macOS Keychain
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Der Benutzerschlüsselbund (~/Library/Keychains/login.keychain-db
), der verwendet wird, um benutzerspezifische Anmeldeinformationen wie Anwendungskennwörter, Internetkennwörter, benutzergenerierte Zertifikate, Netzwerkkennwörter und benutzergenerierte öffentliche/private Schlüssel zu speichern.
Der Systemschlüsselbund (/Library/Keychains/System.keychain
), der systemweite Anmeldeinformationen wie WiFi-Kennwörter, Systemstammzertifikate, systemprivate Schlüssel und Systemanwendungskennwörter speichert.
Es ist möglich, andere Komponenten wie Zertifikate in /System/Library/Keychains/*
zu finden.
In iOS gibt es nur einen Schlüsselbund, der sich in /private/var/Keychains/
befindet. Dieser Ordner enthält auch Datenbanken für den TrustStore
, Zertifizierungsstellen (caissuercache
) und OSCP-Einträge (ocspache
).
Apps werden im Schlüsselbund nur auf ihren privaten Bereich basierend auf ihrer Anwendungskennung beschränkt.
Diese Dateien haben zwar keinen inhärenten Schutz und können heruntergeladen werden, sind jedoch verschlüsselt und erfordern das Klartextkennwort des Benutzers zur Entschlüsselung. Ein Tool wie Chainbreaker könnte zur Entschlüsselung verwendet werden.
Jeder Eintrag im Schlüsselbund wird durch Zugriffskontrolllisten (ACLs) geregelt, die festlegen, wer verschiedene Aktionen auf dem Schlüsselbund-Eintrag ausführen kann, einschließlich:
ACLAuhtorizationExportClear: Ermöglicht dem Inhaber, den Klartext des Geheimnisses zu erhalten.
ACLAuhtorizationExportWrapped: Ermöglicht dem Inhaber, den Klartext zu erhalten, der mit einem anderen bereitgestellten Kennwort verschlüsselt ist.
ACLAuhtorizationAny: Ermöglicht dem Inhaber, jede Aktion auszuführen.
Die ACLs werden zusätzlich von einer Liste vertrauenswürdiger Anwendungen begleitet, die diese Aktionen ohne Aufforderung ausführen können. Dies könnte sein:
Nil
(keine Autorisierung erforderlich, jeder ist vertrauenswürdig)
Eine leere Liste (niemand ist vertrauenswürdig)
Liste spezifischer Anwendungen.
Außerdem könnte der Eintrag den Schlüssel ACLAuthorizationPartitionID
enthalten, der verwendet wird, um die teamid, apple und cdhash zu identifizieren.
Wenn die teamid angegeben ist, muss die verwendete Anwendung, um den Eintrag ohne Aufforderung zu zugreifen, die gleiche teamid haben.
Wenn apple angegeben ist, muss die App von Apple signiert sein.
Wenn die cdhash angegeben ist, muss die App die spezifische cdhash haben.
Wenn ein neuer Eintrag mit Keychain Access.app
erstellt wird, gelten die folgenden Regeln:
Alle Apps können verschlüsseln.
Keine Apps können exportieren/entschlüsseln (ohne den Benutzer aufzufordern).
Alle Apps können die Integritätsprüfung sehen.
Keine Apps können ACLs ändern.
Die partitionID wird auf apple
gesetzt.
Wenn eine Anwendung einen Eintrag im Schlüsselbund erstellt, sind die Regeln etwas anders:
Alle Apps können verschlüsseln.
Nur die erstellende Anwendung (oder andere ausdrücklich hinzugefügte Apps) können exportieren/entschlüsseln (ohne den Benutzer aufzufordern).
Alle Apps können die Integritätsprüfung sehen.
Keine Apps können die ACLs ändern.
Die partitionID wird auf teamid:[teamID hier]
gesetzt.
security
Die Aufzählung und das Dumpen von Geheimnissen, die keine Eingabeaufforderung erzeugen, kann mit dem Tool LockSmith durchgeführt werden.
Andere API-Endpunkte finden sich im Quellcode von SecKeyChain.h.
Liste und erhalte Informationen über jeden Schlüsselbund-Eintrag mit dem Security Framework oder du kannst auch das Open-Source-CLI-Tool von Apple security. Einige API-Beispiele:
Die API SecItemCopyMatching
gibt Informationen über jeden Eintrag und es gibt einige Attribute, die du beim Verwenden festlegen kannst:
kSecReturnData
: Wenn wahr, wird versucht, die Daten zu entschlüsseln (auf falsch setzen, um potenzielle Pop-ups zu vermeiden)
kSecReturnRef
: Erhalte auch einen Verweis auf den Schlüsselbund-Eintrag (auf wahr setzen, falls du später siehst, dass du ohne Pop-up entschlüsseln kannst)
kSecReturnAttributes
: Erhalte Metadaten über Einträge
kSecMatchLimit
: Wie viele Ergebnisse zurückgegeben werden sollen
kSecClass
: Welche Art von Schlüsselbund-Eintrag
Erhalte ACLs jedes Eintrags:
Mit der API SecAccessCopyACLList
kannst du die ACL für den Schlüsselbund-Eintrag abrufen, und es wird eine Liste von ACLs zurückgegeben (wie ACLAuhtorizationExportClear
und die zuvor genannten), wobei jede Liste hat:
Beschreibung
Vertrauenswürdige Anwendungs-Liste. Dies könnte sein:
Eine App: /Applications/Slack.app
Ein Binary: /usr/libexec/airportd
Eine Gruppe: group://AirPort
Exportiere die Daten:
Die API SecKeychainItemCopyContent
erhält den Klartext
Die API SecItemExport
exportiert die Schlüssel und Zertifikate, könnte aber erforderlich sein, Passwörter festzulegen, um den Inhalt verschlüsselt zu exportieren
Und dies sind die Anforderungen, um ein Geheimnis ohne Eingabeaufforderung zu exportieren:
Wenn 1+ vertrauenswürdige Apps aufgelistet sind:
Benötige die entsprechenden Berechtigungen (Nil
, oder Teil der erlaubten Liste von Apps in der Berechtigung, um auf die geheimen Informationen zuzugreifen)
Benötige eine Codesignatur, die mit PartitionID übereinstimmt
Benötige eine Codesignatur, die mit der eines vertrauenswürdigen App übereinstimmt (oder Mitglied der richtigen KeychainAccessGroup sein)
Wenn alle Anwendungen vertrauenswürdig:
Benötige die entsprechenden Berechtigungen
Benötige eine Codesignatur, die mit PartitionID übereinstimmt
Wenn keine PartitionID, dann ist dies nicht erforderlich
Daher, wenn 1 Anwendung aufgelistet ist, musst du Code in dieser Anwendung injizieren.
Wenn apple in der partitionID angegeben ist, könntest du darauf mit osascript
zugreifen, sodass alles, was alle Anwendungen mit apple in der partitionID vertraut, darauf zugreifen kann. Python
könnte auch dafür verwendet werden.
Unsichtbar: Es ist ein boolesches Flag, um den Eintrag in der UI Schlüsselbund-App zu verstecken.
Allgemein: Es dient zur Speicherung von Metadaten (also ist es NICHT VERSCHLÜSSELT).
Microsoft speicherte alle Refresh-Token im Klartext, um auf sensible Endpunkte zuzugreifen.
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)