macOS Sensitive Locations & Interesting Daemons
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Hasło shadow jest przechowywane z konfiguracją użytkownika w plikach plist znajdujących się w /var/db/dslocal/nodes/Default/users/
.
Poniższy jednowierszowy skrypt można użyć do zrzutu wszystkich informacji o użytkownikach (w tym informacji o haszach):
Skrypty takie jak ten lub ten mogą być używane do przekształcania hasha do formatu hashcat.
Alternatywna jedna linia, która wyeksportuje dane uwierzytelniające wszystkich kont niebędących kontami usługowymi w formacie hashcat -m 7100
(macOS PBKDF2-SHA512):
Innym sposobem na uzyskanie ShadowHashData
użytkownika jest użycie dscl
: sudo dscl . -read /Users/`whoami` ShadowHashData
Ten plik jest używany tylko wtedy, gdy system działa w trybie pojedynczego użytkownika (więc nie bardzo często).
Należy zauważyć, że podczas używania binarnego pliku security do zrzutu odszyfrowanych haseł, kilka komunikatów poprosi użytkownika o zezwolenie na tę operację.
Na podstawie tego komentarza juuso/keychaindump#10 (komentarz) wygląda na to, że te narzędzia już nie działają w Big Sur.
Narzędzie o nazwie keychaindump zostało opracowane w celu wydobywania haseł z pęków kluczy macOS, ale napotyka ograniczenia w nowszych wersjach macOS, takich jak Big Sur, co wskazano w dyskusji. Użycie keychaindump wymaga, aby atakujący uzyskał dostęp i podniósł uprawnienia do root. Narzędzie wykorzystuje fakt, że pęk kluczy jest domyślnie odblokowany po zalogowaniu użytkownika dla wygody, co pozwala aplikacjom na dostęp do niego bez konieczności wielokrotnego wprowadzania hasła użytkownika. Jednak jeśli użytkownik zdecyduje się zablokować swój pęk kluczy po każdym użyciu, keychaindump staje się nieskuteczny.
Keychaindump działa, celując w konkretny proces zwany securityd, opisany przez Apple jako demon do autoryzacji i operacji kryptograficznych, kluczowy do uzyskania dostępu do pęku kluczy. Proces wydobywania polega na zidentyfikowaniu Master Key pochodzącego z hasła logowania użytkownika. Klucz ten jest niezbędny do odczytu pliku pęku kluczy. Aby zlokalizować Master Key, keychaindump skanuje stos pamięci securityd za pomocą polecenia vmmap
, szukając potencjalnych kluczy w obszarach oznaczonych jako MALLOC_TINY
. Następujące polecenie jest używane do inspekcji tych lokalizacji pamięci:
Po zidentyfikowaniu potencjalnych kluczy głównych, keychaindump przeszukuje sterty w poszukiwaniu konkretnego wzoru (0x0000000000000018
), który wskazuje na kandydata na klucz główny. Dalsze kroki, w tym deobfuskacja, są wymagane do wykorzystania tego klucza, jak opisano w kodzie źródłowym keychaindump. Analitycy koncentrujący się na tym obszarze powinni zauważyć, że kluczowe dane do odszyfrowania pęku kluczy są przechowywane w pamięci procesu securityd. Przykładowa komenda do uruchomienia keychaindump to:
Chainbreaker może być używany do wydobywania następujących typów informacji z klucza OSX w sposób forensycznie poprawny:
Hasło klucza, odpowiednie do łamania za pomocą hashcat lub John the Ripper
Hasła internetowe
Hasła ogólne
Klucze prywatne
Klucze publiczne
Certyfikaty X509
Bezpieczne notatki
Hasła Appleshare
Dając hasło do odblokowania klucza, klucz główny uzyskany za pomocą volafox lub volatility, lub plik odblokowujący, taki jak SystemKey, Chainbreaker również dostarczy hasła w postaci tekstu jawnego.
Bez jednej z tych metod odblokowywania klucza, Chainbreaker wyświetli wszystkie inne dostępne informacje.
Wykonaj te kroki, aby przeprowadzić zrzut pamięci
Jeśli znasz hasło użytkownika, możesz je wykorzystać do zrzutu i odszyfrowania pęków kluczy, które należą do użytkownika.
Plik kcpassword to plik, który przechowuje hasło logowania użytkownika, ale tylko jeśli właściciel systemu włączył automatyczne logowanie. W związku z tym użytkownik będzie automatycznie logowany bez pytania o hasło (co nie jest zbyt bezpieczne).
Hasło jest przechowywane w pliku /etc/kcpassword
xored z kluczem 0x7D 0x89 0x52 0x23 0xD2 0xBC 0xDD 0xEA 0xA3 0xB9 0x1F
. Jeśli hasło użytkownika jest dłuższe niż klucz, klucz będzie używany ponownie.
To sprawia, że hasło jest dość łatwe do odzyskania, na przykład przy użyciu skryptów takich jak ten.
Możesz znaleźć dane Powiadomień w $(getconf DARWIN_USER_DIR)/com.apple.notificationcenter/
Większość interesujących informacji będzie w blob. Więc będziesz musiał wyodrębnić tę zawartość i przekształcić ją na czytelną dla ludzi lub użyć strings
. Aby uzyskać do niej dostęp, możesz to zrobić:
Użytkownicy notatki można znaleźć w ~/Library/Group Containers/group.com.apple.notes/NoteStore.sqlite
W aplikacjach macOS preferencje znajdują się w $HOME/Library/Preferences
, a w iOS są w /var/mobile/Containers/Data/Application/<UUID>/Library/Preferences
.
W macOS narzędzie cli defaults
może być używane do modyfikacji pliku preferencji.
/usr/sbin/cfprefsd
obsługuje usługi XPC com.apple.cfprefsd.daemon
i com.apple.cfprefsd.agent
i może być wywoływane w celu wykonania działań, takich jak modyfikacja preferencji.
Plik /System/Library/OpenDirectory/permissions.plist
zawiera uprawnienia stosowane do atrybutów węzła i jest chroniony przez SIP.
Plik ten przyznaje uprawnienia określonym użytkownikom na podstawie UUID (a nie uid), aby mogli uzyskać dostęp do określonych wrażliwych informacji, takich jak ShadowHashData
, HeimdalSRPKey
i KerberosKeys
, między innymi:
Głównym demonem do powiadomień jest /usr/sbin/notifyd
. Aby otrzymywać powiadomienia, klienci muszą zarejestrować się przez port Mach com.apple.system.notification_center
(sprawdź je za pomocą sudo lsmp -p <pid notifyd>
). Demon jest konfigurowalny za pomocą pliku /etc/notify.conf
.
Nazwy używane do powiadomień są unikalnymi notacjami DNS w odwrotnej kolejności, a gdy powiadomienie jest wysyłane do jednej z nich, klient(y), które wskazały, że mogą je obsłużyć, otrzymają je.
Możliwe jest zrzucenie bieżącego stanu (i zobaczenie wszystkich nazw) wysyłając sygnał SIGUSR2 do procesu notifyd i odczytując wygenerowany plik: /var/run/notifyd_<pid>.status
:
Distributed Notification Center, którego głównym plikiem binarnym jest /usr/sbin/distnoted
, to inny sposób na wysyłanie powiadomień. Udostępnia niektóre usługi XPC i wykonuje pewne kontrole, aby spróbować zweryfikować klientów.
W tym przypadku aplikacje mogą rejestrować się na tematy. Klient wygeneruje token, kontaktując się z serwerami Apple za pośrednictwem apsd
.
Następnie dostawcy również wygenerują token i będą mogli połączyć się z serwerami Apple, aby wysyłać wiadomości do klientów. Te wiadomości będą lokalnie odbierane przez apsd
, który przekaże powiadomienie do aplikacji, która na nie czeka.
Preferencje znajdują się w /Library/Preferences/com.apple.apsd.plist
.
Istnieje lokalna baza danych wiadomości znajdująca się w macOS w /Library/Application\ Support/ApplePushService/aps.db
oraz w iOS w /var/mobile/Library/ApplePushService
. Zawiera 3 tabele: incoming_messages
, outgoing_messages
i channel
.
Możliwe jest również uzyskanie informacji o demonie i połączeniach za pomocą:
To są powiadomienia, które użytkownik powinien zobaczyć na ekranie:
CFUserNotification
: Te API zapewnia sposób na wyświetlenie na ekranie okna pop-up z wiadomością.
Tablica ogłoszeń: To wyświetla w iOS baner, który znika i będzie przechowywany w Centrum powiadomień.
NSUserNotificationCenter
: To jest tablica ogłoszeń iOS w MacOS. Baza danych z powiadomieniami znajduje się w /var/folders/<user temp>/0/com.apple.notificationcenter/db2/db
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)