Gedankenexperiment

[freiheit88]

Hallo liebes Board,

Also ein kleines Gedankenexperiment. Die Regeln sind wie folgt:

Jeder Poster, darf seine eigene Meinung (egal wie lächerlich, abwegig oder falsch) schreiben. Keiner der nächsten Poster, kritisiert einen anderen Post. Jeder gibt nur seine Idee, Meinung, Ansicht in dem Beitrag wieder. Keine Beleidigungen etc.

Es gibt keine absolut richtige Antwort, jede Meinung oder Idee von jeder Person hat die selbe Gültigkeit wie von anderen!

Das Gedankenexperiment:

Nehmen wir an, dass Sie sich einen Zugang (reverse shell) von einem Windows PC ergaunert haben. Dies haben Sie z.B. über einen Browser Exploit gemacht. Sie besitzen Administrationsrechte! Jedoch haben Sie nur die Reverse Shell (also keine GUI, Remote Desktop etc.).

Gehen Sie davon aus, dass es sich um einen Home - User (Privatuser) handelt, und stellen Sie sich sein Netzwerk wie folgt vor: Vor seinem PC steht eventuell ein Router bzw. das Modem von seinem Provider, das direkte Anfragen auf den internen PC des Opfers unterbindet. Des weiteren hat der Home - User sicherlich ein Virenprogramm und eine Firewall (evt. die Windows Firewall) aktiviert.

Ihre Aufgabestellung:

Beschreiben Sie Ihre Ideen, und Methoden, wie Sie sich den dauernden Zugang zu diesem PC sichern. Überlegen Sie Ihre Ideen gut, Sie haben nur die Befehle der CMD zur Auswahl. (i.eg kein wget wie auf Linux usw). Beschreiben Sie Ihre Ziele. (wollen sie an einen Remote Desktop Verbindung? Wie kommen Sie da ran? Was machen Sie?)

Viel Spaß und hoffe dass es einige interessiert :=)

 

[prEs]

Du brauchst also Hilfe? xD.

Entweder Portforwarding -> und dann Remote Desktop
oder ftp -> RAT .

sowas wie wget kann man sich auch einfach von nem ftp server o.ä holen...
oder mit telnet HTTP GET etc .
Kann der Router über die Cmd(sprich telnet) oder nur über ein webinterface konfiguriert werden?
Da ich davon ausgehe das es sich um ne dynamische IP handelt, sollte man ein RAT(Trojaner) installieren.

Glaube das du was illegales vorhast deswegen sag ich dazu nichtsmehr .

 

[freiheit88]

Original von prEs
Du brauchst also Hilfe? xD.

Falsch, aber es scheint hier wirklich keiner was von solchen Posts zu halten.

Entweder Portforwarding -> und dann Remote Desktop
oder ftp -> RAT .

RAT ist ne Lösung sollte aber selber gecoded sein oder FUD.
RemoteDesktop Server via Console einschalten, da bin ich mir nicht sicher ob das möglich ist, arbeite auch nicht unter Windows.
Es gibt jedoch Reverse Remote Desktop Tools - so als Hinweis

sowas wie wget kann man sich auch einfach von nem ftp server o.ä holen...
oder mit telnet HTTP GET etc .

Oder selber Coden mit der Windows API eine Funktion!

Kann der Router über die Cmd(sprich telnet) oder nur über ein webinterface konfiguriert werden?

Keine Ahnung, das kein Praxis Beispiel ist, und rein ein Gedankenexperiment, könnt Ihr das selber festlegen.
Spielt aber keine Rolle. Ich kann via nc auf jedes Webinterface Zugreifen wenn ich weiß wie ich es mit HTTP ansprechen muss.

Da ich davon ausgehe das es sich um ne dynamische IP handelt, sollte man ein RAT(Trojaner) installieren.

Sehr wahrscheinlich, die wenigsten Provider bieten noch statische IPs an.

--- edit lightsaver ---
Beleidigungen entfernt
--- /edit lightsaver

 

[b4ck]

ich sags gleich ich weis nicht ob das alles unter windows geht bin mehr der *nix user *g*

zuerst mal ne art dyndns daemon einrichten falls meine reverse shell entdeckt wird. so hab ich immer die IP adresse auch bei einem DSL anschluss. (sollte über cmd funktionieren)

danach:
kommandozeilen browser (wenns sowas gibt für windows bitte um aufklärung) und damit auf den router verbinden und mal dei fernwartung aufdrehen.

danach: port 5900 forwarden -> und vnc installieren: http://thebackroomtech.com/2007/07/16/howto-silently-install-vnc-onto-a-remote-windows-pc/

das wären so meine ansätze

 

[freiheit88]

Original von b4ck
kommandozeilen browser (wenns sowas gibt für windows bitte um aufklärung) und damit auf den router verbinden und mal dei fernwartung aufdrehen.

Wenn du unter Linux arbeitest, kennst du netcat. Du beherrscht das HTTP Protokoll. Was brauchts mehr?

So wäre jetzt noch interessant ein reverse VNC zu haben.
Erspart dir die Mühe Port Forwarding zu machen, und falls das Standard-Router PW geändert wurde, ebenfalls Arbeit.

 

[lightsaver]

So, ich gebe dem Thema nochmal eine Chance, da es schon interessant sein könnte.

Ich habe dafür alle Beiträge entfernt, die nichts mit der Beantwortung der Fragestellung zu tun haben.
Wer antworten möchte, kann dies gerne tun, alle anderen lassen bitte das Off-Topic schreiben! Und eine legal/illegal Bewertung könnt ihr euch auch sparen, dafür sind wir Moderatoren hier

So, auf dass das Thema doch noch funktioniert, gebe ich es jetzt wieder frei

 

[friday0D]

[EDIT] @csde_rats: Aber in diesem Thema, hat bisher ja niemand Stellung zu genommen, aber bevor ich in Ungnade falle: lieber trocken

Zunächst ist wichtig welche Firewall und welcher VScan eingesetzt wird. Aufgrund der Leitungsmerkmale werden einige Lösungen nicht laufen.

Der Angreifer muss in diesem Fall verschieden Hürden überwinden bzw. das Ziel sich davor schützen:

Es müssen ausführbare Programme in den Zielcomputer hinein. Hier gibt's schon Probleme, falls die reverse shell Daten über den stdin des remote endpunktes hereinlässt, wäre es einfach.
Die tools müssen individuell sein, damit es keine Virensignaturen gibt, oder Vireschutzprodukte deaktiviert werden, was aufwändig und unsicher wäre.
Desweiteren müssen Sie gestartet werden können, auch hier hindert die Firewall oft durch Überwachung der registry, und gibt Meldungen. Bei einer Programminstallation passiert erfahrungsgemäß folgendes: Der Benutzer klick stumpf auf rlauben, da er dies noch 1000 mal tun muss, oder er schaltet das Ding während der Inst. aus.
Diese gefährliche Situation könnte durch eine Registry oder Verzeichnisüberwachung leider ausgespäht werden, um eingene Keys darunterzumischen.

Eine große Gefahr stellen tcp over dns tunnels dar, da dns das ungeprüfte Kind der meisten Firewalls ist.
In diesem könnte der Angreifer die Daten eines reverse tools verstecken. Ein echo vnc client/Server ist da einfach.