macOS Office Sandbox Bypasses
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aplikacija koristi prilagođeni Sandbox koristeći pravo com.apple.security.temporary-exception.sbpl
i ovaj prilagođeni sandbox omogućava pisanje fajlova bilo gde sve dok ime fajla počinje sa ~$
: (require-any (require-all (vnode-type REGULAR-FILE) (regex #"(^|/)~$[^/]+$")))
Stoga, bekstvo je bilo lako kao pisanje plist
LaunchAgent u ~/Library/LaunchAgents/~$escape.plist
.
Check the original report here.
Zapamtite da iz prvog bekstva, Word može pisati proizvoljne fajlove čija imena počinju sa ~$
iako nakon zakrpe prethodne ranjivosti nije bilo moguće pisati u /Library/Application Scripts
ili u /Library/LaunchAgents
.
Otkriveno je da je iz sandbox-a moguće kreirati Login Item (aplikacije koje će se izvršiti kada se korisnik prijavi). Međutim, ove aplikacije neće se izvršiti osim ako nisu notarizovane i nije moguće dodati argumente (tako da ne možete samo pokrenuti reverznu ljusku koristeći bash
).
Iz prethodnog Sandbox zaobilaženja, Microsoft je onemogućio opciju pisanja fajlova u ~/Library/LaunchAgents
. Međutim, otkriveno je da ako stavite zip fajl kao Login Item, Archive Utility
će jednostavno raspakovati na trenutnoj lokaciji. Dakle, pošto po defaultu folder LaunchAgents
iz ~/Library
nije kreiran, bilo je moguće zipovati plist u LaunchAgents/~$escape.plist
i staviti zip fajl u ~/Library
tako da kada se raspakuje, doći će do odredišta za postojanost.
Check the original report here.
(Zapamtite da iz prvog bekstva, Word može pisati proizvoljne fajlove čija imena počinju sa ~$
).
Međutim, prethodna tehnika imala je ograničenje, ako folder ~/Library/LaunchAgents
postoji jer ga je neka druga aplikacija kreirala, to bi propalo. Tako je otkrivena drugačija lanac Login Items za ovo.
Napadač bi mogao kreirati fajlove .bash_profile
i .zshenv
sa teretom za izvršavanje, a zatim ih zipovati i pisati zip u korisnički folder žrtve: ~/~$escape.zip
.
Zatim, dodajte zip fajl u Login Items i zatim aplikaciju Terminal
. Kada se korisnik ponovo prijavi, zip fajl bi bio raspakovan u korisničkom folderu, prepisujući .bash_profile
i .zshenv
i stoga će terminal izvršiti jedan od ovih fajlova (u zavisnosti od toga da li se koristi bash ili zsh).
Check the original report here.
Iz sandboxovanih procesa još uvek je moguće pozvati druge procese koristeći open
alat. Štaviše, ovi procesi će se izvršavati unutar svog vlastitog sandbox-a.
Otkriveno je da open alat ima opciju --env
za pokretanje aplikacije sa specifičnim env varijablama. Stoga, bilo je moguće kreirati .zshenv
fajl unutar foldera unutar sandbox-a i koristiti open
sa --env
postavljajući HOME
varijablu na taj folder otvarajući tu Terminal
aplikaciju, koja će izvršiti .zshenv
fajl (iz nekog razloga takođe je bilo potrebno postaviti varijablu __OSINSTALL_ENVIROMENT
).
Check the original report here.
Alat open
takođe podržava parametar --stdin
(i nakon prethodnog zaobilaženja više nije bilo moguće koristiti --env
).
Stvar je u tome da čak i ako je python
potpisan od strane Apple-a, neće izvršiti skriptu sa atributom quarantine
. Međutim, bilo je moguće proslediti mu skriptu iz stdin-a tako da neće proveravati da li je bila u karantinu ili ne:
Postavite ~$exploit.py
fajl sa proizvoljnim Python komandama.
Pokrenite open –stdin='~$exploit.py' -a Python
, što pokreće Python aplikaciju sa našim postavljenim fajlom kao njenim standardnim ulazom. Python rado izvršava naš kod, a pošto je to podproces launchd, nije vezan za pravila Word-ovog sandbox-a.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)