macOS Files, Folders, Binaries & Memory
Jifunze & zoezi AWS Hacking:Mafunzo ya HackTricks AWS Timu Nyekundu Mtaalam (ARTE) Jifunze & zoezi GCP Hacking: Mafunzo ya HackTricks GCP Timu Nyekundu Mtaalam (GRTE)
Mpangilio wa Hiyerarkia ya Faili
/Applications: Programu zilizosakinishwa zinapaswa kuwa hapa. Watumiaji wote wataweza kuzifikia.
/bin: Binari za mstari wa amri
/cores: Ikiwepo, hutumiwa kuhifadhi dump za msingi
/dev: Kila kitu kinafanywa kama faili hivyo unaweza kuona vifaa vya vifaa vilivyohifadhiwa hapa.
/etc: Faili za usanidi
/Library: Ving'amuzi vingi na faili zinazohusiana na mapendeleo, cache na magogo zinaweza kupatikana hapa. Kuna folda ya Maktaba inayopatikana kwenye mizizi na kwenye saraka ya kila mtumiaji.
/private: Isiyoelezwa lakini ving'amuzi vingi vilivyotajwa ni viungo vya alama kwa saraka ya faragha.
/sbin: Binari muhimu za mfumo (zinazohusiana na usimamizi)
/System: Faili za kuendesha OS X. Unapaswa kupata hasa faili za Apple hapa (si za tatu).
/tmp: Faili hufutwa baada ya siku 3 (ni kiungo laini kwenda /private/tmp)
/Users: Saraka ya nyumbani kwa watumiaji.
/usr: Usanidi na binari za mfumo
/var: Faili za logi
/Volumes: Madereva yaliyosakinishwa yataonekana hapa.
/.vol: Ukikimbia
stat a.txt
unapata kitu kama16777223 7545753 -rw-r--r-- 1 jina la mtumiaji gurudumu ...
ambapo nambari ya kwanza ni nambari ya kitambulisho cha kiasi ambapo faili ipo na ya pili ni nambari ya inode. Unaweza kupata maudhui ya faili hii kupitia /.vol/ kwa habari hiyo ukikimbiacat /.vol/16777223/7545753
Folda za Programu
Programu za mfumo zinapatikana chini ya
/System/Applications
Programu zilizosakinishwa kawaida zinasakinishwa katika
/Applications
au katika~/Applications
Data ya programu inaweza kupatikana katika
/Library/Application Support
kwa programu zinazoendeshwa kama mizizi na~/Library/Application Support
kwa programu zinazoendeshwa kama mtumiaji.Daemons za programu za tatu ambazo zinafaa kuendeshwa kama mizizi kawaida zinapatikana katika
/Library/PrivilegedHelperTools/
Programu zilizofungwa zimepangwa katika saraka ya
~/Library/Containers
. Kila programu ina saraka iliyoitwa kulingana na kitambulisho cha bundi cha programu (com.apple.Safari
).Kernel iko katika
/System/Library/Kernels/kernel
Vifaa vya nyongeza vya kernel vya Apple viko katika
/System/Library/Extensions
Vifaa vya nyongeza vya kernel vya tatu hifadhiwa katika
/Library/Extensions
Faili zenye Taarifa Nyeti
MacOS inahifadhi taarifa kama nywila katika maeneo kadhaa:
macOS Sensitive Locations & Interesting DaemonsWajasiriamali Wadhaifu wa Pakiti
macOS Installers AbuseVifaa Maalum vya OS X
.dmg
: Faili za Picha za Apple Disk ni za kawaida kwa wasakinishaji..kext
: Lazima ifuate muundo maalum na ni toleo la OS X la dereva. (ni bundi).plist
: Inajulikana pia kama orodha ya mali inahifadhi taarifa kwa muundo wa XML au binary.Inaweza kuwa XML au binary. Zile za binary zinaweza kusomwa na:
defaults read config.plist
/usr/libexec/PlistBuddy -c print config.plsit
plutil -p ~/Library/Preferences/com.apple.screensaver.plist
plutil -convert xml1 ~/Library/Preferences/com.apple.screensaver.plist -o -
plutil -convert json ~/Library/Preferences/com.apple.screensaver.plist -o -
.app
: Programu za Apple zinazofuata muundo wa saraka (ni bundi)..dylib
: Maktaba za kudumu (kama faili za DLL za Windows).pkg
: Ni sawa na xar (muundo wa Kumbukumbu inayoweza kupanuliwa). Amri ya wasakinishaji inaweza kutumika kusakinisha maudhui ya faili hizi..DS_Store
: Faili hii iko kwenye kila saraka, inahifadhi sifa na ubinafsishaji wa saraka..Spotlight-V100
: Saraka hii inaonekana kwenye saraka ya mizizi ya kila kiasi kwenye mfumo..metadata_never_index
: Ikiwa faili hii iko kwenye mizizi ya kiasi Spotlight haitaindeksi kiasi hicho..noindex
: Faili na saraka zenye kipengee hiki hazitaindeksiwa na Spotlight..sdef
: Faili ndani ya vifurushi vinavyoeleza jinsi inavyowezekana kuingiliana na programu kutoka kwa AppleScript.
Vifurushi vya macOS
Kifurushi ni saraka ambayo inaonekana kama kitu katika Finder (mfano wa Kifurushi ni faili za *.app
).
Hifadhi ya Maktaba ya Pamoja ya Dyld (SLC)
Kwenye macOS (na iOS) maktaba zote za mfumo, kama fremu na dylibs, zimeunganishwa katika faili moja, inayoitwa hifadhi ya pamoja ya dyld. Hii imeboresha utendaji, kwani nambari inaweza kupakia haraka.
Hii iko macOS katika /System/Volumes/Preboot/Cryptexes/OS/System/Library/dyld/
na katika toleo za zamani unaweza kupata hifadhi ya pamoja katika /System/Library/dyld/
.
Kwenye iOS unaweza kuzipata katika /System/Library/Caches/com.apple.dyld/
.
Kama hifadhi ya pamoja ya dyld, kernel na vifaa vya nyongeza vya kernel pia vimeunganishwa katika hifadhi ya kernel, ambayo inapakiwa wakati wa kuanza.
Ili kutoa maktaba kutoka kwa faili moja ya hifadhi ya dylib ilikuwa inawezekana kutumia binary dyld_shared_cache_util ambayo inaweza isifanye kazi siku hizi lakini unaweza pia kutumia dyldextractor:
Tafadhali kumbuka hata kama zana ya dyld_shared_cache_util
haifanyi kazi, unaweza kumtumia dyld binary iliyoshirikiwa kwa Hopper na Hopper itaweza kutambua maktaba zote na kukuruhusu kuchagua ni ipi unayotaka kuchunguza:
Baadhi ya wachimbaji hawatafanyi kazi kwa sababu dylibs zimeunganishwa mapema na anwani zilizowekwa kwa hivyo wanaweza kuhamia kwenye anwani zisizojulikana
Pia ni rahisi kupakua Cache ya Maktaba iliyoshirikiwa ya vifaa vingine vya *OS kwenye macos kwa kutumia emulator katika Xcode. Zitapakuliwa ndani ya: ls $HOME/Library/Developer/Xcode/<*>OS\ DeviceSupport/<version>/Symbols/System/Library/Caches/com.apple.dyld/
, kama:$HOME/Library/Developer/Xcode/iOS\ DeviceSupport/14.1\ (18A8395)/Symbols/System/Library/Caches/com.apple.dyld/dyld_shared_cache_arm64
Kupanga SLC
dyld
hutumia syscall shared_region_check_np
kujua ikiwa SLC imepangwa (ambayo inarudisha anwani) na shared_region_map_and_slide_np
kupanga SLC.
Kumbuka hata kama SLC imepangwa mara ya kwanza, mchakato wote hutumia nakala ile ile, ambayo inaondoa ulinzi wa ASLR ikiwa mshambuliaji alikuwa na uwezo wa kuendesha michakato kwenye mfumo. Hii ilikuwa ikitumiwa hapo awali na kurekebishwa na ukurasa wa kanda ulioshirikiwa.
Pools za matawi ni dylibs ndogo za Mach-O ambazo huzalisha nafasi ndogo kati ya ramani za picha ambazo hufanya kuwa haiwezekani kuingilia kazi.
Kuzidi SLCs
Kwa kutumia mazingira ya mazingira:
DYLD_DHARED_REGION=private DYLD_SHARED_CACHE_DIR=</path/dir> DYLD_SHARED_CACHE_DONT_VALIDATE=1
-> Hii itaruhusu kupakia cache mpya ya maktaba iliyoshirikiwaDYLD_SHARED_CACHE_DIR=avoid
na kubadilisha maktaba kwa viungo vya alama kwa cache iliyoshirikiwa na zile halisi (utahitaji kuzitoa)
Ruhusa Maalum za Faili
Ruhusa za Folda
Katika folda, kusoma kuruhusu kuorodhesha, kuandika kuruhusu kufuta na kuandika faili juu yake, na kutekeleza kuruhusu kuvuka saraka. Kwa hivyo, kwa mfano, mtumiaji mwenye ruhusa ya kusoma juu ya faili ndani ya saraka ambapo hana ruhusa ya utekelezaji hataweza kusoma faili hiyo.
Modifiers ya Bendera
Kuna bendera kadhaa zinazoweza kuwekwa kwenye faili ambazo zitafanya faili zichukue tabia tofauti. Unaweza kuangalia bendera za faili ndani ya saraka na ls -lO /path/directory
uchg
: Inayojulikana kama bendera ya uchange itazuia hatua yoyote ya kubadilisha au kufuta faili. Kuweka ni:chflags uchg file.txt
Mtumiaji wa mizizi anaweza kuondoa bendera na kuhariri faili
restricted
: Bendera hii inafanya faili iwe ilindwe na SIP (huwezi kuongeza bendera hii kwa faili).Sticky bit
: Ikiwa kuna saraka na biti ya kushikamana, tu mmiliki wa saraka au mizizi wanaweza kubadilisha jina au kufuta faili. Kawaida hii imewekwa kwenye saraka ya /tmp kuzuia watumiaji wa kawaida kufuta au kuhamisha faili za watumiaji wengine.
Bendera zote zinaweza kupatikana kwenye faili sys/stat.h
(ipate kwa kutumia mdfind stat.h | grep stat.h
) na ni:
UF_SETTABLE
0x0000ffff: Kifuniko cha bendera zinazoweza kubadilishwa na mmiliki.UF_NODUMP
0x00000001: Usidumishe faili.UF_IMMUTABLE
0x00000002: Faili haiwezi kubadilishwa.UF_APPEND
0x00000004: Kuandika kwenye faili kunaweza kuongeza tu.UF_OPAQUE
0x00000008: Saraka ni undani kuhusu muungano.UF_COMPRESSED
0x00000020: Faili imepakwa (baadhi ya mifumo ya faili).UF_TRACKED
0x00000040: Hakuna arifa kwa kufuta/kubadilisha majina kwa faili zilizo na hii.UF_DATAVAULT
0x00000080: Haki inahitajika kwa kusoma na kuandika.UF_HIDDEN
0x00008000: Kiashiria kwamba kipengee hiki haitaki kuonyeshwa kwenye GUI.SF_SUPPORTED
0x009f0000: Kifuniko cha bendera zinazoungwa mkono na msimamizi.SF_SETTABLE
0x3fff0000: Kifuniko cha bendera zinazoweza kubadilishwa na msimamizi.SF_SYNTHETIC
0xc0000000: Kifuniko cha bendera za kusoma tu za mfumo.SF_ARCHIVED
0x00010000: Faili imehifadhiwa.SF_IMMUTABLE
0x00020000: Faili haiwezi kubadilishwa.SF_APPEND
0x00040000: Kuandika kwenye faili kunaweza kuongeza tu.SF_RESTRICTED
0x00080000: Haki inahitajika kwa kuandika.SF_NOUNLINK
0x00100000: Kipengee hakiwezi kuondolewa, kubadilishwa jina au kufungwa.SF_FIRMLINK
0x00800000: Faili ni firmlink.SF_DATALESS
0x40000000: Faili ni kitu cha dataless.
ACL za Faili
ACL za Faili zina ACE (Viingilio vya Kudhibiti Upatikanaji) ambapo ruhusa za kina zaidi zinaweza kupewa watumiaji tofauti.
Inawezekana kutoa ruhusa hizi kwa directory: list
, search
, add_file
, add_subdirectory
, delete_child
, delete_child
.
Na kwa faili: read
, write
, append
, execute
.
Wakati faili ina ACLs utaona "+" unapotaja ruhusa kama hii:
Unaweza kusoma ACLs ya faili kwa:
Unaweza kupata faili zote zenye ACLs kwa (hii ni polepole sana):
Vipengele Vilivyozidishwa
Vipengele vilivyozidishwa vina jina na thamani yoyote inayotakiwa, na vinaweza kuonekana kwa kutumia ls -@
na kuhaririwa kwa kutumia amri ya xattr
. Baadhi ya vipengele vilivyozidishwa vya kawaida ni:
com.apple.resourceFork
: Ulinganifu wa rasilimali ya rasilimali. Pia inaonekana kamafilename/..namedfork/rsrc
com.apple.quarantine
: MacOS: Mfumo wa karantini wa Gatekeeper (III/6)metadata:*
: MacOS: metadata mbalimbali, kama vile_backup_excludeItem
, aukMD*
com.apple.lastuseddate
(#PS): Tarehe ya mwisho ya matumizi ya failicom.apple.FinderInfo
: MacOS: Taarifa za Finder (k.m., lebo za rangi)com.apple.TextEncoding
: Inabainisha uendeshaji wa maandishi ya faili za maandishi ya ASCIIcom.apple.logd.metadata
: Hutumiwa na logd kwenye faili katika/var/db/diagnostics
com.apple.genstore.*
: Uhifadhi wa kizazi (/.DocumentRevisions-V100
katika mizizi ya mfumo wa faili)com.apple.rootless
: MacOS: Hutumiwa na Ulinzi wa Uadilifu wa Mfumo kuweka lebo ya faili (III/10)com.apple.uuidb.boot-uuid
: Alama za logd za nyakati za kuanza upya na UUID ya kipekeecom.apple.decmpfs
: MacOS: Ufutaji wa faili wa wazi (II/7)com.apple.cprotect
: *OS: Data ya kielektroniki ya faili kwa faili (III/11)com.apple.installd.*
: *OS: Metadata inayotumiwa na installd, k.m.,installType
,uniqueInstallID
Rasilimali za Rasilimali | macOS ADS
Hii ni njia ya kupata Mizani za Data Mbadala kwenye Mashine za MacOS. Unaweza kuokoa maudhui ndani ya kipengele kilichozidishwa kinachoitwa com.apple.ResourceFork ndani ya faili kwa kuokoa katika file/..namedfork/rsrc.
Unaweza kupata faili zote zinazo na sifa hii iliyozidishwa kwa:
decmpfs
Kipengele cha ziada com.apple.decmpfs
inaonyesha kuwa faili imehifadhiwa kwa kuchapwa, ls -l
itaripoti ukubwa wa 0 na data iliyosambazwa iko ndani ya kipengele hiki. Kila wakati faili inapofikiwa itadondoshwa kumbukani.
Kipengele hiki kinaweza kuonekana na ls -lO
kikiashiria kama kilichapwa kwa sababu faili zilizochapwa pia zinatambuliwa na bendera UF_COMPRESSED
. Ikiwa faili iliyochapwa inaondolewa bendera hii kwa chflags nocompressed </path/to/file>
, mfumo hautajua kuwa faili ilichapwa na kwa hivyo haitaweza kuchapua na kupata data (itadhani kuwa ni tupu).
Zana ya afscexpand inaweza kutumika kulazimisha kuchapua faili.
Faili za Universal & Muundo wa Mach-o
Faili za Mac OS kawaida hukusanywa kama faili za universal. Faili ya universal inaweza kusaidia miundo mingi ndani ya faili moja.
macOS Universal binaries & Mach-O FormatKumbukumbu ya Mchakato wa macOS
Kutapakua Kumbukumbu ya Mfumo wa macOS
macOS Memory DumpingAina za Hatari za Faili za Mac OS
Dhibiti /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/System
ndipo ambapo habari kuhusu hatari inayohusiana na viendelezi tofauti vya faili imehifadhiwa. Dhibiti hii inagawa faili katika viwango tofauti vya hatari, ikibadilisha jinsi Safari inavyoshughulikia faili hizi baada ya kupakuliwa. Vikundi ni kama ifuatavyo:
LSRiskCategorySafe: Faili katika kundi hili zinachukuliwa kuwa salama kabisa. Safari itafungua faili hizi moja kwa moja baada ya kupakuliwa.
LSRiskCategoryNeutral: Faili hizi hazina onyo lolote na hazifunguliwi moja kwa moja na Safari.
LSRiskCategoryUnsafeExecutable: Faili katika kundi hili huchochea onyo linaloonyesha kuwa faili ni programu. Hii ni hatua ya usalama ya kumuarifu mtumiaji.
LSRiskCategoryMayContainUnsafeExecutable: Kundi hili ni kwa faili, kama vile nyaraka, ambazo zinaweza kuwa na utekelezaji. Safari ita chochea onyo isipokuwa iweze kuthibitisha kuwa maudhui yote ni salama au yasiyo na hatari.
Faili za Kumbukumbu
$HOME/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
: Ina habari kuhusu faili zilizopakuliwa, kama URL kutoka mahali zilipopakuliwa./var/log/system.log
: Kumbukumbu kuu ya mifumo ya OSX. com.apple.syslogd.plist inahusika na utekelezaji wa syslogging (unaweza kuangalia ikiwa imelemazwa kwa kutafuta "com.apple.syslogd" katikalaunchctl list
./private/var/log/asl/*.asl
: Hizi ni Kumbukumbu za Mifumo ya Apple ambayo inaweza kuwa na habari ya kuvutia.$HOME/Library/Preferences/com.apple.recentitems.plist
: Inahifadhi faili na programu zilizoangaliwa hivi karibuni kupitia "Finder".$HOME/Library/Preferences/com.apple.loginitems.plsit
: Inahifadhi vitu vya kuzindua wakati wa kuanza kwa mfumo$HOME/Library/Logs/DiskUtility.log
: Faili ya kumbukumbu ya Programu ya DiskUtility (habari kuhusu diski, pamoja na USB)/Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist
: Data kuhusu vituo vya upatikanaji wa waya./private/var/db/launchd.db/com.apple.launchd/overrides.plist
: Orodha ya daemons iliyozimwa.
Jifunze & zoezi Udukuzi wa AWS:Mafunzo ya HackTricks AWS Timu Nyekundu Mtaalam (ARTE) Jifunze & zoezi Udukuzi wa GCP: Mafunzo ya HackTricks GCP Timu Nyekundu Mtaalam (GRTE)
Last updated