search

macOS Function Hooking

chevron-right从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)arrow-up-righthashtag

支持HackTricks的其他方式:

hashtag
函数插入

创建一个包含指向原始替换函数的函数指针元组的dylib,其中包含一个**__interpose (__DATA___interpose)部分(或一个标记为S_INTERPOSING**的部分)。

然后,使用**DYLD_INSERT_LIBRARIES注入dylib(插入操作需要在主应用程序加载之前发生)。显然,这里也适用于对DYLD_INSERT_LIBRARIES**的限制

hashtag
插入printf

interpose.c
// gcc -dynamiclib interpose.c -o interpose.dylib
#include <stdio.h>
#include <stdarg.h>

int my_printf(const char *format, ...) {
//va_list args;
//va_start(args, format);
//int ret = vprintf(format, args);
//va_end(args);

int ret = printf("Hello from interpose\n");
return ret;
}

__attribute__((used)) static struct { const void *replacement; const void *replacee; } _interpose_printf
__attribute__ ((section ("__DATA,__interpose"))) = { (const void *)(unsigned long)&my_printf, (const void *)(unsigned long)&printf };
circle-exclamation

DYLD_PRINT_INTERPOSTING 环境变量可用于调试 interposing,并将打印 interpose 过程。

还要注意,interposing 发生在进程和加载的库之间,它不适用于共享库缓存。

hashtag
动态 Interposing

现在也可以使用函数 dyld_dynamic_interpose 动态地 interpose 一个函数。这允许在运行时以编程方式 interpose 一个函数,而不仅仅是从一开始就这样做。

只需要指示要替换的函数和替换函数的元组

hashtag
方法交换

在 ObjectiveC 中,方法的调用方式如下:[myClassInstance nameOfTheMethodFirstParam:param1 secondParam:param2]

需要对象方法参数。当调用方法时,会使用函数**objc_msgSend发送消息**:int i = ((int (*)(id, SEL, NSString *, NSString *))objc_msgSend)(someObject, @selector(method1p1:p2:), value1, value2);

对象是**someObject,方法是@selector(method1p1:p2:),参数是value1**、value2

根据对象结构,可以访问一个包含方法名称指向方法代码的指针方法数组

triangle-exclamation

请注意,由于方法和类是根据它们的名称访问的,这些信息存储在二进制文件中,因此可以使用 otool -ov </path/bin>class-dump </path/bin>arrow-up-right 检索它们。

hashtag
访问原始方法

可以访问方法的信息,如名称、参数数量或地址,如下例所示:

hashtag
使用method_exchangeImplementations进行方法交换

函数**method_exchangeImplementations允许更改一个函数的实现地址为另一个函数**的地址。

triangle-exclamation

因此,当调用一个函数时,执行的是另一个函数

circle-exclamation

在这种情况下,如果合法方法的实现代码验证方法名称,它可以检测到这种方法交换并阻止其运行。

以下技术没有这种限制。

hashtag
使用method_setImplementation进行方法交换

之前的格式很奇怪,因为你正在改变其中一个方法的实现。使用函数**method_setImplementation,你可以将一个方法的实现更改为另一个方法**。

只需记住,如果你打算从新实现中调用原始实现的地址,请存储原始实现的地址,因为稍后要定位该地址将变得更加复杂。

hashtag
Hooking Attack Methodology

在这一页中,讨论了钩住函数的不同方法。然而,它们涉及在进程内运行代码进行攻击

为了做到这一点,最简单的技术是通过注入Dyld通过环境变量或劫持。然而,我想这也可以通过Dylib进程注入来实现。

然而,这两种选项都限制未受保护的二进制文件/进程上。查看每种技术以了解更多限制。

然而,函数钩取攻击非常具体,攻击者会这样做是为了从进程内部窃取敏感信息(如果不是的话,你只会进行进程注入攻击)。而这些敏感信息可能位于用户下载的应用程序中,比如MacPass。

因此,攻击者的向量将是要么找到一个漏洞,要么剥离应用程序的签名,通过应用程序的Info.plist注入**DYLD_INSERT_LIBRARIES**环境变量,添加类似以下内容:

然后重新注册应用程序:

在该库中添加挂钩代码以外泄信息:密码,消息...

triangle-exclamation

请注意,在 macOS 的新版本中,如果您剥离应用程序二进制文件的签名,并且该应用程序之前已被执行过,macOS将不再执行该应用程序

hashtag
库示例

hashtag
参考

chevron-right从零开始学习 AWS 黑客技术,成为专家 htARTE(HackTricks AWS 红队专家)arrow-up-righthashtag

支持 HackTricks 的其他方式:

上一页macOS Electron Applications Injection下一页macOS IPC - Inter Process Communication

最后更新于