macOS FS Tricks
Mchanganyiko wa ruhusa za POSIX
Ruhusa katika directory:
soma - unaweza kuorodhesha viingilio vya directory
andika - unaweza kufuta/kuandika faili katika directory na unaweza kufuta folda tupu.
Lakini huwezi kufuta/kurekebisha folda zilizo na vitu isipokuwa una ruhusa za kuandika juu yake.
Huwezi kurekebisha jina la folda isipokuwa unamiliki.
tekeleza - unaruhusiwa kutembea directory - ikiwa huna haki hii, huwezi kupata faili yoyote ndani yake, au katika subdirectories yoyote.
Mchanganyiko Hatari
Jinsi ya kubadilisha faili/folder iliyo milikiwa na root, lakini:
Mzazi mmoja wa directory ni mmiliki ni mtumiaji
Mzazi mmoja wa directory ni mmiliki wa kikundi cha watumiaji na ruhusa ya kuandika
Kikundi cha watumiaji kina ruhusa ya kuandika kwa faili
Kwa mchanganyiko wowote uliopita, mshambuliaji anaweza kuingiza kiungo cha sim/hard kwenye njia inayotarajiwa ili kupata uandishi wa aina ya kipekee.
Kesi Maalum ya R+X ya Mzizi wa Folda
Ikiwa kuna faili katika directory ambapo root pekee ana ufikiaji wa R+X, hizo hazipatikani kwa mtu mwingine yeyote. Kwa hivyo, udhaifu unaoruhusu kuhamisha faili inayoweza kusomwa na mtumiaji, ambayo haiwezi kusomwa kwa sababu ya kizuizi hicho, kutoka kwenye folda hii kwenda kwenye nyingine, unaweza kutumika kusoma faili hizi.
Mfano katika: https://theevilbit.github.io/posts/exploiting_directory_permissions_on_macos/#nix-directory-permissions
Kiungo cha Ishara / Kiungo Kali
Ikiwa mchakato uliopewa mamlaka unahifadhi data katika faili ambayo inaweza kudhibitiwa na mtumiaji mwenye mamlaka ya chini, au ambayo inaweza kuundwa mapema na mtumiaji mwenye mamlaka ya chini. Mtumiaji anaweza tu kuielekeza kwenye faili nyingine kupitia Kiungo cha Ishara au Kiungo Kali, na mchakato uliopewa mamlaka atahifadhi kwenye faili hiyo.
Angalia sehemu zingine ambapo mshambuliaji anaweza kutumia uandishi wa aina ya kipekee kwa kuboresha mamlaka.
.fileloc
Faili zenye kipengele cha .fileloc
zinaweza kuashiria programu au binaries nyingine hivyo wakati zinafunguliwa, programu/binari itakuwa ile inayotekelezwa.
Mfano:
FD ya Kiholela
Ikiwa unaweza kufanya mchakato ufungue faili au folda kwa mamlaka ya juu, unaweza kutumia crontab
kufungua faili katika /etc/sudoers.d
kwa EDITOR=exploit.py
, hivyo exploit.py
itapata FD ya faili ndani ya /etc/sudoers
na kuitumia.
Kwa mfano: https://youtu.be/f1HA5QhLQ7Y?t=21098
Epuka mbinu za xattrs za karantini
Ondoa hiyo
Bendera ya uchg / uchange / uimmutable
Ikiwa faili/folder ina sifa hii isiyoondolewa, haitawezekana kuweka xattr juu yake
Kuunganisha defvfs
Kuunganisha devfs haishikilii xattr, maelezo zaidi katika CVE-2023-32364
Andika xattr ACL
ACL hii inazuia kuongeza xattrs
kwa faili
com.apple.acl.text xattr + AppleDouble
Muundo wa faili wa AppleDouble unachukua faili pamoja na ACEs zake.
Katika msimbo wa chanzo inawezekana kuona kwamba uwakilishi wa maandishi wa ACL uliohifadhiwa ndani ya xattr inayoitwa com.apple.acl.text
utawekwa kama ACL katika faili iliyopunguzwa. Kwa hivyo, ikiwa ulipunguza programu ndani ya faili ya zip na muundo wa faili wa AppleDouble na ACL ambayo inazuia xattrs zingine kuandikwa kwake... xattr ya karantini haikuwekwa kwenye programu:
Angalia ripoti ya asili kwa maelezo zaidi.
Ili kuzidisha hii kwanza tunahitaji kupata mnyororo sahihi wa acl:
(Note that even if this works the sandbox write the quarantine xattr before)
Hakika haikuhitajika lakini naacha hapo kwa tahadhari:
pagemacOS xattr-acls extra stuffKupuuza Saini za Kodi
Vifurushi vinavyo _CodeSignature/CodeResources
ambavyo vina hash ya kila faili katika kifurushi. Tafadhali kumbuka kuwa hash ya CodeResources pia imeingizwa kwenye kutekelezeka, hivyo hatuwezi kuharibu hilo, pia.
Hata hivyo, kuna baadhi ya faili ambazo saini yake haitachunguzwa, hizi zina ufunguo wa kutoa katika plist, kama vile:
Inawezekana kuhesabu saini ya rasilimali kutoka kwa cli na:
Kawaida macOS inamount diski inazungumza na huduma ya com.apple.DiskArbitrarion.diskarbitrariond
(iliyotolewa na /usr/libexec/diskarbitrationd
). Ikiwa unaweka paramu -d
kwenye faili ya plist ya LaunchDaemons na kuanzisha upya, itahifadhi logs itahifadhi logs katika /var/log/diskarbitrationd.log
.
Walakini, inawezekana kutumia zana kama hdik
na hdiutil
kuwasiliana moja kwa moja na com.apple.driver.DiskImages
kext.
Kuandika Kiholela
Skripti za sh za kipindi
Ikiwa skripti yako inaweza kufasiriwa kama skripti ya shell unaweza kubadilisha /etc/periodic/daily/999.local
skripti ya shell ambayo itaanzishwa kila siku.
Unaweza kuiga utekelezaji wa skripti hii na: sudo periodic daily
Daemons
Andika LaunchDaemon ya kiholela kama /Library/LaunchDaemons/xyz.hacktricks.privesc.plist
na plist inayotekeleza skripti ya kiholela kama:
Faili ya Sudoers
Ikiwa una uwezo wa kuandika kwa hiari, unaweza kuunda faili ndani ya folda /etc/sudoers.d/
ukijipa ruhusa za sudo.
Faili za PATH
Faili ya /etc/paths
ni moja ya sehemu kuu zinazojaza variable ya PATH env. Lazima uwe mtumiaji wa mizizi kuibadilisha, lakini ikiwa script kutoka kwa mchakato uliopewa ruhusa inatekeleza amri bila njia kamili, unaweza kuiteka kwa kubadilisha faili hii.
Unaweza pia kuandika faili katika /etc/paths.d
ili kupakia folda mpya kwenye variable ya PATH
env.
Unda faili zinazoweza kuandikwa kama watumiaji wengine
Hii itaunda faili inayomilikiwa na mizizi ambayo inaweza kuandikwa na mimi (code kutoka hapa). Hii pia inaweza kufanya kazi kama privesc:
POSIX Kumbukumbu Inayoshirikishwa
Kumbukumbu inayoshirikishwa ya POSIX inaruhusu michakato katika mifumo ya uendeshaji inayozingatia POSIX kupata eneo la kumbukumbu la pamoja, ikirahisisha mawasiliano haraka ikilinganishwa na njia zingine za mawasiliano kati ya michakato. Inahusisha kujenga au kufungua kitu cha kumbukumbu kinachoshirikishwa kwa kutumia shm_open()
, kuweka ukubwa wake kwa kutumia ftruncate()
, na kuifunga katika eneo la anwani ya michakato kwa kutumia mmap()
. Michakato kisha inaweza kusoma moja kwa moja na kuandika kwenye eneo hili la kumbukumbu. Ili kusimamia ufikiaji wa wakati mmoja na kuzuia uharibifu wa data, mara nyingi hutumiwa mbinu za kusawazisha kama vile mutex au semaphore. Hatimaye, michakato hufunga na kufunga kumbukumbu iliyoshirikishwa kwa kutumia munmap()
na close()
, na hiari kuondoa kitu cha kumbukumbu kwa kutumia shm_unlink()
. Mfumo huu ni hasa ufanisi kwa IPC yenye ufanisi na haraka katika mazingira ambapo michakato mingi inahitaji kupata data iliyoshirikishwa kwa haraka.
Last updated