macOS FS Tricks
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Dozvole u direktorijumu:
čitanje - možete nabrojati unose u direktorijumu
pisanje - možete brisati/pisati fajlove u direktorijumu i možete brisati prazne foldere.
Ali ne možete brisati/modifikovati neprazne foldere osim ako nemate dozvolu za pisanje nad njima.
Ne možete modifikovati ime foldera osim ako ga ne posedujete.
izvršavanje - dozvoljeno vam je da prolazite kroz direktorijum - ako nemate ovo pravo, ne možete pristupiti nijednom fajlu unutar njega, niti u bilo kojim poddirektorijumima.
Kako prepisati fajl/folder koji poseduje root, ali:
Jedan roditeljski vlasnik direktorijuma u putanji je korisnik
Jedan roditeljski vlasnik direktorijuma u putanji je grupa korisnika sa pristupom za pisanje
Grupa korisnika ima pristup za pisanje do fajla
Sa bilo kojom od prethodnih kombinacija, napadač bi mogao ubaciti sim/hard link na očekivanu putanju da bi dobio privilegovano proizvoljno pisanje.
Ako postoje fajlovi u direktorijumu gde samo root ima R+X pristup, ti fajlovi su nedostupni bilo kome drugom. Tako da ranjivost koja omogućava premestiti fajl koji je čitljiv od strane korisnika, koji ne može biti pročitan zbog te ograničenja, iz ovog foldera u drugi, može se iskoristiti da se pročitaju ti fajlovi.
Ako privilegovani proces piše podatke u fajl koji bi mogao biti kontrolisan od strane korisnika sa nižim privilegijama, ili koji bi mogao biti prethodno kreiran od strane korisnika sa nižim privilegijama. Korisnik bi mogao samo usmeriti na drugi fajl putem simboličkog ili hard linka, i privilegovani proces će pisati na taj fajl.
Proverite u drugim sekcijama gde bi napadač mogao iskoristiti proizvoljno pisanje za eskalaciju privilegija.
Fajlovi sa .fileloc
ekstenzijom mogu ukazivati na druge aplikacije ili binarne fajlove, tako da kada se otvore, aplikacija/binarni fajl će biti onaj koji se izvršava.
Primer:
Ako možete da naterate proces da otvori datoteku ili folder sa visokim privilegijama, možete zloupotrebiti crontab
da otvorite datoteku u /etc/sudoers.d
sa EDITOR=exploit.py
, tako da exploit.py
dobije FD do datoteke unutar /etc/sudoers
i zloupotrebi je.
Na primer: https://youtu.be/f1HA5QhLQ7Y?t=21098
Ako datoteka/folder ima ovu nepromenljivu atribut, neće biti moguće postaviti xattr na nju.
devfs montaža ne podržava xattr, više informacija u CVE-2023-32364
Ova ACL sprečava dodavanje xattrs
na datoteku
AppleDouble формат фајла копира фајл укључујући његове ACE-ове.
У изворном коду је могуће видети да ће текстуална репрезентација ACL-а која се чува у xattr-у под називом com.apple.acl.text
бити постављена као ACL у распакованом фајлу. Дакле, ако сте компримовали апликацију у zip фајл са AppleDouble форматом фајла са ACL-ом који спречава да се други xattrs запишу у њега... xattr за карантин није био постављен у апликацију:
Проверите оригинални извештај за више информација.
Да бисмо то реплицирали, прво морамо добити исправан acl стринг:
(Note that even if this works the sandbox write the quarantine xattr before)
Nije baš potrebno, ali ostavljam to tu za svaki slučaj:
Paketi sadrže datoteku _CodeSignature/CodeResources
koja sadrži hash svake pojedinačne datoteke u paketu. Imajte na umu da je hash CodeResources takođe ugrađen u izvršnu datoteku, tako da ne možemo ni s tim da se igramo.
Međutim, postoje neke datoteke čiji se potpis neće proveravati, ove imaju ključ omit u plist-u, kao:
Moguće je izračunati potpis resursa iz CLI-a sa:
Korisnik može montirati prilagođeni dmg kreiran čak i na postojećim folderima. Ovako možete kreirati prilagođeni dmg paket sa prilagođenim sadržajem:
Obično macOS montira disk razgovarajući sa com.apple.DiskArbitrarion.diskarbitrariond
Mach servisom (koji obezbeđuje /usr/libexec/diskarbitrationd
). Ako dodate parametar -d
u LaunchDaemons plist datoteku i ponovo pokrenete, čuvaće logove u /var/log/diskarbitrationd.log
.
Međutim, moguće je koristiti alate kao što su hdik
i hdiutil
za direktnu komunikaciju sa com.apple.driver.DiskImages
kext-om.
Ako vaša skripta može biti interpretirana kao shell skripta, mogli biste prepisati /etc/periodic/daily/999.local
shell skriptu koja će se pokretati svaki dan.
Možete falsifikovati izvršenje ove skripte sa: sudo periodic daily
Napišite arbitrarnu LaunchDaemon kao /Library/LaunchDaemons/xyz.hacktricks.privesc.plist
sa plist-om koji izvršava arbitrarnu skriptu kao:
Just generate the script /Applications/Scripts/privesc.sh
with the commands you would like to run as root.
If you have arbitrary write, you could create a file inside the folder /etc/sudoers.d/
granting yourself sudo privileges.
The file /etc/paths
is one of the main places that populates the PATH env variable. You must be root to overwrite it, but if a script from privileged process is executing some command without the full path, you might be able to hijack it modifying this file.
You can also write files in /etc/paths.d
to load new folders into the PATH
env variable.
Ovo će generisati datoteku koja pripada root-u koja je zapisiva od strane mene (code from here). Ovo takođe može raditi kao privesc:
POSIX deljena memorija omogućava procesima u POSIX-kompatibilnim operativnim sistemima da pristupaju zajedničkom memorijskom prostoru, olakšavajući bržu komunikaciju u poređenju sa drugim metodama međuprocesne komunikacije. Uključuje kreiranje ili otvaranje objekta deljene memorije pomoću shm_open()
, postavljanje njegove veličine pomoću ftruncate()
, i mapiranje u adresni prostor procesa koristeći mmap()
. Procesi mogu direktno čitati i pisati u ovaj memorijski prostor. Da bi se upravljalo istovremenim pristupom i sprečila korupcija podataka, mehanizmi sinhronizacije kao što su mutexi ili semafori se često koriste. Na kraju, procesi demapiraju i zatvaraju deljenu memoriju pomoću munmap()
i close()
, i opcionalno uklanjaju objekat memorije pomoću shm_unlink()
. Ovaj sistem je posebno efikasan za brzu IPC u okruženjima gde više procesa treba brzo da pristupi deljenim podacima.
macOS zaštićeni deskriptor je bezbednosna funkcija uvedena u macOS kako bi se poboljšala sigurnost i pouzdanost operacija sa deskriptorima datoteka u korisničkim aplikacijama. Ovi zaštićeni deskriptor pružaju način za povezivanje specifičnih ograničenja ili "čuvara" sa deskriptorima datoteka, koja se sprovode od strane jezgra.
Ova funkcija je posebno korisna za sprečavanje određenih klasa bezbednosnih ranjivosti kao što su neovlašćen pristup datotekama ili trkačke uslove. Ove ranjivosti se javljaju kada, na primer, jedan nit pristupa opisu datoteke dajući drugom ranjivom niti pristup ili kada deskriptor datoteke bude nasleđen od ranjivog procesa. Neke funkcije povezane sa ovom funkcionalnošću su:
guarded_open_np
: Otvara FD sa čuvarom
guarded_close_np
: Zatvara ga
change_fdguard_np
: Menja zastavice čuvara na deskriptoru (čak i uklanjajući zaštitu čuvara)
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)