macOS FS Tricks
Kombinationen von POSIX-Berechtigungen
Berechtigungen in einem Verzeichnis:
Lesen - Sie können die Verzeichniseinträge auflisten
Schreiben - Sie können Dateien im Verzeichnis löschen/schreiben und leere Ordner löschen.
Sie können jedoch keine nicht leeren Ordner löschen/ändern, es sei denn, Sie haben Schreibberechtigungen dafür.
Sie können den Namen eines Ordners nicht ändern, es sei denn, Sie besitzen ihn.
Ausführen - Sie dürfen das Verzeichnis durchqueren - wenn Sie dieses Recht nicht haben, können Sie nicht auf Dateien darin oder in Unterverzeichnissen zugreifen.
Gefährliche Kombinationen
Wie man eine von root besessene Datei/einen von root besessenen Ordner überschreibt, aber:
Ein Eltern-Verzeichnisbesitzer im Pfad ist der Benutzer
Ein Eltern-Verzeichnisbesitzer im Pfad ist eine Benutzergruppe mit Schreibzugriff
Eine Benutzer-Gruppe hat Schreibzugriff auf die Datei
Mit einer dieser vorherigen Kombinationen könnte ein Angreifer einen sym/hard link in den erwarteten Pfad einfügen, um einen privilegierten beliebigen Schreibzugriff zu erlangen.
Besonderer Fall des Ordners root R+X
Wenn es Dateien in einem Verzeichnis gibt, auf die nur root Lese- und Ausführungszugriff hat, sind diese für niemand anderen nicht zugänglich. Daher könnte eine Schwachstelle, die es ermöglicht, eine von einem Benutzer lesbare Datei zu verschieben, die aufgrund dieser Einschränkung nicht gelesen werden kann, aus diesem Verzeichnis in ein anderes zu verschieben, missbraucht werden, um diese Dateien zu lesen.
Beispiel unter: https://theevilbit.github.io/posts/exploiting_directory_permissions_on_macos/#nix-directory-permissions
Symbolischer Link / Hard Link
Wenn ein privilegierter Prozess Daten in einer Datei schreibt, die von einem niedriger privilegierten Benutzer kontrolliert werden könnte oder die von einem niedriger privilegierten Benutzer zuvor erstellt wurde. Der Benutzer könnte einfach über einen Symbolischen oder Hard-Link darauf zeigen und der privilegierte Prozess wird in diese Datei schreiben.
Überprüfen Sie in den anderen Abschnitten, wo ein Angreifer einen beliebigen Schreibzugriff missbrauchen könnte, um Privilegien zu eskalieren.
.fileloc
Dateien mit der Erweiterung .fileloc
können auf andere Anwendungen oder Binärdateien verweisen, sodass beim Öffnen die Anwendung/Binärdatei ausgeführt wird.
Beispiel:
Beliebige FD
Wenn Sie einen Prozess dazu bringen können, eine Datei oder einen Ordner mit hohen Berechtigungen zu öffnen, können Sie crontab
missbrauchen, um eine Datei in /etc/sudoers.d
mit EDITOR=exploit.py
zu öffnen, sodass exploit.py
den FD zur Datei innerhalb von /etc/sudoers
erhalten und ihn missbrauchen kann.
Zum Beispiel: https://youtu.be/f1HA5QhLQ7Y?t=21098
Tricks zum Vermeiden von Quarantäne-xattrs
Entfernen Sie es
uchg / uchange / uimmutable Flag
Wenn eine Datei/ein Ordner dieses unveränderliche Attribut hat, ist es nicht möglich, ein xattr darauf zu setzen.
defvfs mount
Ein devfs-Mount unterstützt keine xattr, weitere Informationen unter CVE-2023-32364
writeextattr ACL
Diese ACL verhindert das Hinzufügen von xattrs
zur Datei.
com.apple.acl.text xattr + AppleDouble
Das Dateiformat AppleDouble kopiert eine Datei einschließlich ihrer ACEs.
Im Quellcode ist zu sehen, dass die ACL-Textdarstellung, die im xattr mit dem Namen com.apple.acl.text
gespeichert ist, als ACL in der dekomprimierten Datei festgelegt wird. Wenn Sie also eine Anwendung in eine Zip-Datei mit dem Dateiformat AppleDouble komprimiert haben, die eine ACL enthält, die das Schreiben anderer xattrs verhindert... wurde der Quarantäne-xattr nicht in die Anwendung gesetzt:
Überprüfen Sie den Originalbericht für weitere Informationen.
Um dies zu replizieren, müssen wir zuerst den richtigen ACL-String erhalten:
(Note that even if this works the sandbox write the quarantine xattr before)
Nicht wirklich notwendig, aber ich lasse es dort für den Fall:
pagemacOS xattr-acls extra stuffUmgehung von Codesignaturen
Bundles enthalten die Datei _CodeSignature/CodeResources
, die den Hash jeder einzelnen Datei im Bundle enthält. Beachten Sie, dass der Hash von CodeResources auch im ausführbaren Code eingebettet ist, sodass wir daran nichts ändern können.
Es gibt jedoch einige Dateien, deren Signatur nicht überprüft wird. Diese haben den Schlüssel omit
in der Plist, wie:
Es ist möglich, die Signatur einer Ressource über die Befehlszeile mit folgendem Befehl zu berechnen:
Normalerweise bindet macOS die Festplatte über den com.apple.DiskArbitration.diskarbitrationd
Mach-Dienst ein (bereitgestellt von /usr/libexec/diskarbitrationd
). Wenn Sie dem LaunchDaemons-Platine die Option -d
hinzufügen und neu starten, werden Protokolle im Verzeichnis /var/log/diskarbitrationd.log
gespeichert.
Es ist jedoch möglich, Tools wie hdik
und hdiutil
zu verwenden, um direkt mit dem com.apple.driver.DiskImages
kext zu kommunizieren.
Willkürliche Schreibvorgänge
Periodische sh-Skripte
Wenn Ihr Skript als Shell-Skript interpretiert werden könnte, könnten Sie das /etc/periodic/daily/999.local
Shell-Skript überschreiben, das jeden Tag ausgelöst wird.
Sie können die Ausführung dieses Skripts vortäuschen mit: sudo periodic daily
Daemons
Schreiben Sie einen beliebigen LaunchDaemon wie /Library/LaunchDaemons/xyz.hacktricks.privesc.plist
mit einem Plist, das ein beliebiges Skript ausführt, wie:
Sudoers-Datei
Wenn Sie über beliebige Schreibrechte verfügen, könnten Sie eine Datei im Ordner /etc/sudoers.d/
erstellen, um sich sudo-Berechtigungen zu gewähren.
PATH-Dateien
Die Datei /etc/paths
ist einer der Hauptorte, die die PATH-Umgebungsvariable befüllen. Sie müssen root sein, um sie zu überschreiben, aber wenn ein Skript von einem privilegierten Prozess einige Befehle ohne vollständigen Pfad ausführt, könnten Sie es möglicherweise übernehmen, indem Sie diese Datei ändern.
Sie können auch Dateien in /etc/paths.d
schreiben, um neue Ordner in die PATH
-Umgebungsvariable zu laden.
Generieren von beschreibbaren Dateien als andere Benutzer
Dies wird eine Datei generieren, die root gehört und von mir beschreibbar ist (Code von hier). Dies könnte auch als Privilege-Escalation funktionieren:
POSIX Shared Memory
POSIX Shared Memory ermöglicht Prozessen in POSIX-konformen Betriebssystemen den Zugriff auf einen gemeinsamen Speicherbereich, was eine schnellere Kommunikation im Vergleich zu anderen Interprozesskommunikationsmethoden ermöglicht. Es beinhaltet das Erstellen oder Öffnen eines gemeinsamen Speicherobjekts mit shm_open()
, das Festlegen seiner Größe mit ftruncate()
und das Abbilden in den Adressraum des Prozesses mit mmap()
. Prozesse können dann direkt auf diesen Speicherbereich lesen und schreiben. Zur Verwaltung des gleichzeitigen Zugriffs und zur Verhinderung von Datenkorruption werden oft Synchronisierungsmechanismen wie Mutexe oder Semaphoren verwendet. Schließlich trennen Prozesse den gemeinsamen Speicher mit munmap()
und close()
und entfernen optional das Speicherobjekt mit shm_unlink()
. Dieses System ist besonders effektiv für eine effiziente, schnelle IPC in Umgebungen, in denen mehrere Prozesse schnell auf gemeinsame Daten zugreifen müssen.
macOS Geschützte Deskriptoren
macOS geschützte Deskriptoren sind eine Sicherheitsfunktion, die in macOS eingeführt wurde, um die Sicherheit und Zuverlässigkeit von Dateideskriptoroperationen in Benutzeranwendungen zu verbessern. Diese geschützten Deskriptoren bieten eine Möglichkeit, spezifische Einschränkungen oder "Guards" mit Dateideskriptoren zu verknüpfen, die vom Kernel durchgesetzt werden.
Diese Funktion ist besonders nützlich, um bestimmte Klassen von Sicherheitslücken wie unberechtigten Dateizugriff oder Rennbedingungen zu verhindern. Diese Sicherheitslücken treten auf, wenn beispielsweise ein Thread auf eine Dateibeschreibung zugreift, die einem anderen gefährdeten Thread Zugriff darauf gibt, oder wenn ein Dateideskriptor von einem gefährdeten Kindprozess geerbt wird. Einige Funktionen im Zusammenhang mit dieser Funktionalität sind:
guarded_open_np
: Öffnet einen FD mit einem Guardguarded_close_np
: Schließt ihnchange_fdguard_np
: Ändert die Guard-Flags an einem Deskriptor (auch die Guard-Schutz entfernen)
Referenzen
Last updated