Questo articolo fornirà una guida approfondita post exploitation per raccogliere tutte le informazioni sul firewall e le impostazioni di rete della vittima.
- Indice :
- Introduzione ai firewall
- Regole del firewall
- Vantaggi di Firewall
- Tipi di firewall
- l’Importanza di firewall
- Introduzione a netsh
- Come bloccare la porta TCP sul PC remoto:
- Come bloccare più porte TCP
- Come visualizzare le Regole del Firewall
- Come eliminare le regole del Firewall
- Come aggiungere una regola nel Firewall
- Visualizza lo stato attuale del profilo
- Modifica Firewall ulteriormente
Indice :
- Introduzione ai Firewall
- le Regole di Firewall
- Vantaggi di Firewall
- Tipi di Firewall
- l’Importanza di firewall
- Introduzione a netsh
- Come bloccare una Porta TCP su un PC remoto
- Come bloccare più porte TCP
- Come visualizzare le regole del firewall
- Come eliminare le regole del firewall
- Come aggiungere le regole del firewall
- Visualizza profilo attuale status
- Modificare il firewall ulteriore
Introduzione ai firewall
Firewall è un sistema di sicurezza della rete progettato per impedire l’accesso non autorizzato a o da una rete privata. I firewall possono essere implementati in varie modalità, ad esempio hardware, software o una combinazione di entrambi. Esistono molti tipi di firewall come Proxy firewall, Application Firewall, Stateful firewall, Packet firewall,ecc.
I firewall sono connessi alla rete e vengono spesso utilizzati per impedire agli utenti Internet non autorizzati di accedere a reti private connesse a Internet, in particolare le intranet che garantiscono la sicurezza. Tutti i messaggi che entrano o escono dalla intranet passano attraverso un firewall, che esamina ogni messaggio e blocca quelli che non soddisfano i criteri di sicurezza specificati.
Regole del firewall
Il firewall è funzionale su due regole che sono sempre circondate da regole Inbound e outbound:
Regole inbound: Sono quelle che filtrano il traffico che passa dalla rete al computer locale in base alle condizioni di filtraggio specificate nella regola.
Regole in uscita: Questi sono quelli che filtrano il traffico che passa dal computer locale alla rete in base alle condizioni di filtraggio specificate nella regola.
Le regole in entrata e in uscita possono essere configurate per consentire o bloccare il traffico secondo necessità.
In altre parole, possiamo dire che le regole in entrata sono le regole relative al traffico che entra nel tuo computer. Se si esegue un server Web sul computer allora si dovrà dire il firewall che gli estranei sono autorizzati a connettersi ad esso. Inoltre, le regole in uscita classificano alcuni programmi per utilizzare Internet ma ne bloccano altri poiché le regole in uscita sono correlate al traffico inviato dal computer. Si vuole lasciare che il browser Web (Internet Explorer, Firefox, Safari, Chrome, Opera…) hanno l’accessibilità a Internet, ma allo stesso tempo con l’aiuto della regola in uscita è possibile bloccare i siti Web desiderati, in modo da poter inserire un comando che visualizza che Windows Firewall è consentito o non consentito.
Vantaggi di Firewall
- isolamento della Rete
- flessibilità di Rete
- No malware protection è obbligatorio
- manutenzione
Tipi di firewall
- Packet filtering firewall
- Circuito di leva firewall
- Stateful inspection firewall
- firewall a livello di Applicazione
- Next-gen firewall
l’Importanza di firewall
Un firewall è ormai diventato una parte importante di una rete. Firewall è importante perché :
- Protegge il computer da accessi remoti non autorizzati
- Blocca il collegamento dei messaggi a contenuti indesiderati
- Bloccherà contenuti inutili e immorali
- Corrisponde ai dettagli dei pacchetti di dati per informazioni affidabili.
- IP e Dominio possono anche essere bloccati o consentiti.
Introduzione a netsh
Netsh è un’utilità da riga di comando che consente di visualizzare la configurazione della rete del computer fino al momento o è possibile modificare la configurazione di rete di un computer attualmente in esecuzione. I comandi Netsh possono essere eseguiti digitando comandi al prompt netsh e possono essere utilizzati in file batch o script. I computer remoti e il computer locale possono essere configurati utilizzando i comandi netsh. Netsh fornisce anche una funzione di scripting che consente di eseguire un gruppo di comandi in modalità batch contro un computer specificato. Con netsh, è possibile salvare uno script di configurazione in un file di testo per scopi di archiviazione o per aiutare a configurare altri computer.
(Riferimento: https://docs.microsoft.com/en-us/windows-server/networking/technologies/netsh/netsh-contexts)
Ora supponiamo che il firewall del PC della vittima sia abilitato:
Quindi, per disattivare il firewall del PC della vittima, prima di tutto, ottenere una sessione tramite meterpreter e quindi prendere i privilegi di amministratore del PC remoto. Passare alla shell del PC remoto e scrivere
netsh firewall set opmode mode=disable
E come questo, il firewall del PC remoto sarà disabilitato.
Come bloccare la porta TCP sul PC remoto:
Non solo possiamo disattivare o attivare il firewall tramite Metasploit ma possiamo anche bloccare e consentire l’accesso a qualsiasi porta particolare. Sì, significa che possiamo controllare anche le regole in entrata e in uscita. Di nuovo dopo aver avuto la sessione tramite meterpreter e bypassando i privilegi amministrativi e andando alla shell del PC remoto basta digitare
netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80 action=block
qui,
Name = Il nome della regola. (Scegli qualcosa di descrittivo)
Protocol = Il protocollo che stiamo per bloccare (UDP o TCP per la maggior parte dei casi)
Dir = La direzione del blocco. Può essere DENTRO o FUORI
Porta remota = La porta dell’host remoto che verrà bloccata
Action = Potrebbe essere bloccata o consentita. Nel nostro caso, vogliamo bloccare la connessione
Una volta eseguito il codice precedente, tutte le richieste in uscita a qualsiasi host sulla porta 80 verranno bloccate e verrà aggiunta una voce al firewall di Windows:
E se controlli le sue proprietà e fai clic sulla scheda “Protocolli e porte”, puoi vedere il risultato.
Come bloccare più porte TCP
Ora che abbiamo come bloccare una porta in PC remoto, cerchiamo di scavare un po ‘ più a fondo i.e possiamo non solo bloccare una porta ma anche due o più di due. E per il blocco di due o più porta ancora prendere un meterpreter di sessione e i privilegi di amministratore del PC remoto e basta scrivere
netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80,443 action=block
una Volta che si esegue il codice di cui sopra, tutte le richieste in uscita per ogni host sulla porta 80 saranno bloccati, e aggiunge una voce per il firewall di Windows:
E se si controlla le sue proprietà e fare clic su ‘Protocolli e le Porte sulla scheda” allora vi accorgerete che ora ha bloccato la porta 80 e la porta 443:
Ora, bloccando le porte 80 e 443 abbiamo bloccato i servizi HTTP e HTTPS sul PC remoto e quindi la nostra vittima non sarà in grado di accedere a nessun sito web. E viene visualizzato il seguente errore :
Come visualizzare le Regole del Firewall
Ora dobbiamo imparare a vista in entrata e in uscita regole del firewall nel PC remoto, come eliminare una regola, come permettere la porta su cui il nostro carico lavorerà in futuro, come fermare il vostro PC remoto da ping.
Prima di tutto, supponiamo che ci sia una porta bloccata in una regola in uscita nel nostro PC remoto:
Per sapere quale regola è abilitata e disabilitata nel nostro PC remoto, eseguire una sessione tramite meterpreter e ignorare i privilegi di amministratore. Dopo di questo tipo:
netsh advfirewall firewall show rule name=all
una Volta eseguito questo comando, tutte le regole verranno visualizzati :
Come eliminare le regole del Firewall
Nell’immagine sopra, possiamo vedere che la Porta 80 e la Porta 443 è bloccato sotto il nome di regola “di Bloccare Tutte le Porte”. Quindi per eliminare quella regola nel tipo di PC remoto:
netsh advfirewall firewall delete rule name="Block Ports"
Una volta eseguito questo comando, la suddetta regola verrà eliminata. E si può eseguire
netsh advfirewall firewall show rule name=all
di nuovo il Comando per vedere il risultato :
E possiamo anche vedere il risultato nel firewall le regole di uscita :
Come aggiungere una regola nel Firewall
normale payload funziona sulla porta 4444. Ora, se vogliamo consentire la porta 4444 in modo da poter caricare un payload che funziona sulla porta 4444, dobbiamo solo digitare :
netsh advfirewall firewall add rule name="Allow Port 4444" protocol=TCP dir=out remoteport=4444 action=allow
una Volta che questo comando eseguito, porta 4444 saranno ammessi sul PC remoto :
Ora per bloccare, interrompere il PC remoto da ping si può semplicemente digitare :
netsh advfirewall firewall add rule name="All ICMPV4" dir=in action=block protocol=icmpv4
Quando questo comando viene eseguito, una regola che blocchi il ping per il nostro PC remoto verrà creato:
E seguenti sarà il risultato :
Visualizza lo stato attuale del profilo
Ora vedremo come bloccare /consentire un particolare indirizzo IP nel firewall del PC remoto e anche imparare a visualizzare i dettagli dei programmi aggiunti all’elenco eccezione/consentito e i dettagli della porta aggiunti all’elenco eccezione/consentito. Insieme a questo, impareremo come vedere lo stato delle impostazioni principali del Firewall e qual è il suo profilo corrente, cioè se è acceso o spento.
netsh advfirewall show currentprofile
Dopo aver conosciuto il profilo del firewall possiamo vedere quali programmi sono consentiti dall’host del PC remoto. Per questo, digitare:
netsh firewall show allowedprogram
Il nostro prossimo comando è vedere lo stato delle impostazioni principali. E per vederli, digitare:
netsh firewall show config
Successivamente, possiamo anche vedere la posizione del file in cui sono conservati tutti i log del firewall. E per questo, digitare:
netsh firewall show logging
Modifica Firewall ulteriormente
Il firewall ci permette anche di bloccare un singolo indirizzo IP, consentendo altri e viceversa. Quindi, prima di farci imparare come possiamo bloccare un singolo IP per questo, digitare:
netsh advfirewall firewall add rule name="IP Block" dir=in interface=any action=block remoteip=192.168.0.15/32
(Nel comando precedente “/ 32 ” è una subnet mask di IP.)
Dopo aver eseguito il suddetto comando, possiamo vedere il seguente risultato:
E ora vediamo le proprietà della regola del blocco IP possiamo vedere che l’IP: 192.168.0.15 è bloccato
Ora, allo stesso modo, per consentire ad un particolare Indirizzo IP, tipo di:
netsh advfirewall firewall add rule name="IP Allow" dir=in interface=any action=allow remoteip=192.168.0.15/32
(il comando “/32” è una subnet mask IP)
Dopo l’esecuzione di tale comando, è possibile consultare il seguente risultato:
E vediamo ora le proprietà del Blocco IP regola possiamo vedere che IP: 192.168.0.15 è Consentito :
Autore: Yashika Dhir è un appassionato Ricercatore e Scrittore Tecnico di Hacking Articoli. Lei è un appassionato di hacking. contatto qui