この記事では、被害者のファイアウォールとネットワーク設定に関するすべての情報を収集するための詳細なポスト搾取ガイ
目次 :
- ファイアウォールの紹介
- ファイアウォールのルール
- ファイアウォールの利点
- ファイアウォールの種類
- ファイアウォールの重要性
- netshの紹介
- リモートPC上のTCPポートをブロックする方法
- 複数のtcpポートをブロックする方法
- ファイアウォールルールを表示する方法
- ファイアウォールルールを削除する方法
- ファイアウォールルールを追加する方法
- 現在のプロファイルステータスを表示する
- ファイアウォールの変更さらに
ファイアウォールの概要
ファイアウォールはネットワークセキュリティシステム プライベートネットワークへの不正アクセスまたはプライベートネットワークからの不正アクセスを防止するように設計されています。 ファイアウォールは、ハードウェア、ソフトウェア、またはその両方の組み合わせなど、さまざまなモードで実装できます。 ファイアウォールには、プロキシファイアウォール、アプリケーションファイアウォール、ステートフルファイアウォール、パケットファイアウォールなど、多くの種類があります。
ファイアウォールはネットワークに接続されており、不正なインターネットユーザーがインターネットに接続されたプライベートネットワーク、特にセキュリテ イントラネットに出入りするすべてのメッセージはファイアウォールを通過し、各メッセージを検査し、指定されたセキュリティ基準を満たさないメッ
ファイアウォールのルール
ファイアウォールは、常にインバウンドルールとアウトバウンドルールに囲まれた二つのルールで機能します。
インバウンドルール:ルールで指定されたフィルタリング条件に基づいて、ネットワークからローカルコンピュータに通過するトラフィックをフィルタリングするルールです。
: これらは、ルールで指定されたフィルタリング条件に基づいて、ローカルコンピュータからネットワークへのトラフィックをフィルタリングするものです。
受信ルールと送信ルールの両方を、必要に応じてトラフィックを許可またはブロックするように設定できます。
つまり、インバウンドルールとは、コンピュータに入るトラフィックに関連するルールであると言うことができます。 お使いのコンピュータ上でWebサーバーを実行している場合は、外部者がそれに接続することが許可されていることをファイアウォールに伝える必要があ さらに、送信ルールは、インターネットを使用する一部のプログラムを分類し、送信ルールはコンピュータから送信されるトラフィックに関連しているため、他のプログラムをブロックします。 あなたは、Webブラウザ(Internet Explorer、Firefox、Safari、Chrome、Opera…)は、インターネットへのアクセシビリティを持っているが、同時にアウトバウンドルールの助けを借りて、あなたは、所望の
ファイアウォールの利点
- ネットワーク分離
- ネットワークの柔軟性
- マルウェア保護が不要
- メンテナンスが不要
ファイアウォールの種類
- パケットフィルタリングファイアウォール
- サーキットレバーファイアウォール
- ステートフルインスペクションファイアウォール
- アプリケーションレベルのファイアウォール
- 次世代ファイアウォール
ファイアウォールの重要性
ファイアウォールは現在、ネットワークの重要な部分となっています。 ファイアウォールが重要なのは、 :
- 不正なリモートアクセスからコンピュータを保護します
- 不要なコンテンツへのメッセージのリンクをブロックします
- 不要で不道徳なコンテンツをブロックします
- 信頼性の高い情報のためにデータパケットの詳細と一致します。
- IPとドメインはブロックまたは許可することもできます。
netshの概要
Netshは、コンピュータネットワークの設定を時間まで表示したり、現在実行しているコンピュータのネットワーク設定を変更したりできるコマン Netshコマンドは、netshプロンプトでコマンドを入力することで実行でき、バッチファイルまたはスクリプトで使用できます。 リモートコンピュータとローカルコンピュータは、netshコマンドを使用して構成できます。 Netshはまた、指定したコンピュータに対してバッチモードでコマンドのグループを実行することを可能にするスクリプト機能を提供します。 Netshを使用すると、構成スクリプトをテキストファイルに保存して、アーカイブ目的で保存したり、他のコンピュータを構成したりすることができます。
(参考: https://docs.microsoft.com/en-us/windows-server/networking/technologies/netsh/netsh-contexts)
今、私たちは、被害者のPCのファイアウォールが有効になっていると仮定してみましょう:
だから、被害者のPCのファイアウォールをオフにするには、まず、meterpreterを介してセッションを取得し、リモートPCの管理者権限を取得します。 リモートPCのシェルに移動し、書き込みます
netsh firewall set opmode mode=disable
そして、このように、リモートPCのファイアウォールは無効になります。
リモートPC上のTCPポートをブロックする方法:
Metasploitを介してファイアウォールをオフまたはオンにするだけでなく、特定のポートへのアクセスをブロックして許可することもできます。 はい、それは私達がまた受信および送信ルールを制御できることを意味します。 再びmeterpreterを介してセッションを行い、管理者特権をバイパスし、リモートPCのシェルに移動した後、ここに
netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80 action=block
と入力するだけで、
Name=ルールの名前。 (説明的なものを選ぶ)
Protocol=ブロックしようとしているプロトコル(ほとんどの場合UDPまたはTCP)
Dir=ブロックの方向。 Can be IN or OUT
Remote Port=ブロックされるリモートホストのポート
Action=ブロックまたは許可される可能性があります。 私たちの場合、接続をブロックしたいと思います
上記のコードを実行すると、ポート80上の任意のホストへのすべての送信要求がブロックされ、Windowsファイアウォールにエントリが追加されます:
あなたはそのプロパティをチェックし、”プロトコルとポート”タブをクリックすると、あなたは結果を見ることができます。
複数のTCPポートをブロックする方法
今、私たちは、リモートPCでポートをブロックする方法を持っていることを、私たちは少し深く掘りましょうi。e1つのポートだけでなく、2つ以上のポートもブロックできます。 そして、より多くのポートに二つをブロックするには、再びmeterpreterセッションだけでなく、リモートPCの管理者権限を取り、ちょうど書きます
netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80,443 action=block
上記のコードを実行すると、ポート80上の任意のホストへのすべての送信要求がブロックされ、Windowsファイアウォールにエントリが追加されます:
そして、あなたはそのプロパティをチェックし、”プロトコルとポート”タブをクリックすると、あなたは今、それがポート80とポート443の両方をブロ:
今、ポート80と443をブロックすることによって、リモートPC上のHTTPとHTTPSサービスをブロックしているので、被害者はwebサイトにアクセスできません。 次のエラーが表示されます:
ファイアウォールルールを表示する方法
今、私たちはpingされてからリモートPCを停止する方法、私たちのペイロードが将来的に動作するポートを許可する方法、ルールを削除する方法を、リモートPCでファイアウォールの受信と送信のルールを表示する方法を学びます。
まず、リモートPCのアウトバウンドルールにブロックされたポートがあると仮定しましょう:
リモートPCでどのルールが有効または無効になっているかを知るには、meterpreterを使用してセッションを行い、管理者権限をバイパスします。 そうすることの後でタイプして下さい:
netsh advfirewall firewall show rule name=all
このコマンドが実行されると、すべてのルールが表示されます:
ファイアウォールルールを削除する方法
上の画像では、ポート80とポート443がルール名”Block All Ports”の下でブロックされていることがわかります。 だから、リモートPCタイプでそのルールを削除するには:
netsh advfirewall firewall delete rule name="Block Ports"
このコマンドが実行されると、そのルールは削除されます。 また、
netsh advfirewall firewall show rule name=all
コマンドを再度実行して、結果を確認できます:
また、ファイアウォールの送信ルールで結果を確認することもできます:
ファイアウォール
にルールを追加する方法通常のペイロードはポート4444で動作します。 ポート4444で動作するペイロードをアップロードできるようにポート4444を許可する場合は、次のように入力するだけです :
netsh advfirewall firewall add rule name="Allow Port 4444" protocol=TCP dir=out remoteport=4444 action=allow
このコマンドが実行されると、リモートPCでポート4444が許可されます:
リモートPCがpingされないようにブロックするには、次のように入力します:
netsh advfirewall firewall add rule name="All ICMPV4" dir=in action=block protocol=icmpv4
このコマンドが実行されると、リモートPCへのpingをブロックするルールが作成されます:
そして、次の結果になります :
現在のプロファイルステータスを表示
今、私たちは、リモートPCファイアウォールで特定のIPアドレスをブロック/許可する方法を見て、また、例外/許可リス これに伴い、ファイアウォールの主な設定の状態と現在のプロファイル、つまりオンまたはオフのいずれかを確認する方法を学習します。
netsh advfirewall show currentprofile
ファイアウォールのプロファイルを知った後、リモートPCのホストによって許可されているプログラムを見ることができます。 このために、次のように入力します:
netsh firewall show allowedprogram
私たちの次のコマンドは、メイン設定の状態を確認することです。 それらを見るには、次のように入力します:
netsh firewall show config
次に、すべてのファイアウォールログが保存されているファイルの場所も確認できます。 このために、次のように入力します:
netsh firewall show logging
ファイアウォールをさらに変更する
ファイアウォールでは、単一のIPアドレスをブロックしながら、他のIPアドレスをブロックすることもできます。 最初に、このために単一のIPをブロックする方法を学ぶために、次のように入力します:
netsh advfirewall firewall add rule name="IP Block" dir=in interface=any action=block remoteip=192.168.0.15/32
(上記のコマンドでは、”/32″はIPのサブネットマスクです。)
上記のコマンドを実行した後、次の結果が表示されます:
そして、私たちは今、私たちはそのIPを見ることができるIPブロックルールのプロパティを参照してください:192.168.0。15がブロックされています
同様に、特定のIPアドレスを許可するには、次のように入力します:
netsh advfirewall firewall add rule name="IP Allow" dir=in interface=any action=allow remoteip=192.168.0.15/32
(上記のコマンドでは、”/32″はIPのサブネットマスクです)
上記のコマンドを実行すると、次の結果が表示されます:
そして、IPブロックルールのプロパティが表示され、IP:192.168.0.15が許可されていることがわかります:
著者:Yashika Dhirは、ハッキング記事の情熱的な研究者とテクニカルライターです。 彼女はハッキング愛好家です。 お問い合わせはこちら
