Hacking artiklar

denna artikel är kommer att ge en fördjupad post exploatering guide för att samla all information om offrets brandvägg och nätverksinställningar.

Innehållsförteckning :

• introduktion till brandvägg
• regler för brandvägg
• fördelar med brandvägg
• typer av brandvägg
• betydelsen av brandvägg
• introduktion till netsh
• hur man blockerar en TCP-Port på fjärrdatorn
• så här blockerar du flera TCP-portar
• så här visar du brandväggsregler
• så här tar du bort brandväggsregler
• så här lägger du till brandväggsregler
• Visa aktuell profilstatus
• ändra brandväggen ytterligare

introduktion till brandvägg

brandvägg är ett nätverkssäkerhetssystem utformad för att förhindra obehörig åtkomst till eller från ett privat nätverk. Brandväggar kan implementeras i olika lägen, dvs hårdvara, programvara eller en kombination av båda. Det finns många typer av brandväggar som Proxy firewall, Application Firewall, Stateful firewall, Packet firewall, etc.

brandväggar är anslutna till nätverket och används ofta för att förhindra obehöriga Internetanvändare från att komma åt privata nätverk som är anslutna till Internet, särskilt intranät som garanterar säkerhet. Alla meddelanden som kommer in i eller lämnar intranätet passerar genom en brandvägg, som undersöker varje meddelande och blockerar de som inte uppfyller de angivna säkerhetskriterierna.

regler för brandvägg

brandvägg fungerar på två regler som alltid omges av inkommande och Utgående regler:

Inkommande regler: det här är de som filtrerar trafik som passerar från nätverket till den lokala datorn baserat på de filtreringsvillkor som anges i regeln.

Utgående regler: Det här är de som filtrerar trafik som passerar från den lokala datorn till nätverket baserat på de filtreringsvillkor som anges i regeln.

både inkommande och Utgående regler kan konfigureras för att tillåta eller blockera trafik efter behov.

med andra ord kan vi säga att Inkommande regler är reglerna relaterade till trafik som kommer in i din dator. Om du kör en webbserver på din dator måste du berätta för brandväggen att utomstående får ansluta till den. Vidare kategoriserar Utgående regler vissa program för att använda Internet men blockerar andra eftersom Utgående regler är relaterade till trafiken som skickas från din dator. Du vill låta din webbläsare (Internet Explorer, Firefox, Safari, Chrome, Opera…) ha tillgång till Internet men samtidigt med hjälp av utgående regel kan du blockera önskade webbplatser, så ett kommando kan infogas som visar att Windows-brandväggen är tillåten eller otillåten.

fördelar med brandvägg

• nätverksisolering
• nätverksflexibilitet
• inget skydd mot skadlig kod krävs
• inget underhåll

typer av brandvägg

• paketfiltrering brandvägg
• krets spak brandvägg
• stateful inspektion brandvägg
• programnivå brandvägg
• nästa generations brandväggar

betydelsen av brandvägg

en brandvägg har nu blivit en viktig del av ett nätverk. Brandvägg är viktigt eftersom :

• det skyddar din dator från obehörig fjärråtkomst
• det blockerar länka dina meddelanden till oönskat innehåll
• det kommer att blockera onödigt och omoraliskt innehåll
• det matchar detaljerna i datapaket för tillförlitlig information.
• IP och domän kan också blockeras eller tillåtas.

introduktion till netsh

Netsh är ett kommandoradsverktyg som låter dig visa konfigurationen av datorns nätverk till tid eller så kan du ändra nätverkskonfigurationen för en dator som för närvarande körs. Netsh-kommandon kan köras genom att skriva kommandon vid netsh-prompten och de kan användas i batchfiler eller skript. Fjärrdatorer och den lokala datorn kan konfigureras med hjälp av netsh-kommandon. Netsh tillhandahåller också en skriptfunktion som låter dig köra en grupp kommandon i batchläge mot en viss dator. Med netsh kan du spara ett konfigurationsskript i en textfil för arkivändamål eller för att hjälpa dig att konfigurera andra datorer.

(referens: https://docs.microsoft.com/en-us/windows-server/networking/technologies/netsh/netsh-contexts)

låt oss nu anta att brandväggen på offrets dator är aktiverad:

så för att stänga av brandväggen på offrets dator, först och främst, få en session via meterpreter och ta sedan administratörsbehörigheterna för fjärrdatorn. Gå vidare till skalet på fjärrdatorn och skriv

netsh firewall set opmode mode=disable

och så här kommer brandväggen på fjärrdatorn att inaktiveras.

hur man blockerar TCP-Port på fjärrdator:

vi kan inte bara stänga av eller på brandväggen via Metasploit utan vi kan också blockera och tillåta åtkomst till en viss port. Ja, det betyder att vi också kan kontrollera inkommande och Utgående regler. Återigen efter att ha sessionen genom meterpreter och kringgå administrativa privilegier och gå till skalet på fjärrdatorn skriver du bara

netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80 action=block

här,

Name = namnet på regeln. (Välj något beskrivande)

protokoll = protokollet vi ska blockera (UDP eller TCP för de flesta fall)

Dir = blockets riktning. Kan vara in eller ut

Remote Port = porten på fjärrvärden som kommer att blockeras

Action = kan blockeras eller tillåtas. I vårt fall vill vi blockera anslutningen

när du kör ovanstående kod, alla utgående förfrågningar till någon värd på port 80 kommer att blockeras, och det lägger till en post till Windows-brandväggen:

och om du kontrollerar dess egenskaper och klickar på fliken protokoll och portar kan du se resultatet.

hur man kan blockera flera TCP-portar

nu när vi har hur man kan blockera en port i remote PC, låt oss gräva lite djupare i.e vi kan inte bara blockera en port utan också två eller fler än två. Och för att blockera två till mer port igen ta en meterpreter session samt administratörsbehörighet fjärrdatorn och bara skriva

netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80,443 action=block

när du kör ovanstående kod, alla utgående förfrågningar till någon värd på port 80 kommer att blockeras, och det lägger till en post till Windows-brandväggen:

och om du kontrollerar dess egenskaper och klickar på fliken protokoll och portar kommer du att upptäcka att det nu har blockerat både port 80 och port 443:

nu, genom att blockera portarna 80 och 443 har vi blockerat HTTP-och HTTPS-tjänsterna på fjärrdatorn och så kommer vårt offer inte att kunna komma åt någon webbplats. Och följande fel visas :

så här visar du brandväggsregler

nu lär vi oss att se inkommande och Utgående regler för brandväggen i fjärrdatorn, hur man tar bort en regel, hur man tillåter porten som vår nyttolast kommer att fungera i framtiden, hur man stoppar din fjärrdator från att vara ping.

låt oss först och främst anta att det finns en blockerad port i en utgående regel i vår fjärrdator:

för att veta vilken regel som är aktiverad och inaktiverad i vår fjärrdator, ta en session via meterpreter och bypass administratörsbehörighet. Efter att ha gjort det Typ:

netsh advfirewall firewall show rule name=all

när detta kommando har utförts visas alla regler :

så här tar du bort brandväggsregler

i bilden ovan kan vi se att Port 80 och Port 443 är blockerad under Regelnamnet ”blockera alla portar”. Så för att ta bort den regeln i fjärrdatortypen :

netsh advfirewall firewall delete rule name="Block Ports"

när detta kommando har utförts kommer nämnda regel att raderas. Och du kan köra

netsh advfirewall firewall show rule name=all

kommandot igen för att se resultatet :

och vi kan också se resultatet i brandväggens Utgående regler :

så här lägger du till en regel i brandväggen

vår normala nyttolast fungerar på port 4444. Om vi nu vill tillåta port 4444 så att vi kan ladda upp en nyttolast som fungerar på port 4444, måste vi bara skriva :

netsh advfirewall firewall add rule name="Allow Port 4444" protocol=TCP dir=out remoteport=4444 action=allow

när detta kommando har utförts kommer port 4444 att tillåtas på vår fjärrdator :

nu för att blockera stoppa vår fjärrdator från att pingas kan vi bara skriva :

netsh advfirewall firewall add rule name="All ICMPV4" dir=in action=block protocol=icmpv4

när detta kommando kommer att utföras skapas en regel som blockerar ping till vår fjärrdator:

och följande blir resultatet :

Visa aktuell profilstatus

nu kommer vi att se hur man blockerar /tillåter viss IP-adress i remote PC-brandväggen och lär sig också hur man visar detaljer om program som läggs till i listan undantag/tillåtna och detaljerna i port som läggs till i listan undantag/tillåtna. Tillsammans med detta kommer vi att lära oss att se statusen för huvudinställningarna för brandväggen och vad dess nuvarande profil, dvs om den är på eller av.

netsh advfirewall show currentprofile

efter att ha känt till brandväggens profil kan vi se vilka program som tillåts av värd för fjärrdator. För detta, skriv:

netsh firewall show allowedprogram

vårt nästa kommando är att se statusen för huvudinställningarna. Och för att se dem, skriv:

netsh firewall show config

därefter kan vi också se platsen för filen där alla brandväggsloggar hålls. Och för detta, Typ:

netsh firewall show logging

ändra brandväggen ytterligare

brandväggen tillåter oss också att blockera en enda IP-adress Medan vi tillåter andra och vice versa. Så först att låta oss lära oss hur vi kan blockera en enda IP för detta, Typ:

netsh advfirewall firewall add rule name="IP Block" dir=in interface=any action=block remoteip=192.168.0.15/32

(i ovanstående kommando” / 32 ” är en subnätmask av IP.)

efter att ha utfört det nämnda kommandot kan vi se följande resultat:

och vi ser nu egenskaperna hos IP-Blockregeln vi kan se att IP: 192.168.0.15 är blockerad

nu, på samma sätt, för att tillåta en viss IP-adress, skriv:

netsh advfirewall firewall add rule name="IP Allow" dir=in interface=any action=allow remoteip=192.168.0.15/32

(i ovanstående kommando” / 32 ” är en subnätmask av IP)

efter att ha utfört det nämnda kommandot kan du se följande resultat:

och vi ser nu egenskaperna för IP-Blockregeln vi kan se att IP: 192.168.0.15 är tillåten :

författare: Yashika Dhir är en passionerad forskare och teknisk författare på Hacking Articles. Hon är en hacking entusiast. kontakta här