macOS Keychain
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ключовий ланцюг користувача (~/Library/Keychains/login.keychain-db
), який використовується для зберігання облікових даних, специфічних для користувача, таких як паролі додатків, паролі в Інтернеті, сертифікати, створені користувачем, паролі мережі та публічні/приватні ключі, створені користувачем.
Системний ключовий ланцюг (/Library/Keychains/System.keychain
), який зберігає системні облікові дані, такі як паролі WiFi, кореневі сертифікати системи, приватні ключі системи та паролі додатків системи.
Можна знайти інші компоненти, такі як сертифікати в /System/Library/Keychains/*
У iOS є лише один ключовий ланцюг, розташований у /private/var/Keychains/
. Ця папка також містить бази даних для TrustStore
, органів сертифікації (caissuercache
) та записів OSCP (ocspache
).
Додатки будуть обмежені в ключовому ланцюзі лише до їх приватної області на основі їх ідентифікатора додатка.
Ці файли, хоча й не мають вбудованого захисту та можуть бути завантажені, зашифровані та вимагають плоского пароля користувача для розшифровки. Інструмент, такий як Chainbreaker, може бути використаний для розшифровки.
Кожен запис у ключовому ланцюзі регулюється Списками контролю доступу (ACLs), які визначають, хто може виконувати різні дії над записом ключового ланцюга, включаючи:
ACLAuhtorizationExportClear: Дозволяє власнику отримати відкритий текст секрету.
ACLAuhtorizationExportWrapped: Дозволяє власнику отримати відкритий текст, зашифрований іншим наданим паролем.
ACLAuhtorizationAny: Дозволяє власнику виконувати будь-яку дію.
ACL супроводжуються переліком довірених додатків, які можуть виконувати ці дії без запиту. Це може бути:
Nil
(не потрібна авторизація, всі довірені)
порожній список (ніхто не довірений)
Список конкретних додатків.
Також запис може містити ключ ACLAuthorizationPartitionID
, який використовується для ідентифікації teamid, apple, та cdhash.
Якщо teamid вказано, тоді для доступу до значення запису без запиту використовуваний додаток повинен мати той же teamid.
Якщо apple вказано, тоді додаток повинен бути підписаний Apple.
Якщо cdhash вказано, тоді додаток повинен мати конкретний cdhash.
Коли новий запис створюється за допомогою Keychain Access.app
, застосовуються такі правила:
Усі додатки можуть шифрувати.
Жоден додаток не може експортувати/розшифровувати (без запиту користувача).
Усі додатки можуть бачити перевірку цілісності.
Жоден додаток не може змінювати ACLs.
partitionID встановлюється на apple
.
Коли додаток створює запис у ключовому ланцюзі, правила трохи інші:
Усі додатки можуть шифрувати.
Тільки додаток, що створює (або будь-які інші додатки, які явно додані) можуть експортувати/розшифровувати (без запиту користувача).
Усі додатки можуть бачити перевірку цілісності.
Жоден додаток не може змінювати ACLs.
partitionID встановлюється на teamid:[teamID here]
.
security
Перерахунок та вивантаження секретів з keychain, які не викликають запит, можна виконати за допомогою інструмента LockSmith
Інші кінцеві точки API можна знайти в SecKeyChain.h вихідному коді.
Список та отримання інформації про кожен запис у keychain за допомогою Security Framework або ви також можете перевірити відкритий інструмент командного рядка Apple security. Деякі приклади API:
API SecItemCopyMatching
надає інформацію про кожен запис, і є кілька атрибутів, які ви можете встановити при його використанні:
kSecReturnData
: Якщо true, він спробує розшифрувати дані (встановіть на false, щоб уникнути потенційних спливаючих вікон)
kSecReturnRef
: Отримати також посилання на елемент keychain (встановіть на true, якщо пізніше ви побачите, що можете розшифрувати без спливаючого вікна)
kSecReturnAttributes
: Отримати метадані про записи
kSecMatchLimit
: Скільки результатів повернути
kSecClass
: Який тип запису в keychain
Отримати ACL кожного запису:
За допомогою API SecAccessCopyACLList
ви можете отримати ACL для елемента keychain, і він поверне список ACL (таких як ACLAuhtorizationExportClear
та інші, згадані раніше), де кожен список має:
Опис
Список надійних додатків. Це може бути:
Додаток: /Applications/Slack.app
Бінарний файл: /usr/libexec/airportd
Група: group://AirPort
Експортувати дані:
API SecKeychainItemCopyContent
отримує відкритий текст
API SecItemExport
експортує ключі та сертифікати, але може знадобитися встановити паролі для експорту вмісту в зашифрованому вигляді
І це вимоги для того, щоб експортувати секрет без запиту:
Якщо 1+ надійних додатків у списку:
Потрібні відповідні авторизації (Nil
, або бути частиною дозволеного списку додатків у авторизації для доступу до секретної інформації)
Потрібен код підпису, щоб відповідати PartitionID
Потрібен код підпису, щоб відповідати одному надійному додатку (або бути членом правильного KeychainAccessGroup)
Якщо всі додатки надійні:
Потрібні відповідні авторизації
Потрібен код підпису, щоб відповідати PartitionID
Якщо немає PartitionID, тоді це не потрібно
Отже, якщо є 1 додаток у списку, вам потрібно впровадити код у цей додаток.
Якщо apple вказано в partitionID, ви можете отримати до нього доступ за допомогою osascript
, тому все, що довіряє всім додаткам з apple в partitionID. Python
також можна використовувати для цього.
Невидимий: Це булевий прапорець для приховування запису з UI додатку Keychain
Загальний: Це для зберігання метаданих (тому це НЕ ЗАШИФРОВАНО)
Microsoft зберігав у відкритому тексті всі токени оновлення для доступу до чутливих кінцевих точок.
Вчіться та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вчіться та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)