Dieser Artikel ist wird eine eingehende Post Exploitation Anleitung, um alle Informationen über die Firewall und Netzwerkeinstellungen des Opfers zu sammeln.
- Inhaltsverzeichnis :
- Einführung in die Firewall
- Regeln der Firewall
- Vorteile der Firewall
- Arten der Firewall
- Bedeutung der Firewall
- Einführung in netsh
- So blockieren Sie den TCP-Port auf einem Remote-PC:
- So blockieren Sie mehrere TCP-Ports
- So zeigen Sie Firewall-Regeln an
- So löschen Sie Firewall-Regeln
- So fügen Sie eine Regel in der Firewall hinzu
- Aktueller Profilstatus anzeigen
- Firewall weiter ändern
Inhaltsverzeichnis :
- Einführung in die Firewall
- Regeln der Firewall
- Vorteile der Firewall
- Arten der Firewall
- Bedeutung der Firewall
- Einführung in netsh
- So blockieren Sie einen TCP-Port auf einem Remote-PC
- So blockieren Sie mehrere TCP-Ports
- So zeigen Sie Firewallregeln an
- So löschen Sie Firewallregeln
- So fügen Sie Firewallregeln hinzu
- Aktuellen Profilstatus anzeigen
- Firewall weiter ändern
Einführung in die Firewall
Firewall ist ein Netzwerksicherheitssystem entwickelt, um unbefugten Zugriff auf oder von einem privaten Netzwerk zu verhindern. Firewalls können in verschiedenen Modi implementiert werden, d. H. Hardware, Software oder eine Kombination aus beidem. Es gibt viele Arten von Firewalls wie Proxy-Firewalls, Anwendungsfirewalls, zustandsbehaftete Firewalls, Paketfirewalls usw.
Firewalls sind mit dem Netzwerk verbunden und werden häufig verwendet, um zu verhindern, dass unbefugte Internetnutzer auf private Netzwerke zugreifen, die mit dem Internet verbunden sind, insbesondere Intranets, die die Sicherheit gewährleisten. Alle Nachrichten, die das Intranet betreten oder verlassen, durchlaufen eine Firewall, die jede Nachricht überprüft und diejenigen blockiert, die die angegebenen Sicherheitskriterien nicht erfüllen.
Regeln der Firewall
Die Firewall basiert auf zwei Regeln, die immer von eingehenden und ausgehenden Regeln umgeben sind:
Eingehende Regeln: Dies sind diejenigen, die den Datenverkehr vom Netzwerk zum lokalen Computer basierend auf den in der Regel angegebenen Filterbedingungen filtern.
Ausgehende Regeln: Dies sind diejenigen, die den Datenverkehr vom lokalen Computer zum Netzwerk basierend auf den in der Regel angegebenen Filterbedingungen filtern.
Sowohl eingehende als auch ausgehende Regeln können so konfiguriert werden, dass Datenverkehr nach Bedarf zugelassen oder blockiert wird.
Mit anderen Worten, wir können sagen, dass eingehende Regeln die Regeln für den Datenverkehr sind, der in Ihren Computer gelangt. Wenn Sie einen Webserver auf Ihrem Computer ausführen, müssen Sie der Firewall mitteilen, dass Außenstehende eine Verbindung herstellen dürfen. Darüber hinaus kategorisieren ausgehende Regeln einige Programme, um das Internet zu nutzen, blockieren jedoch andere, da ausgehende Regeln sich auf den Datenverkehr beziehen, der von Ihrem Computer gesendet wird. Sie möchten Ihren Webbrowser (Internet Explorer, Firefox, Safari, Chrome, Opera …) auf das Internet zugreifen lassen, aber gleichzeitig können Sie mit Hilfe der ausgehenden Regel die gewünschten Websites blockieren, sodass ein Befehl eingefügt werden kann, der anzeigt, dass die Windows-Firewall zulässig oder nicht zulässig ist.
Vorteile der Firewall
- Netzwerkisolierung
- Netzwerkflexibilität
- Es ist kein Malware-Schutz erforderlich
- Keine Wartung
Arten der Firewall
- Paketfilterfirewall
- Circuit Lever Firewall
- Stateful Inspection Firewall
- Firewall auf Anwendungsebene
- Next-Gen-Firewalls
Bedeutung der Firewall
Eine Firewall ist jetzt ein wichtiger Teil eines Netzwerks geworden. Firewall ist wichtig, weil :
- Es schützt Ihren Computer vor unbefugtem Fernzugriff
- Es blockiert die Verknüpfung Ihrer Nachrichten mit unerwünschten Inhalten
- Es blockiert unnötige und unmoralische Inhalte
- Es stimmt mit den Details von Datenpaketen überein, um zuverlässige Informationen zu erhalten.
- IP und Domain können ebenfalls blockiert oder zugelassen werden.
Einführung in netsh
Netsh ist ein Befehlszeilenprogramm, mit dem Sie die Konfiguration Ihres Computernetzwerks jederzeit anzeigen oder die Netzwerkkonfiguration eines Computers ändern können, der gerade ausgeführt wird. Netsh-Befehle können durch Eingabe von Befehlen an der Netsh-Eingabeaufforderung ausgeführt und in Batchdateien oder Skripten verwendet werden. Remotecomputer und der lokale Computer können mithilfe von Netsh-Befehlen konfiguriert werden. Netsh bietet außerdem eine Skriptfunktion, mit der Sie eine Gruppe von Befehlen im Stapelmodus für einen bestimmten Computer ausführen können. Mit netsh können Sie ein Konfigurationsskript zu Archivierungszwecken oder zur Konfiguration anderer Computer in einer Textdatei speichern.
(Referenz: https://docs.microsoft.com/en-us/windows-server/networking/technologies/netsh/netsh-contexts)
Nehmen wir nun an, dass die Firewall des PCS des Opfers aktiviert ist:
Um die Firewall des PCS des Opfers auszuschalten, rufen Sie zunächst eine Sitzung über Meterpreter ab und nutzen Sie dann die Administratorrechte des Remote-PCS. Fahren Sie mit der Shell des Remote-PCS fort und schreiben Sie
netsh firewall set opmode mode=disable
Und so wird die Firewall des Remote-PCS deaktiviert.
So blockieren Sie den TCP-Port auf einem Remote-PC:
Wir können die Firewall nicht nur über Metasploit aus- oder einschalten, sondern auch den Zugriff auf einen bestimmten Port blockieren und zulassen. Ja, das bedeutet, dass wir auch eingehende und ausgehende Regeln steuern können. Nachdem Sie die Sitzung über Meterpreter ausgeführt und Administratorrechte umgangen haben und zur Shell des Remote-PCS wechseln, geben Sie einfach
netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80 action=block
Hier
Name = Den Namen der Regel ein. (Wählen Sie etwas Beschreibendes)
Protocol = Das Protokoll, das wir blockieren werden (UDP oder TCP für die meisten Fälle)
Dir = Die Richtung des Blocks. Kann IN oder OUT sein
Remote Port = Der Port des Remote-Hosts, der blockiert werden soll
Action = Könnte blockiert oder zugelassen werden. In unserem Fall möchten wir die Verbindung blockieren
Sobald Sie den obigen Code ausführen, werden alle ausgehenden Anforderungen an einen Host an Port 80 blockiert und der Windows-Firewall ein Eintrag hinzugefügt:
Wenn Sie die Eigenschaften überprüfen und auf die Registerkarte ‚Protokolle und Ports‘ klicken, können Sie das Ergebnis sehen.
So blockieren Sie mehrere TCP-Ports
Nachdem wir nun erfahren haben, wie Sie einen Port auf einem Remote-PC blockieren, lassen Sie uns etwas tiefer graben i.e Wir können nicht nur einen Port blockieren, sondern auch zwei oder mehr als zwei. Und um wieder zwei bis mehr Ports zu blockieren, nehmen Sie eine Meterpreter-Sitzung sowie Administratorrechte des Remote-PCS und schreiben Sie einfach
netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80,443 action=block
Sobald Sie den obigen Code ausführen, werden alle ausgehenden Anforderungen an einen Host an Port 80 blockiert und der Windows-Firewall ein Eintrag hinzugefügt:
Wenn Sie die Eigenschaften überprüfen und auf die Registerkarte ‚Protokolle und Ports‘ klicken, werden Sie feststellen, dass jetzt sowohl Port 80 als auch Port 443 blockiert sind:
Durch Blockieren der Ports 80 und 443 haben wir nun die HTTP- und HTTPS-Dienste auf dem Remote-PC blockiert, sodass unser Opfer auf keine Website zugreifen kann. Und der folgende Fehler wird angezeigt :
So zeigen Sie Firewall-Regeln an
Jetzt erfahren Sie, wie Sie eingehende und ausgehende Regeln der Firewall auf einem Remote-PC anzeigen, wie Sie eine Regel löschen, wie Sie den Port zulassen, auf dem unsere Nutzlast in Zukunft ausgeführt wird, und wie Sie verhindern, dass Ihr Remote-PC Ping wird.
Nehmen wir zunächst an, dass in einer ausgehenden Regel in unserem Remote-PC ein blockierter Port vorhanden ist:
Um zu wissen, welche Regel auf unserem Remote-PC aktiviert und deaktiviert ist, nehmen Sie eine Sitzung über Meterpreter und umgehen Sie Administratorrechte. Nachdem Sie dies getan haben, geben Sie:
netsh advfirewall firewall show rule name=all
Sobald dieser Befehl ausgeführt wird, werden alle Regeln angezeigt :
So löschen Sie Firewall-Regeln
Im obigen Bild sehen wir, dass Port 80 und Port 443 unter dem Regelnamen „Alle Ports blockieren“ blockiert sind. So löschen Sie diese Regel in der Remote-PC-Typ :
netsh advfirewall firewall delete rule name="Block Ports"
Sobald dieser Befehl ausgeführt wird, wird die genannte Regel gelöscht. Und Sie können den Befehl
netsh advfirewall firewall show rule name=all
erneut ausführen, um das Ergebnis anzuzeigen :
Und wir können das Ergebnis auch in den ausgehenden Firewall-Regeln sehen :
So fügen Sie eine Regel in der Firewall hinzu
Unsere normale Nutzlast funktioniert auf Port 4444. Wenn wir nun Port 4444 zulassen möchten, damit wir eine Nutzlast hochladen können, die auf Port 4444 funktioniert, müssen wir nur Folgendes eingeben :
netsh advfirewall firewall add rule name="Allow Port 4444" protocol=TCP dir=out remoteport=4444 action=allow
Sobald dieser Befehl ausgeführt wird, wird Port 4444 auf unserem Remote-PC zugelassen :
Um zu verhindern, dass unser Remote-PC angepingt wird, können wir einfach Folgendes eingeben :
netsh advfirewall firewall add rule name="All ICMPV4" dir=in action=block protocol=icmpv4
Wenn dieser Befehl ausgeführt wird, wird eine Regel erstellt, die den Ping an unseren Remote-PC blockiert:
Und das Folgende wird das Ergebnis sein :
Aktueller Profilstatus anzeigen
Jetzt werden wir sehen, wie Sie eine bestimmte IP-Adresse in der Remote-PC-Firewall blockieren / zulassen und wie Sie Details zu Programmen anzeigen, die der Ausnahme- / zulässigen Liste hinzugefügt wurden, und die Details des Ports, der der Ausnahme- / zulässigen Liste hinzugefügt wurde. Gleichzeitig erfahren wir, wie Sie den Status der Haupteinstellungen der Firewall und das aktuelle Profil anzeigen können, d. H. Ob es ein- oder ausgeschaltet ist.
netsh advfirewall show currentprofile
Nachdem wir das Profil der Firewall kennen, können wir sehen, welche Programme vom Host des Remote-PCS zugelassen werden. Geben Sie dazu Folgendes ein:
netsh firewall show allowedprogram
Unser nächster Befehl ist, den Status der Haupteinstellungen anzuzeigen. Und um sie zu sehen, tippen Sie:
netsh firewall show config
Als nächstes können wir auch den Speicherort der Datei sehen, in der alle Firewall-Protokolle gespeichert sind. Und geben Sie dazu Folgendes ein:
netsh firewall show logging
Firewall weiter ändern
Die Firewall ermöglicht es uns auch, eine einzelne IP-Adresse zu blockieren, während andere zugelassen werden und umgekehrt. Um uns zunächst zu erfahren, wie wir eine einzelne IP dafür blockieren können, geben Sie Folgendes ein:
netsh advfirewall firewall add rule name="IP Block" dir=in interface=any action=block remoteip=192.168.0.15/32
( Im obigen Befehl „/ 32“ ist eine Subnetzmaske von IP.)
Nach dem Ausführen des besagten Befehls können wir das folgende Ergebnis sehen:
Und wir sehen jetzt die Eigenschaften der IP-Blockregel wir können sehen, dass die IP: 192.168.0.15 blockiert
Um nun eine bestimmte IP-Adresse zuzulassen, geben Sie Folgendes ein:
netsh advfirewall firewall add rule name="IP Allow" dir=in interface=any action=allow remoteip=192.168.0.15/32
( Im obigen Befehl „/ 32“ ist eine Subnetzmaske von IP)
Nach dem Ausführen des besagten Befehls können Sie das folgende Ergebnis sehen:
Und wir sehen jetzt die Eigenschaften der IP-Blockregel Wir können sehen, dass die IP: 192.168.0.15 erlaubt ist :
Autor: Yashika Dhir ist ein leidenschaftlicher Forscher und technischer Autor bei Hacking Articles. Sie ist ein Hacking-Enthusiast. kontakt hier