search

macOS Sandbox

chevron-right从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS Red Team Expert)arrow-up-righthashtag

支持HackTricks的其他方式:

hashtag
基本信息

MacOS沙箱(最初称为Seatbelt)限制在沙箱内运行的应用程序执行的操作,以符合应用程序运行时使用的沙箱配置文件中指定的允许操作。这有助于确保应用程序只能访问预期的资源

任何具有授权 com.apple.security.app-sandbox 的应用程序将在沙箱内执行。苹果二进制文件通常在沙箱内执行,为了在App Store中发布应用程序,此授权是强制性的。因此,大多数应用程序将在沙箱内执行。

为了控制进程可以执行的操作,沙箱在内核中的所有 系统调用中都有钩子根据应用程序的授权,沙箱将允许特定操作。

沙箱的一些重要组件包括:

  • 内核扩展 /System/Library/Extensions/Sandbox.kext

  • 私有框架 /System/Library/PrivateFrameworks/AppSandbox.framework

  • 在用户空间运行的守护程序 /usr/libexec/sandboxd

  • 容器 ~/Library/Containers

在容器文件夹中,您可以找到为每个在沙箱中执行的应用程序的文件夹,文件夹名称为bundle id:

ls -l ~/Library/Containers
total 0
drwx------@ 4 username  staff  128 May 23 20:20 com.apple.AMPArtworkAgent
drwx------@ 4 username  staff  128 May 23 20:13 com.apple.AMPDeviceDiscoveryAgent
drwx------@ 4 username  staff  128 Mar 24 18:03 com.apple.AVConference.Diagnostic
drwx------@ 4 username  staff  128 Mar 25 14:14 com.apple.Accessibility-Settings.extension
drwx------@ 4 username  staff  128 Mar 25 14:10 com.apple.ActionKit.BundledIntentHandler
[...]

在每个 bundle id 文件夹中,您可以找到该应用的 plistData 目录

triangle-exclamation

请注意,即使符号链接存在以“逃离”沙盒并访问其他文件夹,应用程序仍然需要具有权限来访问它们。这些权限位于**.plist**文件中。

circle-exclamation

所有由沙盒应用程序创建/修改的内容都将获得隔离属性。这将通过触发Gatekeeper来阻止沙盒应用程序尝试使用**open**执行某些操作。

hashtag
沙盒配置文件

沙盒配置文件是指示在该沙盒中将被允许/禁止的内容的配置文件。它使用沙盒配置语言(SBPL),该语言使用Schemearrow-up-right编程语言。

在这里,您可以找到一个示例:

circle-check

查看这个研究arrow-up-right 以查看更多可能被允许或拒绝的操作。

重要的系统服务也在其自定义的沙盒中运行,例如mdnsresponder服务。您可以在以下位置查看这些自定义沙盒配置文件

App Store 应用程序使用配置文件 /System/Library/Sandbox/Profiles/application.sb。您可以在此配置文件中查看诸如**com.apple.security.network.server**这样的授权如何允许进程使用网络。

SIP是一个名为platform_profile的沙盒配置文件,位于/System/Library/Sandbox/rootless.conf

hashtag
沙盒配置文件示例

要使用特定的沙盒配置文件启动应用程序,您可以使用:

circle-info

请注意,运行在Windows上的由苹果编写的软件没有额外的安全预防措施,比如应用程序沙箱。

绕过示例:

hashtag
MacOS 沙箱配置文件

macOS将系统沙箱配置文件存储在两个位置:/usr/share/sandbox//System/Library/Sandbox/Profiles

如果第三方应用程序携带了 com.apple.security.app-sandbox 权限,系统将应用 /System/Library/Sandbox/Profiles/application.sb 配置文件到该进程。

hashtag
iOS 沙箱配置文件

默认配置文件名为 container,我们没有SBPL文本表示。在内存中,此沙箱被表示为每个权限的允许/拒绝二进制树。

hashtag
调试和绕过沙箱

在macOS上,与iOS不同,进程必须自行选择加入沙箱。这意味着在macOS上,进程在主动决定进入沙箱之前不受沙箱限制。

如果进程具有权限:com.apple.security.app-sandbox,则在启动时从用户空间自动将进程置于沙箱中。有关此过程的详细解释,请查看:

macOS Sandbox Debug & Bypasschevron-right

hashtag
检查 PID 权限

根据此arrow-up-rightsandbox_check(它是一个__mac_syscall)可以检查在特定PID中沙箱是否允许执行某个操作。

工具 sbtoolarrow-up-right 可以检查PID是否可以执行某个操作:

hashtag
在App Store应用程序中使用自定义SBPL

公司可以使他们的应用程序运行使用自定义沙盒配置文件(而不是默认配置文件)。他们需要使用授权的entitlement com.apple.security.temporary-exception.sbpl,这需要获得苹果的授权。

可以在**/System/Library/Sandbox/Profiles/application.sb:**中检查此entitlement的定义。

这将评估此授权后的字符串作为沙箱配置文件。

chevron-right从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)arrow-up-righthashtag

支持HackTricks的其他方式:

上一页macOS Launch/Environment Constraints & Trust Cache下一页macOS Default Sandbox Debug

最后更新于