Поділіться своїми хакерськими трюками, надсилайте PR доHackTricks та HackTricks Cloud репозиторіїв GitHub.
Процес завантаження Sandbox
На попередньому зображенні можна спостерігати як буде завантажуватися пісочниця, коли запускається додаток з entitlement com.apple.security.app-sandbox.
Компілятор буде лінкувати /usr/lib/libSystem.B.dylib з бінарним файлом.
Потім libSystem.B буде викликати інші кілька функцій, поки xpc_pipe_routine не відправить entitlements додатка до securityd. Securityd перевіряє, чи процес повинен бути поміщений в карантин у пісочниці, і якщо так, він буде поміщений в карантин.
Наостанок, пісочниця буде активована за допомогою виклику __sandbox_ms, який викличе __mac_syscall.
Можливі обходи
Обхід атрибуту карантину
Файли, створені процесами у пісочниці, мають атрибут карантину, щоб запобігти виходу з пісочниці. Однак, якщо ви зможете створити папку .app без атрибуту карантину у додатку у пісочниці, ви зможете зробити бінарний файл пакету додатка вказувати на /bin/bash та додати деякі змінні середовища в plist, щоб зловживати open та запустити новий додаток без пісочниці.
Отже, на даний момент, якщо ви просто здатні створити папку з ім'ям, що закінчується на .app без атрибуту карантину, ви можете вийти з пісочниці, оскільки macOS перевіряє атрибут карантину лише в папці .app та в основному виконуваному файлі (і ми вказуємо основний виконуваний файл на /bin/bash).
Зверніть увагу, що якщо пакет .app вже був авторизований для запуску (він має карантинний xttr з прапорцем, що дозволяє запуск), ви також можете зловживати цим... за винятком того, що тепер ви не можете писати всередині .app пакетів, якщо у вас немає деяких привілейованих дозволів TCC (яких у вас не буде всередині високої пісочниці).
Навіть якщо додаток повинен бути у пісочниці (com.apple.security.app-sandbox), можливо обійти пісочницю, якщо він виконується з LaunchAgent (~/Library/LaunchAgents) наприклад.
Як пояснено в цьому пості, якщо ви хочете отримати постійність з додатком, який знаходиться в пісочниці, ви можете автоматично виконати його як LaunchAgent та можливо впровадити зловмисний код через змінні середовища DyLib.
Зловживання автозапуском
Якщо процес у пісочниці може записувати в місце, де пізніше буде виконуватися бінарний файл незапущеного додатка, він зможе вийти, просто розмістивши там бінарний файл. Хорошим прикладом таких місць є ~/Library/LaunchAgents або /System/Library/LaunchDaemons.
Для цього вам може знадобитися навіть 2 кроки: Зробити процес з більш дозвільною пісочницею (file-read*, file-write*) виконати ваш код, який фактично буде записувати в місце, де він буде виконаний без пісочниці.
Перевірте цю сторінку про місця автозапуску:
Зловживання іншими процесами
Якщо з процесу у пісочниці ви здатні компрометувати інші процеси, що працюють у менш обмежених пісочницях (або жодній), ви зможете вийти з їх пісочниць:
Статична компіляція та динамічне лінкування
Це дослідження виявило 2 способи обходу пісочниці. Оскільки пісочниця застосовується з userland при завантаженні бібліотеки libSystem. Якщо бінарний файл зможе уникнути її завантаження, він ніколи не буде поміщений в пісочницю:
Якщо бінарний файл був повністю статично скомпільований, він може уникнути завантаження цієї бібліотеки.
Якщо бінарний файл не потрібно завантажувати жодні бібліотеки (оскільки лінкер також є в libSystem), йому не потрібно завантажувати libSystem.
Шелл-коди
Зверніть увагу, що навіть шелл-коди в ARM64 повинні бути лінковані в libSystem.dylib:
To debug the macOS sandbox, you can use the sandbox-exec tool with the -D flag to enable debug mode. This will print detailed information about the sandbox violations.
sandbox-exec-D
Bypassing the Sandbox
To bypass the macOS sandbox, you can use various techniques such as exploiting vulnerabilities in the sandbox profile, injecting code into a process with sandbox permissions, or using signed system binaries to execute code outside the sandbox restrictions.
Remember that bypassing the macOS sandbox is a serious security issue and should only be done for ethical hacking and research purposes.
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0">
<dict><key>com.apple.security.app-sandbox</key><true/></dict></plist>
# Compile itgcc-Xlinker-sectcreate-Xlinker__TEXT-Xlinker__info_plist-XlinkerInfo.plistsand.c-osand# Create a certificate for "Code Signing"# Apply the entitlements via signingcodesign-s<cert-name>--entitlementsentitlements.xmlsand
Додаток спробує прочитати файл ~/Desktop/del.txt, який Пісочниця не дозволить.
Створіть файл там, оскільки після обхіду Пісочниці він зможе його прочитати:
echo"Sandbox Bypassed">~/Desktop/del.txt
Давайте відлагодимо додаток, щоб побачити, коли завантажується пісочниця:
# Load app in debugginglldb./sand# Set breakpoint in xpc_pipe_routine(lldb) b xpc_pipe_routine# run(lldb) r# This breakpoint is reached by different functionalities# Check in the backtrace is it was de sandbox one the one that reached it# We are looking for the one libsecinit from libSystem.B, like the following one:(lldb) bt* thread #1, queue = 'com.apple.main-thread', stop reason = breakpoint 1.1* frame #0: 0x00000001873d4178 libxpc.dylib`xpc_pipe_routineframe#1: 0x000000019300cf80 libsystem_secinit.dylib`_libsecinit_appsandbox + 584frame#2: 0x00000001874199c4 libsystem_trace.dylib`_os_activity_initiate_impl + 64frame#3: 0x000000019300cce4 libsystem_secinit.dylib`_libsecinit_initializer + 80frame#4: 0x0000000193023694 libSystem.B.dylib`libSystem_initializer + 272# To avoid lldb cutting info(lldb) settings set target.max-string-summary-length 10000# The message is in the 2 arg of the xpc_pipe_routine function, get it with:(lldb) p (char*) xpc_copy_description($x1)(char *) $0 = 0x000000010100a400 "<dictionary: 0x6000026001e0> { count = 5, transaction: 0, voucher = 0x0, contents =\n\t\"SECINITD_REGISTRATION_MESSAGE_SHORT_NAME_KEY\" => <string: 0x600000c00d80> { length = 4, contents = \"sand\" }\n\t\"SECINITD_REGISTRATION_MESSAGE_IMAGE_PATHS_ARRAY_KEY\" => <array: 0x600000c00120> { count = 42, capacity = 64, contents =\n\t\t0: <string: 0x600000c000c0> { length = 14, contents = \"/tmp/lala/sand\" }\n\t\t1: <string: 0x600000c001e0> { length = 22, contents = \"/private/tmp/lala/sand\" }\n\t\t2: <string: 0x600000c000f0> { length = 26, contents = \"/usr/lib/libSystem.B.dylib\" }\n\t\t3: <string: 0x600000c00180> { length = 30, contents = \"/usr/lib/system/libcache.dylib\" }\n\t\t4: <string: 0x600000c00060> { length = 37, contents = \"/usr/lib/system/libcommonCrypto.dylib\" }\n\t\t5: <string: 0x600000c001b0> { length = 36, contents = \"/usr/lib/system/libcompiler_rt.dylib\" }\n\t\t6: <string: 0x600000c00330> { length = 33, contents = \"/usr/lib/system/libcopyfile.dylib\" }\n\t\t7: <string: 0x600000c00210> { length = 35, contents = \"/usr/lib/system/libcorecry"...
# The 3 arg is the address were the XPC response will be stored(lldb) register read x2x2=0x000000016fdfd660# Move until the end of the function(lldb) finish# Read the response## Check the address of the sandbox container in SECINITD_REPLY_MESSAGE_CONTAINER_ROOT_PATH_KEY(lldb) memory read -f p 0x000000016fdfd660 -c 10x16fdfd660:0x0000600003d04000(lldb) p (char*) xpc_copy_description(0x0000600003d04000)(char *) $4 = 0x0000000100204280 "<dictionary: 0x600003d04000> { count = 7, transaction: 0, voucher = 0x0, contents =\n\t\"SECINITD_REPLY_MESSAGE_CONTAINER_ID_KEY\" => <string: 0x600000c04d50> { length = 22, contents = \"xyz.hacktricks.sandbox\" }\n\t\"SECINITD_REPLY_MESSAGE_QTN_PROC_FLAGS_KEY\" => <uint64: 0xaabe660cef067137>: 2\n\t\"SECINITD_REPLY_MESSAGE_CONTAINER_ROOT_PATH_KEY\" => <string: 0x600000c04e10> { length = 65, contents = \"/Users/carlospolop/Library/Containers/xyz.hacktricks.sandbox/Data\" }\n\t\"SECINITD_REPLY_MESSAGE_SANDBOX_PROFILE_DATA_KEY\" => <data: 0x600001704100>: { length = 19027 bytes, contents = 0x0000f000ba0100000000070000001e00350167034d03c203... }\n\t\"SECINITD_REPLY_MESSAGE_VERSION_NUMBER_KEY\" => <int64: 0xaa3e660cef06712f>: 1\n\t\"SECINITD_MESSAGE_TYPE_KEY\" => <uint64: 0xaabe660cef067137>: 2\n\t\"SECINITD_REPLY_FAILURE_CODE\" => <uint64: 0xaabe660cef067127>: 0\n}"
# To bypass the sandbox we need to skip the call to __mac_syscall# Lets put a breakpoint in __mac_syscall when x1 is 0 (this is the code to enable the sandbox)(lldb) breakpoint set --name __mac_syscall --condition '($x1 == 0)'(lldb) c# The 1 arg is the name of the policy, in this case "Sandbox"(lldb) memory read -f s $x00x19300eb22:"Sandbox"## BYPASS## Due to the previous bp, the process will be stopped in:Process2517stopped* thread #1, queue = 'com.apple.main-thread', stop reason = breakpoint 1.1frame#0: 0x0000000187659900 libsystem_kernel.dylib`__mac_syscalllibsystem_kernel.dylib`:->0x187659900<+0>:movx16,#0x17d0x187659904<+4>:svc#0x800x187659908<+8>:b.lo0x187659928 ; <+40>0x18765990c<+12>:pacibsp# To bypass jump to the b.lo address modifying some registers first(lldb) breakpoint delete 1 # Remove bp(lldb) register write $pc 0x187659928 #b.lo address(lldb) register write $x0 0x00(lldb) register write $x1 0x00(lldb) register write $x16 0x17d(lldb) cProcess2517resumingSandboxBypassed!Process2517exitedwithstatus=0 (0x00000000)
Навіть якщо обійти пісочницю, TCC запитає користувача, чи він хоче дозволити процесу читати файли з робочого столу
