您好,登錄后才能下訂單哦!
這篇文章主要講解了“如何使用PoisonApple工具”,文中的講解內(nèi)容簡單清晰,易于學(xué)習(xí)與理解,下面請大家跟著小編的思路慢慢深入,一起來研究和學(xué)習(xí)“如何使用PoisonApple工具”吧!
PoisonApple是一款針對macOS的持久化工具,該工具是一個命令行工具,可以幫助廣大研究人員在macOS系統(tǒng)上測試和執(zhí)行各種持久化機(jī)制技術(shù)。該工具主要目的是為了幫助廣大研究人員對網(wǎng)絡(luò)威脅進(jìn)行模擬和分析,請不要將其用于惡意目的。
PoisonApple將會對你的macOS系統(tǒng)進(jìn)行一些配置修改,因此我們建議大家在虛擬機(jī)上安裝和使用PoisonApple。研究人員可以使用-r參數(shù)輕松移除該工具所實(shí)現(xiàn)的任何持久化機(jī)制技術(shù)。
建議:該工具將會觸發(fā)常見反病毒軟件/EDR和其他macOS安全產(chǎn)品發(fā)出警報提醒。
由于該工具基于Python開發(fā),因此廣大研究人員首先需要在本地設(shè)備上配置好Python環(huán)境,然后運(yùn)行下列命令安裝和配置PoisonApple:
$ pip3 install poisonapple --user
注意:PoisonApple基于Python 3.9開發(fā)和測試,因此我們建議廣大研究人員使用Python 3.6+版本。
廣大研究人員可以使用下列命令查看該工具的幫助選項(xiàng)(--help):
$ poisonapple --help usage: poisonapple [-h] [-l] [-t TECHNIQUE] [-n NAME] [-c COMMAND] [-r] Command-line tool to perform various persistence mechanism techniques on macOS. optional arguments: -h, --help 顯示幫助信息并退出。 -l, --list 列舉所有可用的持久化機(jī)制技術(shù)。 -t TECHNIQUE, --technique TECHNIQUE 需要使用的持久化機(jī)制技術(shù)。 -n NAME, --name NAME 用于持久化技術(shù)的文件或標(biāo)簽。 -c COMMAND, --command COMMAND 執(zhí)行持久化技術(shù)的命令。 -r, --remove 移除持久化機(jī)制。
列舉所有可用的持久化機(jī)制技術(shù):
$ poisonapple --list , _______ __ .-.:|.-. | _ .-----|__|-----.-----.-----. .' '. |. | | | | |__ --| | | | | '-."~". .-' |. ____|_____|__|_____|_____|__|__| } ` } { |: | _______ __ } } } { |::.| | _ .-----.-----| |-----. } ` } { `---' |. | | | | | | | -__| .-'"~" '-. |. _ | __| __|__|_____| '. .' |: | |__| |__| '-_.._-' |::.|:. | `--- ---' v0.2.1 +--------------------+ | AtJob | +--------------------+ | Bashrc | +--------------------+ | Cron | +--------------------+ | CronRoot | +--------------------+ | Emond | +--------------------+ | LaunchAgent | +--------------------+ | LaunchAgentUser | +--------------------+ | LaunchDaemon | +--------------------+ | LoginHook | +--------------------+ | LoginHookUser | +--------------------+ | LoginItem | +--------------------+ | LogoutHook | +--------------------+ | LogoutHookUser | +--------------------+ | Periodic | +--------------------+ | Reopen | +--------------------+ | Zshrc | +--------------------+
應(yīng)用持久化機(jī)制:
$ poisonapple -t LaunchAgentUser -n testing , _______ __ .-.:|.-. | _ .-----|__|-----.-----.-----. .' '. |. | | | | |__ --| | | | | '-."~". .-' |. ____|_____|__|_____|_____|__|__| } ` } { |: | _______ __ } } } { |::.| | _ .-----.-----| |-----. } ` } { `---' |. | | | | | | | -__| .-'"~" '-. |. _ | __| __|__|_____| '. .' |: | |__| |__| '-_.._-' |::.|:. | `--- ---' v0.2.1 [+] Success! The persistence mechanism action was successful: LaunchAgentUser
如果命令在執(zhí)行的過程中沒有指定-c選項(xiàng)的話,工具則會使用一個默認(rèn)的觸發(fā)命令,并在每次持久化機(jī)制被觸發(fā)的時候,向桌面寫入一個文件:
$ cat ~/Desktop/PoisonApple-LaunchAgentUser Triggered @ Tue Mar 23 17:46:02 CDT 2021 Triggered @ Tue Mar 23 17:46:13 CDT 2021 Triggered @ Tue Mar 23 17:46:23 CDT 2021 Triggered @ Tue Mar 23 17:46:33 CDT 2021 Triggered @ Tue Mar 23 17:46:43 CDT 2021 Triggered @ Tue Mar 23 17:46:53 CDT 2021 Triggered @ Tue Mar 23 17:47:03 CDT 2021 Triggered @ Tue Mar 23 17:47:13 CDT 2021 Triggered @ Tue Mar 23 17:48:05 CDT 2021 Triggered @ Tue Mar 23 17:48:15 CDT 2021
移除一個持久化機(jī)制:
$ poisonapple -t LaunchAgentUser -n testing -r ...
使用一個自定義命令:
$ poisonapple -t LaunchAgentUser -n foo -c "echo foo >> /Users/user/Desktop/foo" ...
感謝各位的閱讀,以上就是“如何使用PoisonApple工具”的內(nèi)容了,經(jīng)過本文的學(xué)習(xí)后,相信大家對如何使用PoisonApple工具這一問題有了更深刻的體會,具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是億速云,小編將為大家推送更多相關(guān)知識點(diǎn)的文章,歡迎關(guān)注!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。