macOS Authorizations DB & Authd

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Athorizarions DB

База даних, розташована в /var/db/auth.db, використовується для зберігання дозволів на виконання чутливих операцій. Ці операції виконуються повністю в просторі користувача і зазвичай використовуються XPC-сервісами, які повинні перевірити чи має викликаючий клієнт право виконувати певну дію, перевіряючи цю базу даних.

Спочатку ця база даних створюється з вмісту /System/Library/Security/authorization.plist. Потім деякі сервіси можуть додавати або змінювати цю базу даних, щоб додати до неї інші дозволи.

Правила зберігаються в таблиці rules всередині бази даних і містять такі стовпці:

id: Унікальний ідентифікатор для кожного правила, автоматично збільшується і служить первинним ключем.
name: Унікальна назва правила, що використовується для ідентифікації та посилання на нього в системі авторизації.
type: Вказує тип правила, обмежений значеннями 1 або 2 для визначення його логіки авторизації.
class: Класифікує правило в певний клас, забезпечуючи, щоб це було додатне ціле число.
"allow" для дозволу, "deny" для відмови, "user", якщо властивість групи вказує на групу, членство в якій дозволяє доступ, "rule" вказує в масиві правило, яке потрібно виконати, "evaluate-mechanisms" за яким слідує масив mechanisms, який є або вбудованим, або назвою пакету всередині /System/Library/CoreServices/SecurityAgentPlugins/ або /Library/Security//SecurityAgentPlugins
group: Вказує на групу користувачів, пов'язану з правилом для авторизації на основі групи.
kofn: Представляє параметр "k-of-n", що визначає, скільки підправил повинні бути виконані з загальної кількості.
timeout: Визначає тривалість у секундах, перш ніж авторизація, надана правилом, закінчиться.
flags: Містить різні прапори, які змінюють поведінку та характеристики правила.
tries: Обмежує кількість дозволених спроб авторизації для підвищення безпеки.
version: Відстежує версію правила для контролю версій та оновлень.
created: Записує мітку часу, коли правило було створено для аудиту.
modified: Зберігає мітку часу останньої модифікації правила.
hash: Містить хеш-значення правила для забезпечення його цілісності та виявлення підробок.
identifier: Надає унікальний рядковий ідентифікатор, наприклад UUID, для зовнішніх посилань на правило.
requirement: Містить серіалізовані дані, що визначають специфічні вимоги та механізми авторизації правила.
comment: Пропонує опис або коментар про правило для документації та ясності.

Example

# List by name and comments
sudo sqlite3 /var/db/auth.db "select name, comment from rules"

# Get rules for com.apple.tcc.util.admin
security authorizationdb read com.apple.tcc.util.admin
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>class</key>
<string>rule</string>
<key>comment</key>
<string>For modification of TCC settings.</string>
<key>created</key>
<real>701369782.01043606</real>
<key>modified</key>
<real>701369782.01043606</real>
<key>rule</key>
<array>
<string>authenticate-admin-nonshared</string>
</array>
<key>version</key>
<integer>0</integer>
</dict>
</plist>

Крім того, на https://www.dssw.co.uk/reference/authorization-rights/authenticate-admin-nonshared/ можна побачити значення authenticate-admin-nonshared:

{
'allow-root' : 'false',
'authenticate-user' : 'true',
'class' : 'user',
'comment' : 'Authenticate as an administrator.',
'group' : 'admin',
'session-owner' : 'false',
'shared' : 'false',
'timeout' : '30',
'tries' : '10000',
'version' : '1'
}

Authd

Це демон, який отримуватиме запити на авторизацію клієнтів для виконання чутливих дій. Він працює як служба XPC, визначена в папці XPCServices/, і зазвичай записує свої журнали в /var/log/authd.log.

Більше того, використовуючи інструмент безпеки, можна протестувати багато API Security.framework. Наприклад, AuthorizationExecuteWithPrivileges, запустивши: security execute-with-privileges /bin/ls

Це створить новий процес і виконає /usr/libexec/security_authtrampoline /bin/ls від імені root, що запитає дозволи в спливаючому вікні для виконання ls від імені root:

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousmacOS Office Sandbox Bypasses NextmacOS SIP

Last updated 1 month ago

Athorizarions DB

Правила зберігаються в таблиці rules всередині бази даних і містять такі стовпці:

id: Унікальний ідентифікатор для кожного правила, автоматично збільшується і служить первинним ключем.

name: Унікальна назва правила, що використовується для ідентифікації та посилання на нього в системі авторизації.

type: Вказує тип правила, обмежений значеннями 1 або 2 для визначення його логіки авторизації.

class: Класифікує правило в певний клас, забезпечуючи, щоб це було додатне ціле число.

"allow" для дозволу, "deny" для відмови, "user", якщо властивість групи вказує на групу, членство в якій дозволяє доступ, "rule" вказує в масиві правило, яке потрібно виконати, "evaluate-mechanisms" за яким слідує масив mechanisms, який є або вбудованим, або назвою пакету всередині /System/Library/CoreServices/SecurityAgentPlugins/ або /Library/Security//SecurityAgentPlugins

group: Вказує на групу користувачів, пов'язану з правилом для авторизації на основі групи.

kofn: Представляє параметр "k-of-n", що визначає, скільки підправил повинні бути виконані з загальної кількості.

timeout: Визначає тривалість у секундах, перш ніж авторизація, надана правилом, закінчиться.

flags: Містить різні прапори, які змінюють поведінку та характеристики правила.

tries: Обмежує кількість дозволених спроб авторизації для підвищення безпеки.

version: Відстежує версію правила для контролю версій та оновлень.

created: Записує мітку часу, коли правило було створено для аудиту.

modified: Зберігає мітку часу останньої модифікації правила.

hash: Містить хеш-значення правила для забезпечення його цілісності та виявлення підробок.

identifier: Надає унікальний рядковий ідентифікатор, наприклад UUID, для зовнішніх посилань на правило.

requirement: Містить серіалізовані дані, що визначають специфічні вимоги та механізми авторизації правила.

comment: Пропонує опис або коментар про правило для документації та ясності.

Example

# List by name and comments
sudo sqlite3 /var/db/auth.db "select name, comment from rules"

# Get rules for com.apple.tcc.util.admin
security authorizationdb read com.apple.tcc.util.admin
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>class</key>
<string>rule</string>
<key>comment</key>
<string>For modification of TCC settings.</string>
<key>created</key>
<real>701369782.01043606</real>
<key>modified</key>
<real>701369782.01043606</real>
<key>rule</key>
<array>
<string>authenticate-admin-nonshared</string>
</array>
<key>version</key>
<integer>0</integer>
</dict>
</plist>

{
'allow-root' : 'false',
'authenticate-user' : 'true',
'class' : 'user',
'comment' : 'Authenticate as an administrator.',
'group' : 'admin',
'session-owner' : 'false',
'shared' : 'false',
'timeout' : '30',
'tries' : '10000',
'version' : '1'
}

Authd