mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-26 22:52:06 +00:00
| .. | ||
| macos-sandbox-debug-and-bypass | ||
| macos-default-sandbox-debug.md | ||
| README.md | ||
macOSサンドボックス
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- サイバーセキュリティ会社で働いていますか? HackTricksで会社を宣伝したいですか?または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか?SUBSCRIPTION PLANSをチェックしてください!
- The PEASS Familyを見つけてください。独占的なNFTのコレクションです。
- 公式のPEASS&HackTricksのグッズを手に入れましょう。
- 💬 Discordグループまたはtelegramグループに参加するか、Twitterでフォローしてください🐦@carlospolopm。
- ハッキングのトリックを共有するには、PRを hacktricks repo と hacktricks-cloud repo に提出してください。
基本情報
MacOS Sandbox(最初はSeatbeltと呼ばれていました)は、サンドボックスプロファイルで指定された許可されたアクションに制限をかけ、サンドボックス内で実行されるアプリケーションが予期されたリソースにのみアクセスすることを保証します。
com.apple.security.app-sandboxというエンタイトルメントを持つアプリは、サンドボックス内で実行されます。Appleのバイナリは通常、サンドボックス内で実行され、App Storeに公開するためには、このエンタイトルメントが必須です。したがって、ほとんどのアプリケーションはサンドボックス内で実行されます。
プロセスが何を行えるか、行えないかを制御するために、サンドボックスにはカーネル全体のすべてのシスコールにフックがあります。アプリのエンタイトルメントに応じて、サンドボックスは特定のアクションを許可します。
サンドボックスの重要なコンポーネントには次のものがあります:
- カーネル拡張
/System/Library/Extensions/Sandbox.kext - プライベートフレームワーク
/System/Library/PrivateFrameworks/AppSandbox.framework - ユーザーランドで実行されるデーモン
/usr/libexec/sandboxd - コンテナ
~/Library/Containers
コンテナフォルダ内には、バンドルIDの名前でサンドボックス内で実行される各アプリのフォルダがあります:
ls -l ~/Library/Containers
total 0
drwx------@ 4 username staff 128 May 23 20:20 com.apple.AMPArtworkAgent
drwx------@ 4 username staff 128 May 23 20:13 com.apple.AMPDeviceDiscoveryAgent
drwx------@ 4 username staff 128 Mar 24 18:03 com.apple.AVConference.Diagnostic
drwx------@ 4 username staff 128 Mar 25 14:14 com.apple.Accessibility-Settings.extension
drwx------@ 4 username staff 128 Mar 25 14:10 com.apple.ActionKit.BundledIntentHandler
[...]
各バンドルIDフォルダの中には、アプリのplistとデータディレクトリがあります。
cd /Users/username/Library/Containers/com.apple.Safari
ls -la
total 104
drwx------@ 4 username staff 128 Mar 24 18:08 .
drwx------ 348 username staff 11136 May 23 20:57 ..
-rw-r--r-- 1 username staff 50214 Mar 24 18:08 .com.apple.containermanagerd.metadata.plist
drwx------ 13 username staff 416 Mar 24 18:05 Data
ls -l Data
total 0
drwxr-xr-x@ 8 username staff 256 Mar 24 18:08 CloudKit
lrwxr-xr-x 1 username staff 19 Mar 24 18:02 Desktop -> ../../../../Desktop
drwx------ 2 username staff 64 Mar 24 18:02 Documents
lrwxr-xr-x 1 username staff 21 Mar 24 18:02 Downloads -> ../../../../Downloads
drwx------ 35 username staff 1120 Mar 24 18:08 Library
lrwxr-xr-x 1 username staff 18 Mar 24 18:02 Movies -> ../../../../Movies
lrwxr-xr-x 1 username staff 17 Mar 24 18:02 Music -> ../../../../Music
lrwxr-xr-x 1 username staff 20 Mar 24 18:02 Pictures -> ../../../../Pictures
drwx------ 2 username staff 64 Mar 24 18:02 SystemData
drwx------ 2 username staff 64 Mar 24 18:02 tmp
{% hint style="danger" %}
シンボリックリンクがSandboxから「脱出」して他のフォルダにアクセスするために存在していても、アプリはそれらにアクセスするための権限を持っている必要があります。これらの権限は**.plist**内にあります。
{% endhint %}
# Get permissions
plutil -convert xml1 .com.apple.containermanagerd.metadata.plist -o -
# Binary sandbox profile
<key>SandboxProfileData</key>
<data>
AAAhAboBAAAAAAgAAABZAO4B5AHjBMkEQAUPBSsGPwsgASABHgEgASABHwEf...
# In this file you can find the entitlements:
<key>Entitlements</key>
<dict>
<key>com.apple.MobileAsset.PhishingImageClassifier2</key>
<true/>
<key>com.apple.accounts.appleaccount.fullaccess</key>
<true/>
<key>com.apple.appattest.spi</key>
<true/>
<key>keychain-access-groups</key>
<array>
<string>6N38VWS5BX.ru.keepcoder.Telegram</string>
<string>6N38VWS5BX.ru.keepcoder.TelegramShare</string>
</array>
[...]
# Some parameters
<key>Parameters</key>
<dict>
<key>_HOME</key>
<string>/Users/username</string>
<key>_UID</key>
<string>501</string>
<key>_USER</key>
<string>username</string>
[...]
# The paths it can access
<key>RedirectablePaths</key>
<array>
<string>/Users/username/Downloads</string>
<string>/Users/username/Documents</string>
<string>/Users/username/Library/Calendars</string>
<string>/Users/username/Desktop</string>
<key>RedirectedPaths</key>
<array/>
[...]
{% hint style="warning" %}
すべてのSandboxアプリケーションによって作成/変更されたものは、quarantine属性を持ちます。これにより、Sandboxアプリが**open**を使用して何かを実行しようとすると、GatekeeperがトリガーされてSandboxスペースが防止されます。
{% endhint %}
Sandboxプロファイル
Sandboxプロファイルは、そのSandboxで許可/禁止されるものを示す設定ファイルです。これは、**Sandboxプロファイル言語(SBPL)**を使用し、Schemeプログラミング言語を使用します。
ここには例があります:
(version 1) ; First you get the version
(deny default) ; Then you shuold indicate the default action when no rule applies
(allow network*) ; You can use wildcards and allow everything
(allow file-read* ; You can specify where to apply the rule
(subpath "/Users/username/")
(literal "/tmp/afile")
(regex #"^/private/etc/.*")
)
(allow mach-lookup
(global-name "com.apple.analyticsd")
)
{% hint style="success" %} こちらの研究 をチェックして、許可または拒否される可能性のあるさらなるアクションを確認してください。 {% endhint %}
重要なシステムサービスも、mdnsresponderサービスなど、独自のサンドボックス内で実行されます。これらのカスタムサンドボックスプロファイルは以下で確認できます:
/usr/share/sandbox/System/Library/Sandbox/Profiles- 他のサンドボックスプロファイルはhttps://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profilesで確認できます。
App Storeアプリは、プロファイル **/System/Library/Sandbox/Profiles/application.sbを使用します。このプロファイルでは、com.apple.security.network.server**などのエンタイトルメントがプロセスがネットワークを使用することを許可しているかどうかを確認できます。
SIPは、/System/Library/Sandbox/rootless.confにあるplatform_profileという名前のサンドボックスプロファイルです。
サンドボックスプロファイルの例
特定のサンドボックスプロファイルでアプリケーションを起動するには、次のコマンドを使用します:
sandbox-exec -f example.sb /Path/To/The/Application
{% code title="touch.sb" %}
(version 1)
(deny default)
(allow file-write-data file-write-metadata
(regex #"^/Users/[^/]+/Desktop/[^/]+$")
(regex #"^/Users/[^/]+/Documents/[^/]+$")
(regex #"^/Users/[^/]+/Downloads/[^/]+$")
(regex #"^/Users/[^/]+/Movies/[^/]+$")
(regex #"^/Users/[^/]+/Music/[^/]+$")
(regex #"^/Users/[^/]+/Pictures/[^/]+$")
(regex #"^/Users/[^/]+/Public/[^/]+$")
(regex #"^/Users/[^/]+/Sites/[^/]+$")
)
(allow file-read-data file-read-metadata
(regex #"^/Users/[^/]+/Desktop/[^/]+$")
(regex #"^/Users/[^/]+/Documents/[^/]+$")
(regex #"^/Users/[^/]+/Downloads/[^/]+$")
(regex #"^/Users/[^/]+/Movies/[^/]+$")
(regex #"^/Users/[^/]+/Music/[^/]+$")
(regex #"^/Users/[^/]+/Pictures/[^/]+$")
(regex #"^/Users/[^/]+/Public/[^/]+$")
(regex #"^/Users/[^/]+/Sites/[^/]+$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/misc/magic$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/nls/[^/]+/LC_MESSAGES/[^/]+$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MESSAGES/[^/]+$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_COLLATE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_CTYPE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MONETARY$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_NUMERIC$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_TIME$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MESSAGES$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_COLLATE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_CTYPE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MONETARY$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_NUMERIC$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_TIME$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MESSAGES$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_COLLATE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_CTYPE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MONETARY$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_NUMERIC$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_TIME$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MESSAGES$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_COLLATE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_CTYPE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MONETARY$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_NUMERIC$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_TIME$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MESSAGES$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_COLLATE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_CTYPE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MONETARY$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_NUMERIC$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_TIME$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MESSAGES$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_COLLATE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_CTYPE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MONETARY$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_NUMERIC$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_TIME$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MESSAGES$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_COLLATE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_CTYPE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MONETARY$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_NUMERIC$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_TIME$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MESSAGES$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_COLLATE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_CTYPE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MONETARY$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_NUMERIC$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_TIME$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MESSAGES$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_COLLATE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_CTYPE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MONETARY$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_NUMERIC$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_TIME$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MESSAGES$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_COLLATE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_CTYPE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MONETARY$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_NUMERIC$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_TIME$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MESSAGES$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_COLLATE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_CTYPE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MONETARY$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_NUMERIC$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_TIME$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MESSAGES$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_COLLATE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_CTYPE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MONETARY$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_NUMERIC$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_TIME$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MESSAGES$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_COLLATE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_CTYPE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MONETARY$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_NUMERIC$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_TIME$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MESSAGES$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_COLLATE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_CTYPE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MONETARY$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_NUMERIC$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_TIME$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MESSAGES$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_COLLATE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_CTYPE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MONETARY$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_NUMERIC$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_TIME$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MESSAGES$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_COLLATE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_CTYPE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MONETARY$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_NUMERIC$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_TIME$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MESSAGES$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_COLLATE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_CTYPE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MONETARY$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_NUMERIC$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_TIME$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MESSAGES$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_COLLATE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_CTYPE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MONETARY$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_NUMERIC$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_TIME$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MESSAGES$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_COLLATE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_CTYPE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MONETARY$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_NUMERIC$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_TIME$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MESSAGES$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_COLLATE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_CTYPE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MONETARY$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_NUMERIC$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_TIME$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MESSAGES$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_COLLATE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_CTYPE$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MONETARY$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_NUMERIC$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_TIME$")
)
(allow file-read-data file-read-metadata
(regex #"^/usr/share/locale/[^/]+/LC_MESSAGES$")
)
(allow file-read-data file-read-metadata
(regex #"
```scheme
(version 1)
(deny default)
(allow file* (literal "/tmp/hacktricks.txt"))
{% endcode %}
# This will fail because default is denied, so it cannot execute touch
sandbox-exec -f touch.sb touch /tmp/hacktricks.txt
# Check logs
log show --style syslog --predicate 'eventMessage contains[c] "sandbox"' --last 30s
[...]
2023-05-26 13:42:44.136082+0200 localhost kernel[0]: (Sandbox) Sandbox: sandbox-exec(41398) deny(1) process-exec* /usr/bin/touch
2023-05-26 13:42:44.136100+0200 localhost kernel[0]: (Sandbox) Sandbox: sandbox-exec(41398) deny(1) file-read-metadata /usr/bin/touch
2023-05-26 13:42:44.136321+0200 localhost kernel[0]: (Sandbox) Sandbox: sandbox-exec(41398) deny(1) file-read-metadata /var
2023-05-26 13:42:52.701382+0200 localhost kernel[0]: (Sandbox) 5 duplicate reports for Sandbox: sandbox-exec(41398) deny(1) file-read-metadata /var
[...]
{% code title="touch2.sb" %}
以下は、macOSのサンドボックスに関する情報です。
概要
macOSのサンドボックスは、アプリケーションのセキュリティを強化するための重要な機能です。サンドボックスは、アプリケーションが制限された環境で実行されるように設計されており、悪意のあるコードや攻撃からシステムを保護します。
サンドボックスの機能
macOSのサンドボックスには、以下のような機能があります。
- ファイルシステムへのアクセス制限
- ネットワークアクセスの制限
- プロセス間通信の制限
- ハードウェアリソースへのアクセス制限
- システム設定の制限
これらの機能により、アプリケーションは自身の環境内で動作し、システムへの悪意のあるアクセスを制限することができます。
サンドボックスの設定
macOSのサンドボックスは、アプリケーションごとに設定することができます。アプリケーションの設定ファイルには、サンドボックスのルールや制限を記述します。
以下は、touch2.sbという名前のサンドボックス設定ファイルの例です。
(version 1)
(deny default)
(allow file-write-data
(literal "/private/var/tmp/file.txt")
)
(allow file-read-metadata
(regex #"^/private/var/tmp/.*")
)
(allow file-read-data
(literal "/private/var/tmp/file.txt")
)
この例では、/private/var/tmp/file.txtへの書き込みと読み取りが許可されています。
サンドボックスのテスト
サンドボックスの設定が正しく行われているかをテストするためには、sandbox-execコマンドを使用します。
以下のコマンドを実行すると、touch2.sbのサンドボックス設定に基づいて、/private/var/tmp/file.txtに対して書き込みが行われます。
sandbox-exec -f touch2.sb touch /private/var/tmp/file.txt
正常に書き込みが行われた場合、エラーメッセージは表示されません。
まとめ
macOSのサンドボックスは、アプリケーションのセキュリティを強化するための重要な機能です。適切な設定とテストを行うことで、システムへの悪意のあるアクセスを防ぐことができます。
{% endcode %}
(version 1)
(deny default)
(allow file* (literal "/tmp/hacktricks.txt"))
(allow process* (literal "/usr/bin/touch"))
; This will also fail because:
; 2023-05-26 13:44:59.840002+0200 localhost kernel[0]: (Sandbox) Sandbox: touch(41575) deny(1) file-read-metadata /usr/bin/touch
; 2023-05-26 13:44:59.840016+0200 localhost kernel[0]: (Sandbox) Sandbox: touch(41575) deny(1) file-read-data /usr/bin/touch
; 2023-05-26 13:44:59.840028+0200 localhost kernel[0]: (Sandbox) Sandbox: touch(41575) deny(1) file-read-data /usr/bin
; 2023-05-26 13:44:59.840034+0200 localhost kernel[0]: (Sandbox) Sandbox: touch(41575) deny(1) file-read-metadata /usr/lib/dyld
; 2023-05-26 13:44:59.840050+0200 localhost kernel[0]: (Sandbox) Sandbox: touch(41575) deny(1) sysctl-read kern.bootargs
; 2023-05-26 13:44:59.840061+0200 localhost kernel[0]: (Sandbox) Sandbox: touch(41575) deny(1) file-read-data /
{% code title="touch3.sb" %}
(version 1)
(deny default)
(allow file* (literal "/private/tmp/hacktricks.txt"))
(allow process* (literal "/usr/bin/touch"))
(allow file-read-data (literal "/"))
; This one will work
{% endcode %} {% endtab %} {% endtabs %}
{% hint style="info" %} 注意:Windows上で実行されるApple製のソフトウェアは、アプリケーションのサンドボックス化などの追加のセキュリティ対策はありません。 {% endhint %}
バイパスの例:
- https://lapcatsoftware.com/articles/sandbox-escape.html
- https://desi-jarvis.medium.com/office365-macos-sandbox-escape-fcce4fa4123c(
~$で始まる名前のサンドボックス外のファイルを書き込むことができます)。
MacOSサンドボックスプロファイル
macOSは、システムのサンドボックスプロファイルを2つの場所に保存します:/usr/share/sandbox/ と /System/Library/Sandbox/Profiles。
また、サードパーティのアプリケーションが com.apple.security.app-sandbox エンタイトルメントを持っている場合、システムはそのプロセスに /System/Library/Sandbox/Profiles/application.sb プロファイルを適用します。
iOSサンドボックスプロファイル
デフォルトのプロファイルは container と呼ばれ、SBPLテキスト表現はありません。メモリ上では、このサンドボックスは、サンドボックスの各権限に対してAllow/Denyバイナリツリーとして表されます。
サンドボックスのデバッグとバイパス
プロセスはmacOSではサンドボックス化されて生まれません:iOSとは異なり、サンドボックスはプログラムの最初の命令が実行される前にカーネルによって適用されますが、macOSではプロセス自体がサンドボックスに配置することを選択する必要があります。
プロセスは、com.apple.security.app-sandbox エンタイトルメントを持っている場合、ユーザーランドから自動的にサンドボックス化されます。このプロセスの詳細な説明については、次を参照してください:
{% content-ref url="macos-sandbox-debug-and-bypass/" %} macos-sandbox-debug-and-bypass {% endcontent-ref %}
PIDの特権を確認する
これによると、sandbox_check(__mac_syscallです)は、特定のPIDでサンドボックスによって操作が許可されているかどうかを確認できます。
ツールsbtoolは、PIDが特定のアクションを実行できるかどうかを確認できます:
sbtool <pid> mach #Check mac-ports (got from launchd with an api)
sbtool <pid> file /tmp #Check file access
sbtool <pid> inspect #Gives you an explaination of the sandbox profile
sbtool <pid> all
App StoreアプリでのカスタムSBPL
企業は、デフォルトのものではなく、カスタムのサンドボックスプロファイルを使用してアプリを実行することができます。ただし、Appleによって承認される必要がある**com.apple.security.temporary-exception.sbpl**というエンタイトルメントを使用する必要があります。
このエンタイトルメントの定義は、**/System/Library/Sandbox/Profiles/application.sb:**で確認することができます。
(sandbox-array-entitlement
"com.apple.security.temporary-exception.sbpl"
(lambda (string)
(let* ((port (open-input-string string)) (sbpl (read port)))
(with-transparent-redirection (eval sbpl)))))
これは、この権限の後にある文字列をSandboxプロファイルとして評価します。
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- サイバーセキュリティ企業で働いていますか? HackTricksで会社を宣伝したいですか?または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか?SUBSCRIPTION PLANSをチェックしてください!
- The PEASS Familyを見つけてください。独占的なNFTのコレクションです。
- 公式のPEASS&HackTricksのグッズを手に入れましょう。
- 💬 Discordグループまたはtelegramグループに参加するか、Twitterでフォローしてください🐦@carlospolopm。
- ハッキングのトリックを共有するには、PRを hacktricks repo と hacktricks-cloud repo に提出してください。