Cet article fournira un guide de post-exploitation approfondi pour recueillir toutes les informations sur le pare-feu et les paramètres réseau de la victime.
- Table des matières :
- Introduction au pare-feu
- Règles du pare-feu
- Avantages du pare-feu
- Types de pare-feu
- Importance du pare-feu
- Introduction à netsh
- Comment bloquer le port TCP sur un PC distant:
- Comment bloquer plusieurs ports TCP
- Comment afficher les règles de pare-feu
- Comment supprimer les règles de pare-feu
- Comment ajouter une règle dans le pare-feu
- Voir l’état actuel du profil
- Modifier davantage le pare-feu
Table des matières :
- Introduction au Pare-feu
- Règles du Pare-feu
- Avantages du Pare-feu
- Types de pare-feu
- Importance du pare-feu
- Introduction à netsh
- Comment bloquer un port TCP sur un PC distant
- Comment bloquer plusieurs ports TCP
- Comment afficher les règles de pare-feu
- Comment supprimer les règles de pare-feu
- Comment ajouter des règles de pare-feu
- Afficher l’état actuel du profil
- Modifier davantage le pare-feu
Introduction au pare-feu
Le pare-feu est un système de sécurité réseau conçu pour empêcher l’accès non autorisé à ou à partir d’un réseau privé. Les pare-feu peuvent être implémentés dans des modes variés, c’est-à-dire du matériel, des logiciels ou une combinaison des deux. Il existe de nombreux types de pare-feu tels que le pare-feu proxy, le pare-feu d’application, le pare-feu avec État, le pare-feu de paquets, etc.
Les pare-feu sont connectés au réseau et sont fréquemment utilisés pour empêcher les internautes non autorisés d’accéder aux réseaux privés connectés à Internet, en particulier les intranets assurant la sécurité. Tous les messages entrant ou sortant de l’intranet passent par un pare-feu, qui examine chaque message et bloque ceux qui ne répondent pas aux critères de sécurité spécifiés.
Règles du pare-feu
Le pare-feu est fonctionnel sur deux règles qui sont toujours entourées de règles entrantes et sortantes :
Règles entrantes : Ce sont celles qui filtrent le trafic passant du réseau vers l’ordinateur local en fonction des conditions de filtrage spécifiées dans la règle.
Règles sortantes: Ce sont ceux qui filtrent le trafic passant de l’ordinateur local au réseau en fonction des conditions de filtrage spécifiées dans la règle.
Les règles entrantes et sortantes peuvent être configurées pour autoriser ou bloquer le trafic selon les besoins.
En d’autres termes, nous pouvons dire que les règles entrantes sont les règles liées au trafic entrant dans votre ordinateur. Si vous utilisez un serveur Web sur votre ordinateur, vous devrez informer le pare-feu que les étrangers sont autorisés à s’y connecter. De plus, les règles sortantes catégorisent certains programmes pour utiliser Internet tout en en bloquant d’autres, car les règles sortantes sont liées au trafic envoyé depuis votre ordinateur. Vous voudrez laisser votre navigateur Web (Internet Explorer, Firefox, Safari, Chrome, Opera.) avoir accès à Internet, mais en même temps, à l’aide de la règle sortante, vous pouvez bloquer les sites Web souhaités, de sorte qu’une commande peut être insérée qui affiche que le pare-feu Windows est autorisé ou interdit.
Avantages du pare-feu
- Isolation du réseau
- Flexibilité du réseau
- Aucune protection contre les logiciels malveillants n’est requise
- Aucune maintenance
Types de pare-feu
- Pare-feu de filtrage de paquets
- Pare-feu à levier de circuit
- Pare-feu d’inspection avec état
- Pare-feu au niveau de l’application
- Pare-feu de nouvelle génération
Importance du pare-feu
Un pare-feu est maintenant devenu une partie importante d’un réseau. Le pare-feu est important car :
- Il protège votre ordinateur contre les accès à distance non autorisés
- Il bloque les liens entre vos messages et du contenu indésirable
- Il bloque le contenu inutile et immoral
- Il correspond aux détails des paquets de données pour obtenir des informations fiables.
- IP et domaine peuvent également être bloqués ou autorisés.
Introduction à netsh
Netsh est un utilitaire de ligne de commande qui vous permet d’afficher la configuration de votre réseau informatique jusqu’à l’heure ou de modifier la configuration réseau d’un ordinateur en cours d’exécution. Les commandes Netsh peuvent être exécutées en tapant des commandes à l’invite netsh et elles peuvent être utilisées dans des fichiers batch ou des scripts. Les ordinateurs distants et l’ordinateur local peuvent être configurés à l’aide des commandes netsh. Netsh fournit également une fonctionnalité de script qui vous permet d’exécuter un groupe de commandes en mode batch sur un ordinateur spécifié. Avec netsh, vous pouvez enregistrer un script de configuration dans un fichier texte à des fins d’archivage ou pour vous aider à configurer d’autres ordinateurs.
(Référence: https://docs.microsoft.com/en-us/windows-server/networking/technologies/netsh/netsh-contexts)
Supposons maintenant que le pare-feu du PC de la victime est activé:
Donc, pour désactiver le pare-feu du PC de la victime, tout d’abord, obtenez une session via meterpreter, puis prenez les privilèges d’administrateur du PC distant. Passez au shell du PC distant et écrivez
netsh firewall set opmode mode=disable
Et comme ça, le pare-feu du PC distant sera désactivé.
Comment bloquer le port TCP sur un PC distant:
Nous pouvons non seulement désactiver ou activer le pare-feu via Metasploit, mais nous pouvons également bloquer et autoriser l’accès à n’importe quel port particulier. Oui, cela signifie que nous pouvons également contrôler les règles entrantes et sortantes. Encore une fois après avoir passé la session via meterpreter et contourné les privilèges d’administration et aller dans le shell du PC distant, tapez simplement
netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80 action=block
Ici,
Name = Le nom de la règle. (Choisissez quelque chose de descriptif)
Protocol = Le protocole que nous allons bloquer (UDP ou TCP pour la plupart des cas)
Dir = La direction du bloc. Peut être ENTRÉ ou SORTI
Port distant = Le port de l’hôte distant qui va être bloqué
Action= Pourrait être bloqué ou autorisé. Dans notre cas, nous voulons bloquer la connexion
Une fois que vous avez exécuté le code ci-dessus, toutes les demandes sortantes vers n’importe quel hôte sur le port 80 seront bloquées, et cela ajoute une entrée au pare-feu Windows:
Et si vous vérifiez ses propriétés et cliquez sur l’onglet « Protocoles et ports », vous pouvez voir le résultat.
Comment bloquer plusieurs ports TCP
Maintenant que nous avons comment bloquer un port dans un PC distant, creusons un peu plus profondément i.e nous pouvons non seulement bloquer un port, mais aussi deux ou plus de deux. Et pour bloquer à nouveau deux ports supplémentaires, prenez une session meterpreter ainsi que les privilèges d’administrateur du PC distant et écrivez simplement
netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80,443 action=block
Une fois que vous avez exécuté le code ci-dessus, toutes les demandes sortantes vers n’importe quel hôte sur le port 80 seront bloquées, et cela ajoute une entrée au pare-feu Windows:
Et si vous vérifiez ses propriétés et cliquez sur l’onglet « Protocoles et ports », vous constaterez que maintenant il a bloqué les ports 80 et 443:
Maintenant, en bloquant les ports 80 et 443, nous avons bloqué les services HTTP et HTTPS sur le PC distant et notre victime ne pourra donc accéder à aucun site Web. Et l’erreur suivante s’affiche :
Comment afficher les règles de pare-feu
Maintenant, nous allons apprendre à afficher les règles entrantes et sortantes du pare-feu dans un PC distant, comment supprimer une règle, comment autoriser le port sur lequel notre charge utile fonctionnera à l’avenir, comment empêcher votre PC distant d’être ping.
Tout d’abord, supposons qu’il existe un port bloqué dans une règle sortante sur notre PC distant:
Pour savoir quelle règle est activée et désactivée sur notre PC distant, effectuez une session via meterpreter et contournez les privilèges d’administrateur. Après l’avoir fait, tapez:
netsh advfirewall firewall show rule name=all
Une fois cette commande exécutée, toutes les règles seront affichées :
Comment supprimer les règles de pare-feu
Dans l’image ci-dessus, nous pouvons voir que les ports 80 et 443 sont bloqués sous le nom de règle « Bloquer tous les ports ». Donc, pour supprimer cette règle dans le type de PC distant :
netsh advfirewall firewall delete rule name="Block Ports"
Une fois cette commande exécutée, ladite règle sera supprimée. Et vous pouvez exécuter à nouveau la commande
netsh advfirewall firewall show rule name=all
pour voir le résultat :
Et nous pouvons également voir le résultat dans les règles sortantes du pare-feu :
Comment ajouter une règle dans le pare-feu
Notre charge utile normale fonctionne sur le port 4444. Maintenant, si nous voulons autoriser le port 4444 pour pouvoir télécharger une charge utile qui fonctionne sur le port 4444, il suffit de taper :
netsh advfirewall firewall add rule name="Allow Port 4444" protocol=TCP dir=out remoteport=4444 action=allow
Une fois cette commande exécutée, le port 4444 sera autorisé sur notre PC distant :
Maintenant, pour empêcher notre PC distant d’être pingé, nous pouvons simplement taper :
netsh advfirewall firewall add rule name="All ICMPV4" dir=in action=block protocol=icmpv4
Lorsque cette commande sera exécutée, une règle bloquant le ping sur notre PC distant sera créée:
Et ce qui suit sera le résultat :
Voir l’état actuel du profil
Maintenant, nous allons voir comment bloquer / autoriser une adresse IP particulière dans le pare-feu PC distant et également apprendre à afficher les détails des programmes ajoutés à la liste des exceptions / autorisées et les détails du port ajouté à la liste des exceptions / autorisées. Parallèlement à cela, nous allons apprendre à voir l’état des principaux paramètres du pare-feu et son profil actuel, c’est-à-dire s’il est activé ou désactivé.
netsh advfirewall show currentprofile
Après avoir connu le profil du pare-feu, nous pouvons voir quels programmes sont autorisés par l’hôte du PC distant. Pour cela, tapez:
netsh firewall show allowedprogram
Notre commande suivante consiste à voir l’état des paramètres principaux. Et pour les voir, tapez:
netsh firewall show config
Ensuite, nous pouvons également voir l’emplacement du fichier dans lequel tous les journaux du pare-feu sont conservés. Et pour cela, tapez:
netsh firewall show logging
Modifier davantage le pare-feu
Le pare-feu nous permet également de bloquer une seule adresse IP tout en en autorisant d’autres et vice versa. Donc, d’abord pour nous permettre d’apprendre comment nous pouvons Bloquer une seule adresse IP Pour cela, tapez:
netsh advfirewall firewall add rule name="IP Block" dir=in interface=any action=block remoteip=192.168.0.15/32
( Dans la commande ci-dessus, « /32 » est un masque de sous-réseau d’IP.)
Après avoir exécuté ladite commande, nous pouvons voir le résultat suivant:
Et nous voyons maintenant les propriétés de la règle de bloc IP, nous pouvons voir que l’IP: 192.168.0.15 est bloqué
Maintenant, de même, pour autoriser une adresse IP particulière, tapez:
netsh advfirewall firewall add rule name="IP Allow" dir=in interface=any action=allow remoteip=192.168.0.15/32
( Dans la commande ci-dessus, « /32 » est un masque de sous-réseau d’IP)
Après avoir exécuté ladite commande, vous pouvez voir le résultat suivant:
Et nous voyons maintenant les propriétés de la règle de bloc IP, nous pouvons voir que l’IP: 192.168.0.15 est autorisée :
Auteur: Yashika Dhir est une chercheuse passionnée et rédactrice technique chez Hacking Articles. Elle est une passionnée de piratage. contactez ici