从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS Red Team Expert) ! 支持HackTricks的其他方式:
如果您想看到您的公司在HackTricks中做广告 或下载PDF格式的HackTricks ,请查看订阅计划
基本信息
MacOS沙箱(最初称为Seatbelt)限制在沙箱内运行的应用程序 执行的操作,以符合应用程序运行时使用的沙箱配置文件中指定的允许操作 。这有助于确保应用程序只能访问预期的资源 。
任何具有授权 com.apple.security.app-sandbox 苹果二进制文件 通常在沙箱内执行,为了在App Store 中发布应用程序,此授权是强制性的 。因此,大多数应用程序将在沙箱内执行。
为了控制进程可以执行的操作,沙箱在内核中的所有 系统调用 中都有钩子 。根据 应用程序的授权 ,沙箱将允许 特定操作。
沙箱的一些重要组件包括:
内核扩展 /System/Library/Extensions/Sandbox.kext
私有框架 /System/Library/PrivateFrameworks/AppSandbox.framework
在用户空间运行的守护程序 /usr/libexec/sandboxd
在容器文件夹中,您可以找到为每个在沙箱中执行的应用程序 的文件夹,文件夹名称为bundle id:
复制 ls -l ~/Library/Containers
total 0
drwx------@ 4 username staff 128 May 23 20 :20 com.apple.AMPArtworkAgent
drwx------@ 4 username staff 128 May 23 20 :13 com.apple.AMPDeviceDiscoveryAgent
drwx------@ 4 username staff 128 Mar 24 18 :03 com.apple.AVConference.Diagnostic
drwx------@ 4 username staff 128 Mar 25 14 :14 com.apple.Accessibility-Settings.extension
drwx------@ 4 username staff 128 Mar 25 14 :10 com.apple.ActionKit.BundledIntentHandler
[...] 在每个 bundle id 文件夹中,您可以找到该应用的 plist 和 Data 目录 :
复制 cd /Users/username/Library/Containers/com.apple.Safari
ls -la
total 104
drwx------@ 4 username staff 128 Mar 24 18 :08 .
drwx------ 348 username staff 11136 May 23 20 :57 ..
-rw-r--r-- 1 username staff 50214 Mar 24 18 :08 .com.apple.containermanagerd.metadata.plist
drwx------ 13 username staff 416 Mar 24 18 :05 Data
ls -l Data
total 0
drwxr-xr-x@ 8 username staff 256 Mar 24 18 :08 CloudKit
lrwxr-xr-x 1 username staff 19 Mar 24 18 :02 Desktop - > ../../../../Desktop
drwx------ 2 username staff 64 Mar 24 18 :02 Documents
lrwxr-xr-x 1 username staff 21 Mar 24 18 :02 Downloads - > ../../../../Downloads
drwx------ 35 username staff 1120 Mar 24 18 :08 Library
lrwxr-xr-x 1 username staff 18 Mar 24 18 :02 Movies - > ../../../../Movies
lrwxr-xr-x 1 username staff 17 Mar 24 18 :02 Music - > ../../../../Music
lrwxr-xr-x 1 username staff 20 Mar 24 18 :02 Pictures - > ../../../../Pictures
drwx------ 2 username staff 64 Mar 24 18 :02 SystemData
drwx------ 2 username staff 64 Mar 24 18 :02 tmp 请注意,即使符号链接存在以“逃离”沙盒并访问其他文件夹,应用程序仍然需要具有权限 来访问它们。这些权限位于**.plist**文件中。
复制 # Get permissions
plutil -convert xml1 .com.apple.containermanagerd.metadata.plist -o -
# Binary sandbox profile
< key > SandboxProfileData < /key >
< data >
AAAhAboBAAAAAAgAAABZAO4B5AHjBMkEQAUPBSsGPwsgASABHgEgASABHwEf...
# In this file you can find the entitlements:
< key > Entitlements < /key >
< dict >
< key > com.apple.MobileAsset.PhishingImageClassifier 2< /key >
< true/ >
< key > com.apple.accounts.appleaccount.fullaccess < /key >
< true/ >
< key > com.apple.appattest.spi < /key >
< true/ >
< key > keychain-access-groups < /key >
< array >
< string > 6N38VWS5BX.ru.keepcoder.Telegram < /string >
< string > 6N38VWS5BX.ru.keepcoder.TelegramShare < /string >
< /array >
[...]
# Some parameters
< key > Parameters < /key >
< dict >
< key > _HOME < /key >
< string > /Users/username < /string >
< key > _UID < /key >
< string > 5 01< /string >
< key > _USER < /key >
< string > username < /string >
[...]
# The paths it can access
< key > RedirectablePaths < /key >
< array >
< string > /Users/username/Downloads < /string >
< string > /Users/username/Documents < /string >
< string > /Users/username/Library/Calendars < /string >
< string > /Users/username/Desktop < /string >
< key > RedirectedPaths < /key >
< array/ >
[...] 所有由沙盒应用程序创建/修改的内容都将获得隔离属性 。这将通过触发Gatekeeper来阻止沙盒应用程序尝试使用**open**执行某些操作。
沙盒配置文件
沙盒配置文件是指示在该沙盒 中将被允许/禁止 的内容的配置文件。它使用沙盒配置语言(SBPL) ,该语言使用Scheme
在这里,您可以找到一个示例:
复制 (version 1 ) ; First you get the version
(deny default) ; Then you shuold indicate the default action when no rule applies
(allow network*) ; You can use wildcards and allow everything
(allow file-read* ; You can specify where to apply the rule
(subpath "/Users/username/" )
(literal "/tmp/afile" )
(regex # "^/private/etc/.*" )
)
(allow mach-lookup
(global-name "com.apple.analyticsd" )
) 重要的系统服务 也在其自定义的沙盒 中运行,例如mdnsresponder服务。您可以在以下位置查看这些自定义沙盒配置文件 :
/System/Library/Sandbox/Profiles
App Store 应用程序使用配置文件 /System/Library/Sandbox/Profiles/application.sb com.apple.security.network.server**这样的授权如何允许进程使用网络。
SIP是一个名为platform_profile的沙盒配置文件,位于/System/Library/Sandbox/rootless.conf
沙盒配置文件示例
要使用特定的沙盒配置文件 启动应用程序,您可以使用:
复制 sandbox-exec -f example.sb /Path/To/The/Application touch
复制 (version 1 )
(deny default)
(allow file* (literal "/tmp/hacktricks.txt" ))
复制 # This will fail because default is denied, so it cannot execute touch
sandbox-exec -f touch.sb touch /tmp/hacktricks.txt
# Check logs
log show --style syslog --predicate 'eventMessage contains[c] "sandbox"' --last 30 s
[...]
2023-05-26 13:42:44.136082+0200 localhost kernel[0]: (Sandbox) Sandbox: sandbox-exec(41398) deny(1) process-exec* /usr/bin/touch
2023-05-26 13:42:44.136100+0200 localhost kernel[0]: (Sandbox) Sandbox: sandbox-exec(41398) deny(1) file-read-metadata /usr/bin/touch
2023-05-26 13:42:44.136321+0200 localhost kernel[0]: (Sandbox) Sandbox: sandbox-exec(41398) deny(1) file-read-metadata /var
2023-05-26 13:42:52.701382+0200 localhost kernel[0]: (Sandbox) 5 duplicate reports for Sandbox: sandbox-exec(41398) deny(1) file-read-metadata /var
[...] 复制 (version 1 )
(deny default)
(allow file* (literal "/tmp/hacktricks.txt" ))
(allow process* (literal "/usr/bin/touch" ))
; This will also fail because:
; 2023-05-26 13:44:59.840002+0200 localhost kernel[0]: (Sandbox) Sandbox: touch(41575) deny(1) file-read-metadata /usr/bin/touch
; 2023-05-26 13:44:59.840016+0200 localhost kernel[0]: (Sandbox) Sandbox: touch(41575) deny(1) file-read-data /usr/bin/touch
; 2023-05-26 13:44:59.840028+0200 localhost kernel[0]: (Sandbox) Sandbox: touch(41575) deny(1) file-read-data /usr/bin
; 2023-05-26 13:44:59.840034+0200 localhost kernel[0]: (Sandbox) Sandbox: touch(41575) deny(1) file-read-metadata /usr/lib/dyld
; 2023-05-26 13:44:59.840050+0200 localhost kernel[0]: (Sandbox) Sandbox: touch(41575) deny(1) sysctl-read kern.bootargs
; 2023-05-26 13:44:59.840061+0200 localhost kernel[0]: (Sandbox) Sandbox: touch(41575) deny(1) file-read-data / 复制 (version 1 )
(deny default)
(allow file* (literal "/private/tmp/hacktricks.txt" ))
(allow process* (literal "/usr/bin/touch" ))
(allow file-read-data (literal "/" ))
; This one will work
请注意,运行在Windows 上的由苹果编写的软件 没有额外的安全预防措施,比如应用程序沙箱。
绕过示例:
MacOS 沙箱配置文件
macOS将系统沙箱配置文件存储在两个位置:/usr/share/sandbox/ 和 /System/Library/Sandbox/Profiles 。
如果第三方应用程序携带了 com.apple.security.app-sandbox /System/Library/Sandbox/Profiles/application.sb 配置文件到该进程。
iOS 沙箱配置文件
默认配置文件名为 container ,我们没有SBPL文本表示。在内存中,此沙箱被表示为每个权限的允许/拒绝二进制树。
调试和绕过沙箱
在macOS上,与iOS不同,进程必须自行选择加入沙箱。这意味着在macOS上,进程在主动决定进入沙箱之前不受沙箱限制。
如果进程具有权限:com.apple.security.app-sandbox,则在启动时从用户空间自动将进程置于沙箱中。有关此过程的详细解释,请查看:
page macOS Sandbox Debug & Bypass 检查 PID 权限
根据此 sandbox_check __mac_syscall)可以检查在特定PID中沙箱是否允许执行某个操作。
工具 sbtool
复制 sbtool < pi d > mach #Check mac-ports (got from launchd with an api)
sbtool < pi d > file /tmp #Check file access
sbtool < pi d > inspect #Gives you an explaination of the sandbox profile
sbtool < pi d > all 在App Store应用程序中使用自定义SBPL
公司可以使他们的应用程序运行使用自定义沙盒配置文件 (而不是默认配置文件)。他们需要使用授权的entitlement com.apple.security.temporary-exception.sbpl
可以在**/System/Library/Sandbox/Profiles/application.sb:**中检查此entitlement的定义。
复制 (sandbox-array-entitlement
"com.apple.security.temporary-exception.sbpl"
( lambda (string)
( let* ((port (open-input-string string)) (sbpl ( read port)))
(with-transparent-redirection (eval sbpl))))) 这将评估此授权后的字符串 作为沙箱配置文件。
从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家) ! 支持HackTricks的其他方式:
如果您想看到您的公司在HackTricks中做广告 或下载PDF格式的HackTricks ,请查看订阅计划
