在攻击目标的MacBook之后，知道你正在处理谁是很重要的。获取远程访问很简单，但隐蔽地收集有关用户及其系统的信息可能是一项挑战。

继续我们的态势感知攻击，我们将进一步将自己定位于受损的Mac设备中，并加深我们对目标行为活动的了解。我们可以通过使用内置于macOS（以前称为MacOSX）的工具来实现这一目标。

使用这些工具，我们可以掠夺目标的先前运行命令的终端历史记录，查找包含敏感信息的最近修改的文件，并识别外部硬盘驱动器和USB驱动器以进行数据透视攻击。有了这些信息，我们就可以开发目标活动的概况，并进一步利用它们及其网络。

查找有趣的文件和目录

从远程后门发出命令时，我们无法访问Spotlight和Finder的便利性。但是有其他方法可以获得我们想要的信息。

Find是一个非常强大的工具，可以被黑客滥用。它允许我们轻松找到特定文件。在一篇文章中有太多的演示论证，所以我将展示读者可以构建的一些例子。

下面的find命令将以递归方式在Downloads/目录中搜索带有PDF（“*.pdf”）扩展名的文件（-typef）。通配符（*）指示find查找任何类型的PDF，无论其文件名如何。

find/Users/username/Downloads/-typef-name*.pdf接下来，使用稍高级的查找命令，如下所示。这次，find将使用以“.sh”和“.txt”结尾的多个（\（...\））文件扩展名在Documents/目录中搜索文件-发现的文本文件和Bash脚本将显示在终端中。

find/Users/username/Documents/-typef\(-name*.sh-o-name*.txt\)攻击者可能有助于了解目标用户在过去X分钟内修改了哪些文件。下面的find命令将搜索tokyoneon/home文件夹中的每个文件和目录，查找最近5分钟内修改过的文件（-mmin）。

find/Users/tokyoneon/-mmin-5在ApplicationSupport/和Preferences/目录中发现的许多文件并不引人注目，如下面的输出所示。但最近在Documents/或桌面上修改过的文件可能对攻击者寻找旋转或升级其权限的方式很有用。

/Users/tokyoneon//Desktop/Users/tokyoneon//Desktop/.DS_Store/Users/tokyoneon//Desktop/important_credentials_.rtf/Users/tokyoneon//Library/ApplicationSupport/Users/tokyoneon//Library/ApplicationSupport/

转载请注明:http://www.aideyishus.com/lkcf/3007.html