MacOS

一、前言 近期，符号链接在本地提权利用中的比重逐渐增加。无论是macOS、Windows、Linux操作系统，还是其第三方安装的应用程序，都可能使用符号链接。越是底层的函数调用，开发者越需要关注相关漏洞模式及函数参数传递的安全性。 一个漏洞的产生通常是由于在使用API函数时未充分考虑潜在的漏洞模式。如果在执行过程中存在恶意行为对这些函数进行修改，防护措施不严格会导致执行流程走向错误的分支，最终被攻击者利用。下面将以open和rename两个基础函数为例，介绍多个相关漏洞。 二、函数介绍 2.1 OPEN函数 open函数是C语言中的一个基础函数，主要用于打开文件并返回一个文件描述符。其他函数可以通过这个文件描述符对文件或目录进行读写操作。其函数原型如下： #include <sys/types.h> #include <sys/stat.h> #include <fcntl.h> int open(const char *pathname, int flags); int open(const char *pathname, int flags, mode_t mode); open函数存在三个参数： mode: 可以在调用时省略第三个参数mode，在创建新文件的时候，会通过此参数修改新文件的文件属性； pathname: 用于一个指向文件或者文件夹的路径，可以为绝对路径也可以为相对路径； flag: 作为open函数最重要的一环，参数flag能赋予的值有各种，不同的flag字段代表着不同的功能。 2.2 RENAME函数 rename函数作为C语言中的一个基础函数，主要用于处理文件或目录的移动和重命名。该函数不会修改文件或目录的属性。其函数原型如下： #include <stdio.h> int rename(const char *oldpath, const char *newpath); rename函数只有两个参数，一个是指向旧文件的字符串指针，另一个是指向想要修改后的新文件字符串指针。无论是哪一个参数，它都不会去检测访问路径是否是符号链接，即目录是通过符号链接访问的依旧会执行。反之，若是指向的最终文件/目录是符号链接，rename不会对其访问，只有在访问过程中的目录路径属于符号链接时才会进入。 三、行为检测与漏洞分析 通常，对于系统调用号的检测，在Linux上有成熟的方法。在macOS上，也有专门用于监控文件行为的系统命令fs_usage。fs_usage可以实时监听系统用户态上对文件的各种操作行为，包括文件状态获取、读写操作以及页面交换等。通过使用fs_usage，开发者和安全研究人员能够详细地跟踪和分析文件相关的系统活动，从而更好地理解和诊断文件操作中的问题。 如上图所示，可以配合grep命令获取对应进程的相关行为。通过该命令，可以简化对文件流处理的追踪，直接从所执行的系统行为或系统调用中定位到具体的代码。 对于编程语言而言，它们提供了许多封装好的API函数。在Objective-C和Swift中，也有相当多的函数底层实现可以进行分析。这些封装好的API函数不仅简化了开发过程，还为开发者提供了强大的功能。通过对这些底层实现的分析，可以更好地理解其工作原理，并在必要时进行优化或调试。 此处编写一个使用moveItemAtPath:toPath:函数的示例代码，并为rename函数设置断点。通过这种方式，可以发现最终实现也会调用rename函数。 3.1 CVE-2020-9900 文件写入自定义目录 在macOS系统中，后台存在一个以root权限启动的进程，即CrashReporter。该进程负责收集系统各种崩溃报告和日志，并将其存放于/Library/Logs/DiagnosticReports和~/Library/Logs/DiagnosticReports目录中。这两个目录的所属用户是_analyticsusers，而默认用户通常属于admin用户组，因此默认用户拥有读写上述两个目录的权限。 如上图所示，系统会根据报告生成的时间和进程名等字段，将崩溃报告存放于指定目录中。在这些目录中，存在一个名为Retired的子目录。报告的存放时间是有期限的，当报告超过这个期限时，另一个以root权限启动的进程SubmitDiagInfo会将旧报告移动到Retired目录中。由于SubmitDiagInfo同样是以root权限运行的进程，在没有沙箱等安全规则干扰的情况下，它在访问相关root权限的目录或文件时不会因为权限不足而受到限制。 fmyy@Macbook_M1 DiagnosticReports % ps -ef |grep SubmitDiagInfo 0 1043 1 0 一10上午 ?? 0:03....

一、前言 Flow Divert 协议在 macOS 中提供了强大的流量管理和重定向功能，广泛应用于 VPN 和其他高级网络控制场景。通过内核扩展和用户态守护进程的协同工作，Flow Divert 允许系统和应用程序动态管理网络流量，增强安全性、隐私保护和网络性能。本文旨在分析FlowDivert模块内出现的历史的漏洞以及引入的新代码所引发的漏洞存在。 二、XNU中网络API函数的调用路径 首先此处拿connect函数来进行简单分析下调用路径，后续会有用到其中一些内容。 int connect(proc_ref_t p, struct connect_args *uap, int32_ref_t retval) { __pthread_testcancel(1); return connect_nocancel(p, (struct connect_nocancel_args *)uap, retval); } 当我们在用户态调用connect函数的时候，系统则会在库里面调用对应的系统调用并进入内核中在内核中，它对应函数的名字依旧是connect()作为函数名，其中三个参数分别是当前进程结构体的引用，以及此处的uap指针则是用户态传给内核态的相关参数，最后则是一个返回值的指针。 int connect_nocancel(proc_t p, struct connect_nocancel_args *uap, int32_ref_t retval) { #pragma unused(p, retval) socket_ref_t so; struct sockaddr_storage ss; sockaddr_ref_t sa = NULL; int error; int fd = uap->s; boolean_t dgram; AUDIT_ARG(fd, uap->s); error = file_socket(fd, &so); if (error != 0) { return error; } ....

一、前言 TCC 由 Apple 于 2012 年在 macOS Mountain Lion 上推出，其主要目的是帮助用户配置其应用的隐私设置，当用户引应用请求类型在 TCC 数据库中有记录，则会通过TCC数据库的校验来进行判断是否通过，如果没有则会向用户进行提示申请对应的访问权限。 同时macOS在对用户隐私保护的同时，TCC的保护是其中一个比较重要的点，更新了众多的缓解措施及预防手段。 二、结构 用户通常在 macOS 中的"系统偏好设置"下对其进行管理（系统偏好设置 > 隐私与安全性） 当应用试图执行对隐私访问的行为时，则会触发用户授权，当用户授权之后则会在打开对应的控制开关。 而当系统启动之后，在系统进程中则会出现两个进程，分别以root权限运行的和当前用户权限运行的同一可执行文件，即是用于管控隐私权限的TCC守护进程。 守护进程主要负责处理应用程序对系统资源的访问权限控制，而它会通过访问或者修改如下对象数据库文件来记录用户应用程序的相关隐私特权。 **用户特定数据库：**包含仅适用于特定用户配置文件的存储权限类型；它保存在~/Library/Application Support/com.apple.TCC/TCC.db下，拥有该配置文件的用户可以访问; 系统范围的数据库：包含适用于系统级别的存储权限类型；它保存在 /Library/Application Support/com.apple.TCC/TCC.db下。 macOS系统中通过codesign命令查看目标应用或者可执行文件的签名或者权限。 fmyy@Macbook_M1 UserFrameworks % codesign -dv --entitlements - /System/Library/PrivateFrameworks/TCC.framework/Support/tccd Executable=/System/Library/PrivateFrameworks/TCC.framework/Support/tccd Identifier=com.apple.tccd Format=Mach-O universal (x86_64 arm64e) CodeDirectory v=20400 size=6055 flags=0x0(none) hashes=179+7 location=embedded Platform identifier=15 Signature size=4442 Signed Time=Feb 10, 2024 at 20:26:27 Info.plist entries=13 TeamIdentifier=not set Sealed Resources=none Internal requirements count=1 size=64 ...... [Key] com....