Mach-O Entitlements Extraction & IPSW Indexing

Reading time: 8 minutes

tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

Überprüfen Sie die Abonnementpläne!
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

Overview

Diese Seite erklärt, wie man Entitlements aus Mach-O-Binaries programmatisch extrahiert, indem man den LC_CODE_SIGNATURE durchläuft und den Code-Signing SuperBlob parst, und wie man das auf Apple IPSW-Firmwares skaliert, indem man deren Inhalte einhängt und für forensische Suche/Unterschiedsanalysen indexiert.

If you need a refresher on Mach-O format and code signing, see also: macOS code signing and SuperBlob internals.

Check macOS code signing details (SuperBlob, Code Directory, special slots): macOS Code Signing
Check general Mach-O structures/load commands: Universal binaries & Mach-O Format

Entitlements in Mach-O: where they live

Entitlements werden in den Code-Signatur-Daten gespeichert, auf die der LC_CODE_SIGNATURE load command verweist, und im __LINKEDIT-Segment platziert. Die Signatur ist ein CS_SuperBlob, das mehrere Blobs enthält (code directory, requirements, entitlements, CMS, etc.). Der Entitlements-Blob ist ein CS_GenericBlob, dessen Daten eine Apple Binary Property List (bplist00) sind, die Entitlement-Schlüssel auf Werte abbildet.

Key structures (from xnu):

/* mach-o/loader.h */
struct mach_header_64 {
uint32_t magic;
cpu_type_t cputype;
cpu_subtype_t cpusubtype;
uint32_t filetype;
uint32_t ncmds;
uint32_t sizeofcmds;
uint32_t flags;
uint32_t reserved;
};

struct load_command {
uint32_t cmd;
uint32_t cmdsize;
};

/* Entitlements live behind LC_CODE_SIGNATURE (cmd=0x1d) */
struct linkedit_data_command {
uint32_t cmd;        /* LC_CODE_SIGNATURE */
uint32_t cmdsize;    /* sizeof(struct linkedit_data_command) */
uint32_t dataoff;    /* file offset of data in __LINKEDIT */
uint32_t datasize;   /* file size of data in __LINKEDIT */
};

/* osfmk/kern/cs_blobs.h */
typedef struct __SC_SuperBlob {
uint32_t magic;   /* CSMAGIC_EMBEDDED_SIGNATURE = 0xfade0cc0 */
uint32_t length;
uint32_t count;
CS_BlobIndex index[];
} CS_SuperBlob;

typedef struct __BlobIndex {
uint32_t type;    /* e.g., CSMAGIC_EMBEDDED_ENTITLEMENTS = 0xfade7171 */
uint32_t offset;  /* offset of entry */
} CS_BlobIndex;

typedef struct __SC_GenericBlob {
uint32_t magic;   /* same as type when standalone */
uint32_t length;
char data[];      /* Apple Binary Plist containing entitlements */
} CS_GenericBlob;

Wichtige Konstanten:

LC_CODE_SIGNATURE cmd = 0x1d
CS SuperBlob magic = 0xfade0cc0
Entitlements blob type (CSMAGIC_EMBEDDED_ENTITLEMENTS) = 0xfade7171
DER entitlements may be present via special slot (e.g., -7), see the macOS Code Signing page for special slots and DER entitlements notes

Hinweis: Multi-arch (fat) binaries contain multiple Mach-O slices. You must pick the slice for the architecture you want to inspect and then walk its load commands.

Extraktionsschritte (generisch, hinreichend verlustfrei)

Parse Mach-O header; iterate ncmds worth of load_command records.
Locate LC_CODE_SIGNATURE; read linkedit_data_command.dataoff/datasize to map the Code Signing SuperBlob placed in __LINKEDIT.
Validate CS_SuperBlob.magic == 0xfade0cc0; iterate count entries of CS_BlobIndex.
Locate index.type == 0xfade7171 (embedded entitlements). Read the pointed CS_GenericBlob and parse its data as an Apple binary plist (bplist00) to key/value entitlements.

Implementierungs-Hinweise:

Code signature structures use big-endian fields; swap byte order when parsing on little-endian hosts.
The entitlements GenericBlob data itself is a binary plist (handled by standard plist libraries).
Some iOS binaries may carry DER entitlements; also some stores/slots differ across platforms/versions. Cross-check both standard and DER entitlements as needed.
For fat binaries, use the fat headers (FAT_MAGIC/FAT_MAGIC_64) to locate the correct slice and offset before walking Mach-O load commands.

Minimal parsing outline (Python)

The following is a compact outline showing the control flow to find and decode entitlements. It intentionally omits robust bounds checks and full fat binary support for brevity.

python

import plistlib, struct

LC_CODE_SIGNATURE = 0x1d
CSMAGIC_EMBEDDED_SIGNATURE = 0xfade0cc0
CSMAGIC_EMBEDDED_ENTITLEMENTS = 0xfade7171

# all code-signing integers are big-endian per cs_blobs.h
be32 = lambda b, off: struct.unpack_from(">I", b, off)[0]

def parse_entitlements(macho_bytes):
# assume already positioned at a single-arch Mach-O slice
magic, = struct.unpack_from("<I", macho_bytes, 0)
is64 = magic in (0xfeedfacf,)
if is64:
ncmds = struct.unpack_from("<I", macho_bytes, 0x10)[0]
sizeofcmds = struct.unpack_from("<I", macho_bytes, 0x14)[0]
off = 0x20
else:
# 32-bit not shown
return None

code_sig_off = code_sig_size = None
for _ in range(ncmds):
cmd, cmdsize = struct.unpack_from("<II", macho_bytes, off)
if cmd == LC_CODE_SIGNATURE:
# struct linkedit_data_command is little-endian in file
_, _, dataoff, datasize = struct.unpack_from("<IIII", macho_bytes, off)
code_sig_off, code_sig_size = dataoff, datasize
off += cmdsize

if code_sig_off is None:
return None

blob = macho_bytes[code_sig_off: code_sig_off + code_sig_size]
if be32(blob, 0x0) != CSMAGIC_EMBEDDED_SIGNATURE:
return None

count = be32(blob, 0x8)
# iterate BlobIndex entries (8 bytes each after 12-byte header)
for i in range(count):
idx_off = 12 + i*8
btype = be32(blob, idx_off)
boff  = be32(blob, idx_off+4)
if btype == CSMAGIC_EMBEDDED_ENTITLEMENTS:
# GenericBlob is big-endian header followed by bplist
glen = be32(blob, boff+4)
data = blob[boff+8: boff+glen]
return plistlib.loads(data)
return None

Usage tips:

Um mit fat binaries umzugehen, lesen Sie zuerst struct fat_header/fat_arch, wählen Sie den gewünschten Architektur-Slice und übergeben Sie dann den Subrange an parse_entitlements.
Unter macOS können Sie die Ergebnisse mit folgendem Befehl validieren: codesign -d --entitlements :- /path/to/binary

Beispielbefunde

Privilegierte platform binaries verlangen häufig sensible entitlements wie:

com.apple.security.network.server = true
com.apple.rootless.storage.early_boot_mount = true
com.apple.private.kernel.system-override = true
com.apple.private.pmap.load-trust-cache = ["cryptex1.boot.os", "cryptex1.boot.app", "cryptex1.safari-downlevel"]

Diese großflächige Suche über Firmware-Images hinweg ist äußerst wertvoll für attack surface mapping und diffing zwischen Releases/Geräten.

Skalierung über IPSWs (Mounten und Indexierung)

Um ausführbare Dateien aufzulisten und entitlements großflächig zu extrahieren, ohne vollständige Images zu speichern:

Verwenden Sie das ipsw tool von @blacktop, um Firmware-Dateisysteme herunterzuladen und zu mounten. Das Mounten nutzt apfs-fuse, sodass Sie APFS-Volumes durchsuchen können, ohne eine vollständige Extraktion.

bash

# Download latest IPSW for iPhone11,2 (iPhone XS)
ipsw download ipsw -y --device iPhone11,2 --latest

# Mount IPSW filesystem (uses underlying apfs-fuse)
ipsw mount fs <IPSW_FILE>

Durchsuche eingehängte Volumes, um Mach-O-Dateien zu finden (prüfe magic und/oder verwende file/otool), parse anschließend entitlements und importierte frameworks.
Speichere eine normalisierte Ansicht in einer relationalen Datenbank, um lineares Wachstum über tausende von IPSWs zu vermeiden:
executables, operating_system_versions, entitlements, frameworks
Viele-zu-viele: executable↔OS version, executable↔entitlement, executable↔framework

Beispielabfrage, um alle OS-Versionen aufzulisten, die einen bestimmten executable-Namen enthalten:

sql

SELECT osv.version AS "Versions"
FROM device d
LEFT JOIN operating_system_version osv ON osv.device_id = d.id
LEFT JOIN executable_operating_system_version eosv ON eosv.operating_system_version_id = osv.id
LEFT JOIN executable e ON e.id = eosv.executable_id
WHERE e.name = "launchd";

Hinweise zur DB-Portabilität (falls du deinen eigenen Indexer implementierst):

Verwende ein ORM/Abstraktionslayer (z. B. SeaORM), um den Code DB-agnostisch zu halten (SQLite/PostgreSQL).
SQLite benötigt AUTOINCREMENT nur bei einem INTEGER PRIMARY KEY; wenn du i64 PKs in Rust möchtest, generiere Entitäten als i32 und konvertiere die Typen — SQLite speichert INTEGER intern als 8-Byte signed.

Open-source tooling and references for entitlement hunting

Firmware mount/download: https://github.com/blacktop/ipsw
Entitlement-Datenbanken und Referenzen:
Jonathan Levin’s entitlement DB: https://newosxbook.com/ent.php
entdb: https://github.com/ChiChou/entdb
Großskaliger Indexer (Rust, self-hosted Web UI + OpenAPI): https://github.com/synacktiv/appledb_rs
Apple-Header für Strukturen und Konstanten:
loader.h (Mach-O headers, load commands)
cs_blobs.h (SuperBlob, GenericBlob, CodeDirectory)

Für mehr zu den Interna des Code-Signings (Code Directory, special slots, DER entitlements), siehe: macOS Code Signing

Referenzen

tip

Unterstützen Sie HackTricks

Überprüfen Sie die Abonnementpläne!
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.