macOS Aplikacije - Istraživanje, debagovanje i Fuzzing

Reading time: 24 minutes

tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Podržite HackTricks

Staticka Analiza

otool & objdump & nm

bash
otool -L /bin/ls #List dynamically linked libraries
otool -tv /bin/ps #Decompile application
bash
objdump -m --dylibs-used /bin/ls #List dynamically linked libraries
objdump -m -h /bin/ls # Get headers information
objdump -m --syms /bin/ls # Check if the symbol table exists to get function names
objdump -m --full-contents /bin/ls # Dump every section
objdump -d /bin/ls # Dissasemble the binary
objdump --disassemble-symbols=_hello --x86-asm-syntax=intel toolsdemo #Disassemble a function using intel flavour
bash
nm -m ./tccd # List of symbols

jtool2 & Disarm

Možete preuzeti disarm отсуда.

bash
ARCH=arm64e disarm -c -i -I --signature /path/bin # Get bin info and signature
ARCH=arm64e disarm -c -l /path/bin # Get binary sections
ARCH=arm64e disarm -c -L /path/bin # Get binary commands (dependencies included)
ARCH=arm64e disarm -c -S /path/bin # Get symbols (func names, strings...)
ARCH=arm64e disarm -c -d /path/bin # Get disasembled
jtool2 -d __DATA.__const myipc_server | grep MIG # Get MIG info

Možete preuzeti jtool2 ovde ili ga instalirati pomoću brew.

bash
# Install
brew install --cask jtool2

jtool2 -l /bin/ls # Get commands (headers)
jtool2 -L /bin/ls # Get libraries
jtool2 -S /bin/ls # Get symbol info
jtool2 -d /bin/ls # Dump binary
jtool2 -D /bin/ls # Decompile binary

# Get signature information
ARCH=x86_64 jtool2 --sig /System/Applications/Automator.app/Contents/MacOS/Automator

# Get MIG information
jtool2 -d __DATA.__const myipc_server | grep MIG

[!CAUTION] > jtool je zastareo u korist disarm

Codesign / ldid

[!TIP] > Codesign se može naći u macOS, dok se ldid može naći u iOS

bash
# Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"

# Check if the app’s contents have been modified
codesign --verify --verbose /Applications/Safari.app

# Get entitlements from the binary
codesign -d --entitlements :- /System/Applications/Automator.app # Check the TCC perms

# Check if the signature is valid
spctl --assess --verbose /Applications/Safari.app

# Sign a binary
codesign -s <cert-name-keychain> toolsdemo

# Get signature info
ldid -h <binary>

# Get entitlements
ldid -e <binary>

# Change entilements
## /tmp/entl.xml is a XML file with the new entitlements to add
ldid -S/tmp/entl.xml <binary>

SuspiciousPackage

SuspiciousPackage je alat koristan za inspekciju .pkg fajlova (instalatera) i pregled sadržaja pre instalacije.
Ovi instalateri imaju preinstall i postinstall bash skripte koje autori malvera obično zloupotrebljavaju da održe malver.

hdiutil

Ovaj alat omogućava montiranje Apple disk slika (.dmg) fajlova za inspekciju pre pokretanja bilo čega:

bash
hdiutil attach ~/Downloads/Firefox\ 58.0.2.dmg

Biće montirano u /Volumes

Pakovani binarni fajlovi

  • Proverite visoku entropiju
  • Proverite stringove (ako gotovo da nema razumljivih stringova, pakovano)
  • UPX pakera za MacOS generiše sekciju pod nazivom "__XHDR"

Staticka analiza Objective-C

Metapodaci

caution

Imajte na umu da programi napisani u Objective-C zadržavaju svoje deklaracije klasa kada se kompajliraju u Mach-O binarne fajlove. Takve deklaracije klasa uključuju ime i tip:

  • Definisani interfejsi
  • Metode interfejsa
  • Varijable instanci interfejsa
  • Definisani protokoli

Imajte na umu da bi ova imena mogla biti obfuskirana kako bi se otežalo obrnuto inženjerstvo binarnog fajla.

Pozivanje funkcija

Kada se funkcija poziva u binarnom fajlu koji koristi Objective-C, kompajlirani kod umesto pozivanja te funkcije, poziva objc_msgSend. Koji će pozvati konačnu funkciju:

Parametri koje ova funkcija očekuje su:

  • Prvi parametar (self) je "pokazivač koji pokazuje na instancu klase koja treba da primi poruku". Ili jednostavnije rečeno, to je objekat na kojem se metoda poziva. Ako je metoda metoda klase, ovo će biti instanca objekta klase (kao celina), dok će za metodu instance, self pokazivati na instanciranu instancu klase kao objekat.
  • Drugi parametar, (op), je "selektor metode koja obrađuje poruku". Ponovo, jednostavnije rečeno, ovo je samo ime metode.
  • Preostali parametri su bilo koji vrednosti koje su potrebne metodi (op).

Pogledajte kako da dobijete ove informacije lako sa lldb u ARM64 na ovoj stranici:

Introduction to ARM64v8

x64:

ArgumentRegistar(za) objc_msgSend
1. argumentrdiself: objekat na kojem se metoda poziva
2. argumentrsiop: ime metode
3. argumentrdx1. argument za metodu
4. argumentrcx2. argument za metodu
5. argumentr83. argument za metodu
6. argumentr94. argument za metodu
7. i više

rsp+
(na steku)

5. i više argumenata za metodu

Dump ObjectiveC metapodataka

Dynadump

Dynadump je alat za dumpovanje klasa Objective-C binarnih fajlova. Github specificira dylibs, ali ovo takođe funkcioniše sa izvršnim fajlovima.

bash
./dynadump dump /path/to/bin

U vreme pisanja, ovo je trenutno ono što najbolje funkcioniše.

Redovni alati

bash
nm --dyldinfo-only /path/to/bin
otool -ov /path/to/bin
objdump --macho --objc-meta-data /path/to/bin

class-dump

class-dump je originalni alat za generisanje deklaracija za klase, kategorije i protokole u kodu formatiranom u ObjetiveC.

Stari je i neodržavan, tako da verovatno neće raditi ispravno.

ICDump

iCDump je moderan i multiplatformski dump klasa za Objective-C. U poređenju sa postojećim alatima, iCDump može da radi nezavisno od Apple ekosistema i izlaže Python vezivanja.

python
import icdump
metadata = icdump.objc.parse("/path/to/bin")

print(metadata.to_decl())

Staticka analiza Swifta

Sa Swift binarnim datotekama, pošto postoji kompatibilnost sa Objective-C, ponekad možete izvući deklaracije koristeći class-dump ali ne uvek.

Sa jtool -l ili otool -l komandama moguće je pronaći nekoliko sekcija koje počinju sa __swift5 prefiksom:

bash
jtool2 -l /Applications/Stocks.app/Contents/MacOS/Stocks
LC 00: LC_SEGMENT_64              Mem: 0x000000000-0x100000000    __PAGEZERO
LC 01: LC_SEGMENT_64              Mem: 0x100000000-0x100028000    __TEXT
[...]
Mem: 0x100026630-0x100026d54        __TEXT.__swift5_typeref
Mem: 0x100026d60-0x100027061        __TEXT.__swift5_reflstr
Mem: 0x100027064-0x1000274cc        __TEXT.__swift5_fieldmd
Mem: 0x1000274cc-0x100027608        __TEXT.__swift5_capture
[...]

Možete pronaći dodatne informacije o informacijama koje se čuvaju u ovoj sekciji u ovom blog postu.

Pored toga, Swift binarni fajlovi mogu imati simbole (na primer, biblioteke treba da čuvaju simbole kako bi se njihove funkcije mogle pozivati). Simboli obično imaju informacije o imenu funkcije i atributima na ružan način, tako da su veoma korisni i postoje "demangleri" koji mogu dobiti originalno ime:

bash
# Ghidra plugin
https://github.com/ghidraninja/ghidra_scripts/blob/master/swift_demangler.py

# Swift cli
swift demangle

Dinamička Analiza

warning

Imajte na umu da da biste debagovali binarne datoteke, SIP mora biti onemogućen (csrutil disable ili csrutil enable --without debug) ili da kopirate binarne datoteke u privremenu fasciklu i uklonite potpis sa codesign --remove-signature <binary-path> ili dozvolite debagovanje binarne datoteke (možete koristiti ovaj skript)

warning

Imajte na umu da da biste instrumentovali sistemske binarne datoteke, (kao što je cloudconfigurationd) na macOS-u, SIP mora biti onemogućen (samo uklanjanje potpisa neće raditi).

API

macOS izlaže neke zanimljive API-je koji daju informacije o procesima:

  • proc_info: Ovo je glavni API koji daje mnogo informacija o svakom procesu. Potrebno je biti root da biste dobili informacije o drugim procesima, ali vam nisu potrebna posebna ovlašćenja ili mach portovi.
  • libsysmon.dylib: Omogućava dobijanje informacija o procesima putem XPC izloženih funkcija, međutim, potrebno je imati ovlašćenje com.apple.sysmond.client.

Stackshot & mikrostackshotovi

Stackshotting je tehnika koja se koristi za hvatanje stanja procesa, uključujući pozivne stekove svih aktivnih niti. Ovo je posebno korisno za debagovanje, analizu performansi i razumevanje ponašanja sistema u određenom trenutku. Na iOS-u i macOS-u, stackshotting se može izvesti korišćenjem nekoliko alata i metoda kao što su alati sample i spindump.

Sysdiagnose

Ovaj alat (/usr/bini/ysdiagnose) u suštini prikuplja mnogo informacija sa vašeg računara izvršavajući desetine različitih komandi kao što su ps, zprint...

Mora se pokrenuti kao root i demon /usr/libexec/sysdiagnosed ima veoma zanimljiva ovlašćenja kao što su com.apple.system-task-ports i get-task-allow.

Njegov plist se nalazi u /System/Library/LaunchDaemons/com.apple.sysdiagnose.plist koji deklarira 3 MachServices:

  • com.apple.sysdiagnose.CacheDelete: Briše stare arhive u /var/rmp
  • com.apple.sysdiagnose.kernel.ipc: Poseban port 23 (kernel)
  • com.apple.sysdiagnose.service.xpc: Interfejs korisničkog moda kroz Libsysdiagnose Obj-C klasu. Tri argumenta u dict-u mogu biti prosleđena (compress, display, run)

Unified Logs

MacOS generiše mnogo logova koji mogu biti veoma korisni kada pokrećete aplikaciju pokušavajući da razumete šta ona radi.

Štaviše, postoje neki logovi koji će sadržati oznaku <private> da sakriju neke korisničke ili računarske identifikacione informacije. Međutim, moguće je instalirati sertifikat da bi se otkrile ove informacije. Pratite objašnjenja ovde.

Hopper

Leva panel

Na levoj panelu Hoper-a moguće je videti simbole (Labels) binarne datoteke, listu procedura i funkcija (Proc) i stringove (Str). To nisu svi stringovi, već oni definisani u nekoliko delova Mac-O datoteke (kao što su cstring ili objc_methname).

Srednja panel

Na srednjoj panelu možete videti disasemblirani kod. I možete ga videti kao sirov disasembler, kao graf, kao dekompajliran i kao binarni klikom na odgovarajuću ikonu:

Desnim klikom na objekat koda možete videti reference na/iz tog objekta ili čak promeniti njegovo ime (ovo ne funkcioniše u dekompajliranom pseudokodu):

Štaviše, u donjem srednjem delu možete pisati python komande.

Desna panel

Na desnoj panelu možete videti zanimljive informacije kao što su istorija navigacije (tako da znate kako ste došli do trenutne situacije), call graf gde možete videti sve funkcije koje pozivaju ovu funkciju i sve funkcije koje ova funkcija poziva, i informacije o lokalnim varijablama.

dtrace

Omogućava korisnicima pristup aplikacijama na ekstremno niskom nivou i pruža način za korisnike da prate programe i čak promene njihov tok izvršenja. Dtrace koristi probes koje su postavljene širom kernela i nalaze se na mestima kao što su početak i kraj sistemskih poziva.

DTrace koristi funkciju dtrace_probe_create za kreiranje probe za svaki sistemski poziv. Ove probe mogu biti aktivirane u ulaznoj i izlaznoj tački svakog sistemskog poziva. Interakcija sa DTrace se odvija kroz /dev/dtrace koja je dostupna samo za root korisnika.

tip

Da omogućite Dtrace bez potpunog onemogućavanja SIP zaštite, možete izvršiti u režimu oporavka: csrutil enable --without dtrace

Takođe možete dtrace ili dtruss binarne datoteke koje ste sami kompajlirali.

Dostupne probe dtrace-a mogu se dobiti sa:

bash
dtrace -l | head
ID   PROVIDER            MODULE                          FUNCTION NAME
1     dtrace                                                     BEGIN
2     dtrace                                                     END
3     dtrace                                                     ERROR
43    profile                                                     profile-97
44    profile                                                     profile-199

Ime probe se sastoji od četiri dela: provajder, modul, funkcija i ime (fbt:mach_kernel:ptrace:entry). Ako ne navedete neki deo imena, Dtrace će taj deo primeniti kao džoker.

Da bismo konfigurisali DTrace da aktivira probe i da odredimo koje akcije da izvršimo kada se aktiviraju, moraćemo da koristimo D jezik.

Detaljnije objašnjenje i više primera možete pronaći na https://illumos.org/books/dtrace/chp-intro.html

Primeri

Pokrenite man -k dtrace da biste prikazali DTrace skripte koje su dostupne. Primer: sudo dtruss -n binary

bash
#Count the number of syscalls of each running process
sudo dtrace -n 'syscall:::entry {@[execname] = count()}'
  • скрипт
bash
syscall:::entry
/pid == $1/
{
}

#Log every syscall of a PID
sudo dtrace -s script.d 1234
bash
syscall::open:entry
{
printf("%s(%s)", probefunc, copyinstr(arg0));
}
syscall::close:entry
{
printf("%s(%d)\n", probefunc, arg0);
}

#Log files opened and closed by a process
sudo dtrace -s b.d -c "cat /etc/hosts"
bash
syscall:::entry
{
;
}
syscall:::return
{
printf("=%d\n", arg1);
}

#Log sys calls with values
sudo dtrace -s syscalls_info.d -c "cat /etc/hosts"

dtruss

bash
dtruss -c ls #Get syscalls of ls
dtruss -c -p 1000 #get syscalls of PID 1000

kdebug

To je funkcija za praćenje jezgra. Dokumentovani kodovi se mogu naći u /usr/share/misc/trace.codes.

Alati kao što su latency, sc_usage, fs_usage i trace koriste je interno.

Za interakciju sa kdebug koristi se sysctl preko kern.kdebug imenskog prostora, a MIB-ovi koji se koriste mogu se naći u sys/sysctl.h, sa funkcijama implementiranim u bsd/kern/kdebug.c.

Da bi se interagovalo sa kdebug-om sa prilagođenim klijentom, obično su to koraci:

  • Uklonite postojeće postavke sa KERN_KDSETREMOVE
  • Postavite praćenje sa KERN_KDSETBUF i KERN_KDSETUP
  • Koristite KERN_KDGETBUF da dobijete broj unosa u baferu
  • Izvucite vlastiti klijent iz praćenja sa KERN_KDPINDEX
  • Omogućite praćenje sa KERN_KDENABLE
  • Pročitajte bafer pozivajući KERN_KDREADTR
  • Da biste povezali svaku nit sa njenim procesom, pozovite KERN_KDTHRMAP.

Da biste dobili ove informacije, moguće je koristiti Apple alat trace ili prilagođeni alat kDebugView (kdv).

Napomena: Kdebug je dostupan samo za 1 korisnika u isto vreme. Dakle, samo jedan alat sa k-debug podrškom može se izvršavati u isto vreme.

ktrace

ktrace_* API-ji dolaze iz libktrace.dylib koji obavijaju one iz Kdebug. Tada klijent može jednostavno pozvati ktrace_session_create i ktrace_events_[single/class] da postavi povratne pozive na specifične kodove i zatim ga pokrenuti sa ktrace_start.

Možete koristiti ovo čak i sa SIP aktiviranim

Možete koristiti kao klijente alat ktrace:

bash
ktrace trace -s -S -t c -c ls | grep "ls("

Ili tailspin.

kperf

Ovo se koristi za profilisanje na nivou kernela i izgrađeno je koristeći Kdebug pozive.

U suštini, globalna promenljiva kernel_debug_active se proverava i ako je postavljena, poziva kperf_kdebug_handler sa Kdebug kodom i adresom kernel okvira koji poziva. Ako se Kdebug kod poklapa sa jednim od odabranih, dobijaju se "akcije" konfigurirane kao bitmapa (proverite osfmk/kperf/action.h za opcije).

Kperf takođe ima sysctl MIB tabelu: (kao root) sysctl kperf. Ovi kodovi se mogu naći u osfmk/kperf/kperfbsd.c.

Štaviše, podskup funkcionalnosti Kperfa se nalazi u kpc, koji pruža informacije o brojačima performansi mašine.

ProcessMonitor

ProcessMonitor je veoma koristan alat za proveru akcija vezanih za procese koje proces izvršava (na primer, prati koje nove procese proces kreira).

SpriteTree

SpriteTree je alat koji prikazuje odnose između procesa.
Morate pratiti svoj mac sa komandom kao što je sudo eslogger fork exec rename create > cap.json (terminal koji pokreće ovo zahteva FDA). A zatim možete učitati json u ovaj alat da biste videli sve odnose:

FileMonitor

FileMonitor omogućava praćenje događaja vezanih za fajlove (kao što su kreiranje, modifikacije i brisanja) pružajući detaljne informacije o tim događajima.

Crescendo

Crescendo je GUI alat sa izgledom i osećajem koji korisnici Windows-a možda poznaju iz Microsoft Sysinternal’s Procmon. Ovaj alat omogućava snimanje različitih tipova događaja koji se mogu započeti i zaustaviti, omogućava filtriranje ovih događaja po kategorijama kao što su fajl, proces, mreža, itd., i pruža funkcionalnost za čuvanje snimljenih događaja u json formatu.

Apple Instruments

Apple Instruments su deo Xcode-ovih razvojnog alata – koriste se za praćenje performansi aplikacija, identifikovanje curenja memorije i praćenje aktivnosti na datotečnom sistemu.

fs_usage

Omogućava praćenje akcija koje izvode procesi:

bash
fs_usage -w -f filesys ls #This tracks filesystem actions of proccess names containing ls
fs_usage -w -f network curl #This tracks network actions

TaskExplorer

Taskexplorer je koristan za pregled biblioteka koje koristi binarni fajl, fajlova koje koristi i mrežnih konekcija.
Takođe proverava binarne procese protiv virustotal i prikazuje informacije o binarnom fajlu.

PT_DENY_ATTACH

U ovom blog postu možete pronaći primer o tome kako debug-ovati pokrenuti daemon koji koristi PT_DENY_ATTACH da spreči debagovanje čak i ako je SIP bio onemogućen.

lldb

lldb je de facto alat za macOS binarno debugovanje.

bash
lldb ./malware.bin
lldb -p 1122
lldb -n malware.bin
lldb -n malware.bin --waitfor

Možete postaviti intel varijantu kada koristite lldb kreiranjem datoteke pod nazivom .lldbinit u vašem domaćem direktorijumu sa sledećom linijom:

bash
settings set target.x86-disassembly-flavor intel

warning

Unutar lldb, dump-ujte proces sa process save-core

(lldb) KomandaOpis
run (r)Pokreće izvršavanje, koje će se nastaviti bez prekida dok se ne dostigne breakpoint ili proces ne završi.
process launch --stop-at-entryPokreće izvršavanje zaustavljajući se na ulaznoj tački
continue (c)Nastavlja izvršavanje debagovanog procesa.
nexti (n / ni)Izvršava sledeću instrukciju. Ova komanda će preskočiti pozive funkcija.
stepi (s / si)Izvršava sledeću instrukciju. Za razliku od nexti komande, ova komanda će ući u pozive funkcija.
finish (f)Izvršava ostatak instrukcija u trenutnoj funkciji (“frame”) i vraća se i zaustavlja.
control + cPauses izvršavanje. Ako je proces pokrenut (r) ili nastavljen (c), ovo će uzrokovati da proces stane ...gde god trenutno izvršava.
breakpoint (b)

b main #Svaka funkcija koja se zove main

b `main #Glavna funkcija binarija

b set -n main --shlib #Glavna funkcija označenog binarija

breakpoint set -r '\[NSFileManager .*\]$' #Svaka NSFileManager metoda

breakpoint set -r '\[NSFileManager contentsOfDirectoryAtPath:.*\]$'

break set -r . -s libobjc.A.dylib # Prekini u svim funkcijama te biblioteke

b -a 0x0000000100004bd9

br l #Lista breakpointova

br e/dis #Omogući/Onemogući breakpoint

breakpoint delete

help

help breakpoint #Dobijte pomoć za breakpoint komandu

help memory write #Dobijte pomoć za pisanje u memoriju

reg

reg read

reg read $rax

reg read $rax --format <format>

reg write $rip 0x100035cc0

x/s Prikazuje memoriju kao string koji se završava nulom.
x/i Prikazuje memoriju kao instrukciju asemblera.
x/b Prikazuje memoriju kao bajt.
print object (po)

Ovo će odštampati objekat na koji se referiše parametar

po $raw

{

dnsChanger = {

"affiliate" = "";

"blacklist_dns" = ();

Napomena da većina Apple-ovih Objective-C API-ja ili metoda vraća objekte, i stoga bi trebala biti prikazana putem komande “print object” (po). Ako po ne daje smislen izlaz, koristite x/b

memorymemory read 0x000....
memory read $x0+0xf2a
memory write 0x100600000 -s 4 0x41414141 #Upiši AAAA na tu adresu
memory write -f s $rip+0x11f+7 "AAAA" #Upiši AAAA na adresu
disassembly

dis #Disas trenutnu funkciju

dis -n #Disas funkciju

dis -n -b #Disas funkciju
dis -c 6 #Disas 6 linija
dis -c 0x100003764 -e 0x100003768 # Od jedne adrese do druge
dis -p -c 4 # Počni u trenutnoj adresi disasemblerajući

parrayparray 3 (char **)$x1 # Proveri niz od 3 komponente u x1 registru
image dump sectionsŠtampa mapu trenutne memorije procesa
image dump symtab image dump symtab CoreNLP #Dobij adresu svih simbola iz CoreNLP

note

Kada se poziva funkcija objc_sendMsg, registar rsi sadrži ime metode kao string koji se završava nulom (“C”). Da biste odštampali ime putem lldb, uradite:

(lldb) x/s $rsi: 0x1000f1576: "startMiningWithPort:password:coreCount:slowMemory:currency:"

(lldb) print (char*)$rsi:
(char *) $1 = 0x00000001000f1576 "startMiningWithPort:password:coreCount:slowMemory:currency:"

(lldb) reg read $rsi: rsi = 0x00000001000f1576 "startMiningWithPort:password:coreCount:slowMemory:currency:"

Anti-Dynamic Analysis

VM detekcija

  • Komanda sysctl hw.model vraća "Mac" kada je host MacOS, ali nešto drugo kada je VM.
  • Igrajući se sa vrednostima hw.logicalcpu i hw.physicalcpu, neki malveri pokušavaju da detektuju da li je u pitanju VM.
  • Neki malveri takođe mogu detektovati da li je mašina VMware na osnovu MAC adrese (00:50:56).
  • Takođe je moguće otkriti da li se proces debaguje jednostavnim kodom kao što je:
  • if(P_TRACED == (info.kp_proc.p_flag & P_TRACED)){ //proces se debaguje }
  • Takođe može pozvati ptrace sistemski poziv sa PT_DENY_ATTACH flagom. Ovo sprečava debugger da se priključi i prati.
  • Možete proveriti da li je funkcija sysctl ili ptrace importovana (ali malver bi mogao da je importuje dinamički)
  • Kao što je navedeno u ovom izveštaju, “Defeating Anti-Debug Techniques: macOS ptrace variants” :
    Poruka Process # exited with status = 45 (0x0000002d) obično je znak da je cilj debagovanja u upotrebi PT_DENY_ATTACH

Core Dumps

Core dumps se kreiraju ako:

  • kern.coredump sysctl je postavljen na 1 (po defaultu)
  • Ako proces nije suid/sgid ili kern.sugid_coredump je 1 (po defaultu je 0)
  • AS_CORE limit dozvoljava operaciju. Moguće je suprimirati kreiranje core dump-ova pozivom ulimit -c 0 i ponovo ih omogućiti sa ulimit -c unlimited.

U tim slučajevima, core dump se generiše prema kern.corefile sysctl i obično se čuva u /cores/core/.%P.

Fuzzing

ReportCrash

ReportCrash analizira procese koji se ruše i čuva izveštaj o padu na disku. Izveštaj o padu sadrži informacije koje mogu pomoći programeru da dijagnostikuje uzrok pada.
Za aplikacije i druge procese koji se izvršavaju u kontekstu per-user launchd, ReportCrash se pokreće kao LaunchAgent i čuva izveštaje o padu u korisnikovom ~/Library/Logs/DiagnosticReports/
Za daemone, druge procese koji se izvršavaju u kontekstu sistemskog launchd i druge privilegovane procese, ReportCrash se pokreće kao LaunchDaemon i čuva izveštaje o padu u sistemskom /Library/Logs/DiagnosticReports

Ako ste zabrinuti zbog izveštaja o padu koji se šalju Apple-u, možete ih onemogućiti. Ako ne, izveštaji o padu mogu biti korisni za utvrđivanje kako je server pao.

bash
#To disable crash reporting:
launchctl unload -w /System/Library/LaunchAgents/com.apple.ReportCrash.plist
sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.ReportCrash.Root.plist

#To re-enable crash reporting:
launchctl load -w /System/Library/LaunchAgents/com.apple.ReportCrash.plist
sudo launchctl load -w /System/Library/LaunchDaemons/com.apple.ReportCrash.Root.plist

Sleep

Dok fuzzing-a na MacOS-u, važno je ne dozvoliti Mac-u da zaspi:

SSH Disconnect

Ako fuzzing-ujete putem SSH veze, važno je osigurati da sesija ne isključi. Tako da promenite sshd_config datoteku sa:

  • TCPKeepAlive Yes
  • ClientAliveInterval 0
  • ClientAliveCountMax 0
bash
sudo launchctl unload /System/Library/LaunchDaemons/ssh.plist
sudo launchctl load -w /System/Library/LaunchDaemons/ssh.plist

Interni Handleri

Pogledajte sledeću stranicu da saznate kako možete pronaći koja aplikacija je odgovorna za rukovanje određenim shemama ili protokolima:

macOS File Extension & URL scheme app handlers

Enumeracija Mrežnih Procesa

Ovo je zanimljivo za pronalaženje procesa koji upravljaju mrežnim podacima:

bash
dtrace -n 'syscall::recv*:entry { printf("-> %s (pid=%d)", execname, pid); }' >> recv.log
#wait some time
sort -u recv.log > procs.txt
cat procs.txt

Ili koristite netstat ili lsof

Libgmalloc

bash
lldb -o "target create `which some-binary`" -o "settings set target.env-vars DYLD_INSERT_LIBRARIES=/usr/lib/libgmalloc.dylib" -o "run arg1 arg2" -o "bt" -o "reg read" -o "dis -s \$pc-32 -c 24 -m -F intel" -o "quit"

Fuzzers

AFL++

Radi za CLI alate

Litefuzz

To "samo radi" sa macOS GUI alatima. Imajte na umu da neke macOS aplikacije imaju specifične zahteve kao što su jedinstvena imena datoteka, prava ekstenzija, potreba da se datoteke čitaju iz sandboxes (~/Library/Containers/com.apple.Safari/Data)...

Neki primeri:

bash
# iBooks
litefuzz -l -c "/System/Applications/Books.app/Contents/MacOS/Books FUZZ" -i files/epub -o crashes/ibooks -t /Users/test/Library/Containers/com.apple.iBooksX/Data/tmp -x 10 -n 100000 -ez

# -l : Local
# -c : cmdline with FUZZ word (if not stdin is used)
# -i : input directory or file
# -o : Dir to output crashes
# -t : Dir to output runtime fuzzing artifacts
# -x : Tmeout for the run (default is 1)
# -n : Num of fuzzing iterations (default is 1)
# -e : enable second round fuzzing where any crashes found are reused as inputs
# -z : enable malloc debug helpers

# Font Book
litefuzz -l -c "/System/Applications/Font Book.app/Contents/MacOS/Font Book FUZZ" -i input/fonts -o crashes/font-book -x 2 -n 500000 -ez

# smbutil (using pcap capture)
litefuzz -lk -c "smbutil view smb://localhost:4455" -a tcp://localhost:4455 -i input/mac-smb-resp -p -n 100000 -z

# screensharingd (using pcap capture)
litefuzz -s -a tcp://localhost:5900 -i input/screenshared-session --reportcrash screensharingd -p -n 100000

Više informacija o Fuzzingu na MacOS-u

Reference

tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Podržite HackTricks