Παράκαμψη του Sandbox του Word μέσω των Launch Agents

Η εφαρμογή χρησιμοποιεί ένα προσαρμοσμένο Sandbox χρησιμοποιώντας το entitlement com.apple.security.temporary-exception.sbpl και αυτό το προσαρμοσμένο sandbox επιτρέπει την εγγραφή αρχείων οπουδήποτε, όσο το όνομα του αρχείου ξεκινά με ~$: (require-any (require-all (vnode-type REGULAR-FILE) (regex #"(^|/)~$[^/]+$")))

Επομένως, η παράκαμψη ήταν τόσο εύκολη όσο το γράψιμο ενός plist LaunchAgent στο ~/Library/LaunchAgents/~$escape.plist.

Ελέγξτε την αρχική αναφορά εδώ.

Παράκαμψη του Sandbox του Word μέσω των Login Items και του zip

Θυμηθείτε ότι από την πρώτη παράκαμψη, το Word μπορεί να γράψει αυθαίρετα αρχεία των οποίων το όνομα ξεκινά με ~$, αν και μετά την επιδιόρθωση της προηγούμενης ευπάθειας δεν ήταν δυνατή η εγγραφή στο /Library/Application Scripts ή στο /Library/LaunchAgents.

Ανακαλύφθηκε ότι από το εσωτερικό του sandbox είναι δυνατή η δημιουργία ενός Login Item (εφαρμογές που θα εκτελούνται όταν ο χρήστης συνδέεται). Ωστόσο, αυτές οι εφαρμογές δεν θα εκτελεστούν εκτός αν είναι υπογεγραμμένες και δεν είναι δυνατή η προσθήκη ορισμένων παραμέτρων (οπότε δεν μπορείτε απλά να εκτελέσετε ένα αντίστροφο κέλυφος χρησιμοποιώντας το bash).

Από την προηγούμενη παράκαμψη του Sandbox, η Microsoft απενεργοποίησε τη δυνατότητα εγγραφής αρχείων στο ~/Library/LaunchAgents. Ωστόσο, ανακαλύφθηκε ότι εάν τοποθετήσετε ένα αρχείο zip ως Login Item, το Archive Utility θα το αποσυμπιέσει στην τρέχουσα τοποθεσία του. Έτσι, επειδή από προεπιλογή ο φάκελος LaunchAgents από το ~/Library δεν δημιουργείται, ήταν δυνατό να συμπιέσετε ένα plist στο LaunchAgents/~$escape.plist και να τοποθετήσετε το αρχείο zip στο ~/Library έτσι ώστε όταν αποσυμπιέσετε να φτάσει στον προορισμό της μόνιμης αποθήκευσης.

Ελέγξτε την αρχική αναφορά εδώ.

Παράκαμψη του Sandbox του Word μέσω των Login Items και του .zshenv

(Θυμηθείτε ότι από την πρώτη παράκαμψη, το Word μπορεί να γράψει αυθαίρετα αρχεία των οποίων το όνομα ξεκινά με ~$).

Ωστόσο, η προηγούμενη τεχνική είχε μια περιορισμένη λειτουργία,