Поділіться своїми хакерськими трюками, надсилайте PR доHackTricksіHackTricks Cloudрепозиторіїв на GitHub.
Основна інформація
Пісочниця MacOS (спочатку називалася Seatbelt) обмежує додатки, які працюють всередині пісочниці, до дозволених дій, вказаних у профілі пісочниці, з якою працює додаток. Це допомагає забезпечити, що додаток буде отримувати доступ лише до очікуваних ресурсів.
Будь-який додаток з привілеємcom.apple.security.app-sandbox буде виконуватися всередині пісочниці. Бінарні файли Apple зазвичай виконуються всередині пісочниці, і для публікації в App Storeцей привілей є обов'язковим. Таким чином, більшість додатків будуть виконуватися всередині пісочниці.
Для контролю того, що процес може або не може робити, пісочниця має гачки в усіх системних викликах по всьому ядру. Залежно від привілеємів додатка пісочниця буде дозволяти певні дії.
Деякі важливі компоненти пісочниці:
Розширення ядра /System/Library/Extensions/Sandbox.kext
Зверніть увагу, що навіть якщо символьні посилання є там для "виходу" з пісочниці та доступу до інших папок, додатку все ще потрібно мати дозволи для доступу до них. Ці дозволи знаходяться всередині .plist.
# Get permissionsplutil-convertxml1.com.apple.containermanagerd.metadata.plist-o-# Binary sandbox profile<key>SandboxProfileData</key><data>AAAhAboBAAAAAAgAAABZAO4B5AHjBMkEQAUPBSsGPwsgASABHgEgASABHwEf...# In this file you can find the entitlements:<key>Entitlements</key><dict><key>com.apple.MobileAsset.PhishingImageClassifier2</key><true/><key>com.apple.accounts.appleaccount.fullaccess</key><true/><key>com.apple.appattest.spi</key><true/><key>keychain-access-groups</key><array><string>6N38VWS5BX.ru.keepcoder.Telegram</string><string>6N38VWS5BX.ru.keepcoder.TelegramShare</string></array>[...]# Some parameters<key>Parameters</key><dict><key>_HOME</key><string>/Users/username</string><key>_UID</key><string>501</string><key>_USER</key><string>username</string>[...]# The paths it can access<key>RedirectablePaths</key><array><string>/Users/username/Downloads</string><string>/Users/username/Documents</string><string>/Users/username/Library/Calendars</string><string>/Users/username/Desktop</string><key>RedirectedPaths</key><array/>[...]
Все створене/змінене за допомогою застосунку у пісочниці отримає атрибут карантину. Це запобігне виклику Gatekeeper, якщо пісочниця спробує виконати щось за допомогою open.
Профілі пісочниці
Профілі пісочниці - це файли конфігурації, які вказують, що буде дозволено/заборонено в цій пісочниці. Вони використовують Мову профілю пісочниці (SBPL), яка використовує мову програмування Scheme.
Тут ви можете знайти приклад:
(version 1) ; First you get the version(deny default) ; Then you shuold indicate the default action when no rule applies(allow network*) ; You can use wildcards and allow everything(allow file-read* ; You can specify where to apply the rule(subpath "/Users/username/")(literal "/tmp/afile")(regex #"^/private/etc/.*"))(allow mach-lookup(global-name "com.apple.analyticsd"))
Перевірте це дослідження, щоб перевірити більше дій, які можуть бути дозволені або заборонені.
Важливі системні служби також працюють у власному індивідуальному пісочниці, таких як служба mdnsresponder. Ви можете переглянути ці індивідуальні профілі пісочниці в:
Додатки App Store використовують профіль/System/Library/Sandbox/Profiles/application.sb. В цьому профілі можна перевірити, які дозволи, такі як com.apple.security.network.server, дозволяють процесу використовувати мережу.
SIP - це профіль пісочниці, який називається platform_profile в /System/Library/Sandbox/rootless.conf
Приклади профілів пісочниці
Для запуску додатка з конкретним профілем пісочниці можна використовувати:
(version 1)(deny default)(allow file* (literal "/private/tmp/hacktricks.txt"))(allow process* (literal "/usr/bin/touch"))(allow file-read-data (literal "/")); This one will work
Зверніть увагу, що програмне забезпечення, розроблене Apple, яке працює на Windows, не має додаткових заходів безпеки, таких як ізоляція додатків.
macOS зберігає системні профілі пісочниці в двох місцях: /usr/share/sandbox/ та /System/Library/Sandbox/Profiles.
І якщо сторонній додаток має entitlement com.apple.security.app-sandbox, система застосовує профіль /System/Library/Sandbox/Profiles/application.sb до цього процесу.
Профіль пісочниці iOS
Стандартний профіль називається container, і у нас немає текстового представлення SBPL. У пам'яті ця пісочниця представлена як дерево бінарних дозволів/заборон для кожного дозволу з пісочниці.
Налагодження та обхід пісочниці
На macOS, на відміну від iOS, де процеси з початку ізольовані ядром, процеси повинні самі вибирати пісочницю. Це означає, що на macOS процес не обмежується пісочницею, поки він активно не вирішить увійти в неї.
Процеси автоматично входять в пісочницю з userland при запуску, якщо вони мають entitlement: com.apple.security.app-sandbox. Для докладного пояснення цього процесу перегляньте:
Згідно з цим, sandbox_check (це __mac_syscall) може перевірити, чи дозволена операція чи ні пісочницею в певному PID.
Інструмент sbtool може перевірити, чи може PID виконати певну дію:
sbtool<pid>mach#Check mac-ports (got from launchd with an api)sbtool<pid>file/tmp#Check file accesssbtool<pid>inspect#Gives you an explaination of the sandbox profilesbtool<pid>all
Користувацький SBPL в додатках App Store
Для компаній можливо зробити так, щоб їх додатки працювали з користувацькими профілями пісочниці (замість стандартного). Для цього вони повинні використовувати entitlement com.apple.security.temporary-exception.sbpl, який повинен бути схвалений Apple.
Можливо перевірити визначення цього entitlement у /System/Library/Sandbox/Profiles/application.sb: