Поділіться своїми хакерськими трюками, надсилайте PR доHackTricks та HackTricks Cloud репозиторіїв GitHub.
XPC Авторизація
Apple також пропонує інший спосіб аутентифікації, якщо підключений процес має дозвіл на виклик відкритого XPC методу.
Коли додатку потрібно виконати дії як привілейований користувач, замість запуску додатку як привілейований користувач, зазвичай встановлюється HelperTool як служба XPC, яку можна викликати з додатку для виконання цих дій. Однак додаток, який викликає службу, повинен мати достатню авторизацію.
ShouldAcceptNewConnection завжди YES
Приклад можна знайти в EvenBetterAuthorizationSample. У App/AppDelegate.m він намагається підключитися до HelperTool. А в HelperTool/HelperTool.m функція shouldAcceptNewConnectionне буде перевіряти жодні зазначені раніше вимоги. Вона завжди повертатиме YES:
- (BOOL)listener:(NSXPCListener *)listener shouldAcceptNewConnection:(NSXPCConnection *)newConnection
// Called by our XPC listener when a new connection comes in. We configure the connection
// with our protocol and ourselves as the main object.
{
assert(listener == self.listener);
#pragma unused(listener)
assert(newConnection != nil);
newConnection.exportedInterface = [NSXPCInterface interfaceWithProtocol:@protocol(HelperToolProtocol)];
newConnection.exportedObject = self;
[newConnection resume];
return YES;
}
Для отримання додаткової інформації про правильну настройку цієї перевірки:
Однак, коли викликається метод з HelperTool, відбувається деяка авторизація.
Функція applicationDidFinishLaunching з App/AppDelegate.m створить порожню посилання авторизації після запуску додатку. Це завжди повинно працювати.
Потім вона спробує додати деякі права до цього посилання авторизації, викликаючи setupAuthorizationRights:
- (void)applicationDidFinishLaunching:(NSNotification *)note
{
[...]
err = AuthorizationCreate(NULL, NULL, 0, &self->_authRef);
if (err == errAuthorizationSuccess) {
err = AuthorizationMakeExternalForm(self->_authRef, &extForm);
}
if (err == errAuthorizationSuccess) {
self.authorization = [[NSData alloc] initWithBytes:&extForm length:sizeof(extForm)];
}
assert(err == errAuthorizationSuccess);
// If we successfully connected to Authorization Services, add definitions for our default
// rights (unless they're already in the database).
if (self->_authRef) {
[Common setupAuthorizationRights:self->_authRef];
}
[self.window makeKeyAndOrderFront:self];
}
Функція setupAuthorizationRights з Common/Common.m буде зберігати в базі даних авторизації /var/db/auth.db права програми. Зверніть увагу, що вона додасть лише ті права, яких ще немає в базі даних:
+ (void)setupAuthorizationRights:(AuthorizationRef)authRef
// See comment in header.
{
assert(authRef != NULL);
[Common enumerateRightsUsingBlock:^(NSString * authRightName, id authRightDefault, NSString * authRightDesc) {
OSStatus blockErr;
// First get the right. If we get back errAuthorizationDenied that means there's
// no current definition, so we add our default one.
blockErr = AuthorizationRightGet([authRightName UTF8String], NULL);
if (blockErr == errAuthorizationDenied) {
blockErr = AuthorizationRightSet(
authRef, // authRef
[authRightName UTF8String], // rightName
(__bridge CFTypeRef) authRightDefault, // rightDefinition
(__bridge CFStringRef) authRightDesc, // descriptionKey
NULL, // bundle (NULL implies main bundle)
CFSTR("Common") // localeTableName
);
assert(blockErr == errAuthorizationSuccess);
} else {
// A right already exists (err == noErr) or any other error occurs, we
// assume that it has been set up in advance by the system administrator or
// this is the second time we've run. Either way, there's nothing more for
// us to do.
}
}];
}
Функція enumerateRightsUsingBlock використовується для отримання дозволів програм, які визначені в commandInfo:
static NSString * kCommandKeyAuthRightName = @"authRightName";
static NSString * kCommandKeyAuthRightDefault = @"authRightDefault";
static NSString * kCommandKeyAuthRightDesc = @"authRightDescription";
+ (NSDictionary *)commandInfo
{
static dispatch_once_t sOnceToken;
static NSDictionary * sCommandInfo;
dispatch_once(&sOnceToken, ^{
sCommandInfo = @{
NSStringFromSelector(@selector(readLicenseKeyAuthorization:withReply:)) : @{
kCommandKeyAuthRightName : @"com.example.apple-samplecode.EBAS.readLicenseKey",
kCommandKeyAuthRightDefault : @kAuthorizationRuleClassAllow,
kCommandKeyAuthRightDesc : NSLocalizedString(
@"EBAS is trying to read its license key.",
@"prompt shown when user is required to authorize to read the license key"
)
},
NSStringFromSelector(@selector(writeLicenseKey:authorization:withReply:)) : @{
kCommandKeyAuthRightName : @"com.example.apple-samplecode.EBAS.writeLicenseKey",
kCommandKeyAuthRightDefault : @kAuthorizationRuleAuthenticateAsAdmin,
kCommandKeyAuthRightDesc : NSLocalizedString(
@"EBAS is trying to write its license key.",
@"prompt shown when user is required to authorize to write the license key"
)
},
NSStringFromSelector(@selector(bindToLowNumberPortAuthorization:withReply:)) : @{
kCommandKeyAuthRightName : @"com.example.apple-samplecode.EBAS.startWebService",
kCommandKeyAuthRightDefault : @kAuthorizationRuleClassAllow,
kCommandKeyAuthRightDesc : NSLocalizedString(
@"EBAS is trying to start its web service.",
@"prompt shown when user is required to authorize to start the web service"
)
}
};
});
return sCommandInfo;
}
+ (NSString *)authorizationRightForCommand:(SEL)command
// See comment in header.
{
return [self commandInfo][NSStringFromSelector(command)][kCommandKeyAuthRightName];
}
+ (void)enumerateRightsUsingBlock:(void (^)(NSString * authRightName, id authRightDefault, NSString * authRightDesc))block
// Calls the supplied block with information about each known authorization right..
{
[self.commandInfo enumerateKeysAndObjectsUsingBlock:^(id key, id obj, BOOL *stop) {
#pragma unused(key)
#pragma unused(stop)
NSDictionary * commandDict;
NSString * authRightName;
id authRightDefault;
NSString * authRightDesc;
// If any of the following asserts fire it's likely that you've got a bug
// in sCommandInfo.
commandDict = (NSDictionary *) obj;
assert([commandDict isKindOfClass:[NSDictionary class]]);
authRightName = [commandDict objectForKey:kCommandKeyAuthRightName];
assert([authRightName isKindOfClass:[NSString class]]);
authRightDefault = [commandDict objectForKey:kCommandKeyAuthRightDefault];
assert(authRightDefault != nil);
authRightDesc = [commandDict objectForKey:kCommandKeyAuthRightDesc];
assert([authRightDesc isKindOfClass:[NSString class]]);
block(authRightName, authRightDefault, authRightDesc);
}];
}
Це означає, що в кінці цього процесу дозволи, визначені всередині commandInfo, будуть збережені в /var/db/auth.db. Зверніть увагу, що там ви можете знайти для кожного методу, який вимагає аутентифікації, назву дозволу та kCommandKeyAuthRightDefault. Останній вказує, хто може отримати це право.
Є різні області, щоб вказати, хто може отримати доступ до права. Деякі з них визначені в AuthorizationDB.h (ви можете знайти всі з них тут), але як підсумок:
Назва
Значення
Опис
kAuthorizationRuleClassAllow
allow
Будь-хто
kAuthorizationRuleClassDeny
deny
Ніхто
kAuthorizationRuleIsAdmin
is-admin
Поточний користувач повинен бути адміністратором (в межах групи адміністраторів)
kAuthorizationRuleAuthenticateAsSessionUser
authenticate-session-owner
Запитати користувача про аутентифікацію.
kAuthorizationRuleAuthenticateAsAdmin
authenticate-admin
Запитати користувача про аутентифікацію. Він повинен бути адміністратором (в межах групи адміністраторів)
kAuthorizationRightRule
rule
Вказати правила
kAuthorizationComment
comment
Вказати додаткові коментарі до права
Перевірка Прав
У HelperTool/HelperTool.m функція readLicenseKeyAuthorization перевіряє, чи має викликаючий право на виконання такого методу, викликаючи функцію checkAuthorization. Ця функція перевірить, чи authData, надіслані викликаючим процесом, має правильний формат, а потім перевірить, що потрібно для отримання права на виклик конкретного методу. Якщо все пройде добре, повернене значення error буде nil:
- (NSError *)checkAuthorization:(NSData *)authData command:(SEL)command
{
[...]
// First check that authData looks reasonable.
error = nil;
if ( (authData == nil) || ([authData length] != sizeof(AuthorizationExternalForm)) ) {
error = [NSError errorWithDomain:NSOSStatusErrorDomain code:paramErr userInfo:nil];
}
// Create an authorization ref from that the external form data contained within.
if (error == nil) {
err = AuthorizationCreateFromExternalForm([authData bytes], &authRef);
// Authorize the right associated with the command.
if (err == errAuthorizationSuccess) {
AuthorizationItem oneRight = { NULL, 0, NULL, 0 };
AuthorizationRights rights = { 1, &oneRight };
oneRight.name = [[Common authorizationRightForCommand:command] UTF8String];
assert(oneRight.name != NULL);
err = AuthorizationCopyRights(
authRef,
&rights,
NULL,
kAuthorizationFlagExtendRights | kAuthorizationFlagInteractionAllowed,
NULL
);
}
if (err != errAuthorizationSuccess) {
error = [NSError errorWithDomain:NSOSStatusErrorDomain code:err userInfo:nil];
}
}
if (authRef != NULL) {
junk = AuthorizationFree(authRef, 0);
assert(junk == errAuthorizationSuccess);
}
return error;
}
Зверніть увагу, що для перевірки вимог для отримання права викликати цей метод функція authorizationRightForCommand просто перевірить попередньо закоментований об'єкт commandInfo. Потім вона викличе AuthorizationCopyRights для перевірки, чи є у неї права на виклик функції (зверніть увагу, що прапорці дозволяють взаємодію з користувачем).
У цьому випадку для виклику функції readLicenseKeyAuthorizationkCommandKeyAuthRightDefault визначено як @kAuthorizationRuleClassAllow. Таким чином, будь-хто може її викликати.
Інформація про БД
Було зазначено, що ця інформація зберігається в /var/db/auth.db. Ви можете перелічити всі збережені правила за допомогою:
Ви можете знайти всі конфігурації дозволівтут, але комбінації, які не потребують взаємодії з користувачем, будуть:
'authenticate-user': 'false'
Це найпряміший ключ. Якщо встановлено на false, це вказує, що користувачу не потрібно надавати аутентифікацію для отримання цього права.
Це використовується в комбінації з одним з 2 нижче або вказанням групи, до якої повинен належати користувач.
'allow-root': 'true'
Якщо користувач працює як користувач root (який має підвищені дозволи), і цей ключ встановлено на true, користувач root може потенційно отримати це право без подальшої аутентифікації. Однак, зазвичай, для отримання статусу користувача root вже потрібна аутентифікація, тому це не є сценарієм "без аутентифікації" для більшості користувачів.
'session-owner': 'true'
Якщо встановлено на true, власник сеансу (поточний користувач) автоматично отримає це право. Це може обійти додаткову аутентифікацію, якщо користувач вже увійшов у систему.
'shared': 'true'
Цей ключ не надає прав без аутентифікації. Замість цього, якщо встановлено на true, це означає, що після аутентифікації право може бути спільно використане серед кількох процесів без необхідності повторної аутентифікації. Проте початкове надання права все одно потребує аутентифікації, якщо не поєднано з іншими ключами, наприклад 'authenticate-user': 'false'.
Якщо ви знаходите функцію: [HelperTool checkAuthorization:command:], ймовірно, процес використовує вже згадану схему авторизації:
Таким чином, якщо ця функція викликає функції, такі як AuthorizationCreateFromExternalForm, authorizationRightForCommand, AuthorizationCopyRights, AuhtorizationFree, вона використовує EvenBetterAuthorizationSample.
Перевірте /var/db/auth.db, щоб переконатися, чи можливо отримати дозвіл на виклик деякої привілейованої дії без взаємодії з користувачем.
Протокольна комунікація
Потім вам потрібно знайти схему протоколу, щоб мати можливість встановити зв'язок з XPC-сервісом.
Функція shouldAcceptNewConnection вказує на експортований протокол:
У цьому випадку ми маємо те саме, що й у EvenBetterAuthorizationSample, перевірте цей рядок.
Знаючи назву використаного протоколу, можливо вивести його визначення заголовка за допомогою: