如何使用PoisonApple工具
這篇文章主要講解了“如何使用PoisonApple工具”�����,文中的講解內容簡單清晰�,易于學習與理解���,下面請大家跟著小編的思路慢慢深入��,一起來研究和學習“如何使用PoisonApple工具”吧�!
PoisonApple
PoisonApple是一款針對macOS的持久化工具��,該工具是一個命令行工具�,可以幫助廣大研究人員在macOS系統上測試和執行各種持久化機制技術�。該工具主要目的是為了幫助廣大研究人員對網絡威脅進行模擬和分析�����,請不要將其用于惡意目的���。
注意事項
PoisonApple將會對你的macOS系統進行一些配置修改�,因此我們建議大家在虛擬機上安裝和使用PoisonApple�。研究人員可以使用-r參數輕松移除該工具所實現的任何持久化機制技術����。
建議:該工具將會觸發常見反病毒軟件/EDR和其他macOS安全產品發出警報提醒���。
工具安裝
由于該工具基于Python開發���,因此廣大研究人員首先需要在本地設備上配置好Python環境�,然后運行下列命令安裝和配置PoisonApple:
$ pip3 install poisonapple --user
注意:PoisonApple基于Python 3.9開發和測試�����,因此我們建議廣大研究人員使用Python 3.6+版本�����。
工具使用
廣大研究人員可以使用下列命令查看該工具的幫助選項(--help):
$ poisonapple --help
usage: poisonapple [-h] [-l] [-t TECHNIQUE] [-n NAME] [-c COMMAND] [-r]
Command-line tool to perform various persistence mechanism techniques on macOS.
optional arguments:
-h, --help 顯示幫助信息并退出���。
-l, --list 列舉所有可用的持久化機制技術�。
-t TECHNIQUE, --technique TECHNIQUE
需要使用的持久化機制技術����。
-n NAME, --name NAME 用于持久化技術的文件或標簽��。
-c COMMAND, --command COMMAND
執行持久化技術的命令�����。
-r, --remove 移除持久化機制���。
列舉所有可用的持久化機制技術:
$ poisonapple --list
, _______ __
.-.:|.-. | _ .-----|__|-----.-----.-----.
.' '. |. | | | | |__ --| | | | |
'-."~". .-' |. ____|_____|__|_____|_____|__|__|
} ` } { |: | _______ __
} } } { |::.| | _ .-----.-----| |-----.
} ` } { `---' |. | | | | | | | -__|
.-'"~" '-. |. _ | __| __|__|_____|
'. .' |: | |__| |__|
'-_.._-' |::.|:. |
`--- ---' v0.2.1
+--------------------+
| AtJob |
+--------------------+
| Bashrc |
+--------------------+
| Cron |
+--------------------+
| CronRoot |
+--------------------+
| Emond |
+--------------------+
| LaunchAgent |
+--------------------+
| LaunchAgentUser |
+--------------------+
| LaunchDaemon |
+--------------------+
| LoginHook |
+--------------------+
| LoginHookUser |
+--------------------+
| LoginItem |
+--------------------+
| LogoutHook |
+--------------------+
| LogoutHookUser |
+--------------------+
| Periodic |
+--------------------+
| Reopen |
+--------------------+
| Zshrc |
+--------------------+應用持久化機制:
$ poisonapple -t LaunchAgentUser -n testing
, _______ __
.-.:|.-. | _ .-----|__|-----.-----.-----.
.' '. |. | | | | |__ --| | | | |
'-."~". .-' |. ____|_____|__|_____|_____|__|__|
} ` } { |: | _______ __
} } } { |::.| | _ .-----.-----| |-----.
} ` } { `---' |. | | | | | | | -__|
.-'"~" '-. |. _ | __| __|__|_____|
'. .' |: | |__| |__|
'-_.._-' |::.|:. |
`--- ---' v0.2.1
[+] Success! The persistence mechanism action was successful: LaunchAgentUser如果命令在執行的過程中沒有指定-c選項的話�����,工具則會使用一個默認的觸發命令�,并在每次持久化機制被觸發的時候�����,向桌面寫入一個文件:
$ cat ~/Desktop/PoisonApple-LaunchAgentUser
Triggered @ Tue Mar 23 17:46:02 CDT 2021
Triggered @ Tue Mar 23 17:46:13 CDT 2021
Triggered @ Tue Mar 23 17:46:23 CDT 2021
Triggered @ Tue Mar 23 17:46:33 CDT 2021
Triggered @ Tue Mar 23 17:46:43 CDT 2021
Triggered @ Tue Mar 23 17:46:53 CDT 2021
Triggered @ Tue Mar 23 17:47:03 CDT 2021
Triggered @ Tue Mar 23 17:47:13 CDT 2021
Triggered @ Tue Mar 23 17:48:05 CDT 2021
Triggered @ Tue Mar 23 17:48:15 CDT 2021
移除一個持久化機制:
$ poisonapple -t LaunchAgentUser -n testing -r
...
使用一個自定義命令:
$ poisonapple -t LaunchAgentUser -n foo -c "echo foo >> /Users/user/Desktop/foo"
...
感謝各位的閱讀�,以上就是“如何使用PoisonApple工具”的內容了�,經過本文的學習后�����,相信大家對如何使用PoisonApple工具這一問題有了更深刻的體會��,具體使用情況還需要大家實踐驗證����。這里是億速云���,小編將為大家推送更多相關知識點的文章����,歡迎關注��!
