macOS Auto Start
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Esta sección se basa en gran medida en la serie de blogs Beyond the good ol' LaunchAgents, el objetivo es agregar más ubicaciones de autoinicio (si es posible), indicar qué técnicas aún funcionan hoy en día con la última versión de macOS (13.4) y especificar los permisos necesarios.
Aquí puedes encontrar ubicaciones de inicio útiles para sandbox bypass que te permiten simplemente ejecutar algo escribiéndolo en un archivo y esperando una acción muy común, una cantidad determinada de tiempo o una acción que normalmente puedes realizar desde dentro de un sandbox sin necesidad de permisos de root.
/Library/LaunchAgents
Disparador: Reinicio
Se requiere root
/Library/LaunchDaemons
Disparador: Reinicio
Se requiere root
/System/Library/LaunchAgents
Disparador: Reinicio
Se requiere root
/System/Library/LaunchDaemons
Disparador: Reinicio
Se requiere root
~/Library/LaunchAgents
Disparador: Reingreso
~/Library/LaunchDemons
Disparador: Reingreso
Como dato interesante, launchd
tiene una lista de propiedades incrustada en la sección Mach-o __Text.__config
que contiene otros servicios bien conocidos que launchd debe iniciar. Además, estos servicios pueden contener RequireSuccess
, RequireRun
y RebootOnSuccess
, lo que significa que deben ejecutarse y completarse con éxito.
Por supuesto, no se puede modificar debido a la firma de código.
launchd
es el primer proceso ejecutado por el kernel de OX S al inicio y el último en finalizar al apagarse. Siempre debe tener el PID 1. Este proceso leerá y ejecutará las configuraciones indicadas en los plists de ASEP en:
/Library/LaunchAgents
: Agentes por usuario instalados por el administrador
/Library/LaunchDaemons
: Daemons a nivel de sistema instalados por el administrador
/System/Library/LaunchAgents
: Agentes por usuario proporcionados por Apple.
/System/Library/LaunchDaemons
: Daemons a nivel de sistema proporcionados por Apple.
Cuando un usuario inicia sesión, los plists ubicados en /Users/$USER/Library/LaunchAgents
y /Users/$USER/Library/LaunchDemons
se inician con los permisos del usuario conectado.
La principal diferencia entre agentes y daemons es que los agentes se cargan cuando el usuario inicia sesión y los daemons se cargan al inicio del sistema (ya que hay servicios como ssh que necesitan ejecutarse antes de que cualquier usuario acceda al sistema). Además, los agentes pueden usar GUI mientras que los daemons necesitan ejecutarse en segundo plano.
Hay casos en los que un agente necesita ser ejecutado antes de que el usuario inicie sesión, estos se llaman PreLoginAgents. Por ejemplo, esto es útil para proporcionar tecnología asistencial al iniciar sesión. También se pueden encontrar en /Library/LaunchAgents
(ver aquí un ejemplo).
Los nuevos archivos de configuración de Daemons o Agents serán cargados después del próximo reinicio o usando launchctl load <target.plist>
También es posible cargar archivos .plist sin esa extensión con launchctl -F <file>
(sin embargo, esos archivos plist no se cargarán automáticamente después del reinicio).
También es posible descargar con launchctl unload <target.plist>
(el proceso señalado por él será terminado),
Para asegurar que no hay nada (como una anulación) previniendo que un Agente o Daemon se ejecute, ejecuta: sudo launchctl load -w /System/Library/LaunchDaemos/com.apple.smdb.plist
Lista todos los agentes y daemons cargados por el usuario actual:
Si un plist es propiedad de un usuario, incluso si está en carpetas de sistema de demonios, la tarea se ejecutará como el usuario y no como root. Esto puede prevenir algunos ataques de escalada de privilegios.
launchd
es el primer proceso en modo usuario que se inicia desde el núcleo. El inicio del proceso debe ser exitoso y no puede salir ni fallar. Está incluso protegido contra algunas señales de terminación.
Una de las primeras cosas que haría launchd
es iniciar todos los demonios como:
Demonios de temporizador basados en el tiempo para ser ejecutados:
atd (com.apple.atrun.plist
): Tiene un StartInterval
de 30min
crond (com.apple.systemstats.daily.plist
): Tiene StartCalendarInterval
para iniciar a las 00:15
Demonios de red como:
org.cups.cups-lpd
: Escucha en TCP (SockType: stream
) con SockServiceName: printer
SockServiceName debe ser un puerto o un servicio de /etc/services
com.apple.xscertd.plist
: Escucha en TCP en el puerto 1640
Demonios de ruta que se ejecutan cuando cambia una ruta especificada:
com.apple.postfix.master
: Verificando la ruta /etc/postfix/aliases
Demonios de notificaciones de IOKit:
com.apple.xartstorageremoted
: "com.apple.iokit.matching" => { "com.apple.device-attach" => { "IOMatchLaunchStream" => 1 ...
Puerto Mach:
com.apple.xscertd-helper.plist
: Indica en la entrada MachServices
el nombre com.apple.xscertd.helper
UserEventAgent:
Esto es diferente del anterior. Hace que launchd inicie aplicaciones en respuesta a eventos específicos. Sin embargo, en este caso, el binario principal involucrado no es launchd
sino /usr/libexec/UserEventAgent
. Carga plugins de la carpeta restringida por SIP /System/Library/UserEventPlugins/ donde cada plugin indica su inicializador en la clave XPCEventModuleInitializer
o, en el caso de plugins más antiguos, en el diccionario CFPluginFactories
bajo la clave FB86416D-6164-2070-726F-70735C216EC0
de su Info.plist
.
Escritura: https://theevilbit.github.io/beyond/beyond_0001/ Escritura (xterm): https://theevilbit.github.io/beyond/beyond_0018/
Útil para eludir sandbox: ✅
Bypass de TCC: ✅
Pero necesitas encontrar una aplicación con un bypass de TCC que ejecute un shell que cargue estos archivos
~/.zshrc
, ~/.zlogin
, ~/.zshenv.zwc
, ~/.zshenv
, ~/.zprofile
Disparador: Abrir un terminal con zsh
/etc/zshenv
, /etc/zprofile
, /etc/zshrc
, /etc/zlogin
Disparador: Abrir un terminal con zsh
Se requiere root
~/.zlogout
Disparador: Salir de un terminal con zsh
/etc/zlogout
Disparador: Salir de un terminal con zsh
Se requiere root
Potencialmente más en: man zsh
~/.bashrc
Disparador: Abrir un terminal con bash
/etc/profile
(no funcionó)
~/.profile
(no funcionó)
~/.xinitrc
, ~/.xserverrc
, /opt/X11/etc/X11/xinit/xinitrc.d/
Disparador: Se espera que se active con xterm, pero no está instalado y incluso después de instalarlo se lanza este error: xterm: DISPLAY is not set
Al iniciar un entorno de shell como zsh
o bash
, se ejecutan ciertos archivos de inicio. macOS actualmente utiliza /bin/zsh
como el shell predeterminado. Este shell se accede automáticamente cuando se lanza la aplicación Terminal o cuando se accede a un dispositivo a través de SSH. Aunque bash
y sh
también están presentes en macOS, deben ser invocados explícitamente para ser utilizados.
La página del manual de zsh, que podemos leer con man zsh
, tiene una larga descripción de los archivos de inicio.
Configurar la explotación indicada y cerrar sesión e iniciar sesión o incluso reiniciar no funcionó para mí para ejecutar la aplicación. (La aplicación no se estaba ejecutando, tal vez necesita estar en funcionamiento cuando se realizan estas acciones)
Escritura: https://theevilbit.github.io/beyond/beyond_0021/
~/Library/Preferences/ByHost/com.apple.loginwindow.<UUID>.plist
Disparador: Reiniciar reabriendo aplicaciones
Todas las aplicaciones para reabrir están dentro del plist ~/Library/Preferences/ByHost/com.apple.loginwindow.<UUID>.plist
Así que, para hacer que las aplicaciones reabiertas lancen la tuya, solo necesitas agregar tu aplicación a la lista.
El UUID se puede encontrar listando ese directorio o con ioreg -rd1 -c IOPlatformExpertDevice | awk -F'"' '/IOPlatformUUID/{print $4}'
Para verificar las aplicaciones que se volverán a abrir puedes hacer:
Para agregar una aplicación a esta lista puedes usar:
Útil para eludir el sandbox: ✅
Eludir TCC: ✅
El uso del Terminal tiene permisos de FDA del usuario que lo utiliza
~/Library/Preferences/com.apple.Terminal.plist
Disparador: Abrir Terminal
En ~/Library/Preferences
se almacenan las preferencias del usuario en las Aplicaciones. Algunas de estas preferencias pueden contener una configuración para ejecutar otras aplicaciones/scripts.
Por ejemplo, el Terminal puede ejecutar un comando en el Inicio:
Esta configuración se refleja en el archivo ~/Library/Preferences/com.apple.Terminal.plist
de la siguiente manera:
Así que, si el plist de las preferencias del terminal en el sistema pudiera ser sobrescrito, entonces la funcionalidad open
se puede usar para abrir el terminal y ese comando será ejecutado.
Puedes agregar esto desde la línea de comandos con:
Útil para eludir el sandbox: ✅
Eludir TCC: ✅
Uso de Terminal para tener permisos de FDA del usuario que lo utiliza
Cualquier lugar
Disparador: Abrir Terminal
Si creas un .terminal
script y lo abres, la aplicación Terminal se invocará automáticamente para ejecutar los comandos indicados allí. Si la aplicación Terminal tiene algunos privilegios especiales (como TCC), tu comando se ejecutará con esos privilegios especiales.
Inténtalo con:
Podrías usar también las extensiones .command
, `.tool, con contenido de scripts de shell regulares y también se abrirán con Terminal.
Si Terminal tiene Acceso Completo al Disco, podrá completar esa acción (ten en cuenta que el comando ejecutado será visible en una ventana de terminal).
Escritura: https://theevilbit.github.io/beyond/beyond_0013/ Escritura: https://posts.specterops.io/audio-unit-plug-ins-896d3434a882
/Library/Audio/Plug-Ins/HAL
Se requiere root
Disparador: Reiniciar coreaudiod o el ordenador
/Library/Audio/Plug-ins/Components
Se requiere root
Disparador: Reiniciar coreaudiod o el ordenador
~/Library/Audio/Plug-ins/Components
Disparador: Reiniciar coreaudiod o el ordenador
/System/Library/Components
Se requiere root
Disparador: Reiniciar coreaudiod o el ordenador
Según las escrituras anteriores, es posible compilar algunos plugins de audio y hacer que se carguen.
Escritura: https://theevilbit.github.io/beyond/beyond_0028/
/System/Library/QuickLook
/Library/QuickLook
~/Library/QuickLook
/Applications/AppNameHere/Contents/Library/QuickLook/
~/Applications/AppNameHere/Contents/Library/QuickLook/
Los plugins de QuickLook pueden ejecutarse cuando activas la vista previa de un archivo (presiona la barra espaciadora con el archivo seleccionado en Finder) y un plugin que soporte ese tipo de archivo está instalado.
Es posible compilar tu propio plugin de QuickLook, colocarlo en una de las ubicaciones anteriores para cargarlo y luego ir a un archivo compatible y presionar espacio para activarlo.
Esto no funcionó para mí, ni con el LoginHook del usuario ni con el LogoutHook de root.
Escritura: https://theevilbit.github.io/beyond/beyond_0022/
Necesitas poder ejecutar algo como defaults write com.apple.loginwindow LoginHook /Users/$USER/hook.sh
Ub
icado en ~/Library/Preferences/com.apple.loginwindow.plist
Están obsoletos, pero se pueden usar para ejecutar comandos cuando un usuario inicia sesión.
Esta configuración se almacena en /Users/$USER/Library/Preferences/com.apple.loginwindow.plist
Para eliminarlo:
El usuario root se almacena en /private/var/root/Library/Preferences/com.apple.loginwindow.plist
Aquí puedes encontrar ubicaciones de inicio útiles para bypass de sandbox que te permiten simplemente ejecutar algo escribiéndolo en un archivo y esperando condiciones no muy comunes como programas específicos instalados, acciones de usuario "poco comunes" o entornos.
Escritura: https://theevilbit.github.io/beyond/beyond_0004/
Útil para el bypass de sandbox: ✅
Sin embargo, necesitas poder ejecutar el binario crontab
O ser root
Bypass de TCC: 🔴
/usr/lib/cron/tabs/
, /private/var/at/tabs
, /private/var/at/jobs
, /etc/periodic/
Se requiere root para acceso de escritura directo. No se requiere root si puedes ejecutar crontab <file>
Disparador: Depende del trabajo cron
Lista los trabajos cron del usuario actual con:
Puedes ver también todos los trabajos cron de los usuarios en /usr/lib/cron/tabs/
y /var/at/tabs/
(necesita root).
En MacOS se pueden encontrar varias carpetas que ejecutan scripts con cierta frecuencia en:
Ahí puedes encontrar los cron jobs regulares, los at jobs (no muy utilizados) y los periodic jobs (principalmente utilizados para limpiar archivos temporales). Los trabajos periódicos diarios se pueden ejecutar, por ejemplo, con: periodic daily
.
Para agregar un user cronjob programáticamente es posible usar:
Writeup: https://theevilbit.github.io/beyond/beyond_0002/
~/Library/Application Support/iTerm2/Scripts/AutoLaunch
Trigger: Abrir iTerm
~/Library/Application Support/iTerm2/Scripts/AutoLaunch.scpt
Trigger: Abrir iTerm
~/Library/Preferences/com.googlecode.iterm2.plist
Trigger: Abrir iTerm
Los scripts almacenados en ~/Library/Application Support/iTerm2/Scripts/AutoLaunch
se ejecutarán. Por ejemplo:
o:
El script ~/Library/Application Support/iTerm2/Scripts/AutoLaunch.scpt
también se ejecutará:
Las preferencias de iTerm2 ubicadas en ~/Library/Preferences/com.googlecode.iterm2.plist
pueden indicar un comando a ejecutar cuando se abre el terminal iTerm2.
Esta configuración se puede configurar en la configuración de iTerm2:
Y el comando se refleja en las preferencias:
Puedes establecer el comando a ejecutar con:
Altamente probable que haya otras formas de abusar de las preferencias de iTerm2 para ejecutar comandos arbitrarios.
Escritura: https://theevilbit.github.io/beyond/beyond_0007/
Útil para eludir el sandbox: ✅
Pero xbar debe estar instalado
Bypass de TCC: ✅
Solicita permisos de Accesibilidad
~/Library/Application\ Support/xbar/plugins/
Disparador: Una vez que xbar se ejecute
Si el popular programa xbar está instalado, es posible escribir un script de shell en ~/Library/Application\ Support/xbar/plugins/
que se ejecutará cuando se inicie xbar:
Escritura: https://theevilbit.github.io/beyond/beyond_0008/
Útil para eludir sandbox: ✅
Pero Hammerspoon debe estar instalado
Bypass de TCC: ✅
Solicita permisos de Accesibilidad
~/.hammerspoon/init.lua
Disparador: Una vez que se ejecuta hammerspoon
Hammerspoon sirve como una plataforma de automatización para macOS, aprovechando el lenguaje de scripting LUA para sus operaciones. Notablemente, soporta la integración de código completo de AppleScript y la ejecución de scripts de shell, mejorando significativamente sus capacidades de scripting.
La aplicación busca un solo archivo, ~/.hammerspoon/init.lua
, y cuando se inicia, el script se ejecutará.
Útil para eludir el sandbox: ✅
Pero BetterTouchTool debe estar instalado
Bypass de TCC: ✅
Solicita permisos de Automatización-Cortos y Accesibilidad
~/Library/Application Support/BetterTouchTool/*
Esta herramienta permite indicar aplicaciones o scripts a ejecutar cuando se presionan algunos atajos. Un atacante podría configurar su propio atajo y acción para ejecutar en la base de datos para hacer que ejecute código arbitrario (un atajo podría ser simplemente presionar una tecla).
Útil para eludir el sandbox: ✅
Pero Alfred debe estar instalado
Bypass de TCC: ✅
Solicita permisos de Automatización, Accesibilidad e incluso acceso a Disco Completo
???
Permite crear flujos de trabajo que pueden ejecutar código cuando se cumplen ciertas condiciones. Potencialmente, es posible que un atacante cree un archivo de flujo de trabajo y haga que Alfred lo cargue (se necesita pagar la versión premium para usar flujos de trabajo).
Escritura: https://theevilbit.github.io/beyond/beyond_0006/
Útil para eludir el sandbox: ✅
Pero ssh necesita estar habilitado y en uso
Bypass de TCC: ✅
El uso de SSH requiere acceso a FDA
~/.ssh/rc
Disparador: Inicio de sesión a través de ssh
/etc/ssh/sshrc
Se requiere root
Disparador: Inicio de sesión a través de ssh
Para activar ssh se requiere acceso a Disco Completo:
Por defecto, a menos que PermitUserRC no
en /etc/ssh/sshd_config
, cuando un usuario inicia sesión a través de SSH los scripts /etc/ssh/sshrc
y ~/.ssh/rc
se ejecutarán.
Escritura: https://theevilbit.github.io/beyond/beyond_0003/
~/Library/Application Support/com.apple.backgroundtaskmanagementagent
Disparador: Inicio de sesión
Carga útil de explotación almacenada llamando a osascript
/var/db/com.apple.xpc.launchd/loginitems.501.plist
Disparador: Inicio de sesión
Se requiere root
En Preferencias del Sistema -> Usuarios y Grupos -> Elementos de Inicio de Sesión puedes encontrar elementos que se ejecutarán cuando el usuario inicie sesión. Es posible listarlos, agregar y eliminar desde la línea de comandos:
Estos elementos se almacenan en el archivo ~/Library/Application Support/com.apple.backgroundtaskmanagementagent
Los elementos de inicio de sesión también pueden indicarse utilizando la API SMLoginItemSetEnabled que almacenará la configuración en /var/db/com.apple.xpc.launchd/loginitems.501.plist
(Revisa la sección anterior sobre Elementos de Inicio de Sesión, esta es una extensión)
Si almacenas un archivo ZIP como un Elemento de Inicio de Sesión, el Archive Utility
lo abrirá y si el zip fue, por ejemplo, almacenado en ~/Library
y contenía la carpeta LaunchAgents/file.plist
con un backdoor, esa carpeta será creada (no lo está por defecto) y el plist será agregado para que la próxima vez que el usuario inicie sesión, el backdoor indicado en el plist será ejecutado.
Otra opción sería crear los archivos .bash_profile
y .zshenv
dentro del HOME del usuario, así que si la carpeta LaunchAgents ya existe, esta técnica seguiría funcionando.
Escritura: https://theevilbit.github.io/beyond/beyond_0014/
Necesitas ejecutar at
y debe estar habilitado
Las tareas at
están diseñadas para programar tareas únicas que se ejecuten en ciertos momentos. A diferencia de los trabajos cron, las tareas at
se eliminan automáticamente después de la ejecución. Es crucial notar que estas tareas son persistentes a través de reinicios del sistema, marcándolas como posibles preocupaciones de seguridad bajo ciertas condiciones.
Por defecto están deshabilitadas pero el usuario root puede habilitarlas con:
Esto creará un archivo en 1 hora:
Revisa la cola de trabajos usando atq:
Above we can see two jobs scheduled. We can print the details of the job using at -c JOBNUMBER
Si las tareas de AT no están habilitadas, las tareas creadas no se ejecutarán.
Los archivos de trabajo se pueden encontrar en /private/var/at/jobs/
El nombre del archivo contiene la cola, el número de trabajo y la hora programada para ejecutarse. Por ejemplo, echemos un vistazo a a0001a019bdcd2
.
a
- esta es la cola
0001a
- número de trabajo en hex, 0x1a = 26
019bdcd2
- tiempo en hex. Representa los minutos transcurridos desde la época. 0x019bdcd2
es 26991826
en decimal. Si lo multiplicamos por 60, obtenemos 1619509560
, que es GMT: 2021. Abril 27., Martes 7:46:00
.
Si imprimimos el archivo de trabajo, encontramos que contiene la misma información que obtuvimos usando at -c
.
Escritura: https://theevilbit.github.io/beyond/beyond_0024/ Escritura: https://posts.specterops.io/folder-actions-for-persistence-on-macos-8923f222343d
Útil para eludir el sandbox: ✅
Pero necesitas poder llamar a osascript
con argumentos para contactar a System Events
para poder configurar las Acciones de Carpeta
Bypass de TCC: 🟠
Tiene algunos permisos básicos de TCC como Escritorio, Documentos y Descargas
/Library/Scripts/Folder Action Scripts
Se requiere root
Disparador: Acceso a la carpeta especificada
~/Library/Scripts/Folder Action Scripts
Disparador: Acceso a la carpeta especificada
Las Acciones de Carpeta son scripts que se activan automáticamente por cambios en una carpeta, como agregar, eliminar elementos u otras acciones como abrir o cambiar el tamaño de la ventana de la carpeta. Estas acciones pueden ser utilizadas para diversas tareas y pueden ser activadas de diferentes maneras, como usando la interfaz de Finder o comandos de terminal.
Para configurar las Acciones de Carpeta, tienes opciones como:
Crear un flujo de trabajo de Acción de Carpeta con Automator e instalarlo como un servicio.
Adjuntar un script manualmente a través de la Configuración de Acciones de Carpeta en el menú contextual de una carpeta.
Utilizar OSAScript para enviar mensajes de Apple Event a System Events.app
para configurar programáticamente una Acción de Carpeta.
Este método es particularmente útil para incrustar la acción en el sistema, ofreciendo un nivel de persistencia.
El siguiente script es un ejemplo de lo que puede ser ejecutado por una Acción de Carpeta:
Para hacer que el script anterior sea utilizable por las Acciones de Carpeta, compílalo usando:
Después de compilar el script, configura las Acciones de Carpeta ejecutando el siguiente script. Este script habilitará las Acciones de Carpeta globalmente y adjuntará específicamente el script previamente compilado a la carpeta de Escritorio.
Ejecuta el script de configuración con:
Esta es la forma de implementar esta persistencia a través de la GUI:
Este es el script que se ejecutará:
Compílalo con: osacompile -l JavaScript -o folder.scpt source.js
Muévelo a:
Luego, abre la aplicación Folder Actions Setup
, selecciona la carpeta que te gustaría vigilar y selecciona en tu caso folder.scpt
(en mi caso lo llamé output2.scp):
Ahora, si abres esa carpeta con Finder, tu script se ejecutará.
Esta configuración se almacenó en el plist ubicado en ~/Library/Preferences/com.apple.FolderActionsDispatcher.plist
en formato base64.
Ahora, intentemos preparar esta persistencia sin acceso a la GUI:
Copia ~/Library/Preferences/com.apple.FolderActionsDispatcher.plist
a /tmp
para hacer una copia de seguridad:
cp ~/Library/Preferences/com.apple.FolderActionsDispatcher.plist /tmp
Elimina las Acciones de Carpeta que acabas de configurar:
Ahora que tenemos un entorno vacío
Copia el archivo de respaldo: cp /tmp/com.apple.FolderActionsDispatcher.plist ~/Library/Preferences/
Abre la aplicación Folder Actions Setup.app para consumir esta configuración: open "/System/Library/CoreServices/Applications/Folder Actions Setup.app/"
Y esto no funcionó para mí, pero esas son las instrucciones del informe :(
Informe: https://theevilbit.github.io/beyond/beyond_0027/
Útil para eludir el sandbox: ✅
Pero necesitas tener instalada una aplicación maliciosa dentro del sistema
Bypass de TCC: 🔴
~/Library/Preferences/com.apple.dock.plist
Disparador: Cuando el usuario hace clic en la aplicación dentro del dock
Todas las aplicaciones que aparecen en el Dock están especificadas dentro del plist: ~/Library/Preferences/com.apple.dock.plist
Es posible agregar una aplicación solo con:
Usando algo de ingeniería social podrías suplantar por ejemplo Google Chrome dentro del dock y en realidad ejecutar tu propio script:
Writeup: https://theevilbit.github.io/beyond/beyond_0017
Útil para eludir el sandbox: 🟠
Se necesita que ocurra una acción muy específica
Terminarás en otro sandbox
Bypass de TCC: 🔴
/Library/ColorPickers
Se requiere root
Activador: Usa el seleccionador de color
~/Library/ColorPickers
Activador: Usa el seleccionador de color
Compila un seleccionador de color con tu código (podrías usar este por ejemplo) y añade un constructor (como en la sección de Protector de Pantalla) y copia el paquete a ~/Library/ColorPickers
.
Luego, cuando se active el seleccionador de color, tu código también debería ejecutarse.
Ten en cuenta que el binario que carga tu biblioteca tiene un sandbox muy restrictivo: /System/Library/Frameworks/AppKit.framework/Versions/C/XPCServices/LegacyExternalColorPickerService-x86_64.xpc/Contents/MacOS/LegacyExternalColorPickerService-x86_64
Escritura: https://theevilbit.github.io/beyond/beyond_0026/ Escritura: https://objective-see.org/blog/blog_0x11.html
Útil para eludir sandbox: No, porque necesitas ejecutar tu propia aplicación
Bypass de TCC: ???
Una aplicación específica
Un ejemplo de aplicación con una Extensión de Sincronización de Finder se puede encontrar aquí.
Las aplicaciones pueden tener Extensiones de Sincronización de Finder
. Esta extensión irá dentro de una aplicación que será ejecutada. Además, para que la extensión pueda ejecutar su código, debe estar firmada con algún certificado de desarrollador de Apple válido, debe estar sandboxed (aunque se podrían agregar excepciones relajadas) y debe estar registrada con algo como:
Writeup: https://theevilbit.github.io/beyond/beyond_0016/ Writeup: https://posts.specterops.io/saving-your-access-d562bf5bf90b
/System/Library/Screen Savers
Se requiere root
Activar: Selecciona el protector de pantalla
/Library/Screen Savers
Se requiere root
Activar: Selecciona el protector de pantalla
~/Library/Screen Savers
Activar: Selecciona el protector de pantalla
Crea un nuevo proyecto en Xcode y selecciona la plantilla para generar un nuevo Protector de Pantalla. Luego, agrega tu código, por ejemplo, el siguiente código para generar registros.
Compílalo, y copia el paquete .saver
a ~/Library/Screen Savers
. Luego, abre la GUI del Protector de Pantalla y si simplemente haces clic en él, debería generar muchos registros:
Tenga en cuenta que debido a que dentro de los derechos del binario que carga este código (/System/Library/Frameworks/ScreenSaver.framework/PlugIns/legacyScreenSaver.appex/Contents/MacOS/legacyScreenSaver
) puede encontrar com.apple.security.app-sandbox
estará dentro del sandbox de aplicaciones común.
Código del protector de pantalla:
writeup: https://theevilbit.github.io/beyond/beyond_0011/
Útil para eludir la sandbox: 🟠
Pero terminarás en una sandbox de aplicación
Bypass de TCC: 🔴
La sandbox parece muy limitada
~/Library/Spotlight/
Trigger: Se crea un nuevo archivo con una extensión gestionada por el plugin de spotlight.
/Library/Spotlight/
Trigger: Se crea un nuevo archivo con una extensión gestionada por el plugin de spotlight.
Se requiere root
/System/Library/Spotlight/
Trigger: Se crea un nuevo archivo con una extensión gestionada por el plugin de spotlight.
Se requiere root
Some.app/Contents/Library/Spotlight/
Trigger: Se crea un nuevo archivo con una extensión gestionada por el plugin de spotlight.
Se requiere una nueva aplicación
Spotlight es la función de búsqueda integrada de macOS, diseñada para proporcionar a los usuarios acceso rápido y completo a los datos en sus computadoras. Para facilitar esta capacidad de búsqueda rápida, Spotlight mantiene una base de datos propietaria y crea un índice mediante el análisis de la mayoría de los archivos, lo que permite búsquedas rápidas a través de nombres de archivos y su contenido.
El mecanismo subyacente de Spotlight implica un proceso central llamado 'mds', que significa 'servidor de metadatos'. Este proceso orquesta todo el servicio de Spotlight. Complementando esto, hay múltiples demonios 'mdworker' que realizan una variedad de tareas de mantenimiento, como indexar diferentes tipos de archivos (ps -ef | grep mdworker
). Estas tareas son posibles gracias a los plugins importadores de Spotlight, o ".mdimporter bundles", que permiten a Spotlight entender e indexar contenido en una amplia gama de formatos de archivo.
Los plugins o .mdimporter
bundles se encuentran en los lugares mencionados anteriormente y si aparece un nuevo bundle, se carga en un minuto (no es necesario reiniciar ningún servicio). Estos bundles deben indicar qué tipo de archivo y extensiones pueden gestionar, de esta manera, Spotlight los utilizará cuando se cree un nuevo archivo con la extensión indicada.
Es posible encontrar todos los mdimporters
cargados ejecutando:
Y, por ejemplo, /Library/Spotlight/iBooksAuthor.mdimporter se utiliza para analizar este tipo de archivos (extensiones .iba
y .book
, entre otros):
Si revisas el Plist de otros mdimporter
, es posible que no encuentres la entrada UTTypeConformsTo
. Eso se debe a que es un Identificador de Tipo Uniforme (UTI) incorporado y no necesita especificar extensiones.
Además, los plugins predeterminados del sistema siempre tienen prioridad, por lo que un atacante solo puede acceder a archivos que no están indexados por los propios mdimporters
de Apple.
Para crear tu propio importador, podrías comenzar con este proyecto: https://github.com/megrimm/pd-spotlight-importer y luego cambiar el nombre, el CFBundleDocumentTypes
y agregar UTImportedTypeDeclarations
para que soporte la extensión que te gustaría soportar y reflejarlas en schema.xml
.
Luego cambia el código de la función GetMetadataForFile
para ejecutar tu payload cuando se crea un archivo con la extensión procesada.
Finalmente compila y copia tu nuevo .mdimporter
a una de las ubicaciones anteriores y puedes verificar si se carga monitoreando los logs o revisando mdimport -L.
No parece que esto esté funcionando más.
Escritura: https://theevilbit.github.io/beyond/beyond_0009/
/System/Library/PreferencePanes
/Library/PreferencePanes
~/Library/PreferencePanes
No parece que esto esté funcionando más.
Aquí puedes encontrar ubicaciones de inicio útiles para eludir el sandbox que te permiten simplemente ejecutar algo escribiéndolo en un archivo siendo root y/o requiriendo otras condiciones extrañas.
Escritura: https://theevilbit.github.io/beyond/beyond_0019/
/etc/periodic/daily
, /etc/periodic/weekly
, /etc/periodic/monthly
, /usr/local/etc/periodic
Se requiere root
Disparador: Cuando llegue el momento
/etc/daily.local
, /etc/weekly.local
o /etc/monthly.local
Se requiere root
Disparador: Cuando llegue el momento
Los scripts periódicos (/etc/periodic
) se ejecutan debido a los daemons de lanzamiento configurados en /System/Library/LaunchDaemons/com.apple.periodic*
. Ten en cuenta que los scripts almacenados en /etc/periodic/
son ejecutados como el propietario del archivo, por lo que esto no funcionará para una posible escalada de privilegios.
Hay otros scripts periódicos que se ejecutarán indicados en /etc/defaults/periodic.conf
:
Si logras escribir cualquiera de los archivos /etc/daily.local
, /etc/weekly.local
o /etc/monthly.local
, será ejecutado tarde o temprano.
Ten en cuenta que el script periódico será ejecutado como el propietario del script. Así que si un usuario regular es el propietario del script, se ejecutará como ese usuario (esto podría prevenir ataques de escalada de privilegios).
Escritura: Linux Hacktricks PAM Escritura: https://theevilbit.github.io/beyond/beyond_0005/
Se requiere root siempre
Como PAM está más enfocado en persistencia y malware que en la ejecución fácil dentro de macOS, este blog no dará una explicación detallada, lee las escrituras para entender mejor esta técnica.
Verifica los módulos de PAM con:
Una técnica de persistencia/escalada de privilegios que abusa de PAM es tan fácil como modificar el módulo /etc/pam.d/sudo añadiendo al principio la línea:
Así que se verá como algo así:
Y por lo tanto, cualquier intento de usar sudo
funcionará.
Tenga en cuenta que este directorio está protegido por TCC, por lo que es muy probable que el usuario reciba un aviso pidiendo acceso.
Otro buen ejemplo es su, donde se puede ver que también es posible dar parámetros a los módulos PAM (y también podrías poner una puerta trasera en este archivo):
Writeup: https://theevilbit.github.io/beyond/beyond_0028/ Writeup: https://posts.specterops.io/persistent-credential-theft-with-authorization-plugins-d17b34719d65
Útil para eludir el sandbox: 🟠
Pero necesitas ser root y hacer configuraciones adicionales
Bypass de TCC: ???
/Library/Security/SecurityAgentPlugins/
Se requiere root
También es necesario configurar la base de datos de autorización para usar el plugin
Puedes crear un plugin de autorización que se ejecutará cuando un usuario inicie sesión para mantener la persistencia. Para más información sobre cómo crear uno de estos plugins, consulta los writeups anteriores (y ten cuidado, uno mal escrito puede bloquearte y necesitarás limpiar tu mac desde el modo de recuperación).
Mueva el paquete a la ubicación que se cargará:
Finalmente, añade la regla para cargar este Plugin:
El evaluate-mechanisms
le dirá al marco de autorización que necesitará llamar a un mecanismo externo para la autorización. Además, privileged
hará que se ejecute como root.
Actívelo con:
Y luego el grupo de personal debería tener acceso sudo (lee /etc/sudoers
para confirmar).
Escritura: https://theevilbit.github.io/beyond/beyond_0030/
/private/etc/man.conf
Se requiere root
/private/etc/man.conf
: Siempre que se use man
El archivo de configuración /private/etc/man.conf
indica el binario/script a usar al abrir archivos de documentación de man. Por lo tanto, la ruta al ejecutable podría ser modificada para que cada vez que el usuario use man para leer alguna documentación, se ejecute una puerta trasera.
Por ejemplo, configurado en /private/etc/man.conf
:
Y luego crea /tmp/view
como:
Escritura: https://theevilbit.github.io/beyond/beyond_0023/
Útil para eludir sandbox: 🟠
Pero necesitas ser root y apache debe estar en ejecución
Bypass de TCC: 🔴
Httpd no tiene derechos
/etc/apache2/httpd.conf
Se requiere root
Activador: Cuando Apache2 se inicia
Puedes indicar en /etc/apache2/httpd.conf
que cargue un módulo añadiendo una línea como:
De esta manera, tu módulo compilado será cargado por Apache. Lo único es que necesitas firmarlo con un certificado de Apple válido, o necesitas agregar un nuevo certificado de confianza en el sistema y firmarlo con él.
Luego, si es necesario, para asegurarte de que el servidor se inicie, podrías ejecutar:
Ejemplo de código para el Dylb:
Escritura: https://theevilbit.github.io/beyond/beyond_0031/
Útil para eludir la sandbox: 🟠
Pero necesitas ser root, auditd debe estar en ejecución y causar una advertencia
Bypass de TCC: 🔴
/etc/security/audit_warn
Se requiere root
Activador: Cuando auditd detecta una advertencia
Siempre que auditd detecta una advertencia, el script /etc/security/audit_warn
es ejecutado. Así que podrías agregar tu payload en él.
You could force a warning with sudo audit -n
.
Esto está obsoleto, por lo que no debería encontrarse nada en esos directorios.
El StartupItem es un directorio que debe estar ubicado dentro de /Library/StartupItems/
o /System/Library/StartupItems/
. Una vez que se establece este directorio, debe contener dos archivos específicos:
Un script rc: Un script de shell ejecutado al inicio.
Un archivo plist, específicamente llamado StartupParameters.plist
, que contiene varias configuraciones.
Asegúrate de que tanto el script rc como el archivo StartupParameters.plist
estén correctamente ubicados dentro del directorio StartupItem para que el proceso de inicio los reconozca y los utilice.
No puedo encontrar este componente en mi macOS, así que para más información consulta el writeup
Writeup: https://theevilbit.github.io/beyond/beyond_0023/
Introducido por Apple, emond es un mecanismo de registro que parece estar subdesarrollado o posiblemente abandonado, sin embargo, sigue siendo accesible. Aunque no es particularmente beneficioso para un administrador de Mac, este servicio oscuro podría servir como un método sutil de persistencia para actores de amenazas, probablemente no notado por la mayoría de los administradores de macOS.
Para aquellos que son conscientes de su existencia, identificar cualquier uso malicioso de emond es sencillo. El LaunchDaemon del sistema para este servicio busca scripts para ejecutar en un solo directorio. Para inspeccionar esto, se puede usar el siguiente comando:
Escritura: https://theevilbit.github.io/beyond/beyond_0018/
/opt/X11/etc/X11/xinit/privileged_startx.d
Se requiere root
Disparador: Con XQuartz
XQuartz ya no está instalado en macOS, así que si quieres más información, consulta la escritura.
Es tan complicado instalar kext incluso como root que no consideraré esto para escapar de sandboxes o incluso para persistencia (a menos que tengas un exploit)
Para instalar un KEXT como un elemento de inicio, debe instalarse en una de las siguientes ubicaciones:
/System/Library/Extensions
Archivos KEXT integrados en el sistema operativo OS X.
/Library/Extensions
Archivos KEXT instalados por software de terceros
Puedes listar los archivos kext actualmente cargados con:
Para más información sobre extensiones del kernel, consulta esta sección.
Escritura: https://theevilbit.github.io/beyond/beyond_0029/
/usr/local/bin/amstoold
Se requiere root
Aparentemente, el plist
de /System/Library/LaunchAgents/com.apple.amstoold.plist
estaba utilizando este binario mientras exponía un servicio XPC... el problema es que el binario no existía, así que podrías colocar algo allí y cuando se llame al servicio XPC, se llamará a tu binario.
Ya no puedo encontrar esto en mi macOS.
Escritura: https://theevilbit.github.io/beyond/beyond_0015/
/Library/Preferences/Xsan/.xsanrc
Se requiere root
Disparador: Cuando se ejecuta el servicio (raramente)
Aparentemente, no es muy común ejecutar este script y ni siquiera pude encontrarlo en mi macOS, así que si quieres más información, consulta la escritura.
Esto no está funcionando en versiones modernas de MacOS
También es posible colocar aquí comandos que se ejecutarán al inicio. Ejemplo de un script rc.common regular:
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)