Translated ['macos-hardening/macos-auto-start-locations.md', 'macos-hard

SUMMARY.md

@@ -196,9 +196,10 @@
         * [macOS Apple Scripts](macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-tcc-bypasses/macos-apple-scripts.md)
       * [macOS TCC Payloads](macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-tcc-payloads.md)
     * [macOS Dangerous Entitlements & TCC perms](macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-dangerous-entitlements.md)
+    * [macOS MACF](macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-macf.md)
     * [macOS FS Tricks](macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-fs-tricks/README.md)
       * [macOS xattr-acls extra stuff](macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-fs-tricks/macos-xattr-acls-extra-stuff.md)
-  * [macOS Users](macos-hardening/macos-security-and-privilege-escalation/macos-users.md)
+  * [macOS Users & External Accounts](macos-hardening/macos-security-and-privilege-escalation/macos-users.md)
 * [macOS Red Teaming](macos-hardening/macos-red-teaming/README.md)
   * [macOS MDM](macos-hardening/macos-red-teaming/macos-mdm/README.md)
     * [Enrolling Devices in Other Organisations](macos-hardening/macos-red-teaming/macos-mdm/enrolling-devices-in-other-organisations.md)

macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/macos-sensitive-locations.md

@@ -1,8 +1,8 @@
 # macOS 민감한 위치 및 흥미로운 데몬
 
 {% hint style="success" %}
-AWS 해킹 배우기 및 연습하기:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
+AWS 해킹 배우기 및 연습하기:<img src="../../../.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../../../.gitbook/assets/arte.png" alt="" data-size="line">\
-GCP 해킹 배우기 및 연습하기: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
+GCP 해킹 배우기 및 연습하기: <img src="../../../.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="../../../.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
 
 <details>
 
@@ -38,9 +38,15 @@ sudo bash -c 'for i in $(find /var/db/dslocal/nodes/Default/users -type f -regex
 ```
 {% endcode %}
 
-### 키체인 덤프
+사용자의 `ShadowHashData`를 얻는 또 다른 방법은 `dscl`을 사용하는 것입니다: ``sudo dscl . -read /Users/`whoami` ShadowHashData``
 
-보안 바이너리를 사용하여 **복호화된 비밀번호를 덤프**할 때, 여러 프롬프트가 사용자에게 이 작업을 허용할지를 묻습니다.
+### /etc/master.passwd
+
+이 파일은 **단일 사용자 모드**에서 시스템이 실행될 때만 **사용됩니다** (따라서 매우 자주 사용되지는 않습니다).
+
+### Keychain Dump
+
+보안 바이너리를 사용하여 **복호화된 비밀번호를 덤프**할 때 여러 프롬프트가 사용자에게 이 작업을 허용하도록 요청할 것임을 유의하십시오.
 ```bash
 #security
 security dump-trust-settings [-s] [-d] #List certificates
@@ -59,11 +65,11 @@ security dump-keychain -d #Dump all the info, included secrets (the user will be
 
 **keychaindump**라는 도구는 macOS 키체인에서 비밀번호를 추출하기 위해 개발되었지만, Big Sur와 같은 최신 macOS 버전에서는 제한이 있습니다. **keychaindump**를 사용하려면 공격자가 **root** 권한을 얻고 권한을 상승시켜야 합니다. 이 도구는 사용자 로그인 시 기본적으로 키체인이 잠금 해제된다는 사실을 이용하여, 애플리케이션이 사용자의 비밀번호를 반복적으로 요구하지 않고도 접근할 수 있도록 합니다. 그러나 사용자가 매번 사용 후 키체인을 잠그기로 선택하면 **keychaindump**는 효과가 없습니다.
 
-**Keychaindump**는 **securityd**라는 특정 프로세스를 대상으로 작동하며, Apple은 이를 권한 부여 및 암호화 작업을 위한 데몬으로 설명합니다. 이는 키체인에 접근하는 데 필수적입니다. 추출 과정은 사용자의 로그인 비밀번호에서 파생된 **Master Key**를 식별하는 것을 포함합니다. 이 키는 키체인 파일을 읽는 데 필수적입니다. **Master Key**를 찾기 위해 **keychaindump**는 `vmmap` 명령을 사용하여 **securityd**의 메모리 힙을 스캔하며, `MALLOC_TINY`로 플래그가 지정된 영역 내에서 잠재적인 키를 찾습니다. 다음 명령은 이러한 메모리 위치를 검사하는 데 사용됩니다:
+**Keychaindump**는 **securityd**라는 특정 프로세스를 타겟으로 작동하며, Apple에 의해 권한 부여 및 암호화 작업을 위한 데몬으로 설명됩니다. 이는 키체인에 접근하는 데 필수적입니다. 추출 과정은 사용자의 로그인 비밀번호에서 파생된 **Master Key**를 식별하는 것을 포함합니다. 이 키는 키체인 파일을 읽는 데 필수적입니다. **Master Key**를 찾기 위해 **keychaindump**는 `vmmap` 명령을 사용하여 **securityd**의 메모리 힙을 스캔하고, `MALLOC_TINY`로 플래그가 지정된 영역 내에서 잠재적인 키를 찾습니다. 다음 명령은 이러한 메모리 위치를 검사하는 데 사용됩니다:
 ```bash
 sudo vmmap <securityd PID> | grep MALLOC_TINY
 ```
-잠재적인 마스터 키를 식별한 후, **keychaindump**는 특정 패턴(`0x0000000000000018`)을 나타내는 후보 마스터 키를 찾기 위해 힙을 검색합니다. 이 키를 활용하기 위해서는 **keychaindump**의 소스 코드에 설명된 대로 추가적인 단계인 디옵스큐레이션이 필요합니다. 이 분야에 집중하는 분석가는 키체인을 복호화하는 데 필요한 중요한 데이터가 **securityd** 프로세스의 메모리에 저장되어 있다는 점에 유의해야 합니다. **keychaindump**를 실행하는 예제 명령은:
+잠재적인 마스터 키를 식별한 후, **keychaindump**는 특정 패턴(`0x0000000000000018`)을 나타내는 후보 마스터 키를 찾기 위해 힙을 검색합니다. 이 키를 활용하기 위해서는 **keychaindump**의 소스 코드에 설명된 대로 추가적인 단계, 즉 디옵퓨스케이션이 필요합니다. 이 분야에 집중하는 분석가는 키체인을 복호화하는 데 필요한 중요한 데이터가 **securityd** 프로세스의 메모리에 저장되어 있다는 점에 유의해야 합니다. **keychaindump**를 실행하는 예제 명령은:
 ```bash
 sudo ./keychaindump
 ```
@@ -119,7 +125,7 @@ python2.7 chainbreaker.py --dump-all --key 0293847570022761234562947e0bcd5bc04d1
 ```
 #### **사용자 비밀번호를 사용하여 키체인 키 덤프(비밀번호 포함)**
 
-사용자의 비밀번호를 알고 있다면 이를 사용하여 **사용자에게 속한 키체인을 덤프하고 복호화**할 수 있습니다.
+사용자의 비밀번호를 알고 있다면 이를 사용하여 **사용자에게 속한 키체인을 덤프하고 복호화할 수 있습니다**.
 ```bash
 #Prompt to ask for the password
 python2.7 chainbreaker.py --dump-all --password-prompt /Users/<username>/Library/Keychains/login.keychain-db
@@ -169,21 +175,57 @@ for i in $(sqlite3 ~/Library/Group\ Containers/group.com.apple.notes/NoteStore.s
 
 ## Preferences
 
-macOS 앱의 환경설정은 **`$HOME/Library/Preferences`**에 위치하고, iOS에서는 `/var/mobile/Containers/Data/Application/<UUID>/Library/Preferences`에 있습니다.&#x20;
+macOS 앱의 환경설정은 **`$HOME/Library/Preferences`**에 위치하고, iOS에서는 `/var/mobile/Containers/Data/Application/<UUID>/Library/Preferences`에 있습니다.
 
 macOS에서는 CLI 도구 **`defaults`**를 사용하여 **환경설정 파일을 수정**할 수 있습니다.
 
 **`/usr/sbin/cfprefsd`**는 XPC 서비스 `com.apple.cfprefsd.daemon`과 `com.apple.cfprefsd.agent`를 주장하며, 환경설정을 수정하는 등의 작업을 수행하기 위해 호출될 수 있습니다.
 
-## System Notifications
+## OpenDirectory permissions.plist
 
-### Darwin Notifications
+파일 `/System/Library/OpenDirectory/permissions.plist`는 노드 속성에 적용된 권한을 포함하고 있으며 SIP에 의해 보호됩니다.\
+이 파일은 특정 사용자에게 UUID(및 uid가 아님)를 통해 권한을 부여하여 `ShadowHashData`, `HeimdalSRPKey`, `KerberosKeys`와 같은 특정 민감한 정보에 접근할 수 있도록 합니다:
+```xml
+[...]
+<key>dsRecTypeStandard:Computers</key>
+<dict>
+<key>dsAttrTypeNative:ShadowHashData</key>
+<array>
+<dict>
+<!-- allow wheel even though it's implicit -->
+<key>uuid</key>
+<string>ABCDEFAB-CDEF-ABCD-EFAB-CDEF00000000</string>
+<key>permissions</key>
+<array>
+<string>readattr</string>
+<string>writeattr</string>
+</array>
+</dict>
+</array>
+<key>dsAttrTypeNative:KerberosKeys</key>
+<array>
+<dict>
+<!-- allow wheel even though it's implicit -->
+<key>uuid</key>
+<string>ABCDEFAB-CDEF-ABCD-EFAB-CDEF00000000</string>
+<key>permissions</key>
+<array>
+<string>readattr</string>
+<string>writeattr</string>
+</array>
+</dict>
+</array>
+[...]
+```
+## 시스템 알림
 
-알림을 위한 주요 데몬은 **`/usr/sbin/notifyd`**입니다. 알림을 받기 위해서는 클라이언트가 `com.apple.system.notification_center` Mach 포트를 통해 등록해야 합니다(이를 확인하려면 `sudo lsmp -p <pid notifyd>`를 사용하세요). 이 데몬은 `/etc/notify.conf` 파일로 구성할 수 있습니다.
+### 다윈 알림
+
+알림을 위한 주요 데몬은 **`/usr/sbin/notifyd`**입니다. 알림을 받기 위해 클라이언트는 `com.apple.system.notification_center` Mach 포트를 통해 등록해야 합니다(이를 확인하려면 `sudo lsmp -p <pid notifyd>`를 사용하세요). 데몬은 `/etc/notify.conf` 파일로 구성할 수 있습니다.
 
 알림에 사용되는 이름은 고유한 역 DNS 표기법이며, 알림이 그 중 하나로 전송되면 이를 처리할 수 있다고 표시한 클라이언트가 수신하게 됩니다.
 
-현재 상태를 덤프하고(모든 이름을 확인) notifyd 프로세스에 SIGUSR2 신호를 보내고 생성된 파일을 읽어 `/var/run/notifyd_<pid>.status`에서 확인할 수 있습니다:
+현재 상태를 덤프하고(모든 이름을 확인) notifyd 프로세스에 SIGUSR2 신호를 보내고 생성된 파일을 읽어 `/var/run/notifyd_<pid>.status`를 확인하는 것이 가능합니다.
 ```bash
 ps -ef | grep -i notifyd
 0   376     1   0 15Mar24 ??        27:40.97 /usr/sbin/notifyd
@@ -201,16 +243,16 @@ common: com.apple.security.octagon.joined-with-bottle
 ```
 ### Distributed Notification Center
 
-**분산 알림 센터**의 주요 바이너리는 **`/usr/sbin/distnoted`**로, 알림을 보내는 또 다른 방법입니다. 이 센터는 일부 XPC 서비스를 노출하며 클라이언트를 확인하기 위한 몇 가지 검사를 수행합니다.
+**Distributed Notification Center**의 주요 바이너리는 **`/usr/sbin/distnoted`**로, 알림을 보내는 또 다른 방법입니다. 일부 XPC 서비스를 노출하며 클라이언트를 확인하기 위한 몇 가지 검사를 수행합니다.
 
 ### Apple Push Notifications (APN)
 
 이 경우, 애플리케이션은 **주제**에 등록할 수 있습니다. 클라이언트는 **`apsd`**를 통해 Apple의 서버에 연락하여 토큰을 생성합니다.\
 그런 다음, 제공자는 또한 토큰을 생성하고 Apple의 서버에 연결하여 클라이언트에게 메시지를 보낼 수 있습니다. 이러한 메시지는 **`apsd`**에 의해 로컬에서 수신되며, 이는 알림을 기다리고 있는 애플리케이션에 전달됩니다.
 
-환경 설정은 `/Library/Preferences/com.apple.apsd.plist`에 위치해 있습니다.
+환경 설정은 `/Library/Preferences/com.apple.apsd.plist`에 위치합니다.
 
-macOS에는 `/Library/Application\ Support/ApplePushService/aps.db`에, iOS에는 `/var/mobile/Library/ApplePushService`에 메시지의 로컬 데이터베이스가 있습니다. 이 데이터베이스는 `incoming_messages`, `outgoing_messages` 및 `channel`의 3개 테이블을 가지고 있습니다.
+macOS의 메시지 로컬 데이터베이스는 `/Library/Application\ Support/ApplePushService/aps.db`에 있으며, iOS에서는 `/var/mobile/Library/ApplePushService`에 있습니다. 이 데이터베이스는 `incoming_messages`, `outgoing_messages` 및 `channel`의 3개 테이블을 가지고 있습니다.
 ```bash
 sudo sqlite3 /Library/Application\ Support/ApplePushService/aps.db
 ```
@@ -220,15 +262,15 @@ sudo sqlite3 /Library/Application\ Support/ApplePushService/aps.db
 ```
 ## 사용자 알림
 
-사용자가 화면에서 봐야 하는 알림입니다:
+사용자가 화면에서 봐야 할 알림입니다:
 
 * **`CFUserNotification`**: 이 API는 메시지를 포함한 팝업을 화면에 표시하는 방법을 제공합니다.
 * **게시판**: iOS에서 사라지는 배너를 표시하며, 알림 센터에 저장됩니다.
 * **`NSUserNotificationCenter`**: MacOS의 iOS 게시판입니다. 알림이 저장된 데이터베이스는 `/var/folders/<user temp>/0/com.apple.notificationcenter/db2/db`에 위치합니다.
 
 {% hint style="success" %}
-Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
+Learn & practice AWS Hacking:<img src="../../../.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../../../.gitbook/assets/arte.png" alt="" data-size="line">\
-Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
+Learn & practice GCP Hacking: <img src="../../../.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="../../../.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
 
 <details>
 

macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-macf.md

@@ -0,0 +1,268 @@
+# macOS MACF
+
+{% hint style="success" %}
+Learn & practice AWS Hacking:<img src="../../../.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../../../.gitbook/assets/arte.png" alt="" data-size="line">\
+Learn & practice GCP Hacking: <img src="../../../.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="../../../.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
+
+<details>
+
+<summary>Support HackTricks</summary>
+
+* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
+* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
+
+</details>
+{% endhint %}
+
+## Basic Information
+
+**MACF**는 **Mandatory Access Control Framework**의 약자로, 컴퓨터를 보호하기 위해 운영 체제에 내장된 보안 시스템입니다. 이는 **특정 시스템의 일부에 접근할 수 있는 사람이나 사물에 대한 엄격한 규칙을 설정**하여 작동합니다. 이러한 규칙을 자동으로 시행함으로써, MACF는 권한이 있는 사용자와 프로세스만 특정 작업을 수행할 수 있도록 하여 무단 접근이나 악의적인 활동의 위험을 줄입니다.
+
+MACF는 실제로 결정을 내리지 않고, **행동을 가로채기만** 하며, 결정을 내리는 것은 `AppleMobileFileIntegrity.kext`, `Quarantine.kext`, `Sandbox.kext`, `TMSafetyNet.kext` 및 `mcxalr.kext`와 같은 **정책 모듈**(커널 확장)에 맡깁니다.
+
+### Flow
+
+1. 프로세스가 syscall/mach trap을 수행합니다.
+2. 관련 함수가 커널 내에서 호출됩니다.
+3. 함수가 MACF를 호출합니다.
+4. MACF는 해당 함수에 후킹을 요청한 정책 모듈을 확인합니다.
+5. MACF는 관련 정책을 호출합니다.
+6. 정책은 행동을 허용할지 거부할지를 나타냅니다.
+
+{% hint style="danger" %}
+Apple만이 MAC Framework KPI를 사용할 수 있습니다.
+{% endhint %}
+
+### Labels
+
+MACF는 **접근을 허용할지 여부를 확인하는 정책에서 사용할 수 있는** **라벨**을 사용합니다. 라벨 구조체 선언의 코드는 [여기](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/security/_label.h)에서 찾을 수 있으며, 이는 **`struct ucred`** 내의 [**여기**](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/bsd/sys/ucred.h#L86)에서 **`cr_label`** 부분에 사용됩니다. 라벨은 플래그와 **MACF 정책이 포인터를 할당하는 데 사용할 수 있는** 슬롯 수를 포함합니다. 예를 들어, Sandbox는 컨테이너 프로필을 가리킵니다.
+
+## MACF Policies
+
+MACF 정책은 **특정 커널 작업에 적용될 규칙과 조건을 정의합니다**. 
+
+커널 확장은 `mac_policy_conf` 구조체를 구성한 다음 `mac_policy_register`를 호출하여 등록할 수 있습니다. [여기](https://opensource.apple.com/source/xnu/xnu-2050.18.24/security/mac_policy.h.auto.html)에서:
+```c
+#define mpc_t	struct mac_policy_conf *
+
+/**
+@brief Mac policy configuration
+
+This structure specifies the configuration information for a
+MAC policy module.  A policy module developer must supply
+a short unique policy name, a more descriptive full name, a list of label
+namespaces and count, a pointer to the registered enty point operations,
+any load time flags, and optionally, a pointer to a label slot identifier.
+
+The Framework will update the runtime flags (mpc_runtime_flags) to
+indicate that the module has been registered.
+
+If the label slot identifier (mpc_field_off) is NULL, the Framework
+will not provide label storage for the policy.  Otherwise, the
+Framework will store the label location (slot) in this field.
+
+The mpc_list field is used by the Framework and should not be
+modified by policies.
+*/
+/* XXX - reorder these for better aligment on 64bit platforms */
+struct mac_policy_conf {
+const char		*mpc_name;		/** policy name */
+const char		*mpc_fullname;		/** full name */
+const char		**mpc_labelnames;	/** managed label namespaces */
+unsigned int		 mpc_labelname_count;	/** number of managed label namespaces */
+struct mac_policy_ops	*mpc_ops;		/** operation vector */
+int			 mpc_loadtime_flags;	/** load time flags */
+int			*mpc_field_off;		/** label slot */
+int			 mpc_runtime_flags;	/** run time flags */
+mpc_t			 mpc_list;		/** List reference */
+void			*mpc_data;		/** module data */
+};
+```
+커널 확장을 구성하는 이러한 정책을 식별하는 것은 `mac_policy_register` 호출을 확인함으로써 쉽습니다. 또한, 확장의 디스어셈블을 확인하면 사용된 `mac_policy_conf` 구조체를 찾을 수도 있습니다.
+
+MACF 정책은 **동적으로** 등록 및 등록 해제될 수 있습니다.
+
+`mac_policy_conf`의 주요 필드 중 하나는 **`mpc_ops`**입니다. 이 필드는 정책이 관심 있는 작업을 지정합니다. 수백 개가 있으므로 모든 작업을 0으로 설정한 다음 정책이 관심 있는 작업만 선택할 수 있습니다. [여기](https://opensource.apple.com/source/xnu/xnu-2050.18.24/security/mac\_policy.h.auto.html)에서:
+```c
+struct mac_policy_ops {
+mpo_audit_check_postselect_t		*mpo_audit_check_postselect;
+mpo_audit_check_preselect_t		*mpo_audit_check_preselect;
+mpo_bpfdesc_label_associate_t		*mpo_bpfdesc_label_associate;
+mpo_bpfdesc_label_destroy_t		*mpo_bpfdesc_label_destroy;
+mpo_bpfdesc_label_init_t		*mpo_bpfdesc_label_init;
+mpo_bpfdesc_check_receive_t		*mpo_bpfdesc_check_receive;
+mpo_cred_check_label_update_execve_t	*mpo_cred_check_label_update_execve;
+mpo_cred_check_label_update_t		*mpo_cred_check_label_update;
+[...]
+```
+거의 모든 후크는 이러한 작업이 가로채어질 때 MACF에 의해 호출됩니다. 그러나 **`mpo_policy_*`** 후크는 예외입니다. `mpo_hook_policy_init()`은 등록 시 호출되는 콜백이며(즉, `mac_policy_register()` 이후) `mpo_hook_policy_initbsd()`는 BSD 서브시스템이 제대로 초기화된 후 늦은 등록 중에 호출됩니다.
+
+게다가, **`mpo_policy_syscall`** 후크는 모든 kext에 의해 등록될 수 있으며, 이를 통해 개인 **ioctl** 스타일 호출 **인터페이스**를 노출할 수 있습니다. 그러면 사용자 클라이언트는 **정책 이름**과 정수 **코드**, 선택적 **인수**를 매개변수로 지정하여 `mac_syscall` (#381)을 호출할 수 있습니다.\
+예를 들어, **`Sandbox.kext`**는 이를 많이 사용합니다.
+
+kext의 **`__DATA.__const*`**를 확인하면 정책 등록 시 사용되는 `mac_policy_ops` 구조체를 식별할 수 있습니다. 이는 `mpo_policy_conf` 내부의 오프셋에 포인터가 있기 때문에 찾을 수 있으며, 해당 영역에 있는 NULL 포인터의 수로도 찾을 수 있습니다.
+
+또한, 메모리에서 구조체 **`_mac_policy_list`**를 덤프하여 정책을 구성한 kext의 목록을 얻는 것도 가능합니다. 이 구조체는 등록된 각 정책으로 업데이트됩니다.
+
+## MACF 초기화
+
+MACF는 매우 빨리 초기화됩니다. XNU의 `bootstrap_thread`에서 설정됩니다: `ipc_bootstrap` 이후 `mac_policy_init()` 호출이 이루어지며, 이는 `mac_policy_list`를 초기화하고 잠시 후 `mac_policy_initmach()`가 호출됩니다. 이 함수는 `ALF.kext`, `AppleMobileFileIntegrity.kext`, `Quarantine.kext`, `Sandbox.kext`, `TMSafetyNet.kext`와 같은 Info.plist에 `AppleSecurityExtension` 키가 있는 모든 Apple kext를 가져와서 로드합니다.
+
+## MACF 호출
+
+코드에서 **`#if CONFIG_MAC`** 조건부 블록과 같이 MACF에 대한 호출을 찾는 것은 일반적입니다. 또한 이러한 블록 내에서 특정 작업을 수행하기 위한 권한을 **확인하기 위해** MACF를 호출하는 `mac_proc_check*` 호출을 찾을 수 있습니다. MACF 호출의 형식은 **`mac_<object>_<opType>_opName`**입니다.
+
+객체는 다음 중 하나입니다: `bpfdesc`, `cred`, `file`, `proc`, `vnode`, `mount`, `devfs`, `ifnet`, `inpcb`, `mbuf`, `ipq`, `pipe`, `sysv[msg/msq/shm/sem]`, `posix[shm/sem]`, `socket`, `kext`.\
+`opType`은 일반적으로 작업을 허용하거나 거부하는 데 사용되는 check입니다. 그러나 kext가 주어진 작업에 반응할 수 있도록 하는 notify를 찾는 것도 가능합니다.
+
+[https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/bsd/kern/kern\_mman.c#L621](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/bsd/kern/kern\_mman.c#L621)에서 예제를 찾을 수 있습니다:
+
+<pre class="language-c"><code class="lang-c">int
+mmap(proc_t p, struct mmap_args *uap, user_addr_t *retval)
+{
+[...]
+#if CONFIG_MACF
+<strong>			error = mac_file_check_mmap(vfs_context_ucred(ctx),
+</strong>			    fp->fp_glob, prot, flags, file_pos + pageoff,
+&#x26;maxprot);
+if (error) {
+(void)vnode_put(vp);
+goto bad;
+}
+#endif /* MAC */
+[...]
+</code></pre>
+
+그런 다음 [https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/security/mac\_file.c#L174](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/security/mac\_file.c#L174)에서 `mac_file_check_mmap`의 코드를 찾을 수 있습니다.
+```c
+mac_file_check_mmap(struct ucred *cred, struct fileglob *fg, int prot,
+int flags, uint64_t offset, int *maxprot)
+{
+int error;
+int maxp;
+
+maxp = *maxprot;
+MAC_CHECK(file_check_mmap, cred, fg, NULL, prot, flags, offset, &maxp);
+if ((maxp | *maxprot) != *maxprot) {
+panic("file_check_mmap increased max protections");
+}
+*maxprot = maxp;
+return error;
+}
+```
+`MAC_CHECK` 매크로를 호출하고 있으며, 해당 코드는 [https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/security/mac\_internal.h#L261](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/security/mac\_internal.h#L261)에서 찾을 수 있습니다.
+```c
+/*
+* MAC_CHECK performs the designated check by walking the policy
+* module list and checking with each as to how it feels about the
+* request.  Note that it returns its value via 'error' in the scope
+* of the caller.
+*/
+#define MAC_CHECK(check, args...) do {                              \
+error = 0;                                                      \
+MAC_POLICY_ITERATE({                                            \
+if (mpc->mpc_ops->mpo_ ## check != NULL) {              \
+DTRACE_MACF3(mac__call__ ## check, void *, mpc, int, error, int, MAC_ITERATE_CHECK); \
+int __step_err = mpc->mpc_ops->mpo_ ## check (args); \
+DTRACE_MACF2(mac__rslt__ ## check, void *, mpc, int, __step_err); \
+error = mac_error_select(__step_err, error);         \
+}                                                           \
+});                                                             \
+} while (0)
+```
+어떤 등록된 mac 정책을 호출하고 그 함수의 출력을 error 변수에 저장하는데, 이 변수는 성공 코드에 의해 `mac_error_select`로만 덮어쓸 수 있습니다. 따라서 어떤 체크가 실패하면 전체 체크가 실패하고 액션이 허용되지 않습니다.
+
+{% hint style="success" %}
+그러나 모든 MACF 호출이 액션을 거부하는 데만 사용되는 것은 아니라는 점을 기억하세요. 예를 들어, `mac_priv_grant`는 매크로 [**MAC\_GRANT**](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/security/mac\_internal.h#L274)를 호출하며, 이는 어떤 정책이 0으로 응답하면 요청된 권한을 부여합니다:
+```c
+/*
+* MAC_GRANT performs the designated check by walking the policy
+* module list and checking with each as to how it feels about the
+* request.  Unlike MAC_CHECK, it grants if any policies return '0',
+* and otherwise returns EPERM.  Note that it returns its value via
+* 'error' in the scope of the caller.
+*/
+#define MAC_GRANT(check, args...) do {                              \
+error = EPERM;                                                  \
+MAC_POLICY_ITERATE({                                            \
+if (mpc->mpc_ops->mpo_ ## check != NULL) {                  \
+DTRACE_MACF3(mac__call__ ## check, void *, mpc, int, error, int, MAC_ITERATE_GRANT); \
+int __step_res = mpc->mpc_ops->mpo_ ## check (args); \
+if (__step_res == 0) {                              \
+error = 0;                                  \
+}                                                   \
+DTRACE_MACF2(mac__rslt__ ## check, void *, mpc, int, __step_res); \
+}                                                           \
+});                                                             \
+} while (0)
+```
+{% endhint %}
+
+### priv\_check & priv\_grant
+
+이 호출은 [**bsd/sys/priv.h**](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/bsd/sys/priv.h)에서 정의된 (수십 개의) **권한**을 확인하고 제공하기 위한 것입니다.\
+일부 커널 코드는 프로세스의 KAuth 자격 증명과 함께 `priv_check_cred()`를 호출하여 권한 코드 중 하나를 사용하여 `mac_priv_check`를 호출하여 어떤 정책이 권한 부여를 **거부**하는지 확인한 다음 `mac_priv_grant`를 호출하여 어떤 정책이 `privilege`를 부여하는지 확인합니다.
+
+### proc\_check\_syscall\_unix
+
+이 후크는 모든 시스템 호출을 가로챌 수 있게 해줍니다. `bsd/dev/[i386|arm]/systemcalls.c`에서 선언된 함수 [`unix_syscall`](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/bsd/dev/arm/systemcalls.c#L160C1-L167C25)를 확인할 수 있으며, 이 코드가 포함되어 있습니다:
+```c
+#if CONFIG_MACF
+if (__improbable(proc_syscall_filter_mask(proc) != NULL && !bitstr_test(proc_syscall_filter_mask(proc), syscode))) {
+error = mac_proc_check_syscall_unix(proc, syscode);
+if (error) {
+goto skip_syscall;
+}
+}
+#endif /* CONFIG_MACF */
+```
+어떤 호출 프로세스의 **비트마스크**를 확인하여 현재 시스템 호출이 `mac_proc_check_syscall_unix`를 호출해야 하는지 여부를 판단합니다. 이는 시스템 호출이 매우 자주 호출되기 때문에 매번 `mac_proc_check_syscall_unix`를 호출하는 것을 피하는 것이 흥미롭기 때문입니다.
+
+`proc_set_syscall_filter_mask()` 함수는 프로세스의 비트마스크 시스템 호출을 설정하며, 이는 샌드박스가 샌드박스화된 프로세스에 마스크를 설정하기 위해 호출됩니다.
+
+## 노출된 MACF 시스템 호출
+
+[security/mac.h](https://github.com/apple-oss-distributions/xnu/blob/94d3b452840153a99b38a3a9659680b2a006908e/security/mac.h#L151)에서 정의된 일부 시스템 호출을 통해 MACF와 상호작용하는 것이 가능합니다:
+```c
+/*
+* Extended non-POSIX.1e interfaces that offer additional services
+* available from the userland and kernel MAC frameworks.
+*/
+#ifdef __APPLE_API_PRIVATE
+__BEGIN_DECLS
+int      __mac_execve(char *fname, char **argv, char **envv, mac_t _label);
+int      __mac_get_fd(int _fd, mac_t _label);
+int      __mac_get_file(const char *_path, mac_t _label);
+int      __mac_get_link(const char *_path, mac_t _label);
+int      __mac_get_pid(pid_t _pid, mac_t _label);
+int      __mac_get_proc(mac_t _label);
+int      __mac_set_fd(int _fildes, const mac_t _label);
+int      __mac_set_file(const char *_path, mac_t _label);
+int      __mac_set_link(const char *_path, mac_t _label);
+int      __mac_mount(const char *type, const char *path, int flags, void *data,
+struct mac *label);
+int      __mac_get_mount(const char *path, struct mac *label);
+int      __mac_set_proc(const mac_t _label);
+int      __mac_syscall(const char *_policyname, int _call, void *_arg);
+__END_DECLS
+#endif /*__APPLE_API_PRIVATE*/
+```
+## References
+
+* [**\*OS Internals Volume III**](https://newosxbook.com/home.html)
+
+{% hint style="success" %}
+AWS 해킹 배우기 및 연습하기:<img src="../../../.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../../../.gitbook/assets/arte.png" alt="" data-size="line">\
+GCP 해킹 배우기 및 연습하기: <img src="../../../.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="../../../.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
+
+<details>
+
+<summary>HackTricks 지원하기</summary>
+
+* [**구독 계획**](https://github.com/sponsors/carlospolop) 확인하기!
+* **💬 [**Discord 그룹**](https://discord.gg/hRep4RUj7f) 또는 [**텔레그램 그룹**](https://t.me/peass)에 참여하거나 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**를 팔로우하세요.**
+* **[**HackTricks**](https://github.com/carlospolop/hacktricks) 및 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) 깃허브 리포지토리에 PR을 제출하여 해킹 팁을 공유하세요.**
+
+</details>
+{% endhint %}

macos-hardening/macos-security-and-privilege-escalation/macos-users.md

@@ -1,8 +1,8 @@
-# macOS 사용자
+# macOS 사용자 및 외부 계정
 
 {% hint style="success" %}
-AWS 해킹 배우기 및 연습하기:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
+AWS 해킹 배우기 및 연습하기:<img src="../../.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../../.gitbook/assets/arte.png" alt="" data-size="line">\
-GCP 해킹 배우기 및 연습하기: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
+GCP 해킹 배우기 및 연습하기: <img src="../../.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="../../.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
 
 <details>
 
@@ -15,34 +15,38 @@ GCP 해킹 배우기 및 연습하기: <img src="/.gitbook/assets/grte.png" alt=
 </details>
 {% endhint %}
 
+## 일반 사용자
 
-### 일반 사용자
+*   **Daemon**: 시스템 데몬을 위한 사용자. 기본 데몬 계정 이름은 보통 "\_"로 시작합니다:
-
-*   **Daemon**: 시스템 데몬을 위해 예약된 사용자. 기본 데몬 계정 이름은 보통 "\_"로 시작합니다:
 
 ```bash
 _amavisd, _analyticsd, _appinstalld, _appleevents, _applepay, _appowner, _appserver, _appstore, _ard, _assetcache, _astris, _atsserver, _avbdeviced, _calendar, _captiveagent, _ces, _clamav, _cmiodalassistants, _coreaudiod, _coremediaiod, _coreml, _ctkd, _cvmsroot, _cvs, _cyrus, _datadetectors, _demod, _devdocs, _devicemgr, _diskimagesiod, _displaypolicyd, _distnote, _dovecot, _dovenull, _dpaudio, _driverkit, _eppc, _findmydevice, _fpsd, _ftp, _fud, _gamecontrollerd, _geod, _hidd, _iconservices, _installassistant, _installcoordinationd, _installer, _jabber, _kadmin_admin, _kadmin_changepw, _knowledgegraphd, _krb_anonymous, _krb_changepw, _krb_kadmin, _krb_kerberos, _krb_krbtgt, _krbfast, _krbtgt, _launchservicesd, _lda, _locationd, _logd, _lp, _mailman, _mbsetupuser, _mcxalr, _mdnsresponder, _mobileasset, _mysql, _nearbyd, _netbios, _netstatistics, _networkd, _nsurlsessiond, _nsurlstoraged, _oahd, _ondemand, _postfix, _postgres, _qtss, _reportmemoryexception, _rmd, _sandbox, _screensaver, _scsd, _securityagent, _softwareupdate, _spotlight, _sshd, _svn, _taskgated, _teamsserver, _timed, _timezone, _tokend, _trustd, _trustevaluationagent, _unknown, _update_sharing, _usbmuxd, _uucp, _warmd, _webauthserver, _windowserver, _www, _wwwproxy, _xserverdocs
 ```
-* **Guest**: 매우 제한된 권한을 가진 손님 계정
+* **Guest**: 매우 제한된 권한을 가진 게스트 계정
 ```bash
 state=("automaticTime" "afpGuestAccess" "filesystem" "guestAccount" "smbGuestAccess")
 for i in "${state[@]}"; do sysadminctl -"${i}" status; done;
 ```
 {% endcode %}
 
-* **아무도**: 최소한의 권한이 필요할 때 이 사용자로 프로세스가 실행됩니다.
+* **아무도 없음**: 최소한의 권한이 필요할 때 이 사용자로 프로세스가 실행됩니다.
 * **루트**
 
-### 사용자 권한
+## 사용자 권한
 
 * **표준 사용자:** 가장 기본적인 사용자입니다. 이 사용자는 소프트웨어를 설치하거나 다른 고급 작업을 수행할 때 관리자 사용자로부터 부여된 권한이 필요합니다. 스스로 할 수 없습니다.
-* **관리자 사용자**: 대부분의 경우 표준 사용자로 운영되지만 소프트웨어 설치 및 기타 관리 작업과 같은 루트 작업을 수행할 수 있는 권한이 부여된 사용자입니다. 관리자 그룹에 속한 모든 사용자는 **sudoers 파일을 통해 루트에 접근할 수 있습니다**.
+* **관리자 사용자**: 대부분의 경우 표준 사용자로 작동하지만 소프트웨어 설치 및 기타 관리 작업과 같은 루트 작업을 수행할 수 있는 권한이 부여된 사용자입니다. 관리자 그룹에 속한 모든 사용자는 **sudoers 파일을 통해 루트에 접근할 수 있습니다**.
 * **루트**: 루트는 거의 모든 작업을 수행할 수 있는 사용자입니다(시스템 무결성 보호와 같은 보호에 의해 제한이 있습니다).
 * 예를 들어 루트는 `/System` 내부에 파일을 배치할 수 없습니다.
 
+## 외부 계정
+
+MacOS는 FaceBook, Google 등과 같은 외부 신원 제공자를 통해 로그인하는 것도 지원합니다. 이 작업을 수행하는 주요 데몬은 `accountsd` (`/System/Library/Frameworks/Accounts.framework//Versions/A/Support/accountsd`)이며, 외부 인증에 사용되는 플러그인은 `/System/Library/Accounts/Authentication/` 폴더 내에서 찾을 수 있습니다.\
+또한, `accountsd`는 `/Library/Preferences/SystemConfiguration/com.apple.accounts.exists.plist`에서 계정 유형 목록을 가져옵니다.
+
 {% hint style="success" %}
-Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
+Learn & practice AWS Hacking:<img src="../../.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../../.gitbook/assets/arte.png" alt="" data-size="line">\
-Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
+Learn & practice GCP Hacking: <img src="../../.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="../../.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
 
 <details>