macOS Installers Abuse
Last updated
Last updated
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Установочний пакет macOS (також відомий як файл .pkg) — це формат файлу, який використовується macOS для розповсюдження програмного забезпечення. Ці файли схожі на коробку, яка містить все, що потрібно програмному забезпеченню для правильного встановлення та роботи.
Сам файл пакета є архівом, який містить ієрархію файлів і каталогів, які будуть встановлені на цільовому комп'ютері. Він також може включати скрипти для виконання завдань до та після встановлення, такі як налаштування конфігураційних файлів або очищення старих версій програмного забезпечення.
Розповсюдження (xml): Налаштування (назва, текст привітання…) та перевірки скриптів/встановлення
PackageInfo (xml): Інформація, вимоги до встановлення, місце встановлення, шляхи до скриптів для виконання
Рахунок матеріалів (bom): Список файлів для встановлення, оновлення або видалення з правами доступу до файлів
Payload (архів CPIO, стиснутий gzip): Файли для встановлення в install-location з PackageInfo
Скрипти (архів CPIO, стиснутий gzip): Скрипти перед і після встановлення та інші ресурси, витягнуті в тимчасовий каталог для виконання.
Щоб візуалізувати вміст інсталятора без ручного розпакування, ви також можете використовувати безкоштовний інструмент Suspicious Package.
Файли DMG, або образи дисків Apple, є форматом файлів, який використовується macOS для образів дисків. Файл DMG по суті є монтуємим образом диска (він містить власну файлову систему), що містить сирі блоки даних, які зазвичай стиснуті і іноді зашифровані. Коли ви відкриваєте файл DMG, macOS монтує його так, ніби це фізичний диск, що дозволяє вам отримати доступ до його вмісту.
Зверніть увагу, що .dmg інсталятора підтримують так багато форматів, що в минулому деякі з них, що містили вразливості, були зловживані для отримання виконання коду ядра.
Ієрархія файлу DMG може бути різною в залежності від вмісту. Однак для DMG додатків вона зазвичай має таку структуру:
Верхній рівень: Це корінь образу диска. Він часто містить додаток і, можливо, посилання на папку Додатки.
Додаток (.app): Це фактичний додаток. У macOS додаток зазвичай є пакетом, що містить багато окремих файлів і папок, які складають додаток.
Посилання на Додатки: Це ярлик до папки Додатки в macOS. Мета цього полягає в тому, щоб спростити установку додатка. Ви можете перетягнути файл .app на цей ярлик, щоб встановити додаток.
Якщо скрипт перед або після установки, наприклад, виконується з /var/tmp/Installerutil, і зловмисник може контролювати цей скрипт, він може підвищити привілеї щоразу, коли його виконують. Або інший подібний приклад:
Це публічна функція, яку кілька інсталяторів і оновлювачів викликають для виконання чогось від імені root. Ця функція приймає шлях до файлу, який потрібно виконати як параметр, однак, якщо зловмисник може модифікувати цей файл, він зможе зловживати його виконанням з root для підвищення привілеїв.
Для отримання додаткової інформації перегляньте цю доповідь: https://www.youtube.com/watch?v=lTOItyjTTkw
Якщо інсталятор записує в /tmp/fixedname/bla/bla, можливо створити монтування над /tmp/fixedname без власників, щоб ви могли модифікувати будь-який файл під час установки для зловживання процесом установки.
Прикладом цього є CVE-2021-26089, який зміг перезаписати періодичний скрипт для отримання виконання як root. Для отримання додаткової інформації перегляньте доповідь: OBTS v4.0: "Mount(ain) of Bugs" - Csaba Fitzl
Можливо просто згенерувати .pkg файл з скриптами перед і після установки без будь-якого реального вантажу, окрім шкідливого ПЗ всередині скриптів.
Можливо додати <script> теги у файл distribution xml пакета, і цей код буде виконано, і він може виконувати команди за допомогою system.run:
Зловмисний інсталятор, що використовує скрипт і JS код всередині dist.xml
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
