iOS/macOS App注入毒液木马程序

*郑重声明：本文展示的攻击过程是在模拟环境中进行的。文中涉及的漏洞原理和攻击方法，只为交流学习之用。如有人用于非法用途，产生的后果笔者不负任何责任。

由于本人水平有限，不足之处还请大家多多指正。

0x00 前言

在上一篇文章CVE-2019-8565 利用MSF对macOS提权中，我们使用msf的毒液模块生成了一个macOS下的木马App，但是这个App只是伪装了图标和名字，点击这个App却没有任何反应，这将会引起受害者的怀疑，并可能暴露木马程序。本文将介绍一种方法将木马程序嵌入到正常的App中，当受害者点击了这个App，App会正常运行，同时我们的木马程序也将在后台运行。

0x01 将mach-o转换为dylib

由于msfvenom只能生成mach-o格式的iOS/macOS平台木马程序，而我们要想让木马程序和宿主App同时运行，我能想到的最简单的办法就是把木马程序转换为dylib动态库，然后集成到宿主App中，并在宿主App启动的时候去调用木马dylib。msfvenom支持的生成木马格式如下图：

那么如何将mach-o转换成dylib呢？早在2016年的时候就有人实现了iOS App转动态库的黑科技，大致思路就是通过对比mach-o和dylib文件格式的异同点，然后将mach-o的格式修改为dylib的文件格式，具体实现细节可以查看作者开源工具的代码。

首先下载工具的源代码，然后通过make编译

git clone --recursive https://github.com/tobefuturer/app2dylib.git
cd app2dylib && make

通过下面的命令将mach-o转换为dylib

./app2dylib /tmp/test -o /tmp/libTest.dylib

0x02 集成到宿主App

有了木马dylib，就需要将其嵌入到一个宿主App中。有两种方式嵌入：

将dylib注入到宿主App，宿主App启动时会自动加载注入的木马dylib
直接将dylib放入宿主App包中，通过注入另一个dylib的代码来调用木马dylib

第一种方式虽然dylib可以加载，但是没有入口函数，需要修改木马dylib的启动入口代码才能调用木马的函数，相对于这种修改方式第二种方式可以主动调用木马dylib的函数，这种方式要更为灵活一些。因此我们将使用这种方式。把动态库放入宿主App的包里，可以放放在文件比较多的地方，起一个比较常见的动态库的名字，以迷惑使用者。下图是macOS下放入宿主App的位置，名字可以起一个更具迷惑性的。