ten artykuł dostarczy dogłębnego przewodnika po eksploatacji, aby zebrać wszystkie informacje na temat zapory sieciowej i ustawień sieciowych ofiary.
- spis treści :
- wprowadzenie do zapory
- reguły Firewalla
- zalety Firewalla
- rodzaje Firewalla
- znaczenie zapory
- Wprowadzenie do netsh
- jak zablokować Port TCP na zdalnym komputerze:
- jak zablokować wiele portów TCP
- Jak wyświetlić reguły zapory
- jak usunąć reguły zapory
- Jak dodać regułę w firewallu
- Zobacz aktualny Status profilu
- modyfikacja Firewalla dalej
spis treści :
- Wprowadzenie do Firewalla
- Zasady Firewalla
- zalety Firewalla
- rodzaje Firewalla
- Znaczenie Firewalla
- Wprowadzenie do netsh
- jak zablokować Port TCP na zdalnym komputerze
- jak zablokować wiele portów TCP
- Jak wyświetlić reguły zapory
- jak usunąć reguły zapory
- Jak dodać reguły zapory
- Zobacz aktualny status profilu
- dalsze modyfikowanie zapory
wprowadzenie do zapory
firewall to system bezpieczeństwa sieci zaprojektowany, aby zapobiec nieautoryzowanemu dostępowi do lub z sieci prywatnej. Firewalle mogą być implementowane w różnych trybach, tj. sprzęt, oprogramowanie lub kombinacja obu. Istnieje wiele rodzajów zapory, takich jak Zapora Proxy, Zapora aplikacji, Zapora stanowa, Zapora pakietów itp.
zapory sieciowe są podłączone do sieci i są często używane, aby uniemożliwić nieautoryzowanym użytkownikom Internetu dostęp do prywatnych sieci podłączonych do Internetu, zwłaszcza intranetów zapewniających bezpieczeństwo. Wszystkie wiadomości wchodzące lub wychodzące z intranetu przechodzą przez firewall, który bada każdą wiadomość i blokuje te, które nie spełniają określonych kryteriów bezpieczeństwa.
reguły Firewalla
Firewall działa na dwóch regułach, które są zawsze otoczone regułami przychodzącymi i wychodzącymi:
reguły przychodzącymi: są to te, które filtrują ruch przechodzący z sieci do komputera lokalnego na podstawie warunków filtrowania określonych w regule.
: Są to te, które filtrują ruch przechodzący z komputera lokalnego do sieci na podstawie warunków filtrowania określonych w regule.
zarówno reguły przychodzące, jak i wychodzące mogą być skonfigurowane tak, aby zezwalać lub blokować ruch w razie potrzeby.
innymi słowy, możemy powiedzieć, że reguły przychodzące są regułami związanymi z ruchem, który wpływa do komputera. Jeśli korzystasz z serwera www na swoim komputerze, musisz poinformować Firewall, że osoby postronne mogą się z nim łączyć. Ponadto reguły wychodzące kategoryzują niektóre programy do korzystania z Internetu, ale blokują inne, ponieważ reguły wychodzące są związane z ruchem wysyłanym z komputera. Będziesz chciał, aby twoja przeglądarka internetowa (Internet Explorer, Firefox, Safari, Chrome, Opera…) miała dostęp do Internetu, ale jednocześnie za pomocą reguły wychodzącej możesz zablokować żądane strony internetowe, więc można wstawić polecenie, które wyświetla, że Zapora systemu Windows jest dozwolona lub zabroniona.
zalety Firewalla
- izolacja sieci
- elastyczność sieci
- nie jest wymagana ochrona przed złośliwym oprogramowaniem
- Brak konserwacji
rodzaje Firewalla
- filtrowanie pakietów firewall
- zapora dźwigni obwodu
- Zapora kontrolna stanu
- zapora na poziomie aplikacji
- zapory następnej generacji
znaczenie zapory
Zapora stała się ważną częścią sieci. Firewall jest ważny, ponieważ :
- chroni komputer przed nieautoryzowanym zdalnym dostępem
- blokuje łączenie wiadomości z niechcianymi treściami
- blokuje niepotrzebne i niemoralne treści
- dopasowuje szczegóły pakietów danych do wiarygodnych informacji.
- IP i domena mogą być również zablokowane lub dozwolone.
Wprowadzenie do netsh
Netsh jest narzędziem wiersza poleceń, które pozwala wyświetlać konfigurację sieci komputerowej do czasu lub można zmienić konfigurację sieci komputera, który jest aktualnie uruchomiony. Polecenia Netsh mogą być uruchamiane przez wpisanie poleceń w wierszu polecenia netsh i mogą być używane w plikach wsadowych lub skryptach. Komputery zdalne i komputer lokalny można konfigurować za pomocą poleceń netsh. Netsh udostępnia również funkcję skryptową, która pozwala na uruchamianie grupy poleceń w trybie wsadowym na określonym komputerze. Dzięki netsh możesz zapisać skrypt konfiguracyjny w pliku tekstowym do celów archiwalnych lub pomóc w konfiguracji innych komputerów.
(Reference: https://docs.microsoft.com/en-us/windows-server/networking/technologies/netsh/netsh-contexts)
Załóżmy teraz, że firewall komputera ofiary jest włączony:
Aby więc wyłączyć firewall komputera ofiary, najpierw wykonaj sesję przez meterpreter, a następnie odbierz uprawnienia administratora zdalnego komputera. Przejdź do powłoki zdalnego komputera i napisz
netsh firewall set opmode mode=disable
i w ten sposób zapora zdalnego komputera zostanie wyłączona.
jak zablokować Port TCP na zdalnym komputerze:
możemy nie tylko wyłączyć lub włączyć firewall poprzez Metasploit, ale także zablokować i zezwolić na dostęp do dowolnego konkretnego portu. Tak, oznacza to, że możemy również kontrolować Zasady przychodzące i wychodzące. Ponownie po sesji Przez meterpreter i ominięciu uprawnień administracyjnych i przejściu do powłoki zdalnego komputera wystarczy wpisać
netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80 action=block
tutaj,
Name = Nazwa reguły. (Wybierz coś opisowego)
Protocol = protokół, który zamierzamy zablokować (UDP lub TCP w większości przypadków)
Dir = kierunek bloku. Może być wejście lub wyjście
Remote Port = port zdalnego hosta, który zostanie zablokowany
Action = może być zablokowany lub dozwolony. W naszym przypadku chcemy zablokować połączenie
po wykonaniu powyższego kodu wszystkie wychodzące żądania do dowolnego hosta na porcie 80 zostaną zablokowane i dodadzą wpis do Zapory systemu Windows:
a jeśli sprawdzisz jego właściwości i klikniesz na zakładkę „protokoły i porty”, zobaczysz wynik.
jak zablokować wiele portów TCP
teraz, gdy mamy jak zablokować port w zdalnym komputerze, zagłębimy się nieco głębiej i.e możemy nie tylko zablokować jeden port, ale także dwa lub więcej niż dwa. I aby zablokować dwa na więcej portów ponownie weź sesję meterpretera, a także uprawnienia administratora zdalnego komputera i po prostu napisz
netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80,443 action=block
po wykonaniu powyższego kodu wszystkie wychodzące żądania do dowolnego hosta na porcie 80 zostaną zablokowane i dodadzą wpis do Zapory systemu Windows:
a jeśli sprawdzisz jego właściwości i klikniesz na zakładkę „protokoły i porty”, zobaczysz, że teraz zablokował on zarówno port 80, jak i port 443:
teraz blokując porty 80 i 443 zablokowaliśmy usługi HTTP i HTTPS na zdalnym komputerze, więc nasza ofiara nie będzie mogła uzyskać dostępu do żadnej strony internetowej. Wyświetlany jest następujący błąd:
Jak wyświetlić reguły zapory
teraz dowiemy się, jak wyświetlić reguły przychodzące i wychodzące zapory w zdalnym komputerze, jak usunąć regułę, jak zezwolić na port, na którym nasz ładunek będzie działał w przyszłości, jak zatrzymać ping zdalnego komputera.
przede wszystkim Załóżmy, że w naszym zdalnym komputerze jest zablokowany port w regule wychodzącej:
aby dowiedzieć się, która reguła jest włączona i wyłączona na naszym zdalnym komputerze, wykonaj sesję za pomocą meterpretera i obejmij uprawnienia administratora. Po zrobieniu tego wpisz:
netsh advfirewall firewall show rule name=all
po wykonaniu tej komendy zostaną wyświetlone wszystkie reguły:
jak usunąć reguły zapory
na powyższym obrazku widzimy, że Port 80 i Port 443 są zablokowane pod nazwą reguły „Zablokuj wszystkie porty”. Tak więc, aby usunąć tę regułę w typie zdalnego komputera :
netsh advfirewall firewall delete rule name="Block Ports"
po wykonaniu tej komendy, wspomniana reguła zostanie usunięta. Możesz ponownie uruchomić polecenie
netsh advfirewall firewall show rule name=all
, aby zobaczyć wynik :
i możemy również zobaczyć wynik w firewall outbound rules :
Jak dodać regułę w firewallu
nasz normalny ładunek działa na porcie 4444. Teraz, jeśli chcemy zezwolić na port 4444, abyśmy mogli przesłać ładunek, który działa na porcie 4444, po prostu musimy wpisać :
netsh advfirewall firewall add rule name="Allow Port 4444" protocol=TCP dir=out remoteport=4444 action=allow
po wykonaniu tego polecenia port 4444 będzie dozwolony na naszym zdalnym komputerze :
teraz, aby zablokować nasz zdalny komputer przed pingowaniem, możemy po prostu wpisać :
netsh advfirewall firewall add rule name="All ICMPV4" dir=in action=block protocol=icmpv4
kiedy to polecenie zostanie wykonane, zostanie utworzona reguła blokująca ping do naszego zdalnego komputera:
a wynik będzie następujący :
Zobacz aktualny Status profilu
teraz zobaczymy, jak zablokować / zezwolić na konkretny adres IP w zaporze zdalnej komputera, a także dowiemy się, jak wyświetlić szczegóły programów dodanych do listy wyjątków/dozwolonych i szczegóły portu dodanego do listy wyjątków/dozwolonych. Wraz z tym dowiemy się, jak zobaczyć status głównych ustawień firewalla i jaki jest jego aktualny profil, tj. czy jest włączony, czy wyłączony.
netsh advfirewall show currentprofile
po zapoznaniu się z profilem Firewalla możemy zobaczyć, które programy są dozwolone przez host zdalnego komputera. W tym celu wpisz:
netsh firewall show allowedprogram
naszym następnym poleceniem jest sprawdzenie stanu głównych ustawień. Aby je zobaczyć, wpisz:
netsh firewall show config
następnie możemy również zobaczyć lokalizację pliku, w którym przechowywane są wszystkie dzienniki zapory. I w tym celu wpisz:
netsh firewall show logging
modyfikacja Firewalla dalej
firewall pozwala nam również zablokować pojedynczy adres IP, pozwalając jednocześnie innym i odwrotnie. Więc najpierw pozwól nam dowiedzieć się, jak możemy zablokować pojedynczy adres IP dla tego, wpisz:
netsh advfirewall firewall add rule name="IP Block" dir=in interface=any action=block remoteip=192.168.0.15/32
(w powyższym poleceniu „/ 32 ” jest maską podsieci IP.)
po wykonaniu tej komendy możemy zobaczyć następujący wynik:
i teraz widzimy właściwości reguły bloku IP widzimy, że IP: 192.168.0.15 jest zablokowany
teraz podobnie, aby zezwolić na konkretny adres IP, wpisz:
netsh advfirewall firewall add rule name="IP Allow" dir=in interface=any action=allow remoteip=192.168.0.15/32
(w powyższym poleceniu” / 32 ” jest maską podsieci IP)
po wykonaniu tej komendy możesz zobaczyć następujący wynik:
i teraz widzimy właściwości reguły bloku IP widzimy, że IP: 192.168.0.15 jest dozwolone :
Autor: Yashika Dhir jest zapalonym badaczem i pisarzem technicznym w Hacking Articles. Jest entuzjastką hakerstwa. kontakt tutaj
