macOS Office Sandbox Bypasses
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
यह एप्लिकेशन com.apple.security.temporary-exception.sbpl
अधिकार का उपयोग करके एक कस्टम सैंडबॉक्स का उपयोग करता है और यह कस्टम सैंडबॉक्स कहीं भी फ़ाइलें लिखने की अनुमति देता है जब तक फ़ाइल का नाम ~$
से शुरू होता है: (require-any (require-all (vnode-type REGULAR-FILE) (regex #"(^|/)~$[^/]+$")))
इसलिए, बच निकलना उतना ही आसान था जितना कि ~/Library/LaunchAgents/~$escape.plist
में एक plist
LaunchAgent लिखना।
याद रखें कि पहले के बचाव से, Word किसी भी फ़ाइल को लिख सकता है जिसका नाम ~$
से शुरू होता है, हालांकि पिछले कमजोरियों के पैच के बाद /Library/Application Scripts
या /Library/LaunchAgents
में लिखना संभव नहीं था।
यह पता चला कि सैंडबॉक्स के भीतर एक Login Item (ऐप्स जो उपयोगकर्ता के लॉगिन करने पर निष्पादित होंगे) बनाना संभव है। हालाँकि, ये ऐप्स तब तक निष्पादित नहीं होंगे जब तक कि वे नोटराइज्ड न हों और आर्ग्स जोड़ना संभव नहीं है (इसलिए आप केवल bash
का उपयोग करके एक रिवर्स शेल नहीं चला सकते)।
पिछले सैंडबॉक्स बायपास से, Microsoft ने ~/Library/LaunchAgents
में फ़ाइलें लिखने का विकल्प अक्षम कर दिया। हालाँकि, यह पता चला कि यदि आप एक ज़िप फ़ाइल को Login Item के रूप में रखते हैं तो Archive Utility
बस इसे उसके वर्तमान स्थान पर अनज़िप कर देगा। इसलिए, चूंकि डिफ़ॉल्ट रूप से ~/Library
से LaunchAgents
फ़ोल्डर नहीं बनाया गया है, इसलिए LaunchAgents/~$escape.plist
में एक plist को ज़िप करना और ज़िप फ़ाइल को ~/Library
में रखना संभव था ताकि जब इसे अनकंप्रेस किया जाए तो यह स्थायी गंतव्य तक पहुँच जाए।
(याद रखें कि पहले के बचाव से, Word किसी भी फ़ाइल को लिख सकता है जिसका नाम ~$
से शुरू होता है)।
हालाँकि, पिछले तकनीक में एक सीमा थी, यदि फ़ोल्डर ~/Library/LaunchAgents
मौजूद है क्योंकि कुछ अन्य सॉफ़्टवेयर ने इसे बनाया है, तो यह विफल हो जाएगा। इसलिए इसके लिए एक अलग Login Items श्रृंखला का पता लगाया गया।
एक हमलावर फ़ाइलें .bash_profile
और .zshenv
बना सकता है जिसमें निष्पादित करने के लिए पेलोड हो और फिर उन्हें ज़िप कर सकता है और ज़िप को पीड़ित के उपयोगकर्ता फ़ोल्डर में लिख सकता है: ~/~$escape.zip
।
फिर, ज़िप फ़ाइल को Login Items में जोड़ें और फिर Terminal
ऐप। जब उपयोगकर्ता फिर से लॉगिन करता है, तो ज़िप फ़ाइल उपयोगकर्ता फ़ाइल में अनकंप्रेस की जाएगी, .bash_profile
और .zshenv
को ओवरराइट करते हुए और इसलिए, टर्मिनल इनमें से एक फ़ाइल को निष्पादित करेगा (इस पर निर्भर करते हुए कि bash या zsh का उपयोग किया गया है)।
सैंडबॉक्स किए गए प्रक्रियाओं से अन्य प्रक्रियाओं को open
उपयोगिता का उपयोग करके बुलाना अभी भी संभव है। इसके अलावा, ये प्रक्रियाएँ अपने स्वयं के सैंडबॉक्स के भीतर चलेंगी।
यह पता चला कि ओपन उपयोगिता में --env
विकल्प है जिससे एक ऐप को विशिष्ट env वेरिएबल्स के साथ चलाया जा सकता है। इसलिए, यह संभव था कि सैंडबॉक्स के भीतर एक फ़ोल्डर में .zshenv
फ़ाइल बनाई जाए और --env
के साथ open
का उपयोग करते हुए HOME
वेरिएबल को उस फ़ोल्डर में सेट किया जाए, जिससे Terminal
ऐप खोला जाए, जो .zshenv
फ़ाइल को निष्पादित करेगा (किसी कारण से __OSINSTALL_ENVIROMENT
वेरिएबल सेट करना भी आवश्यक था)।
open
उपयोगिता ने --stdin
पैरामीटर का भी समर्थन किया (और पिछले बायपास के बाद --env
का उपयोग करना संभव नहीं था)।
बात यह है कि भले ही python
Apple द्वारा साइन किया गया हो, यह quarantine
विशेषता वाली स्क्रिप्ट को निष्पादित नहीं करेगा। हालाँकि, इसे stdin से एक स्क्रिप्ट पास करना संभव था ताकि यह न देखे कि यह क्वारंटाइन में है या नहीं:
एक ~$exploit.py
फ़ाइल छोड़ें जिसमें मनमाने Python कमांड हों।
open –stdin='~$exploit.py' -a Python
चलाएँ, जो Python ऐप को हमारे छोड़े गए फ़ाइल के साथ उसके मानक इनपुट के रूप में चलाता है। Python खुशी-खुशी हमारे कोड को चलाता है, और चूंकि यह launchd का एक चाइल्ड प्रोसेस है, यह Word के सैंडबॉक्स नियमों से बंधा नहीं है।
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)