Eskalierung der Rechte auf Windows-PCs

Im diesem letzten Beitrag für das Jahr 2017 möchte ich nochmal untersuchen, ob eine Rechteeskalierung in den aktuellen Windows Betriebssystemen mittels der bekannten Penetration Testing Frameworks möglich ist. Gleichzeitig möchte ich prüfen, welchen Schutz Virenschutzprogramme gegen die einschlägigen Techniken bieten. Als „Versuchsobjekte“ habe ich Windows 10 mit dem integrierten Virenschutz „Windows Defender“ und Windows 7 mit „McAfee – Total Protection“ ausgewählt. Beide Betriebssysteme befinden sich auf den neusten Stand. Die Virenschutzdefinitionen habe ich vor dem Test aktualisiert.

WeiterlesenEskalierung der Rechte auf Windows-PCs

Veil in Kali Linux mittels GitHub installieren

Das Veil-Framework besteht derzeit aus folgenden Projekten:

  • Veil-Catapult
  • Veil-Evasion
  • Veil-Pillage
  • Veil-PowerView

Die einzelnen Komponenten lassen sich nun vollständig in Kali Linux mittels GitHub integrieren. Das Herunterladen und die Installation der notwendigen Abhängigkeiten kann je nach verfügbarer Bandbreite etwas Zeit in Anspruch nehmen.

cd /usr/share/
git clone https://github.com/Veil-Framework/Veil
cd Veil
./update.sh
apt-get install winbind

Update: 04.02.2015

apt-get  install winbind
cd /usr/share/
git clone https://github.com/Veil-Framework/Veil
cd Veil
./Install.sh -c

Symantec Antivirus für Linux testen

In den ersten beiden Teilen habe ich gezeigt, wie man Symantec AntiVirus für Linux auf einem Ubuntu-Server installieren und aktualisieren kann.

Im dritten und letzten Teil wollen wir nun den Virenschutz auf dem Ubuntu-Server testen. Dazu erstellen wir uns drei Dateien, die „Trojanische Pferde“ enthalten.  Dabei werden zwei Dateien (trojan.pdf und trojan.bin) mit dem Metasploit-Framework und eine (trojan.exe) mittels des Veil-Frameworks angelegt.

Da der Virenschutz mit „Auto-Protect“ Funktion versehen ist, sollte im Idealfall keine Datei auf das Zielsystem gelangen und sofort eliminiert werden.

WeiterlesenSymantec Antivirus für Linux testen

Payload ausliefern mit Veil und Catapult

Nachdem Christopher Truncer und Will Schroeder das Veil-Framework auf der ShmooCon 2014 präsentiert haben, möchte ich in dem heutigen Beitrag Veil-Catapult vorstellen. Es handelt sich hierbei um ein Framework, das die mit Veil erstellten Payloads an Zielsysteme ausliefert.  Dabei können Zielsysteme mit einzelnen IP-Adressen festgelegt aber auch in Listen zusammengefasst werden.

Zur Demonstration benutze ich ein Testnetzwerk auf der Grundlage von VirtualBox. Dabei kommt  die im Buch (Kapitel 2) beschriebene virtuelle Umgebung zum Einsatz.

Das Ziel ist eine Windows Netzwerk mit drei Windows XP Clients (192.168.222.73-75).  Als Virenschutz ist Symantec Endpoint Protection mit den aktuellen Virensignaturen installiert. Dabei sind einzelne Clients auch mit dem Netzwerkbedrohungsschutz ausgestattet.

WeiterlesenPayload ausliefern mit Veil und Catapult

Veil Präsentation während der ShmooCon 2014

Christopher Truncer und Will Schroeder hielten diesen interessanten Vortrag während der ShmooCon 2014 in Washington, DC.  Sie präsentierten das Veil-Framework und das neue Payload Delivery Tool „Veil-Catapult“. Der Vortrag beinhaltete zwei Live-Demos.

[youtube AKml11-XfTA 548 365]

 

 

 

Metasploit Virustotal Checks

Das Metasploit-Framework und die Software Veil haben nun Möglichkeiten implementiert, selbst erstellte oder mit Schadcode versehene Dateien über den Dienst „VirusTotal“ zu untersuchen. Durch diesen Test kann geprüft werden, ob die Virenschutzprogramme der verschiedenen Hersteller die übersandte Datei als Malware einstuft oder nicht.

Die Abfrage ist unter Voraussetzung einer Internetverbindung über die Kommandozeile möglich. Dabei nutzen beide Programme die API von VirusTotal. Dabei ist eine unterschiedliche Herangehensweise bei der Übermittlung von Daten an diesen Dienst zu beobachten.

Das Metasploit-Framework übermittelt die gesamte Datei an VirusTotal und erhält eine konkrete Aussage, ob in der übermittelten Software Schadcode erkannt wurde und wie diese vom jeweiligen Hersteller bezeichnet wird. In den Nutzerbedingungen von VirusTotal ist festgelegt, dass sie diese Dateien weitergeben und verwenden dürfen.  Es ist somit nicht auszuschließen, dass Daten an die jeweiligen Firmen zur weiteren Analyse weitergeleitet werden.

WeiterlesenMetasploit Virustotal Checks