macOS Red Teaming
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
JAMF Pro: jamf checkJSSConnection
Kandji
Se riesci a compromettere le credenziali di amministratore per accedere alla piattaforma di gestione, puoi compromettere potenzialmente tutti i computer distribuendo il tuo malware nelle macchine.
Per il red teaming in ambienti MacOS è altamente raccomandato avere una certa comprensione di come funzionano gli MDM:
Un MDM avrà il permesso di installare, interrogare o rimuovere profili, installare applicazioni, creare account amministrativi locali, impostare la password del firmware, cambiare la chiave di FileVault...
Per eseguire il tuo MDM, hai bisogno di far firmare il tuo CSR da un fornitore, che potresti provare a ottenere con https://mdmcert.download/. E per eseguire il tuo MDM per dispositivi Apple potresti usare MicroMDM.
Tuttavia, per installare un'applicazione in un dispositivo registrato, hai comunque bisogno che sia firmata da un account sviluppatore... tuttavia, al momento della registrazione MDM, il dispositivo aggiunge il certificato SSL dell'MDM come CA fidata, quindi ora puoi firmare qualsiasi cosa.
Per registrare il dispositivo in un MDM, devi installare un file mobileconfig
come root, che potrebbe essere consegnato tramite un file pkg (puoi comprimerlo in zip e quando viene scaricato da Safari verrà decompresso).
Mythic agent Orthrus utilizza questa tecnica.
JAMF può eseguire script personalizzati (script sviluppati dall'amministratore di sistema), payload nativi (creazione di account locali, impostazione della password EFI, monitoraggio di file/processi...) e MDM (configurazioni del dispositivo, certificati del dispositivo...).
Vai su una pagina come https://<company-name>.jamfcloud.com/enroll/
per vedere se hanno l'auto-registrazione abilitata. Se ce l'hanno, potrebbe richiedere credenziali per accedere.
Potresti usare lo script JamfSniper.py per eseguire un attacco di password spraying.
Inoltre, dopo aver trovato le credenziali corrette, potresti essere in grado di forzare altre username con il modulo successivo:
Il binary jamf
conteneva il segreto per aprire il portachiavi che al momento della scoperta era condiviso tra tutti ed era: jk23ucnq91jfu9aj
.
Inoltre, jamf persiste come un LaunchDaemon in /Library/LaunchAgents/com.jamf.management.agent.plist
L'URL del JSS (Jamf Software Server) che jamf
utilizzerà si trova in /Library/Preferences/com.jamfsoftware.jamf.plist
.
Questo file contiene fondamentalmente l'URL:
Quindi, un attaccante potrebbe installare un pacchetto malevolo (pkg
) che sovrascrive questo file impostando l'URL a un listener Mythic C2 da un agente Typhon per poter abusare di JAMF come C2.
Per impersonare la comunicazione tra un dispositivo e JMF hai bisogno di:
Il UUID del dispositivo: ioreg -d2 -c IOPlatformExpertDevice | awk -F" '/IOPlatformUUID/{print $(NF-1)}'
Il keychain di JAMF da: /Library/Application\ Support/Jamf/JAMF.keychain
che contiene il certificato del dispositivo
Con queste informazioni, crea una VM con il UUID Hardware rubato e con SIP disabilitato, inserisci il keychain di JAMF, collega l'agente Jamf e ruba le sue informazioni.
Puoi anche monitorare la posizione /Library/Application Support/Jamf/tmp/
per gli script personalizzati che gli amministratori potrebbero voler eseguire tramite Jamf poiché vengono posizionati qui, eseguiti e rimossi. Questi script potrebbero contenere credenziali.
Tuttavia, le credenziali potrebbero essere passate a questi script come parametri, quindi dovresti monitorare ps aux | grep -i jamf
(senza nemmeno essere root).
Lo script JamfExplorer.py può ascoltare nuovi file aggiunti e nuovi argomenti di processo.
E anche riguardo ai protocollo di rete "speciali" di MacOS:
In alcune occasioni scoprirai che il computer MacOS è connesso a un AD. In questo scenario dovresti cercare di enumerare l'active directory come sei abituato a fare. Trova qualche aiuto nelle seguenti pagine:
Alcuni strumenti locali di MacOS che potrebbero anche aiutarti sono dscl
:
Also there are some tools prepared for MacOS to automatically enumerate the AD and play with kerberos:
Machound: MacHound è un'estensione dello strumento di auditing Bloodhound che consente di raccogliere e ingerire le relazioni di Active Directory su host MacOS.
Bifrost: Bifrost è un progetto Objective-C progettato per interagire con le API Heimdal krb5 su macOS. L'obiettivo del progetto è abilitare test di sicurezza migliori attorno a Kerberos sui dispositivi macOS utilizzando API native senza richiedere alcun altro framework o pacchetti sul target.
Orchard: Strumento JavaScript for Automation (JXA) per eseguire l'enumerazione di Active Directory.
I tre tipi di utenti MacOS sono:
Utenti Locali — Gestiti dal servizio OpenDirectory locale, non sono collegati in alcun modo all'Active Directory.
Utenti di Rete — Utenti Active Directory volatili che richiedono una connessione al server DC per autenticarsi.
Utenti Mobili — Utenti Active Directory con un backup locale per le loro credenziali e file.
Le informazioni locali sugli utenti e sui gruppi sono memorizzate nella cartella /var/db/dslocal/nodes/Default. Ad esempio, le informazioni sull'utente chiamato mark sono memorizzate in /var/db/dslocal/nodes/Default/users/mark.plist e le informazioni sul gruppo admin si trovano in /var/db/dslocal/nodes/Default/groups/admin.plist.
Oltre a utilizzare i bordi HasSession e AdminTo, MacHound aggiunge tre nuovi bordi al database Bloodhound:
CanSSH - entità autorizzata a SSH verso l'host
CanVNC - entità autorizzata a VNC verso l'host
CanAE - entità autorizzata a eseguire script AppleEvent sull'host
Maggiore informazione in https://its-a-feature.github.io/posts/2018/01/Active-Directory-Discovery-with-a-Mac/
Ottieni le password usando:
È possibile accedere alla password Computer$
all'interno del portachiavi di sistema.
Ottieni un TGT per un utente e un servizio specifici:
Una volta raccolto il TGT, è possibile iniettarlo nella sessione corrente con:
Con i ticket di servizio ottenuti, è possibile provare ad accedere alle condivisioni su altri computer:
Il Keychain contiene molto probabilmente informazioni sensibili che, se accessibili senza generare un prompt, potrebbero aiutare a portare avanti un esercizio di red team:
Il Red Teaming su MacOS è diverso dal Red Teaming su Windows regolare poiché di solito MacOS è integrato con diverse piattaforme esterne direttamente. Una configurazione comune di MacOS è accedere al computer utilizzando credenziali sincronizzate di OneLogin e accedere a diversi servizi esterni (come github, aws...) tramite OneLogin.
Quando un file viene scaricato in Safari, se è un file "sicuro", verrà aperto automaticamente. Quindi, ad esempio, se scarichi un zip, verrà automaticamente decompresso:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)