이전 이미지에서는 com.apple.security.app-sandbox 권한이 있는 애플리케이션이 실행될 때 샌드박스가 어떻게 로드되는지 관찰할 수 있습니다.
컴파일러는 /usr/lib/libSystem.B.dylib를 바이너리에 링크합니다.
그런 다음, **libSystem.B**는 여러 함수를 호출하여 **xpc_pipe_routine**이 앱의 권한을 **securityd**에 전송할 때까지 진행합니다. Securityd는 프로세스가 샌드박스 내에서 격리되어야 하는지 확인하고, 그렇다면 격리합니다.
마지막으로, 샌드박스는 **__sandbox_ms**에 대한 호출로 활성화되며, 이는 **__mac_syscall**을 호출합니다.
Possible Bypasses
Bypassing quarantine attribute
샌드박스화된 프로세스에 의해 생성된 파일은 샌드박스 탈출을 방지하기 위해 격리 속성이 추가됩니다. 그러나 샌드박스화된 애플리케이션 내에서 격리 속성이 없는 .app 폴더를 생성할 수 있다면, 앱 번들 바이너리를 **/bin/bash**로 가리키게 하고 plist에 몇 가지 환경 변수를 추가하여 **open**을 악용하여 새 앱을 비샌드박스 상태로 실행할 수 있습니다.
따라서 현재로서는 **.app**로 끝나는 이름의 폴더를 격리 속성 없이 생성할 수 있다면, 샌드박스를 탈출할 수 있습니다. macOS는 .app 폴더와 주 실행 파일에서만 격리 속성을 확인하기 때문입니다 (그리고 우리는 주 실행 파일을 **/bin/bash**로 가리키게 할 것입니다).
이미 실행할 수 있도록 승인된 .app 번들이 있다면 (실행 승인 플래그가 있는 격리 xttr가 있음), 그것을 악용할 수도 있습니다... 단, 이제는 샌드박스 내에서 권한이 없는 TCC 권한이 없으면 .app 번들 내에서 쓸 수 없습니다.
애플리케이션이 샌드박스화되어야 하는 경우(com.apple.security.app-sandbox), 예를 들어 LaunchAgent(~/Library/LaunchAgents)에서 실행되면 샌드박스를 우회할 수 있습니다.
이 게시물에서 설명한 바와 같이, 샌드박스화된 애플리케이션으로 지속성을 얻으려면 LaunchAgent로 자동 실행되도록 설정하고 DyLib 환경 변수를 통해 악성 코드를 주입할 수 있습니다.
Abusing Auto Start Locations
샌드박스화된 프로세스가 나중에 비샌드박스 애플리케이션이 바이너리를 실행할 위치에쓰기 할 수 있다면, 그곳에 바이너리를 배치하기만 하면 탈출할 수 있습니다. 이러한 위치의 좋은 예는 ~/Library/LaunchAgents 또는 /System/Library/LaunchDaemons입니다.
이를 위해서는 2단계가 필요할 수 있습니다: 더 관대 한 샌드박스(file-read*, file-write*)를 가진 프로세스가 실제로 비샌드박스 상태로 실행될 위치에 쓰도록 코드를 실행하게 합니다.
# Compile itgcc-Xlinker-sectcreate-Xlinker__TEXT-Xlinker__info_plist-XlinkerInfo.plistsand.c-osand# Create a certificate for "Code Signing"# Apply the entitlements via signingcodesign-s<cert-name>--entitlementsentitlements.xmlsand
앱은 ~/Desktop/del.txt 파일을 읽으려고 할 것이며, Sandbox는 이를 허용하지 않습니다.
Sandbox가 우회되면 읽을 수 있도록 그곳에 파일을 생성하세요:
echo"Sandbox Bypassed">~/Desktop/del.txt
애플리케이션을 디버깅하여 샌드박스가 언제 로드되는지 확인해 보겠습니다:
# Load app in debugginglldb./sand# Set breakpoint in xpc_pipe_routine(lldb) bxpc_pipe_routine# run(lldb) r# This breakpoint is reached by different functionalities# Check in the backtrace is it was de sandbox one the one that reached it# We are looking for the one libsecinit from libSystem.B, like the following one:(lldb) bt* thread #1, queue = 'com.apple.main-thread', stop reason = breakpoint 1.1* frame #0: 0x00000001873d4178 libxpc.dylib`xpc_pipe_routineframe#1: 0x000000019300cf80 libsystem_secinit.dylib`_libsecinit_appsandbox + 584frame#2: 0x00000001874199c4 libsystem_trace.dylib`_os_activity_initiate_impl + 64frame#3: 0x000000019300cce4 libsystem_secinit.dylib`_libsecinit_initializer + 80frame#4: 0x0000000193023694 libSystem.B.dylib`libSystem_initializer + 272# To avoid lldb cutting info(lldb) settingssettarget.max-string-summary-length10000# The message is in the 2 arg of the xpc_pipe_routine function, get it with:(lldb) p (char *) xpc_copy_description($x1)(char *) $0 = 0x000000010100a400 "<dictionary: 0x6000026001e0> { count = 5, transaction: 0, voucher = 0x0, contents =\n\t\"SECINITD_REGISTRATION_MESSAGE_SHORT_NAME_KEY\" => <string: 0x600000c00d80> { length = 4, contents = \"sand\" }\n\t\"SECINITD_REGISTRATION_MESSAGE_IMAGE_PATHS_ARRAY_KEY\" => <array: 0x600000c00120> { count = 42, capacity = 64, contents =\n\t\t0: <string: 0x600000c000c0> { length = 14, contents = \"/tmp/lala/sand\" }\n\t\t1: <string: 0x600000c001e0> { length = 22, contents = \"/private/tmp/lala/sand\" }\n\t\t2: <string: 0x600000c000f0> { length = 26, contents = \"/usr/lib/libSystem.B.dylib\" }\n\t\t3: <string: 0x600000c00180> { length = 30, contents = \"/usr/lib/system/libcache.dylib\" }\n\t\t4: <string: 0x600000c00060> { length = 37, contents = \"/usr/lib/system/libcommonCrypto.dylib\" }\n\t\t5: <string: 0x600000c001b0> { length = 36, contents = \"/usr/lib/system/libcompiler_rt.dylib\" }\n\t\t6: <string: 0x600000c00330> { length = 33, contents = \"/usr/lib/system/libcopyfile.dylib\" }\n\t\t7: <string: 0x600000c00210> { length = 35, contents = \"/usr/lib/system/libcorecry"...
# The 3 arg is the address were the XPC response will be stored(lldb) registerreadx2x2=0x000000016fdfd660# Move until the end of the function(lldb) finish# Read the response## Check the address of the sandbox container in SECINITD_REPLY_MESSAGE_CONTAINER_ROOT_PATH_KEY(lldb) memoryread-fp0x000000016fdfd660-c10x16fdfd660:0x0000600003d04000(lldb) p (char *) xpc_copy_description(0x0000600003d04000)(char *) $4 = 0x0000000100204280 "<dictionary: 0x600003d04000> { count = 7, transaction: 0, voucher = 0x0, contents =\n\t\"SECINITD_REPLY_MESSAGE_CONTAINER_ID_KEY\" => <string: 0x600000c04d50> { length = 22, contents = \"xyz.hacktricks.sandbox\" }\n\t\"SECINITD_REPLY_MESSAGE_QTN_PROC_FLAGS_KEY\" => <uint64: 0xaabe660cef067137>: 2\n\t\"SECINITD_REPLY_MESSAGE_CONTAINER_ROOT_PATH_KEY\" => <string: 0x600000c04e10> { length = 65, contents = \"/Users/carlospolop/Library/Containers/xyz.hacktricks.sandbox/Data\" }\n\t\"SECINITD_REPLY_MESSAGE_SANDBOX_PROFILE_DATA_KEY\" => <data: 0x600001704100>: { length = 19027 bytes, contents = 0x0000f000ba0100000000070000001e00350167034d03c203... }\n\t\"SECINITD_REPLY_MESSAGE_VERSION_NUMBER_KEY\" => <int64: 0xaa3e660cef06712f>: 1\n\t\"SECINITD_MESSAGE_TYPE_KEY\" => <uint64: 0xaabe660cef067137>: 2\n\t\"SECINITD_REPLY_FAILURE_CODE\" => <uint64: 0xaabe660cef067127>: 0\n}"
# To bypass the sandbox we need to skip the call to __mac_syscall# Lets put a breakpoint in __mac_syscall when x1 is 0 (this is the code to enable the sandbox)(lldb) breakpointset--name__mac_syscall--condition'($x1 == 0)'(lldb) c# The 1 arg is the name of the policy, in this case "Sandbox"(lldb) memoryread-fs $x00x19300eb22:"Sandbox"## BYPASS## Due to the previous bp, the process will be stopped in:Process2517stopped* thread #1, queue = 'com.apple.main-thread', stop reason = breakpoint 1.1frame#0: 0x0000000187659900 libsystem_kernel.dylib`__mac_syscalllibsystem_kernel.dylib`:-> 0x187659900<+0>:movx16,#0x17d0x187659904<+4>:svc#0x800x187659908<+8>:b.lo0x187659928 ; <+40>0x18765990c<+12>:pacibsp# To bypass jump to the b.lo address modifying some registers first(lldb) breakpointdelete1# Remove bp(lldb) registerwrite $pc 0x187659928#b.lo address(lldb) registerwrite $x0 0x00(lldb) registerwrite $x1 0x00(lldb) registerwrite $x16 0x17d(lldb) cProcess2517resumingSandboxBypassed!Process2517exitedwithstatus=0 (0x00000000)
샌드박스를 우회하더라도 TCC는 사용자가 프로세스가 데스크탑의 파일을 읽는 것을 허용할지 물어볼 것입니다.