** initialise une **recherche d'amorçage** pour un nom de service. * **launchd** vérifie si la tâche est en cours d'exécution et si ce n'est pas le cas, la **démarre**. -* La tâche **A** (le service) effectue un **enregistrement de vérification d'amorçage**. Ici, le **serveur d'amorçage** crée un droit d'envoi, le conserve et **transfère le droit de réception à la tâche A**. +* La tâche **A** (le service) effectue un **enregistrement d'amorçage**. Ici, le **serveur d'amorçage** crée un droit d'envoi, le conserve et **transfère le droit de réception à la tâche A**. * launchd duplique le **droit d'envoi et l'envoie à la tâche B**. -Cependant, ce processus ne s'applique qu'aux tâches système prédéfinies. Les tâches non système fonctionnent toujours comme décrit initialement, ce qui pourrait potentiellement permettre l'usurpation. +Cependant, ce processus ne s'applique qu'aux tâches système prédéfinies. Les tâches non système fonctionnent toujours comme décrit initialement, ce qui pourrait potentiellement permettre l'usurpation d'identité. +### Énumérer les ports + +Pour identifier les services en cours d'exécution sur une machine, il est essentiel de connaître les ports ouverts. Les ports sont des canaux de communication utilisés par les applications pour échanger des données avec d'autres machines. L'identification des ports ouverts peut aider à détecter les services vulnérables ou non autorisés. + +Il existe plusieurs méthodes pour énumérer les ports ouverts sur une machine. Voici quelques-unes des techniques couramment utilisées : + +1. Balayage TCP : Cette technique consiste à envoyer des paquets TCP à différents ports pour déterminer s'ils sont ouverts, fermés ou filtrés. Des outils tels que Nmap peuvent être utilisés pour effectuer un balayage TCP. + +2. Balayage UDP : Contrairement au balayage TCP, le balayage UDP est utilisé pour identifier les ports UDP ouverts. Les paquets UDP sont envoyés aux ports cibles, et si une réponse est reçue, cela indique que le port est ouvert. + +3. Balayage furtif : Cette technique, également connue sous le nom de balayage furtif ou balayage Xmas, consiste à envoyer des paquets TCP avec des drapeaux inhabituels pour déterminer si un port est ouvert. Si aucune réponse n'est reçue, cela peut indiquer que le port est filtré ou fermé. + +4. Balayage des services : Cette méthode consiste à interroger les services spécifiques pour déterminer les ports ouverts. Par exemple, en utilisant des outils tels que Nmap, il est possible de balayer les ports associés aux services HTTP, FTP, SSH, etc. + +Il est important de noter que l'énumération des ports sans autorisation appropriée peut être illégale et constitue une violation de la vie privée. Il est donc essentiel de respecter les lois et les réglementations en vigueur lors de l'utilisation de ces techniques. +```bash +lsmp -p +``` +Vous pouvez installer cet outil sur iOS en le téléchargeant depuis [http://newosxbook.com/tools/binpack64-256.tar.gz](http://newosxbook.com/tools/binpack64-256.tar.gz) + ### Exemple de code Notez comment l'**expéditeur** **alloue** un port, crée un **droit d'envoi** pour le nom `org.darlinghq.example` et l'envoie au **serveur d'amorçage** tandis que l'expéditeur demande le **droit d'envoi** de ce nom et l'utilise pour **envoyer un message**. diff --git a/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/arm64-basic-assembly.md b/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/arm64-basic-assembly.md index a3c83439b..49bef341f 100644 --- a/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/arm64-basic-assembly.md +++ b/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/arm64-basic-assembly.md @@ -37,7 +37,7 @@ ARM64 dispose de **31 registres généraux**, étiquetés `x0` à `x30`. Chacun La convention d'appel ARM64 spécifie que les **huit premiers paramètres** d'une fonction sont passés dans les registres **`x0` à `x7`**. Les **paramètres supplémentaires** sont passés sur la **pile**. La **valeur de retour** est renvoyée dans le registre **`x0`**, ou dans **`x1`** également **s'il fait 128 bits**. Les registres **`x19`** à **`x30`** et **`sp`** doivent être **préservés** lors des appels de fonction. -Lors de la lecture d'une fonction en langage d'assemblage, recherchez le **prologue et l'épilogue de la fonction**. Le **prologue** implique généralement la **sauvegarde du pointeur de cadre (`x29`)**, la **configuration** d'un **nouveau pointeur de cadre** et l'**allocation d'espace de pile**. L'**épilogue** implique généralement la **restauration du pointeur de cadre sauvegardé** et le **retour** de la fonction. +Lors de la lecture d'une fonction en langage d'assemblage, recherchez le **prologue et l'épilogue de la fonction**. Le **prologue** implique généralement **la sauvegarde du pointeur de cadre (`x29`)**, **la configuration** d'un **nouveau pointeur de cadre** et **l'allocation d'espace de pile**. L'**épilogue** implique généralement **la restauration du pointeur de cadre sauvegardé** et **le retour** de la fonction. ### Convention d'appel en Swift @@ -84,10 +84,10 @@ Les instructions ARM64 ont généralement le **format `opcode dst, src1, src2`** * **`adrp`** : Calculer l'**adresse de page d'un symbole** et la stocker dans un registre. * Exemple : `adrp x0, symbol` — Cela calcule l'adresse de page de `symbol` et la stocke dans `x0`. * **`ldrsw`** : **Charger** une valeur signée de **32 bits** depuis la mémoire et **l'étendre à 64 bits**. -* Exemple : `ldrsw x0, [x1]` — Cela charge une valeur signée de 32 bits à partir de l'emplacement mémoire pointé par `x1`, l'étend à 64 bits et la stocke dans `x0`. +* Exemple : `ldrsw x0, [x1]` — Cela charge une valeur signée de 32 bits depuis l'emplacement mémoire pointé par `x1`, l'étend à 64 bits et la stocke dans `x0`. * **`stur`** : **Stocker une valeur de registre dans un emplacement mémoire**, en utilisant un décalage par rapport à un autre registre. * Exemple : `stur x0, [x1, #4]` — Cela stocke la valeur dans `x0` dans l'adresse mémoire qui est 4 octets supérieure à l'adresse actuellement dans `x1`. -* **`svc`** : Effectuer un **appel système**. Il signifie "Supervisor Call". Lorsque le processeur exécute cette instruction, il **passe du mode utilisateur au mode noyau** et saute à un emplacement spécifique dans la mémoire où se trouve le code de gestion des appels système du noyau. +* **`svc`** : Effectuer un **appel système**. Il signifie "Supervisor Call". Lorsque le processeur exécute cette instruction, il **passe du mode utilisateur au mode noyau** et saute à un emplacement spécifique en mémoire où se trouve le code de gestion des appels système du noyau. * Exemple : ```armasm @@ -122,9 +122,25 @@ ldp x29, x30, [sp], #16 ; charger la paire x29 et x30 depuis la pile et incrém ## macOS -### appels système +### Appels système BSD -Consultez [**syscalls.master**](https://opensource.apple.com/source/xnu/xnu-1504.3.12/bsd/kern/syscalls.master). +Consultez [**syscalls.master**](https://opensource.apple.com/source/xnu/xnu-1504.3.12/bsd/kern/syscalls.master). Les appels système BSD auront **x16 > 0**. + +### Trappes Mach + +Consultez [**syscall\_sw.c**](https://opensource.apple.com/source/xnu/xnu-3789.1.32/osfmk/kern/syscall\_sw.c.auto.html). Les trappes Mach auront **x16 < 0**, donc vous devez appeler les numéros de la liste précédente avec un **moins** : **`_kernelrpc_mach_vm_allocate_trap`** est **`-10`**. + +Vous pouvez également consulter **`libsystem_kernel.dylib`** dans un désassembleur pour savoir comment appeler ces appels système (et BSD) : +```bash +# macOS +dyldex -e libsystem_kernel.dylib /System/Volumes/Preboot/Cryptexes/OS/System/Library/dyld/dyld_shared_cache_arm64e + +# iOS +dyldex -e libsystem_kernel.dylib /System/Library/Caches/com.apple.dyld/dyld_shared_cache_arm64 +``` +{% hint style="success" %} +Parfois, il est plus facile de vérifier le code **décompilé** de **`libsystem_kernel.dylib`** que de vérifier le **code source** car le code de plusieurs appels système (BSD et Mach) est généré via des scripts (vérifiez les commentaires dans le code source) tandis que dans la dylib, vous pouvez trouver ce qui est appelé. +{% endhint %} ### Shellcodes @@ -474,7 +490,7 @@ svc #0x1337 ☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥 -* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) ! +* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? Ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) ! * Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFT**](https://opensea.io/collection/the-peass-family) * Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com) * **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.** diff --git a/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/README.md b/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/README.md index c8af1eca6..7da897c40 100644 --- a/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/README.md +++ b/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/README.md @@ -26,13 +26,13 @@ Les principaux avantages de XPC sont les suivants : Le seul **inconvénient** est que **séparer une application en plusieurs processus** qui communiquent via XPC est **moins efficace**. Mais dans les systèmes d'aujourd'hui, cela est presque imperceptible et les avantages sont meilleurs. -## Services XPC spécifiques à l'application +## Services XPC spécifiques à une application Les composants XPC d'une application se trouvent **à l'intérieur de l'application elle-même**. Par exemple, dans Safari, vous pouvez les trouver dans **`/Applications/Safari.app/Contents/XPCServices`**. Ils ont l'extension **`.xpc`** (comme **`com.apple.Safari.SandboxBroker.xpc`**) et sont **également des bundles** avec le binaire principal à l'intérieur : `/Applications/Safari.app/Contents/XPCServices/com.apple.Safari.SandboxBroker.xpc/Contents/MacOS/com.apple.Safari.SandboxBroker` et un fichier `Info.plist : /Applications/Safari.app/Contents/XPCServices/com.apple.Safari.SandboxBroker.xpc/Contents/Info.plist` Comme vous pouvez le penser, un **composant XPC aura des autorisations et des privilèges différents** des autres composants XPC ou du binaire principal de l'application. SAUF si un service XPC est configuré avec [**JoinExistingSession**](https://developer.apple.com/documentation/bundleresources/information\_property\_list/xpcservice/joinexistingsession) défini sur "True" dans son fichier **Info.plist**. Dans ce cas, le service XPC s'exécutera dans la **même session de sécurité que l'application** qui l'a appelé. -Les services XPC sont **démarrés** par **launchd** lorsque cela est nécessaire et **arrêtés** une fois que toutes les tâches sont **terminées** pour libérer les ressources système. Les composants XPC spécifiques à l'application ne peuvent être utilisés que par l'application, réduisant ainsi les risques liés aux vulnérabilités potentielles. +Les services XPC sont **démarrés** par **launchd** lorsque cela est nécessaire et **arrêtés** une fois que toutes les tâches sont **terminées** pour libérer les ressources système. Les composants XPC spécifiques à une application ne peuvent être utilisés que par l'application, réduisant ainsi les risques liés aux vulnérabilités potentielles. ## Services XPC à l'échelle du système @@ -80,7 +80,7 @@ Les applications peuvent **s'abonner** à différents **messages d'événement** ### Vérification du processus de connexion XPC -Lorsqu'un processus essaie d'appeler une méthode via une connexion XPC, le **service XPC doit vérifier si ce processus est autorisé à se connecter**. Voici les moyens courants de vérifier cela et les pièges courants : +Lorsqu'un processus essaie d'appeler une méthode via une connexion XPC, le **service XPC doit vérifier si ce processus est autorisé à se connecter**. Voici les méthodes courantes pour effectuer cette vérification et les pièges courants : {% content-ref url="macos-xpc-connecting-process-check.md" %} [macos-xpc-connecting-process-check.md](macos-xpc-connecting-process-check.md) @@ -94,6 +94,19 @@ Apple permet également aux applications de **configurer certains droits et la m [macos-xpc-authorization.md](macos-xpc-authorization.md) {% endcontent-ref %} +## Sniffer XPC + +Pour intercepter les messages XPC, vous pouvez utiliser [**xpcspy**](https://github.com/hot3eed/xpcspy) qui utilise **Frida**. +```bash +# Install +pip3 install xpcspy +pip3 install xpcspy --no-deps # To not make xpcspy install Frida 15 and downgrade your Frida installation + +# Start sniffing +xpcspy -U -r -W +## Using filters (i: for input, o: for output) +xpcspy -U -t 'i:com.apple.*' -t 'o:com.apple.*' -r +``` ## Exemple de code C {% tabs %} @@ -325,7 +338,7 @@ NSLog(@"Received response: %@", response); return 0; } ``` -{% tab title="xyz.hacktricks.svcoc.plist" %} +{% tab title="xyz.hacktricks.svcoc.plist" %}xyz.hacktricks.svcoc.plist est un fichier de configuration utilisé pour définir les paramètres de communication inter-processus (IPC) pour les services XPC sur macOS. Les services XPC sont des processus qui permettent aux applications de communiquer entre elles de manière sécurisée. Ce fichier plist contient des clés et des valeurs qui spécifient les autorisations et les restrictions pour chaque service XPC. En modifiant ce fichier, vous pouvez potentiellement abuser des services XPC pour escalader les privilèges ou exécuter du code malveillant. Cependant, cela nécessite une connaissance approfondie du fonctionnement des services XPC et des vulnérabilités spécifiques à chaque service. Il est important de noter que la modification de ce fichier peut entraîner des conséquences indésirables, telles que des plantages du système ou des erreurs de fonctionnement des applications. Par conséquent, il est recommandé de procéder avec prudence et de ne modifier ce fichier que si vous comprenez pleinement les implications de vos actions. ```xml @@ -373,61 +386,17 @@ The client code is responsible for establishing a connection with the server and Le code client est responsable d'établir une connexion avec le serveur et d'envoyer des requêtes à celui-ci. Dans le cas d'un code Dylb, le client est intégré directement dans le code lui-même, permettant une communication fluide entre le client et le serveur. -To implement a client inside a Dylb code, you can use the following steps: +To implement a client inside a Dylb code, you can use the Dylb library's functions and methods to establish a connection, send requests, and receive responses. The client code should be designed to handle any errors or exceptions that may occur during the communication process. -Pour mettre en place un client à l'intérieur d'un code Dylb, vous pouvez suivre les étapes suivantes : +Pour mettre en œuvre un client à l'intérieur d'un code Dylb, vous pouvez utiliser les fonctions et méthodes de la bibliothèque Dylb pour établir une connexion, envoyer des requêtes et recevoir des réponses. Le code client doit être conçu pour gérer les erreurs ou exceptions qui peuvent survenir pendant le processus de communication. -1. Import the necessary libraries or modules required for establishing a network connection. +It is important to ensure that the client code is secure and follows best practices for handling sensitive information. This includes encrypting data, validating server certificates, and implementing proper authentication mechanisms. - Importez les bibliothèques ou modules nécessaires pour établir une connexion réseau. +Il est important de veiller à ce que le code client soit sécurisé et respecte les meilleures pratiques pour la gestion des informations sensibles. Cela inclut le chiffrement des données, la validation des certificats serveur et la mise en œuvre de mécanismes d'authentification appropriés. -2. Define the server's IP address and port number to establish a connection. +By implementing a client inside a Dylb code, you can create a robust and efficient communication system between the client and the server, enabling seamless interaction and data exchange. - Définissez l'adresse IP et le numéro de port du serveur pour établir une connexion. - -3. Create a socket object to establish a connection with the server. - - Créez un objet socket pour établir une connexion avec le serveur. - -4. Use the socket object to send requests to the server. - - Utilisez l'objet socket pour envoyer des requêtes au serveur. - -5. Receive and process the server's response. - - Recevez et traitez la réponse du serveur. - -Here is an example of client code inside a Dylb code: - -Voici un exemple de code client à l'intérieur d'un code Dylb : - -```python -import socket - -# Define server IP address and port number -server_ip = "192.168.0.1" -server_port = 1234 - -# Create a socket object -client_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM) - -# Establish a connection with the server -client_socket.connect((server_ip, server_port)) - -# Send requests to the server -client_socket.send(b"Hello, server!") - -# Receive and process the server's response -response = client_socket.recv(1024) -print(response.decode()) - -# Close the connection -client_socket.close() -``` - -In this example, the client code establishes a TCP connection with the server at the specified IP address and port number. It sends a "Hello, server!" message to the server and receives the server's response, which is then printed on the console. Finally, the connection is closed. - -Dans cet exemple, le code client établit une connexion TCP avec le serveur à l'adresse IP et au numéro de port spécifiés. Il envoie un message "Hello, server!" au serveur et reçoit la réponse du serveur, qui est ensuite affichée sur la console. Enfin, la connexion est fermée. +En mettant en œuvre un client à l'intérieur d'un code Dylb, vous pouvez créer un système de communication robuste et efficace entre le client et le serveur, permettant une interaction et un échange de données fluides. ```objectivec // gcc -dynamiclib -framework Foundation oc_xpc_client.m -o oc_xpc_client.dylib // gcc injection example: diff --git a/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/README.md b/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/README.md index c1773f6ed..a69e0f648 100644 --- a/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/README.md +++ b/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/README.md @@ -72,24 +72,24 @@ Il contrôle **d'où et quoi** peut lancer un **binaire signé Apple** : * Vous ne pouvez pas lancer une application directement si elle doit être exécutée par launchd * Vous ne pouvez pas exécuter une application en dehors de l'emplacement de confiance (comme /System/) -Le fichier qui contient les informations sur ces contraintes se trouve dans macOS dans **`/System/Volumes/Preboot/*/boot/*/usr/standalone/firmware/FUD/StaticTrustCache.img4`** (et dans iOS, il semble qu'il se trouve dans **`/usr/standalone/firmware/FUD/StaticTrustCache.img4`**). +Le fichier contenant des informations sur ces contraintes se trouve dans macOS dans **`/System/Volumes/Preboot/*/boot/*/usr/standalone/firmware/FUD/StaticTrustCache.img4`** (et dans iOS, il semble qu'il se trouve dans **`/usr/standalone/firmware/FUD/StaticTrustCache.img4`**). Il semble qu'il était possible d'utiliser l'outil [**img4tool**](https://github.com/tihmstar/img4tool) **pour extraire le cache** : ```bash img4tool -e in.img4 -o out.bin ``` -Cependant, je n'ai pas pu le compiler sur M1. +Cependant, je n'ai pas pu le compiler sur M1. Vous pouvez également utiliser [**pyimg4**](https://github.com/m1stadev/PyIMG4), mais le script suivant ne fonctionne pas avec cette sortie. Ensuite, vous pouvez utiliser un script tel que [**celui-ci**](https://gist.github.com/xpn/66dc3597acd48a4c31f5f77c3cc62f30) pour extraire les données. -À partir de ces données, vous pouvez vérifier les applications avec une **valeur de contrainte de lancement de `0`**, qui sont celles qui ne sont pas contraintes ([**vérifiez ici**](https://gist.github.com/LinusHenze/4cd5d7ef057a144cda7234e2c247c056) pour connaître la signification de chaque valeur). +À partir de ces données, vous pouvez vérifier les applications avec une valeur de **contrainte de lancement de `0`**, qui sont celles qui ne sont pas contraintes ([**vérifiez ici**](https://gist.github.com/LinusHenze/4cd5d7ef057a144cda7234e2c247c056) pour connaître la signification de chaque valeur).
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥 * Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) ! -* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family) +* Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFT**](https://opensea.io/collection/the-peass-family) * Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com) * **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.** * **Partagez vos astuces de piratage en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud). diff --git a/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/README.md b/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/README.md index a17e04fc6..d888b4717 100644 --- a/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/README.md +++ b/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/README.md @@ -467,9 +467,13 @@ macOS stocke les profils d'isolation système dans deux emplacements : **/usr/sh Et si une application tierce possède l'attribution _**com.apple.security.app-sandbox**_, le système applique le profil **/System/Library/Sandbox/Profiles/application.sb** à ce processus. +### Profil d'isolation d'iOS + +Le profil par défaut s'appelle **container** et nous n'avons pas la représentation textuelle SBPL. En mémoire, cette isolation est représentée comme un arbre binaire Autoriser/Refuser pour chaque autorisation de l'isolation. + ### Débogage et contournement de l'isolation -**Les processus ne naissent pas isolés dans macOS : contrairement à iOS**, où l'isolation est appliquée par le noyau avant la première instruction d'un programme, sur macOS **un processus doit choisir de se placer dans l'isolation.** +**Les processus ne naissent pas isolés sur macOS : contrairement à iOS**, où l'isolation est appliquée par le noyau avant la première instruction d'un programme, sur macOS **un processus doit choisir de se placer dans l'isolation.** Les processus sont automatiquement isolés depuis l'espace utilisateur lorsqu'ils démarrent s'ils ont l'attribution : `com.apple.security.app-sandbox`. Pour une explication détaillée de ce processus, consultez : @@ -477,7 +481,7 @@ Les processus sont automatiquement isolés depuis l'espace utilisateur lorsqu'il [macos-sandbox-debug-and-bypass](macos-sandbox-debug-and-bypass/) {% endcontent-ref %} -### **Vérifier les privilèges PID** +### Vérification des privilèges PID [Selon cela](https://www.youtube.com/watch?v=mG715HcDgO8\&t=3011s), la fonction **`sandbox_check`** (c'est un `__mac_syscall`), peut vérifier **si une opération est autorisée ou non** par l'isolation dans un PID donné. @@ -490,7 +494,7 @@ sbtool all ``` ### Profils SBPL personnalisés dans les applications de l'App Store -Il est possible pour les entreprises de faire fonctionner leurs applications avec des profils Sandbox personnalisés (au lieu du profil par défaut). Elles doivent utiliser l'attribution `com.apple.security.temporary-exception.sbpl` qui doit être autorisée par Apple. +Il est possible pour les entreprises de faire fonctionner leurs applications avec des profils Sandbox personnalisés (au lieu de celui par défaut). Elles doivent utiliser l'attribution `com.apple.security.temporary-exception.sbpl` qui doit être autorisée par Apple. Il est possible de vérifier la définition de cette attribution dans `/System/Library/Sandbox/Profiles/application.sb:` ```scheme