Bac à sable macOS

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les PLANS D'ABONNEMENT !
Découvrez The PEASS Family, notre collection exclusive de NFTs
Obtenez le swag officiel PEASS & HackTricks
Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez moi sur Twitter 🐦@carlospolopm.
Partagez vos astuces de piratage en soumettant des PR au repo hacktricks et au repo hacktricks-cloud.

Informations de base

Le bac à sable macOS (initialement appelé Seatbelt) limite les applications s'exécutant dans le bac à sable aux actions autorisées spécifiées dans le profil Sandbox avec lequel l'application s'exécute. Cela contribue à garantir que l'application n'accédera qu'aux ressources attendues.

Toute application avec l'autorisation com.apple.security.app-sandbox sera exécutée dans le bac à sable. Les binaires Apple sont généralement exécutés dans un bac à sable et pour publier dans l'App Store, cette autorisation est obligatoire. Ainsi, la plupart des applications seront exécutées dans le bac à sable.

Pour contrôler ce qu'un processus peut ou ne peut pas faire, le bac à sable a des hooks dans tous les appels système à travers le noyau. Selon les autorisations de l'application, le bac à sable autorise certaines actions.

Certains composants importants du bac à sable sont :

L'extension de noyau /System/Library/Extensions/Sandbox.kext
Le framework privé /System/Library/PrivateFrameworks/AppSandbox.framework
Un démon s'exécutant dans l'espace utilisateur /usr/libexec/sandboxd
Les conteneurs ~/Library/Containers

Dans le dossier des conteneurs, vous pouvez trouver un dossier pour chaque application exécutée dans le bac à sable avec le nom de l'ID de bundle :

ls -l ~/Library/Containers
total 0
drwx------@ 4 username  staff  128 May 23 20:20 com.apple.AMPArtworkAgent
drwx------@ 4 username  staff  128 May 23 20:13 com.apple.AMPDeviceDiscoveryAgent
drwx------@ 4 username  staff  128 Mar 24 18:03 com.apple.AVConference.Diagnostic
drwx------@ 4 username  staff  128 Mar 25 14:14 com.apple.Accessibility-Settings.extension
drwx------@ 4 username  staff  128 Mar 25 14:10 com.apple.ActionKit.BundledIntentHandler
[...]

À l'intérieur de chaque dossier d'identifiant de bundle, vous pouvez trouver le fichier plist et le répertoire Data de l'application :

cd /Users/username/Library/Containers/com.apple.Safari
ls -la
total 104
drwx------@   4 username  staff    128 Mar 24 18:08 .
drwx------  348 username  staff  11136 May 23 20:57 ..
-rw-r--r--    1 username  staff  50214 Mar 24 18:08 .com.apple.containermanagerd.metadata.plist
drwx------   13 username  staff    416 Mar 24 18:05 Data

ls -l Data
total 0
drwxr-xr-x@  8 username  staff   256 Mar 24 18:08 CloudKit
lrwxr-xr-x   1 username  staff    19 Mar 24 18:02 Desktop -> ../../../../Desktop
drwx------   2 username  staff    64 Mar 24 18:02 Documents
lrwxr-xr-x   1 username  staff    21 Mar 24 18:02 Downloads -> ../../../../Downloads
drwx------  35 username  staff  1120 Mar 24 18:08 Library
lrwxr-xr-x   1 username  staff    18 Mar 24 18:02 Movies -> ../../../../Movies
lrwxr-xr-x   1 username  staff    17 Mar 24 18:02 Music -> ../../../../Music
lrwxr-xr-x   1 username  staff    20 Mar 24 18:02 Pictures -> ../../../../Pictures
drwx------   2 username  staff    64 Mar 24 18:02 SystemData
drwx------   2 username  staff    64 Mar 24 18:02 tmp

{% hint style="danger" %} Notez que même si les liens symboliques sont là pour "s'échapper" du Sandbox et accéder à d'autres dossiers, l'application doit toujours avoir les autorisations pour y accéder. Ces autorisations sont à l'intérieur du fichier .plist. {% endhint %}

# Get permissions
plutil -convert xml1 .com.apple.containermanagerd.metadata.plist -o -

# In this file you can find the entitlements:
<key>Entitlements</key>
	<dict>
		<key>com.apple.MobileAsset.PhishingImageClassifier2</key>
		<true/>
		<key>com.apple.accounts.appleaccount.fullaccess</key>
		<true/>
		<key>com.apple.appattest.spi</key>
		<true/>
[...]

# Some parameters
<key>Parameters</key>
	<dict>
		<key>_HOME</key>
		<string>/Users/username</string>
		<key>_UID</key>
		<string>501</string>
		<key>_USER</key>
		<string>username</string>
[...]

# The paths it can access
<key>RedirectablePaths</key>
	<array>
		<string>/Users/username/Downloads</string>
		<string>/Users/username/Documents</string>
		<string>/Users/username/Library/Calendars</string>
		<string>/Users/username/Desktop</string>
[...]

Profils Sandbox

Les profils Sandbox sont des fichiers de configuration qui indiquent ce qui est autorisé/interdit dans cette Sandbox. Il utilise le langage de profil Sandbox (SBPL), qui utilise le langage de programmation Scheme.

Voici un exemple :

(version 1) ; First you get the version

(deny default) ; Then you shuold indicate the default action when no rule applies

(allow network*) ; You can use wildcards and allow everything

(allow file-read* ; You can specify where to apply the rule
    (subpath "/Users/username/")
    (literal "/tmp/afile")
    (regex #"^/private/etc/.*")
)

(allow mach-lookup
    (global-name "com.apple.analyticsd")
)

{% hint style="success" %} Consultez cette recherche pour vérifier d'autres actions qui pourraient être autorisées ou refusées. {% endhint %}

Des services système importants s'exécutent également dans leur propre bac à sable personnalisé tels que le service mdnsresponder. Vous pouvez voir ces profils de bac à sable personnalisés dans:

/usr/share/sandbox
/System/Library/Sandbox/Profiles
D'autres profils de bac à sable peuvent être consultés sur https://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profiles.

Les applications de l'App Store utilisent le profil /System/Library/Sandbox/Profiles/application.sb. Vous pouvez vérifier dans ce profil comment les autorisations telles que com.apple.security.network.server permettent à un processus d'utiliser le réseau.

SIP est un profil de bac à sable appelé platform_profile dans /System/Library/Sandbox/rootless.conf

Exemples de profils de bac à sable

Pour démarrer une application avec un profil de bac à sable spécifique, vous pouvez utiliser:

sandbox-exec -f example.sb /Path/To/The/Application

{% code title="touch.sb" %}

Sandbox for the touch command

(version 1)

(deny default)

(allow file-read-data file-read-metadata (regex #"^/usr/share/locale/.*"))

(allow file-write-data (regex #"^/Users/[^/]+/Desktop/.*"))

(allow file-write-data (regex #"^/Users/[^/]+/Documents/.*"))

(allow file-write-data (regex #"^/Users/[^/]+/Downloads/.*"))

(allow file-write-data (regex #"^/private/tmp/.*"))

(allow file-write-data (regex #"^/var/tmp/.*"))

(allow file-write-data (regex #"^/tmp/.*"))

(allow file-write-data (regex #"^/Users/[^/]+/Library/.*"))