macOS FS Tricks

POSIX 权限组合

目录中的权限：

• 读取 - 您可以枚举目录条目

• 写入 - 您可以删除/写入目录中的文件，并且您可以删除空文件夹。

• 但是，除非您对其具有写入权限，否则无法删除/修改非空文件夹。

• 除非您拥有它，否则无法修改文件夹的名称。

• 执行 - 您被允许遍历目录 - 如果您没有此权限，您将无法访问其中的任何文件，或任何子目录中的文件。

危险组合

如何覆盖 root 拥有的文件/文件夹，但：

• 路径中的一个父目录所有者是用户

• 路径中的一个父目录所有者是具有写入访问权限的用户组

• 一个用户组对文件具有写入访问权限

使用上述任何组合，攻击者可以注入一个符号链接/硬链接到预期路径，以获取特权任意写入。

文件夹根目录 R+X 特殊情况

如果目录中有只有 root 具有 R+X 访问权限的文件，那些文件对其他人不可访问。因此，如果存在一个漏洞允许移动一个用户可读的文件（由于该限制而无法读取），从该目录到另一个目录，则可能被滥用以读取这些文件。

示例：https://theevilbit.github.io/posts/exploiting_directory_permissions_on_macos/#nix-directory-permissions

符号链接 / 硬链接

如果一个特权进程正在写入文件，该文件可能被低权限用户控制，或者可能是由低权限用户先前创建的。用户只需通过符号链接或硬链接将其指向另一个文件，特权进程将写入该文件。

请查看其他部分，攻击者可能滥用任意写入以提升权限。

.fileloc

具有**.fileloc**扩展名的文件可以指向其他应用程序或二进制文件，因此当打开它们时，将执行该应用程序/二进制文件。 示例：

任意FD

如果你可以让一个进程以高权限打开文件或文件夹，你可以滥用**crontab来打开/etc/sudoers.d中的文件，使用EDITOR=exploit.py**，这样exploit.py将获得/etc/sudoers中文件的FD并滥用它。

例如：https://youtu.be/f1HA5QhLQ7Y?t=21098

避免隔离xattrs技巧

删除它

uchg / uchange / uimmutable标志

如果文件/文件夹具有此不可变属性，则无法在其上放置xattr

defvfs挂载

devfs挂载不支持xattr，更多信息请参考CVE-2023-32364

writeextattr ACL

此 ACL 阻止向文件添加 xattrs。

com.apple.acl.text xattr + AppleDouble

AppleDouble文件格式会复制文件及其ACEs。

在源代码中，可以看到存储在名为**com.apple.acl.text的xattr中的ACL文本表示将被设置为解压后文件的ACL。因此，如果您将一个应用程序压缩成一个使用AppleDouble**文件格式的zip文件，并且该文件格式具有防止其他xattr被写入的ACL... 那么隔离xattr 将不会被设置到该应用程序中：

查看原始报告以获取更多信息。

要复制这一过程，首先需要获取正确的acl字符串：

(Note that even if this works the sandbox write the quarantine xattr before)

并不是真的需要，但我还是留着以防万一：

绕过代码签名

Bundle 包含文件 _CodeSignature/CodeResources，其中包含 bundle 中每个 文件 的 哈希值。请注意，CodeResources 的哈希值也被嵌入在可执行文件中，因此我们无法对其进行更改。

然而，有一些文件的签名不会被检查，这些文件在属性列表中具有省略键，如：

可以使用以下命令行计算资源的签名：

通常 macOS 会通过与 com.apple.DiskArbitrarion.diskarbitrariond Mach 服务通信（由 /usr/libexec/diskarbitrationd 提供）来挂载磁盘。如果在 LaunchDaemons plist 文件中添加参数 -d 并重新启动，它将会将日志存储在 /var/log/diskarbitrationd.log 中。 然而，可以使用诸如 hdik 和 hdiutil 这样的工具直接与 com.apple.driver.DiskImages kext 通信。

任意写入

定期 sh 脚本

如果您的脚本可以被解释为 shell 脚本，则可以覆盖 /etc/periodic/daily/999.local shell 脚本，该脚本将每天触发一次。

您可以使用以下命令伪造执行此脚本：sudo periodic daily

守护程序

编写一个任意的 LaunchDaemon，如 /Library/LaunchDaemons/xyz.hacktricks.privesc.plist，其中包含执行任意脚本的 plist，如下所示：

Sudoers File

如果你有任意写入权限，你可以创建一个文件在文件夹**/etc/sudoers.d/里，授予自己sudo**权限。

PATH files

文件**/etc/paths** 是一个主要用来设置PATH环境变量的地方。你必须是root才能覆盖它，但如果一个来自特权进程的脚本在执行一些没有完整路径的命令，你也许可以通过修改这个文件来劫持它。

你也可以在**/etc/paths.d**里写入文件来加载新的文件夹到PATH环境变量中。

生成其他用户可写文件

这将生成一个属于root但我可以写入的文件（代码在这里）。这也可能作为权限提升：

POSIX 共享内存

POSIX 共享内存 允许 POSIX 兼容操作系统中的进程访问一个共享内存区域，相比其他进程间通信方法，可以实现更快的通信。它涉及使用 shm_open() 创建或打开一个共享内存对象，使用 ftruncate() 设置其大小，并使用 mmap() 将其映射到进程的地址空间。进程可以直接从这个内存区域读取和写入数据。为了管理并发访问并防止数据损坏，通常会使用诸如互斥锁或信号量等同步机制。最后，进程使用 munmap() 和 close() 取消映射和关闭共享内存，并可选择使用 shm_unlink() 删除内存对象。在需要多个进程快速访问共享数据的环境中，这种系统特别适用于高效快速的进程间通信。

macOS 受保护描述符

macOS 受保护描述符是 macOS 中引入的一项安全功能，旨在增强用户应用程序中的文件描述符操作的安全性和可靠性。这些受保护描述符提供了一种将特定限制或“保护”与文件描述符关联起来的方式，这些限制由内核强制执行。

该功能特别有助于防止某些类别的安全漏洞，如未经授权的文件访问或竞争条件。这些漏洞会在例如一个线程正在访问一个文件描述符时，给另一个易受攻击的线程访问权限，或者当一个文件描述符被易受攻击的子进程继承时发生。与此功能相关的一些函数包括：

• guarded_open_np: 使用保护打开一个文件描述符

• guarded_close_np: 关闭它

• change_fdguard_np: 更改描述符上的保护标志（甚至移除保护）

参考资料

• https://theevilbit.github.io/posts/exploiting_directory_permissions_on_macos/