macOS Installers Abuse
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
'n macOS installer pakket (ook bekend as 'n .pkg
lêer) is 'n lêerformaat wat deur macOS gebruik word om sagteware te versprei. Hierdie lêers is soos 'n doos wat alles bevat wat 'n stuk sagteware nodig het om korrek te installeer en te werk.
Die pakketlêer self is 'n argief wat 'n hiërargie van lêers en gidse bevat wat op die teiken rekenaar geïnstalleer sal word. Dit kan ook scripts insluit om take voor en na die installasie uit te voer, soos om konfigurasielêers op te stel of ou weergawes van die sagteware skoon te maak.
Distribution (xml): Aangepas (titel, verwelkoming teks…) en script/installasie kontroles
PackageInfo (xml): Inligting, installasie vereistes, installasie ligging, paaie na scripts om uit te voer
Bill of materials (bom): Lys van lêers om te installeer, op te dateer of te verwyder met lêer toestemmings
Payload (CPIO argief gzip gecomprimeer): Lêers om te installeer in die install-location
van PackageInfo
Scripts (CPIO argief gzip gecomprimeer): Voor- en na-installasie scripts en meer hulpbronne wat na 'n tydelike gids uitgehaal is vir uitvoering.
In order to visualize the contents of the installer without decompressing it manually you can also use the free tool Suspicious Package.
DMG-lêers, of Apple Disk Images, is 'n lêerformaat wat deur Apple se macOS vir skyfbeelde gebruik word. 'n DMG-lêer is in wese 'n aansluitbare skyfbeeld (dit bevat sy eie lêerstelsel) wat rou blokdata bevat wat tipies gecomprimeer en soms geënkripteer is. Wanneer jy 'n DMG-lêer oopmaak, aansluit macOS dit asof dit 'n fisiese skyf is, wat jou toelaat om toegang tot sy inhoud te verkry.
Let daarop dat .dmg
installers soveel formate ondersteun dat sommige daarvan in die verlede wat kwesbaarhede bevat het, misbruik is om kernel kode-uitvoering te verkry.
Die hiërargie van 'n DMG-lêer kan verskil op grond van die inhoud. Dit volg egter gewoonlik hierdie struktuur vir toepassings DMGs:
Topvlak: Dit is die wortel van die skyfbeeld. Dit bevat dikwels die toepassing en moontlik 'n skakel na die Toepassings-gids.
Toepassing (.app): Dit is die werklike toepassing. In macOS is 'n toepassing tipies 'n pakket wat baie individuele lêers en gidse bevat wat die toepassing saamstel.
Toepassingskakel: Dit is 'n snelkoppeling na die Toepassings-gids in macOS. Die doel hiervan is om dit vir jou maklik te maak om die toepassing te installeer. Jy kan die .app-lêer na hierdie snelkoppeling sleep om die app te installeer.
As 'n vooraf of na-installasie skrip byvoorbeeld uitvoer vanaf /var/tmp/Installerutil
, en 'n aanvaller daardie skrip kan beheer, kan hy privilige verhoog wanneer dit uitgevoer word. Of 'n ander soortgelyke voorbeeld:
Dit is 'n openbare funksie wat verskeie installers en opdaterings sal aanroep om iets as root uit te voer. Hierdie funksie aanvaar die pad van die lêer om te uitvoer as parameter, egter, as 'n aanvaller hierdie lêer kan wysig, sal hy in staat wees om sy uitvoering met root te misbruik om privilege te verhoog.
For more info check this talk: https://www.youtube.com/watch?v=lTOItyjTTkw
As 'n installer na /tmp/fixedname/bla/bla
skryf, is dit moontlik om 'n montasie te skep oor /tmp/fixedname
sonder eienaars sodat jy enige lêer tydens die installasie kan wysig om die installasieproses te misbruik.
'n Voorbeeld hiervan is CVE-2021-26089 wat daarin geslaag het om 'n periodieke skrip te oorskryf om uitvoering as root te verkry. Vir meer inligting, kyk na die praatjie: OBTS v4.0: "Mount(ain) of Bugs" - Csaba Fitzl
Dit is moontlik om net 'n .pkg
lêer te genereer met pre- en post-install skripte sonder enige werklike payload behalwe die malware binne die skripte.
Dit is moontlik om <script>
etikette in die verspreiding xml lêer van die pakket toe te voeg en daardie kode sal uitgevoer word en dit kan opdragte uitvoer met behulp van system.run
:
Kwaadwillige installer wat 'n skrip en JS-kode binne dist.xml gebruik
Leer & oefen AWS Hacking:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Opleiding GCP Red Team Expert (GRTE)