12 KiB
Red Team en macOS
Aprende a hackear AWS de cero a héroe con htARTE (Experto en Red Team de AWS de HackTricks)!
Otras formas de apoyar a HackTricks:
- Si quieres ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF ¡Consulta los PLANES DE SUSCRIPCIÓN!
- Obtén merchandising oficial de PEASS & HackTricks
- Descubre La Familia PEASS, nuestra colección exclusiva de NFTs
- Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @carlospolopm.
- Comparte tus trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.
Abusando de los MDMs
- JAMF Pro:
jamf checkJSSConnection
- Kandji
Si logras comprometer las credenciales de administrador para acceder a la plataforma de gestión, puedes potencialmente comprometer todas las computadoras distribuyendo tu malware en las máquinas.
Para el red teaming en entornos de MacOS, es muy recomendable tener cierto entendimiento de cómo funcionan los MDMs:
{% content-ref url="macos-mdm/" %} macos-mdm {% endcontent-ref %}
Usando MDM como C2
Un MDM tendrá permiso para instalar, consultar o eliminar perfiles, instalar aplicaciones, crear cuentas de administrador locales, establecer contraseña de firmware, cambiar la clave de FileVault...
Para ejecutar tu propio MDM, necesitas tu CSR firmado por un proveedor que podrías intentar obtener en https://mdmcert.download/. Y para ejecutar tu propio MDM para dispositivos Apple, podrías usar MicroMDM.
Sin embargo, para instalar una aplicación en un dispositivo inscrito, aún necesitas que esté firmada por una cuenta de desarrollador... sin embargo, al inscribirse en el MDM, el dispositivo agrega el certificado SSL del MDM como una CA de confianza, por lo que ahora puedes firmar cualquier cosa.
Para inscribir el dispositivo en un MDM, necesitas instalar un archivo mobileconfig
como root, que podría entregarse a través de un archivo pkg (podrías comprimirlo en zip y al descargarlo desde Safari se descomprimirá).
El agente Mythic Orthrus utiliza esta técnica.
Abusando de JAMF PRO
JAMF puede ejecutar scripts personalizados (scripts desarrollados por el sysadmin), cargas útiles nativas (creación de cuentas locales, establecimiento de contraseña EFI, monitoreo de archivos/procesos...) y MDM (configuraciones de dispositivos, certificados de dispositivos...).
Autoinscripción de JAMF
Ve a una página como https://<nombre-de-la-empresa>.jamfcloud.com/enroll/
para ver si tienen habilitada la autoinscripción. Si la tienen, podría solicitar credenciales para acceder.
Podrías usar el script JamfSniper.py para realizar un ataque de rociado de contraseñas.
Además, después de encontrar credenciales adecuadas, podrías ser capaz de realizar un ataque de fuerza bruta a otros nombres de usuario con el siguiente formulario:
Autenticación de dispositivos JAMF
El binario jamf
contenía el secreto para abrir el llavero que en el momento del descubrimiento estaba compartido entre todos y era: jk23ucnq91jfu9aj
.
Además, jamf persiste como un LaunchDaemon en /Library/LaunchAgents/com.jamf.management.agent.plist
Toma de control de dispositivos JAMF
La URL de JSS (Servidor de Software Jamf) que usará jamf
se encuentra en /Library/Preferences/com.jamfsoftware.jamf.plist
.
Este archivo básicamente contiene la URL:
{% code overflow="wrap" %}
plutil -convert xml1 -o - /Library/Preferences/com.jamfsoftware.jamf.plist
[...]
<key>is_virtual_machine</key>
<false/>
<key>jss_url</key>
<string>https://halbornasd.jamfcloud.com/</string>
<key>last_management_framework_change_id</key>
<integer>4</integer>
[...]
Por lo tanto, un atacante podría dejar caer un paquete malicioso (pkg
) que sobrescribe este archivo al ser instalado configurando la URL a un escucha de Mythic C2 desde un agente de Typhon para ahora poder abusar de JAMF como C2.
# After changing the URL you could wait for it to be reloaded or execute:
sudo jamf policy -id 0
# TODO: There is an ID, maybe it's possible to have the real jamf connection and another one to the C2
{% endcode %}
Suplantación de JAMF
Para suplantar la comunicación entre un dispositivo y JMF necesitas:
- El UUID del dispositivo:
ioreg -d2 -c IOPlatformExpertDevice | awk -F" '/IOPlatformUUID/{print $(NF-1)}'
- El llavero JAMF de:
/Library/Application\ Support/Jamf/JAMF.keychain
que contiene el certificado del dispositivo
Con esta información, crea una VM con el UUID de hardware robado y con SIP deshabilitado, suelta el llavero JAMF, engancha el agente Jamf y roba su información.
Robo de secretos
También podrías monitorear la ubicación /Library/Application Support/Jamf/tmp/
en busca de los scripts personalizados que los administradores podrían querer ejecutar a través de Jamf, ya que son colocados aquí, ejecutados y eliminados. Estos scripts podrían contener credenciales.
Sin embargo, las credenciales podrían ser pasadas a estos scripts como parámetros, por lo que necesitarías monitorear ps aux | grep -i jamf
(incluso sin ser root).
El script JamfExplorer.py puede escuchar la adición de nuevos archivos y nuevos argumentos de procesos.
Acceso Remoto a macOS
Y también sobre los protocolos de red "especiales" de MacOS:
{% content-ref url="../macos-security-and-privilege-escalation/macos-protocols.md" %} macos-protocols.md {% endcontent-ref %}
Directorio Activo
En algunas ocasiones encontrarás que la computadora MacOS está conectada a un AD. En este escenario deberías intentar enumerar el directorio activo como estás acostumbrado. Encuentra algo de ayuda en las siguientes páginas:
{% content-ref url="../../network-services-pentesting/pentesting-ldap.md" %} pentesting-ldap.md {% endcontent-ref %}
{% content-ref url="../../windows-hardening/active-directory-methodology/" %} active-directory-methodology {% endcontent-ref %}
{% content-ref url="../../network-services-pentesting/pentesting-kerberos-88/" %} pentesting-kerberos-88 {% endcontent-ref %}
Algunas herramientas locales de MacOS que también pueden ayudarte son dscl
:
dscl "/Active Directory/[Domain]/All Domains" ls /
También hay algunas herramientas preparadas para MacOS para enumerar automáticamente el AD y jugar con kerberos:
- Machound: MacHound es una extensión de la herramienta de auditoría Bloodhound que permite recopilar e ingerir relaciones de Active Directory en hosts de MacOS.
- Bifrost: Bifrost es un proyecto Objective-C diseñado para interactuar con las APIs de Heimdal krb5 en macOS. El objetivo del proyecto es permitir pruebas de seguridad más efectivas en torno a Kerberos en dispositivos macOS utilizando APIs nativas sin requerir ningún otro marco o paquete en el objetivo.
- Orchard: Herramienta de JavaScript para Automatización (JXA) para enumeración de Active Directory.
Información del Dominio
echo show com.apple.opendirectoryd.ActiveDirectory | scutil
Usuarios
Los tres tipos de usuarios de MacOS son:
- Usuarios locales — Gestionados por el servicio local de OpenDirectory, no están conectados de ninguna manera al Directorio Activo.
- Usuarios de red — Usuarios volátiles del Directorio Activo que requieren una conexión al servidor DC para autenticarse.
- Usuarios móviles — Usuarios del Directorio Activo con una copia de seguridad local de sus credenciales y archivos.
La información local sobre usuarios y grupos se almacena en la carpeta /var/db/dslocal/nodes/Default.
Por ejemplo, la información sobre el usuario llamado mark se almacena en /var/db/dslocal/nodes/Default/users/mark.plist y la información sobre el grupo admin está en /var/db/dslocal/nodes/Default/groups/admin.plist.
Además de utilizar los bordes HasSession y AdminTo, MacHound agrega tres nuevos bordes a la base de datos de Bloodhound:
- CanSSH - entidad permitida para SSH al host
- CanVNC - entidad permitida para VNC al host
- CanAE - entidad permitida para ejecutar scripts de AppleEvent en el host
#User enumeration
dscl . ls /Users
dscl . read /Users/[username]
dscl "/Active Directory/TEST/All Domains" ls /Users
dscl "/Active Directory/TEST/All Domains" read /Users/[username]
dscacheutil -q user
#Computer enumeration
dscl "/Active Directory/TEST/All Domains" ls /Computers
dscl "/Active Directory/TEST/All Domains" read "/Computers/[compname]$"
#Group enumeration
dscl . ls /Groups
dscl . read "/Groups/[groupname]"
dscl "/Active Directory/TEST/All Domains" ls /Groups
dscl "/Active Directory/TEST/All Domains" read "/Groups/[groupname]"
#Domain Information
dsconfigad -show
Más información en https://its-a-feature.github.io/posts/2018/01/Active-Directory-Discovery-with-a-Mac/
Accediendo al Portafolio de Llaves
Es muy probable que el Portafolio de Llaves contenga información sensible que, si se accede sin generar una solicitud, podría ayudar a avanzar en un ejercicio de red teaming:
{% content-ref url="macos-keychain.md" %} macos-keychain.md {% endcontent-ref %}
Servicios Externos
El red teaming en MacOS es diferente al red teaming regular de Windows, ya que generalmente MacOS está integrado con varias plataformas externas directamente. Una configuración común de MacOS es acceder a la computadora utilizando credenciales sincronizadas de OneLogin y acceder a varios servicios externos (como github, aws...) a través de OneLogin.
Técnicas Misceláneas de Red Team
Safari
Cuando se descarga un archivo en Safari, si es un archivo "seguro", se abrirá automáticamente. Por ejemplo, si descargas un archivo zip, se descomprimirá automáticamente:
Referencias
- https://www.youtube.com/watch?v=IiMladUbL6E
- https://medium.com/xm-cyber/introducing-machound-a-solution-to-macos-active-directory-based-attacks-2a425f0a22b6
- https://gist.github.com/its-a-feature/1a34f597fb30985a2742bb16116e74e0
- Come to the Dark Side, We Have Apples: Turning macOS Management Evil
- OBTS v3.0: "An Attackers Perspective on Jamf Configurations" - Luke Roberts / Calum Hall