macOS Dangerous Entitlements & TCC perms
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Let daarop dat regte wat met com.apple begin nie beskikbaar is vir derde partye nie, slegs Apple kan dit toeken.
com.apple.rootless.install.heritableDie reg com.apple.rootless.install.heritable maak dit moontlik om SIP te omseil. Kyk hier vir meer inligting.
com.apple.rootless.installDie reg com.apple.rootless.install maak dit moontlik om SIP te omseil. Kyk hier vir meer inligting.
com.apple.system-task-ports (voorheen genoem task_for_pid-allow)Hierdie reg maak dit moontlik om die taakpoort vir enige proses te verkry, behalwe die kernel. Kyk hier vir meer inligting.
com.apple.security.get-task-allowHierdie reg maak dit moontlik vir ander prosesse met die com.apple.security.cs.debugger reg om die taakpoort van die proses wat deur die binêre met hierdie reg uitgevoer word te verkry en kode daarop in te spuit. Kyk hier vir meer inligting.
com.apple.security.cs.debuggerApps met die Debugging Tool Reg kan task_for_pid() aanroep om 'n geldige taakpoort vir ongetekende en derdeparty-apps met die Get Task Allow reg wat op true gestel is, te verkry. Maar, selfs met die debugging tool reg, kan 'n debugger nie die taakpoorte van prosesse wat nie die Get Task Allow reg het nie, en wat dus deur Stelselintegriteitsbeskerming beskerm word, verkry nie. Kyk hier vir meer inligting.
com.apple.security.cs.disable-library-validationHierdie reg maak dit moontlik om raamwerke, plug-ins, of biblioteke te laai sonder om of deur Apple geteken te wees of met dieselfde Span ID as die hoof uitvoerbare, sodat 'n aanvaller sommige arbitrêre biblioteeklaai kan misbruik om kode in te spuit. Kyk hier vir meer inligting.
com.apple.private.security.clear-library-validationHierdie reg is baie soortgelyk aan com.apple.security.cs.disable-library-validation maar in plaas daarvan om direk biblioteekvalidasie te deaktiveer, maak dit dit moontlik vir die proses om 'n csops stelselaanroep te doen om dit te deaktiveer.
Kyk hier vir meer inligting.
com.apple.security.cs.allow-dyld-environment-variablesHierdie reg maak dit moontlik om DYLD omgewing veranderlikes te gebruik wat gebruik kan word om biblioteke en kode in te spuit. Kyk hier vir meer inligting.
com.apple.private.tcc.manager of com.apple.rootless.storage.TCCVolgens hierdie blog en hierdie blog, maak hierdie regte dit moontlik om die TCC databasis te wysig.
system.install.apple-software en system.install.apple-software.standar-userHierdie regte maak dit moontlik om programmatuur te installeer sonder om toestemming van die gebruiker te vra, wat nuttig kan wees vir 'n privilege escalasie.
com.apple.private.security.kext-managementReg wat benodig word om die kernel te vra om 'n kernuitbreiding te laai.
com.apple.private.icloud-account-accessDie reg com.apple.private.icloud-account-access maak dit moontlik om te kommunikeer met die com.apple.iCloudHelper XPC diens wat iCloud tokens sal verskaf.
iMovie en Garageband het hierdie reg gehad.
Vir meer inligting oor die eksploit om icloud tokens van daardie reg te verkry, kyk die praatjie: #OBTS v5.0: "What Happens on your Mac, Stays on Apple's iCloud?!" - Wojciech Regula
com.apple.private.tcc.manager.check-by-audit-tokenTODO: Ek weet nie wat dit toelaat om te doen nie
com.apple.private.apfs.revert-to-snapshotTODO: In hierdie verslag word genoem dat dit gebruik kan word om die SSV-beskermde inhoud na 'n herlaai op te dateer. As jy weet hoe, stuur 'n PR asseblief!
com.apple.private.apfs.create-sealed-snapshotTODO: In hierdie verslag word genoem dat dit gebruik kan word om die SSV-beskermde inhoud na 'n herlaai op te dateer. As jy weet hoe, stuur 'n PR asseblief!
keychain-access-groupsHierdie regte lys keychain groepe waartoe die toepassing toegang het:
kTCCServiceSystemPolicyAllFilesGee Volle Skyf Toegang regte, een van die TCC hoogste regte wat jy kan hê.
kTCCServiceAppleEventsLaat die app toe om gebeurtenisse na ander toepassings te stuur wat algemeen gebruik word vir outomatisering van take. Deur ander apps te beheer, kan dit die regte wat aan hierdie ander apps toegeken is, misbruik.
Soos om hulle te laat vra vir die gebruiker se wagwoord:
Of om hulle arbitraire aksies te laat uitvoer.
kTCCServiceEndpointSecurityClientLaat, onder andere toestemmings, toe om die gebruikers TCC databasis te skryf.
kTCCServiceSystemPolicySysAdminFilesLaat toe om die NFSHomeDirectory attribuut van 'n gebruiker te verander wat sy tuisgids pad verander en dus toelaat om TCC te omseil.
kTCCServiceSystemPolicyAppBundlesLaat toe om lêers binne toepassingsbundels (binne app.app) te wysig, wat standaard verbode is.
Dit is moontlik om te kyk wie hierdie toegang het in Stelselsinstellings > Privaatheid & Sekuriteit > Toepassingbestuur.
kTCCServiceAccessibilityDie proses sal in staat wees om die macOS toeganklikheidskenmerke te misbruik, wat beteken dat hy byvoorbeeld in staat sal wees om toetsaanslagen te druk. SO hy kan toegang vra om 'n toepassing soos Finder te beheer en die dialoog met hierdie toestemming goed te keur.
com.apple.security.cs.allow-jitHierdie reg laat toe om geheue te skep wat skryfbaar en uitvoerbaar is deur die MAP_JIT vlag aan die mmap() stelselfunksie deur te gee. Kyk hier vir meer inligting.
com.apple.security.cs.allow-unsigned-executable-memoryHierdie reg laat toe om C kode te oorskry of te patch, gebruik die lank-gedepregeerde NSCreateObjectFileImageFromMemory (wat fundamenteel onveilig is), of gebruik die DVDPlayback raamwerk. Kyk hier vir meer inligting.
Die insluiting van hierdie reg stel jou toepassing bloot aan algemene kwesbaarhede in geheue-onveilige kode tale. Oorweeg sorgvuldig of jou toepassing hierdie uitsondering benodig.
com.apple.security.cs.disable-executable-page-protectionHierdie reg laat toe om afdelings van sy eie uitvoerbare lêers op skyf te wysig om gedwonge uitgang te dwing. Kyk hier vir meer inligting.
Die Disable Executable Memory Protection Entitlement is 'n uiterste reg wat 'n fundamentele sekuriteitsbeskerming van jou toepassing verwyder, wat dit moontlik maak vir 'n aanvaller om jou toepassing se uitvoerbare kode sonder opsporing te herskryf. Verkies nouer regte indien moontlik.
com.apple.security.cs.allow-relative-library-loadsTODO
com.apple.private.nullfs_allowHierdie reg laat toe om 'n nullfs lêerstelsel te monteer (verbode deur standaard). Gereedskap: mount_nullfs.
kTCCServiceAllVolgens hierdie blogpos, is hierdie TCC toestemming gewoonlik in die vorm:
Allow the process to vraag vir al die TCC-toestemmings.
kTCCServicePostEventLeer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
