macOS Auto Start
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Hierdie afdeling is sterk gebaseer op die blogreeks Beyond the good ol' LaunchAgents, die doel is om meer Autostart Plekke toe te voeg (indien moontlik), aan te dui watter tegnieke steeds werk vandag met die nuutste weergawe van macOS (13.4) en om die toestemmings wat benodig word, te spesifiseer.
Hier kan jy start plekke vind wat nuttig is vir sandbox bypass wat jou toelaat om eenvoudig iets uit te voer deur dit in 'n lêer te skryf en te wag vir 'n baie gewone aksie, 'n bepaalde hoeveelheid tyd of 'n aksie wat jy gewoonlik kan uitvoer van binne 'n sandbox sonder om root-toestemmings te benodig.
/Library/LaunchAgents
Trigger: Herlaai
Root benodig
/Library/LaunchDaemons
Trigger: Herlaai
Root benodig
/System/Library/LaunchAgents
Trigger: Herlaai
Root benodig
/System/Library/LaunchDaemons
Trigger: Herlaai
Root benodig
~/Library/LaunchAgents
Trigger: Herlog-in
~/Library/LaunchDemons
Trigger: Herlog-in
As 'n interessante feit, launchd
het 'n ingebedde eiendomslys in die Mach-o afdeling __Text.__config
wat ander bekende dienste bevat wat launchd moet begin. Boonop kan hierdie dienste die RequireSuccess
, RequireRun
en RebootOnSuccess
bevat wat beteken dat hulle uitgevoer en suksesvol voltooi moet word.
Natuurlik, dit kan nie gewysig word nie weens kode ondertekening.
launchd
is die eerste proses wat deur die OX S-kern by opstart uitgevoer word en die laaste een wat by afsluiting voltooi. Dit moet altyd die PID 1 hê. Hierdie proses sal die konfigurasies wat in die ASEP plists in:
/Library/LaunchAgents
: Per-gebruiker agente geïnstalleer deur die admin
/Library/LaunchDaemons
: Stelselswye demone geïnstalleer deur die admin
/System/Library/LaunchAgents
: Per-gebruiker agente verskaf deur Apple.
/System/Library/LaunchDaemons
: Stelselswye demone verskaf deur Apple.
Wanneer 'n gebruiker aanmeld, word die plists geleë in /Users/$USER/Library/LaunchAgents
en /Users/$USER/Library/LaunchDemons
met die aangemelde gebruikers se toestemmings begin.
Die hoofdifferensie tussen agente en demone is dat agente gelaai word wanneer die gebruiker aanmeld en die demone gelaai word by stelselsopstart (aangesien daar dienste soos ssh is wat uitgevoer moet word voordat enige gebruiker toegang tot die stelsel het). Ook kan agente GUI gebruik terwyl demone in die agtergrond moet loop.
Daar is gevalle waar 'n agent uitgevoer moet word voordat die gebruiker aanmeld, hierdie word PreLoginAgents genoem. Byvoorbeeld, dit is nuttig om assistiewe tegnologie by aanmelding te verskaf. Hulle kan ook gevind word in /Library/LaunchAgents
(sien hier 'n voorbeeld).
Nuwe Daemons of Agents konfigurasie lêers sal gelaai word na die volgende herlaai of met launchctl load <target.plist>
Dit is ook moontlik om .plist lêers sonder daardie uitbreiding te laai met launchctl -F <file>
(maar daardie plist lêers sal nie outomaties gelaai word na herlaai).
Dit is ook moontlik om te ontlaai met launchctl unload <target.plist>
(die proses waarna verwys word sal beëindig word),
Om te verseker dat daar nie iets (soos 'n oorskryding) is wat 'n Agent of Daemon verhinder om te loop nie, voer in: sudo launchctl load -w /System/Library/LaunchDaemos/com.apple.smdb.plist
Lys al die agente en daemons wat deur die huidige gebruiker gelaai is:
As 'n plist besit word deur 'n gebruiker, selfs al is dit in 'n daemon stelselwye vouers, sal die taak as die gebruiker uitgevoer word en nie as root nie. Dit kan sommige voorregverhoging aanvalle voorkom.
launchd
is die eerste gebruikersmodus proses wat van die kernel begin word. Die proses begin moet suksesvol wees en dit kan nie verlaat of crash nie. Dit is selfs beskerm teen sommige doodmaak seine.
Een van die eerste dinge wat launchd
sou doen, is om alle daemons soos:
Timer daemons gebaseer op tyd om uitgevoer te word:
atd (com.apple.atrun.plist
): Het 'n StartInterval
van 30min
crond (com.apple.systemstats.daily.plist
): Het StartCalendarInterval
om om 00:15 te begin
Netwerk daemons soos:
org.cups.cups-lpd
: Luister in TCP (SockType: stream
) met SockServiceName: printer
SockServiceName moet óf 'n poort óf 'n diens van /etc/services
wees
com.apple.xscertd.plist
: Luister op TCP in poort 1640
Pad daemons wat uitgevoer word wanneer 'n spesifieke pad verander:
com.apple.postfix.master
: Kontroleer die pad /etc/postfix/aliases
IOKit kennisgewing daemons:
com.apple.xartstorageremoted
: "com.apple.iokit.matching" => { "com.apple.device-attach" => { "IOMatchLaunchStream" => 1 ...
Mach port:
com.apple.xscertd-helper.plist
: Dit dui in die MachServices
inskrywing die naam com.apple.xscertd.helper
UserEventAgent:
Dit is anders as die vorige een. Dit laat launchd toe om toepassings te laat ontstaan in reaksie op spesifieke gebeurtenisse. In hierdie geval is die hoof binêre betrokke nie launchd
nie, maar /usr/libexec/UserEventAgent
. Dit laai plugins van die SIP beperkte vouer /System/Library/UserEventPlugins/ waar elke plugin sy inisialisator in die XPCEventModuleInitializer
sleutel aandui of, in die geval van ouer plugins, in die CFPluginFactories
dict onder die sleutel FB86416D-6164-2070-726F-70735C216EC0
van sy Info.plist
.
Writeup: https://theevilbit.github.io/beyond/beyond_0001/ Writeup (xterm): https://theevilbit.github.io/beyond/beyond_0018/
Nuttig om sandbox te omseil: ✅
TCC Omseiling: ✅
Maar jy moet 'n toepassing vind met 'n TCC omseiling wat 'n shell uitvoer wat hierdie lêers laai
~/.zshrc
, ~/.zlogin
, ~/.zshenv.zwc
, ~/.zshenv
, ~/.zprofile
Trigger: Maak 'n terminal met zsh oop
/etc/zshenv
, /etc/zprofile
, /etc/zshrc
, /etc/zlogin
Trigger: Maak 'n terminal met zsh oop
Root benodig
~/.zlogout
Trigger: Verlaat 'n terminal met zsh
/etc/zlogout
Trigger: Verlaat 'n terminal met zsh
Root benodig
Potensieel meer in: man zsh
~/.bashrc
Trigger: Maak 'n terminal met bash oop
/etc/profile
(het nie gewerk nie)
~/.profile
(het nie gewerk nie)
~/.xinitrc
, ~/.xserverrc
, /opt/X11/etc/X11/xinit/xinitrc.d/
Trigger: Verwag om te trigger met xterm, maar dit is nie geïnstalleer nie en selfs na installasie word hierdie fout gegooi: xterm: DISPLAY is not set
Wanneer 'n shell omgewing soos zsh
of bash
geïnisieer word, word sekere opstartlêers uitgevoer. macOS gebruik tans /bin/zsh
as die standaard shell. Hierdie shell word outomaties toeganklik wanneer die Terminal toepassing gelaai word of wanneer 'n toestel via SSH toeganklik is. Terwyl bash
en sh
ook in macOS teenwoordig is, moet hulle eksplisiet aangeroep word om gebruik te word.
Die manblad van zsh, wat ons kan lees met man zsh
, het 'n lang beskrywing van die opstartlêers.
Die konfigurasie van die aangeduide uitbuiting en afmeld en aanmeld of selfs herlaai het nie vir my gewerk om die app uit te voer nie. (Die app is nie uitgevoer nie, miskien moet dit loop wanneer hierdie aksies uitgevoer word)
Skrywe: https://theevilbit.github.io/beyond/beyond_0021/
~/Library/Preferences/ByHost/com.apple.loginwindow.<UUID>.plist
Trigger: Herbegin heropen toepassings
Al die toepassings om te heropen is binne die plist ~/Library/Preferences/ByHost/com.apple.loginwindow.<UUID>.plist
So, om die heropen toepassings jou eie te laat begin, moet jy net jou app by die lys voeg.
Die UUID kan gevind word deur daardie gids te lys of met ioreg -rd1 -c IOPlatformExpertDevice | awk -F'"' '/IOPlatformUUID/{print $4}'
Om die toepassings wat heropen sal word te kontroleer, kan jy doen:
Om 'n toepassing aan hierdie lys toe te voeg kan jy gebruik maak van:
Nuttig om sandbox te omseil: ✅
TCC omseiling: ✅
Terminal gebruik om FDA-toestemmings van die gebruiker te hê
~/Library/Preferences/com.apple.Terminal.plist
Trigger: Open Terminal
In ~/Library/Preferences
word die voorkeure van die gebruiker in die Toepassings gestoor. Sommige van hierdie voorkeure kan 'n konfigurasie bevat om ander toepassings/scripte uit te voer.
Byvoorbeeld, die Terminal kan 'n opdrag in die Opstart uitvoer:
Hierdie konfigurasie word in die lêer ~/Library/Preferences/com.apple.Terminal.plist
soos volg weerspieël:
So, as die plist van die voorkeure van die terminal in die stelsel oorgeskryf kan word, kan die open
funksionaliteit gebruik word om die terminal te open en daardie opdrag sal uitgevoer word.
Jy kan dit vanaf die cli byvoeg met:
Nuttig om sandbox te omseil: ✅
TCC omseiling: ✅
Terminal gebruik om FDA toestemmings van die gebruiker te hê
Enige plek
Trigger: Open Terminal
As jy 'n .terminal
skrip skep en dit oopmaak, sal die Terminal toepassing outomaties geaktiveer word om die opdragte wat daar aangedui is, uit te voer. As die Terminal-app sekere spesiale voorregte het (soos TCC), sal jou opdrag met daardie spesiale voorregte uitgevoer word.
Probeer dit met:
You kan ook die uitbreidings .command
, .tool
, met gewone shell skripte-inhoud gebruik en hulle sal ook deur Terminal geopen word.
As terminal Volledige Skyf Toegang het, sal dit in staat wees om daardie aksie te voltooi (let daarop dat die uitgevoerde opdrag sigbaar sal wees in 'n terminalvenster).
Skrywe: https://theevilbit.github.io/beyond/beyond_0013/ Skrywe: https://posts.specterops.io/audio-unit-plug-ins-896d3434a882
/Library/Audio/Plug-Ins/HAL
Wortel benodig
Trigger: Herbegin coreaudiod of die rekenaar
/Library/Audio/Plug-ins/Components
Wortel benodig
Trigger: Herbegin coreaudiod of die rekenaar
~/Library/Audio/Plug-ins/Components
Trigger: Herbegin coreaudiod of die rekenaar
/System/Library/Components
Wortel benodig
Trigger: Herbegin coreaudiod of die rekenaar
Volgens die vorige skrywes is dit moontlik om sekere klank plugins te compileer en hulle te laat laai.
Skrywe: https://theevilbit.github.io/beyond/beyond_0028/
/System/Library/QuickLook
/Library/QuickLook
~/Library/QuickLook
/Applications/AppNameHere/Contents/Library/QuickLook/
~/Applications/AppNameHere/Contents/Library/QuickLook/
QuickLook plugins kan uitgevoer word wanneer jy die voorvertoning van 'n lêer aktiveer (druk spasie met die lêer in Finder gekies) en 'n plugin wat daardie lêer tipe ondersteun is geïnstalleer.
Dit is moontlik om jou eie QuickLook plugin te compileer, dit in een van die vorige liggings te plaas om dit te laai en dan na 'n ondersteunde lêer te gaan en spasie te druk om dit te aktiveer.
Dit het nie vir my gewerk nie, nie met die gebruiker LoginHook nie, of met die wortel LogoutHook
Skrywe: https://theevilbit.github.io/beyond/beyond_0022/
Jy moet in staat wees om iets soos defaults write com.apple.loginwindow LoginHook /Users/$USER/hook.sh
uit te voer
Lo
k in ~/Library/Preferences/com.apple.loginwindow.plist
Hulle is verouderd, maar kan gebruik word om opdragte uit te voer wanneer 'n gebruiker aanmeld.
Hierdie instelling word gestoor in /Users/$USER/Library/Preferences/com.apple.loginwindow.plist
Om dit te verwyder:
Die wortel gebruiker een word gestoor in /private/var/root/Library/Preferences/com.apple.loginwindow.plist
Hier kan jy begin plekke vind wat nuttig is vir sandbox omseiling wat jou toelaat om eenvoudig iets uit te voer deur dit in 'n lêer te skryf en nie super algemene toestande te verwag nie, soos spesifieke programme geïnstalleer, "ongewone" gebruiker aksies of omgewings.
Skrywe: https://theevilbit.github.io/beyond/beyond_0004/
Nuttig om sandbox te omseil: ✅
Jy moet egter in staat wees om die crontab
binêre uit te voer
Of wees root
TCC omseiling: 🔴
/usr/lib/cron/tabs/
, /private/var/at/tabs
, /private/var/at/jobs
, /etc/periodic/
Root is vereis vir direkte skrywe toegang. Geen root vereis as jy crontab <file>
kan uitvoer nie
Trigger: Hang af van die cron werk
Lys die cron werke van die huidige gebruiker met:
U kan ook al die cron take van die gebruikers in /usr/lib/cron/tabs/
en /var/at/tabs/
sien (het wortel nodig).
In MacOS kan verskeie vouers wat skripte met sekere frekwensie uitvoer, gevind word in:
Daar kan jy die gewone cron take, die at take (nie baie gebruik nie) en die periodieke take (hoofsaaklik gebruik vir die skoonmaak van tydelike lêers) vind. Die daaglikse periodieke take kan byvoorbeeld uitgevoer word met: periodic daily
.
Om 'n gebruikers cronjob programmaties by te voeg, is dit moontlik om te gebruik:
Writeup: https://theevilbit.github.io/beyond/beyond_0002/
~/Library/Application Support/iTerm2/Scripts/AutoLaunch
Trigger: Maak iTerm oop
~/Library/Application Support/iTerm2/Scripts/AutoLaunch.scpt
Trigger: Maak iTerm oop
~/Library/Preferences/com.googlecode.iterm2.plist
Trigger: Maak iTerm oop
Scripts gestoor in ~/Library/Application Support/iTerm2/Scripts/AutoLaunch
sal uitgevoer word. Byvoorbeeld:
of:
Die skrip ~/Library/Application Support/iTerm2/Scripts/AutoLaunch.scpt
sal ook uitgevoer word:
Die iTerm2 voorkeure geleë in ~/Library/Preferences/com.googlecode.iterm2.plist
kan 'n opdrag aandui om uit te voer wanneer die iTerm2 terminal geopen word.
Hierdie instelling kan in die iTerm2 instellings gekonfigureer word:
En die opdrag word in die voorkeure weerspieël:
U kan die opdrag stel om uit te voer met:
Hoog waarskynlik is daar ander maniere om die iTerm2 voorkeure te misbruik om arbitrêre opdragte uit te voer.
Writeup: https://theevilbit.github.io/beyond/beyond_0007/
Nuttig om sandbox te omseil: ✅
Maar xbar moet geïnstalleer wees
TCC omseiling: ✅
Dit vra Toeganklikheid toestemmings
~/Library/Application\ Support/xbar/plugins/
Trigger: Sodra xbar uitgevoer word
As die gewilde program xbar geïnstalleer is, is dit moontlik om 'n shell-skrip in ~/Library/Application\ Support/xbar/plugins/
te skryf wat uitgevoer sal word wanneer xbar begin:
Writeup: https://theevilbit.github.io/beyond/beyond_0008/
Nuttig om sandbox te omseil: ✅
Maar Hammerspoon moet geïnstalleer wees
TCC omseiling: ✅
Dit vra Toeganklikheid toestemmings
~/.hammerspoon/init.lua
Trigger: Sodra hammerspoon uitgevoer word
Hammerspoon dien as 'n outomatiseringsplatform vir macOS, wat die LUA-skriptingtaal vir sy bedrywighede benut. Dit ondersteun die integrasie van volledige AppleScript-kode en die uitvoering van skulp-skripte, wat sy skriptingvermoëns aansienlik verbeter.
Die app soek 'n enkele lêer, ~/.hammerspoon/init.lua
, en wanneer dit begin word, sal die skrip uitgevoer word.
Nuttig om sandbox te omseil: ✅
Maar BetterTouchTool moet geïnstalleer wees
TCC omseiling: ✅
Dit vra Automatisering-Snelkoppeling en Toeganklikheid toestemmings
~/Library/Application Support/BetterTouchTool/*
Hierdie hulpmiddel laat toe om toepassings of skripte aan te dui wat uitgevoer moet word wanneer sekere snelkoppelinge gedruk word. 'n Aanvaller mag in staat wees om sy eie snelkoppeling en aksie in die databasis te konfigureer om dit te laat uitvoer willekeurige kode (n snelkoppeling kan net wees om 'n sleutel te druk).
Nuttig om sandbox te omseil: ✅
Maar Alfred moet geïnstalleer wees
TCC omseiling: ✅
Dit vra Automatisering, Toeganklikheid en selfs Volle Skyf toegang toestemmings
???
Dit laat toe om werksvloeie te skep wat kode kan uitvoer wanneer sekere voorwaardes nagekom word. Potensieel is dit moontlik vir 'n aanvaller om 'n werksvloei-lêer te skep en Alfred dit te laat laai (dit is nodig om die premium weergawe te betaal om werksvloeie te gebruik).
Writeup: https://theevilbit.github.io/beyond/beyond_0006/
Nuttig om sandbox te omseil: ✅
Maar ssh moet geaktiveer en gebruik word
TCC omseiling: ✅
SSH gebruik om FDA toegang te hê
~/.ssh/rc
Trigger: Inlog via ssh
/etc/ssh/sshrc
Root benodig
Trigger: Inlog via ssh
Om ssh aan te skakel vereis Volle Skyf Toegang:
Standaard, tensy PermitUserRC no
in /etc/ssh/sshd_config
, wanneer 'n gebruiker inlog via SSH sal die skripte /etc/ssh/sshrc
en ~/.ssh/rc
uitgevoer word.
Skrywe: https://theevilbit.github.io/beyond/beyond_0003/
~/Library/Application Support/com.apple.backgroundtaskmanagementagent
Trigger: Inlog
Exploit payload gestoor wat osascript
aanroep
/var/db/com.apple.xpc.launchd/loginitems.501.plist
Trigger: Inlog
Root benodig
In Stelsels Voorkeure -> Gebruikers & Groepe -> Inlogitems kan jy items vind wat uitgevoer moet word wanneer die gebruiker inlog. Dit is moontlik om hulle te lys, by te voeg en te verwyder vanaf die opdraglyn:
Hierdie items word gestoor in die lêer ~/Library/Application Support/com.apple.backgroundtaskmanagementagent
Aanmelditems kan ook aangedui word deur die API SMLoginItemSetEnabled wat die konfigurasie in /var/db/com.apple.xpc.launchd/loginitems.501.plist
sal stoor.
(Kyk na die vorige afdeling oor Aanmelditems, dit is 'n uitbreiding)
As jy 'n ZIP lêer as 'n Aanmelditem stoor, sal die Archive Utility
dit oopmaak en as die zip byvoorbeeld in ~/Library
gestoor is en die gids LaunchAgents/file.plist
met 'n backdoor bevat, sal daardie gids geskep word (dit is nie standaard nie) en die plist sal bygevoeg word sodat die volgende keer wanneer die gebruiker weer aanmeld, die backdoor aangedui in die plist sal uitgevoer word.
Nog 'n opsie sou wees om die lêers .bash_profile
en .zshenv
binne die gebruiker se HOME te skep, sodat as die gids LaunchAgents reeds bestaan, hierdie tegniek steeds sal werk.
Skrywe: https://theevilbit.github.io/beyond/beyond_0014/
Nuttig om die sandbox te omseil: ✅
Maar jy moet at
uitvoer en dit moet geaktiveer wees
TCC omseiling: 🔴
Moet at
uitvoer en dit moet geaktiveer wees
at
take is ontwerp om eenmalige take te skeduleer wat op sekere tye uitgevoer moet word. Anders as cron take, word at
take outomaties verwyder na uitvoering. Dit is belangrik om te noem dat hierdie take volhardend is oor stelselhervattings, wat hulle as potensiële sekuriteitskwessies onder sekere omstandighede merk.
Deur standaard is hulle deaktiveer maar die root gebruiker kan hulle aktiveer met:
Dit sal 'n lêer in 1 uur skep:
Kontroleer die werkskuil met atq:
Boven kan ons twee geplande werksgeleenthede sien. Ons kan die besonderhede van die werk druk met at -c JOBNUMBER
As AT take nie geaktiveer is nie, sal die geskepte take nie uitgevoer word.
Die werk lêers kan gevind word by /private/var/at/jobs/
Die lêernaam bevat die wag, die werksnommer, en die tyd wat dit geskeduleer is om te loop. Byvoorbeeld, kom ons kyk na a0001a019bdcd2
.
a
- dit is die wag
0001a
- werksnommer in hex, 0x1a = 26
019bdcd2
- tyd in hex. Dit verteenwoordig die minute wat verby is sedert die epoch. 0x019bdcd2
is 26991826
in desimale. As ons dit met 60 vermenigvuldig, kry ons 1619509560
, wat GMT: 2021. April 27., Dinsdag 7:46:00
is.
As ons die werkslêer druk, vind ons dat dit dieselfde inligting bevat wat ons met at -c
gekry het.
Skrywe: https://theevilbit.github.io/beyond/beyond_0024/ Skrywe: https://posts.specterops.io/folder-actions-for-persistence-on-macos-8923f222343d
Nuttig om die sandbox te omseil: ✅
Maar jy moet in staat wees om osascript
met argumente aan te roep om System Events
te kontak om Folder Actions te konfigureer
TCC omseiling: 🟠
Dit het 'n paar basiese TCC-toestemmings soos Desktop, Dokumente en Aflaaie
/Library/Scripts/Folder Action Scripts
Wortel benodig
Trigger: Toegang tot die gespesifiseerde gids
~/Library/Scripts/Folder Action Scripts
Trigger: Toegang tot die gespesifiseerde gids
Folder Actions is skripte wat outomaties geaktiveer word deur veranderinge in 'n gids soos die toevoeging, verwydering van items, of ander aksies soos om die gidsvenster te open of te hergroott. Hierdie aksies kan vir verskeie take gebruik word, en kan op verskillende maniere geaktiveer word, soos deur die Finder UI of terminalopdragte.
Om Folder Actions op te stel, het jy opsies soos:
Om 'n Folder Action werkvloei met Automator te skep en dit as 'n diens te installeer.
Om 'n skrip handmatig aan te heg via die Folder Actions Setup in die konteksmenu van 'n gids.
Om OSAScript te gebruik om Apple Event boodskappe na die System Events.app
te stuur vir programmaties opstel van 'n Folder Action.
Hierdie metode is veral nuttig om die aksie in die stelsel in te bed, wat 'n vlak van volharding bied.
Die volgende skrip is 'n voorbeeld van wat deur 'n Folder Action uitgevoer kan word:
Om die bogenoemde skrip bruikbaar te maak deur Folder Actions, kompileer dit met:
Na die skrip gekompileer is, stel Folder Actions op deur die skrip hieronder uit te voer. Hierdie skrip sal Folder Actions globaal aktief maak en spesifiek die voorheen gekompileerde skrip aan die Desktop-gids koppel.
Voer die opstelling-skrip uit met:
Dit is die manier om hierdie volharding via GUI te implementeer:
Dit is die skrip wat uitgevoer sal word:
Kompileer dit met: osacompile -l JavaScript -o folder.scpt source.js
Skuif dit na:
Dan, open die Folder Actions Setup
app, kies die map wat jy wil monitor en kies in jou geval folder.scpt
(in my geval het ek dit output2.scp genoem):
Nou, as jy daardie map met Finder oopmaak, sal jou skrip uitgevoer word.
Hierdie konfigurasie is gestoor in die plist geleë in ~/Library/Preferences/com.apple.FolderActionsDispatcher.plist
in base64 formaat.
Nou, kom ons probeer om hierdie volharding voor te berei sonder GUI-toegang:
Kopieer ~/Library/Preferences/com.apple.FolderActionsDispatcher.plist
na /tmp
om dit te rugsteun:
cp ~/Library/Preferences/com.apple.FolderActionsDispatcher.plist /tmp
Verwyder die Folder Actions wat jy pas gestel het:
Nou dat ons 'n leë omgewing het
Kopieer die rugsteunlêer: cp /tmp/com.apple.FolderActionsDispatcher.plist ~/Library/Preferences/
Open die Folder Actions Setup.app om hierdie konfigurasie te gebruik: open "/System/Library/CoreServices/Applications/Folder Actions Setup.app/"
En dit het nie vir my gewerk nie, maar dit is die instruksies uit die skrywe:(
Skrywe: https://theevilbit.github.io/beyond/beyond_0027/
Nuttig om die sandbox te omseil: ✅
Maar jy moet 'n kwaadwillige toepassing binne die stelsel geïnstalleer hê
TCC omseiling: 🔴
~/Library/Preferences/com.apple.dock.plist
Trigger: Wanneer die gebruiker op die toepassing binne die dock klik
Al die toepassings wat in die Dock verskyn, is binne die plist gespesifiseer: ~/Library/Preferences/com.apple.dock.plist
Dit is moontlik om 'n toepassing by te voeg net met:
Deur sommige sosiale ingenieurswese te gebruik, kan jy byvoorbeeld Google Chrome in die dok naboots en eintlik jou eie skrip uitvoer:
Writeup: https://theevilbit.github.io/beyond/beyond_0017
Nuttig om sandbox te omseil: 🟠
'n Baie spesifieke aksie moet gebeur
Jy sal in 'n ander sandbox eindig
TCC omseiling: 🔴
/Library/ColorPickers
Root benodig
Trigger: Gebruik die kleur kieser
~/Library/ColorPickers
Trigger: Gebruik die kleur kieser
Compile 'n kleur kieser bundel met jou kode (jy kan hierdie een byvoorbeeld gebruik) en voeg 'n konstruktor by (soos in die Skermbeskermer afdeling) en kopieer die bundel na ~/Library/ColorPickers
.
Dan, wanneer die kleur kieser geaktiveer word, moet jou kode ook geaktiveer word.
Let daarop dat die binêre wat jou biblioteek laai 'n baie beperkende sandbox het: /System/Library/Frameworks/AppKit.framework/Versions/C/XPCServices/LegacyExternalColorPickerService-x86_64.xpc/Contents/MacOS/LegacyExternalColorPickerService-x86_64
Skrywe: https://theevilbit.github.io/beyond/beyond_0026/ Skrywe: https://objective-see.org/blog/blog_0x11.html
Nuttig om sandbox te omseil: Nee, omdat jy jou eie app moet uitvoer
TCC omseiling: ???
'n Spesifieke app
'n Toepassing voorbeeld met 'n Finder Sync Uitbreiding kan hier gevind word.
Toepassings kan Finder Sync Uitbreidings
hê. Hierdie uitbreiding sal binne 'n toepassing gaan wat uitgevoer sal word. Boonop, om die uitbreiding in staat te stel om sy kode uit te voer, moet dit onderteken wees met 'n geldige Apple ontwikkelaar sertifikaat, dit moet sandboxed wees (alhoewel verslapte uitsonderings bygevoeg kan word) en dit moet geregistreer wees met iets soos:
Skrywe: https://theevilbit.github.io/beyond/beyond_0016/ Skrywe: https://posts.specterops.io/saving-your-access-d562bf5bf90b
/System/Library/Screen Savers
Wortel benodig
Trigger: Kies die skermbeskermer
/Library/Screen Savers
Wortel benodig
Trigger: Kies die skermbeskermer
~/Library/Screen Savers
Trigger: Kies die skermbeskermer
Skep 'n nuwe projek in Xcode en kies die sjabloon om 'n nuwe Skermbeskermer te genereer. Voeg dan jou kode daaraan toe, byvoorbeeld die volgende kode om logs te genereer.
Bou dit, en kopieer die .saver
bundel na ~/Library/Screen Savers
. Open dan die Skermbeskermer GUI en as jy net daarop klik, moet dit baie logs genereer:
Let daarop dat omdat binne die regte van die binêre wat hierdie kode laai (/System/Library/Frameworks/ScreenSaver.framework/PlugIns/legacyScreenSaver.appex/Contents/MacOS/legacyScreenSaver
) jy com.apple.security.app-sandbox
kan vind, jy sal wees binne die algemene toepassingssandkas.
Saver code:
writeup: https://theevilbit.github.io/beyond/beyond_0011/
Nuttig om die sandbox te omseil: 🟠
Maar jy sal in 'n toepassing sandbox eindig
TCC omseiling: 🔴
Die sandbox lyk baie beperk
~/Library/Spotlight/
Trigger: 'n Nuwe lêer met 'n uitbreiding wat deur die spotlight plugin bestuur word, word geskep.
/Library/Spotlight/
Trigger: 'n Nuwe lêer met 'n uitbreiding wat deur die spotlight plugin bestuur word, word geskep.
Root benodig
/System/Library/Spotlight/
Trigger: 'n Nuwe lêer met 'n uitbreiding wat deur die spotlight plugin bestuur word, word geskep.
Root benodig
Some.app/Contents/Library/Spotlight/
Trigger: 'n Nuwe lêer met 'n uitbreiding wat deur die spotlight plugin bestuur word, word geskep.
Nuwe toepassing benodig
Spotlight is macOS se ingeboude soekfunksie, ontwerp om gebruikers vinnige en omvattende toegang tot data op hul rekenaars te bied. Om hierdie vinnige soekvermoë te fasiliteer, hou Spotlight 'n eie databasis en skep 'n indeks deur meeste lêers te ontleed, wat vinnige soektogte deur sowel lêernames as hul inhoud moontlik maak.
Die onderliggende meganisme van Spotlight behels 'n sentrale proses genaamd 'mds', wat staan vir 'metadata server'. Hierdie proses orkestreer die hele Spotlight diens. Ter aanvulling hiervan, is daar verskeie 'mdworker' daemons wat 'n verskeidenheid onderhoudstake uitvoer, soos die indeksering van verskillende lêertipes (ps -ef | grep mdworker
). Hierdie take word moontlik gemaak deur Spotlight invoerder plugins, of ".mdimporter bundles", wat Spotlight in staat stel om inhoud oor 'n diverse reeks lêerformate te verstaan en te indekseer.
Die plugins of .mdimporter
bundles is geleë in die plekke wat vroeër genoem is en as 'n nuwe bundle verskyn, word dit binne 'n minuut gelaai (geen behoefte om enige diens te herbegin nie). Hierdie bundles moet aandui watter lêertipe en uitbreidings hulle kan bestuur, sodat Spotlight hulle sal gebruik wanneer 'n nuwe lêer met die aangeduide uitbreiding geskep word.
Dit is moontlik om alle mdimporters
wat gelaai is, te vind deur te loop:
En byvoorbeeld /Library/Spotlight/iBooksAuthor.mdimporter word gebruik om hierdie tipe lêers (uitbreidings .iba
en .book
onder andere) te ontleed:
As jy die Plist van ander mdimporter
nagaan, mag jy nie die inskrywing UTTypeConformsTo
vind nie. Dit is omdat dit 'n ingeboude Uniform Type Identifiers (UTI) is en dit nie nodig is om uitbreidings te spesifiseer nie.
Boonop het stelsels standaard plugins altyd voorrang, so 'n aanvaller kan slegs toegang verkry tot lêers wat nie andersins deur Apple se eie mdimporters
geïndekseer word nie.
Om jou eie importer te skep, kan jy met hierdie projek begin: https://github.com/megrimm/pd-spotlight-importer en dan die naam, die CFBundleDocumentTypes
verander en UTImportedTypeDeclarations
byvoeg sodat dit die uitbreiding ondersteun wat jy wil ondersteun en dit in schema.xml
reflekteer.
Verander dan die kode van die funksie GetMetadataForFile
om jou payload uit te voer wanneer 'n lêer met die verwerkte uitbreiding geskep word.
Laastens bou en kopieer jou nuwe .mdimporter
na een van die vorige plekke en jy kan nagaan of dit gelaai is deur die logs te monitor of deur mdimport -L.
te kontroleer.
Dit lyk nie of dit meer werk nie.
Skrywe: https://theevilbit.github.io/beyond/beyond_0009/
/System/Library/PreferencePanes
/Library/PreferencePanes
~/Library/PreferencePanes
Dit lyk nie of dit meer werk nie.
Hier kan jy begin plekke vind wat nuttig is vir sandbox omseiling wat jou toelaat om eenvoudig iets uit te voer deur dit in 'n lêer te skryf terwyl jy root is en/of ander vreemde toestande vereis.
Skrywe: https://theevilbit.github.io/beyond/beyond_0019/
/etc/periodic/daily
, /etc/periodic/weekly
, /etc/periodic/monthly
, /usr/local/etc/periodic
Root benodig
Trigger: Wanneer die tyd aanbreek
/etc/daily.local
, /etc/weekly.local
of /etc/monthly.local
Root benodig
Trigger: Wanneer die tyd aanbreek
Die periodieke skripte (/etc/periodic
) word uitgevoer as gevolg van die launch daemons wat in /System/Library/LaunchDaemons/com.apple.periodic*
geconfigureer is. Let daarop dat skripte wat in /etc/periodic/
gestoor is, uitgevoer word as die eienaar van die lêer, so dit sal nie werk vir 'n potensiële voorregverhoging nie.
Daar is ander periodieke skripte wat uitgevoer sal word soos aangedui in /etc/defaults/periodic.conf
:
If you manage to write any of the files /etc/daily.local
, /etc/weekly.local
or /etc/monthly.local
it will be uitgevoer vroeg of laat.
Let daarop dat die periodieke skrip uitgevoer sal word as die eienaar van die skrip. So as 'n gewone gebruiker die skrip besit, sal dit as daardie gebruiker uitgevoer word (dit kan voorkom dat voorregverhoging aanvalle plaasvind).
Writeup: Linux Hacktricks PAM Writeup: https://theevilbit.github.io/beyond/beyond_0005/
Root altyd vereis
Aangesien PAM meer gefokus is op volharding en malware as op maklike uitvoering binne macOS, sal hierdie blog nie 'n gedetailleerde verduideliking gee nie, lees die writeups om hierdie tegniek beter te verstaan.
Check PAM modules with:
'n Volharding/privilege escalation tegniek wat PAM misbruik, is so eenvoudig soos om die module /etc/pam.d/sudo te wysig deur aan die begin die lyn by te voeg:
So dit sal lyk soos iets soos hierdie:
En daarom sal enige poging om sudo
te gebruik werk.
Let daarop dat hierdie gids deur TCC beskerm word, so dit is hoogs waarskynlik dat die gebruiker 'n versoek sal ontvang om toegang te verkry.
Nog 'n mooi voorbeeld is su, waar jy kan sien dat dit ook moontlik is om parameters aan die PAM-modules te gee (en jy kan ook hierdie lêer backdoor):
Writeup: https://theevilbit.github.io/beyond/beyond_0028/ Writeup: https://posts.specterops.io/persistent-credential-theft-with-authorization-plugins-d17b34719d65
Nuttig om sandbox te omseil: 🟠
Maar jy moet root wees en ekstra konfigurasies maak
TCC omseiling: ???
/Library/Security/SecurityAgentPlugins/
Root benodig
Dit is ook nodig om die magtiging databasis te konfigureer om die plugin te gebruik
Jy kan 'n magtiging plugin skep wat uitgevoer sal word wanneer 'n gebruiker aanmeld om volharding te handhaaf. Vir meer inligting oor hoe om een van hierdie plugins te skep, kyk na die vorige skrywes (en wees versigtig, 'n swak geskryfde een kan jou uitsluit en jy sal jou mac uit herstelmodus moet skoonmaak).
Skuif die bundel na die ligging om gelaai te word:
Laastens voeg die reël by om hierdie Plugin te laai:
Die evaluate-mechanisms
sal die magtigingsraamwerk vertel dat dit 'n eksterne meganisme vir magtiging moet aanroep. Boonop sal privileged
dit deur root laat uitvoer.
Trigger dit met:
En dan moet die staff-groep sudo toegang hê (lees /etc/sudoers
om te bevestig).
Skrywe: https://theevilbit.github.io/beyond/beyond_0030/
Nuttig om sandbox te omseil: 🟠
Maar jy moet root wees en die gebruiker moet man gebruik
TCC omseiling: 🔴
/private/etc/man.conf
Root vereis
/private/etc/man.conf
: Wanneer man gebruik word
Die konfigurasie-lêer /private/etc/man.conf
dui die binêre/script aan wat gebruik moet word wanneer man dokumentasielêers oopgemaak word. So die pad na die uitvoerbare kan verander word sodat wanneer die gebruiker man gebruik om 'n paar dokumente te lees, 'n backdoor uitgevoer word.
Byvoorbeeld gestel in /private/etc/man.conf
:
En skep dan /tmp/view
as:
Skrywe: https://theevilbit.github.io/beyond/beyond_0023/
Nuttig om sandbox te omseil: 🟠
Maar jy moet root wees en apache moet loop
TCC omseiling: 🔴
Httpd het nie regte nie
/etc/apache2/httpd.conf
Root vereis
Trigger: Wanneer Apache2 begin word
Jy kan in /etc/apache2/httpd.conf
aandui om 'n module te laai deur 'n lyn soos die volgende toe te voeg:
Op hierdie manier sal jou saamgestelde modules deur Apache gelaai word. Die enigste ding is dat jy dit of met 'n geldige Apple-sertifikaat moet teken, of jy moet 'n nuwe vertroude sertifikaat in die stelsel voeg en dit met dit teken.
Dan, indien nodig, om seker te maak dat die bediener begin sal word, kan jy uitvoer:
Writeup: https://theevilbit.github.io/beyond/beyond_0031/
Nuttig om sandbox te omseil: 🟠
Maar jy moet root wees, auditd moet loop en 'n waarskuwing veroorsaak
TCC omseiling: 🔴
/etc/security/audit_warn
Root vereis
Trigger: Wanneer auditd 'n waarskuwing opspoor
Wanneer auditd 'n waarskuwing opspoor, word die skrip /etc/security/audit_warn
uitgevoer. So jy kan jou payload daarop voeg.
You could force a warning with sudo audit -n
.
Dit is verouderd, so daar behoort niks in daardie gidse te wees nie.
Die StartupItem is 'n gids wat binne ofwel /Library/StartupItems/
of /System/Library/StartupItems/
geplaas moet word. Sodra hierdie gids gevestig is, moet dit twee spesifieke lêers bevat:
'n rc script: 'n shell script wat by opstart uitgevoer word.
'n plist lêer, spesifiek genaamd StartupParameters.plist
, wat verskeie konfigurasie-instellings bevat.
Verseker dat beide die rc script en die StartupParameters.plist
lêer korrek binne die StartupItem gids geplaas is sodat die opstartproses dit kan herken en gebruik.
Ek kan hierdie komponent nie in my macOS vind nie, so vir meer inligting kyk na die skrywe
Skrywe: https://theevilbit.github.io/beyond/beyond_0023/
Ingevoerd deur Apple, emond is 'n logmeganisme wat blykbaar onderontwikkeld of moontlik verlate is, maar dit bly toeganklik. Terwyl dit nie besonder voordelig is vir 'n Mac-administrateur nie, kan hierdie obscuure diens dien as 'n subtiele volhardingsmetode vir bedreigingsakteurs, waarskynlik onopgemerk deur die meeste macOS-administrateurs.
Vir diegene wat bewus is van sy bestaan, is dit eenvoudig om enige kwaadwillige gebruik van emond te identifiseer. Die stelsels se LaunchDaemon vir hierdie diens soek skripte om in 'n enkele gids uit te voer. Om dit te ondersoek, kan die volgende opdrag gebruik word:
Writeup: https://theevilbit.github.io/beyond/beyond_0018/
/opt/X11/etc/X11/xinit/privileged_startx.d
Root benodig
Trigger: Met XQuartz
XQuartz is nie meer geïnstalleer in macOS nie, so as jy meer inligting wil hê, kyk na die skrywe.
Dit is so ingewikkeld om kext te installeer selfs as root dat ek dit nie sal oorweeg om van sandboxes te ontsnap of selfs vir volharding nie (tenzij jy 'n exploit het)
Om 'n KEXT as 'n opstartitem te installeer, moet dit in een van die volgende plekke geïnstalleer word:
/System/Library/Extensions
KEXT-lêers ingebou in die OS X-bedryfstelsel.
/Library/Extensions
KEXT-lêers geïnstalleer deur 3de party sagteware
Jy kan tans gelaaide kext-lêers lys met:
For more information about kernel extensions check this section.
Writeup: https://theevilbit.github.io/beyond/beyond_0029/
/usr/local/bin/amstoold
Root benodig
Blykbaar het die plist
van /System/Library/LaunchAgents/com.apple.amstoold.plist
hierdie binêre gebruik terwyl dit 'n XPC-diens blootgestel het... die ding is dat die binêre nie bestaan het nie, so jy kon iets daar plaas en wanneer die XPC-diens geroep word, sal jou binêre geroep word.
Ek kan dit nie meer in my macOS vind nie.
Writeup: https://theevilbit.github.io/beyond/beyond_0015/
/Library/Preferences/Xsan/.xsanrc
Root benodig
Trigger: Wanneer die diens uitgevoer word (selde)
Blykbaar is dit nie baie algemeen om hierdie skrip uit te voer nie en ek kon dit selfs nie in my macOS vind nie, so as jy meer inligting wil hê, kyk na die skrywe.
Dit werk nie in moderne MacOS weergawes nie
Dit is ook moontlik om hier opdragte te plaas wat by opstart uitgevoer sal word. Voorbeeld van 'n gewone rc.common skrip:
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)