4.7 KiB
macOS Sekuriteit & Privilege Escalering
{{#include ../../banners/hacktricks-training.md}}
Basiese MacOS
As jy nie bekend is met macOS nie, moet jy begin om die basiese beginsels van macOS te leer:
- Spesiale macOS lêers & toestemmings:
{{#ref}} macos-files-folders-and-binaries/ {{#endref}}
- Algemene macOS gebruikers
{{#ref}} macos-users.md {{#endref}}
- AppleFS
{{#ref}} macos-applefs.md {{#endref}}
- Die argitektuur van die kernel
{{#ref}} mac-os-architecture/ {{#endref}}
- Algemene macOS netwerk dienste & protokolle
{{#ref}} macos-protocols.md {{#endref}}
- Opensource macOS: https://opensource.apple.com/
- Om 'n
tar.gzaf te laai, verander 'n URL soos https://opensource.apple.com/source/dyld/ na https://opensource.apple.com/tarballs/dyld/dyld-852.2.tar.gz
MacOS MDM
In maatskappye gaan macOS stelsels hoogs waarskynlik met 'n MDM bestuur word. Daarom is dit vanuit 'n aanvaller se perspektief interessant om te weet hoe dit werk:
{{#ref}} ../macos-red-teaming/macos-mdm/ {{#endref}}
MacOS - Inspekteer, Debugeer en Fuzz
{{#ref}} macos-apps-inspecting-debugging-and-fuzzing/ {{#endref}}
MacOS Sekuriteit Beskermings
{{#ref}} macos-security-protections/ {{#endref}}
Aanvaloppervlak
Lêertoestemmings
As 'n proses wat as root loop 'n lêer skryf wat deur 'n gebruiker beheer kan word, kan die gebruiker dit misbruik om privileges te verhoog.
Dit kan in die volgende situasies gebeur:
- Lêer wat gebruik is, is reeds deur 'n gebruiker geskep (besit deur die gebruiker)
- Lêer wat gebruik word, is skryfbaar deur die gebruiker weens 'n groep
- Lêer wat gebruik word, is binne 'n gids wat deur die gebruiker besit word (die gebruiker kan die lêer skep)
- Lêer wat gebruik word, is binne 'n gids wat deur root besit word, maar die gebruiker het skryftoegang daaroor weens 'n groep (die gebruiker kan die lêer skep)
In staat wees om 'n lêer te skep wat gaan gebruik word deur root, laat 'n gebruiker toe om voordeel te trek uit sy inhoud of selfs simboliese skakels/hardlinks te skep om dit na 'n ander plek te wys.
Vir hierdie tipe kwesbaarhede, moenie vergeet om kwesbare .pkg installers te kontroleer:
{{#ref}} macos-files-folders-and-binaries/macos-installers-abuse.md {{#endref}}
Lêeruitbreiding & URL skema app handlers
Vreemde apps wat deur lêeruitbreidings geregistreer is, kan misbruik word en verskillende toepassings kan geregistreer word om spesifieke protokolle te open
{{#ref}} macos-file-extension-apps.md {{#endref}}
macOS TCC / SIP Privilege Escalering
In macOS toepassings en lêers kan toestemmings hê om toegang te verkry tot gidsen of instellings wat hulle meer bevoorreg maak as ander.
Daarom sal 'n aanvaller wat 'n macOS masjien suksesvol wil kompromitteer, moet sy TCC privileges verhoog (of selfs SIP omseil, afhangende van sy behoeftes).
Hierdie privileges word gewoonlik in die vorm van regte wat die toepassing onderteken is, gegee, of die toepassing mag sekere toegang versoek het en nadat die gebruiker dit goedgekeur het, kan dit in die TCC databasisse gevind word. 'n Ander manier waarop 'n proses hierdie privileges kan verkry, is deur 'n kind van 'n proses met daardie privileges te wees, aangesien dit gewoonlik geërf word.
Volg hierdie skakels om verskillende maniere te vind om privileges in TCC te verhoog, om TCC te omseil en hoe in die verlede SIP omseil is.
macOS Tradisionele Privilege Escalering
Natuurlik moet jy ook belangstel om na root te verhoog vanuit 'n rooi span se perspektief. Kyk na die volgende pos vir 'n paar wenke:
{{#ref}} macos-privilege-escalation.md {{#endref}}
macOS Nakoming
Verwysings
- OS X Incident Response: Scripting and Analysis
- https://taomm.org/vol1/analysis.html
- https://github.com/NicolasGrimonpont/Cheatsheet
- https://assets.sentinelone.com/c/sentinal-one-mac-os-?x=FvGtLJ
- https://www.youtube.com/watch?v=vMGiplQtjTY
{{#include ../../banners/hacktricks-training.md}}