SO bewegen sich Hacker durch Dein Netzwerk - Lateral Movement mit Ligolo-NG
Vložit
- čas přidán 22. 08. 2024
- Stell Dir mal vor ein Angreifer hat den ersten Fuß in Euer Netzwerk gesetzt.
... er hat vielleicht einen Webserver in der DMZ gekapert.
WAS kann der Angreifer jetzt tun um sich weiterzubwegen? Um noch mehr Schaden anzurichten.
Ich zeige Euch heute, wie sich Angreifer LATERAL in Netzwerken bewegen um weitere Systeme anzugreifen.
Offizielle Repo von ligolo-ng: github.com/nic...
#hacking #kali #kalilinux #hackingwithkali #ligolo-ng
#lateralmovement
kein Intro direkt zur Sache - THANK GOD, wenigstens einer der es versteht.
Dude, kaum am start schon bin ich großer Fan von dir. Bleib genau bei dem was du gerade machst.
Genau richtig, genau soviel Information die man braucht. 😀
Hoffe das du schnell viele Follower bekommst - und vergiss dann nicht deine Early Adopters. 🙂
Danke für das Kompliment, @GoodSoulGermany - Das freut mich sehr 🤩
Vergessen wird hier niemand 🫡
Direkt mal abonniert. Fur mich zwar etwas zu fortgeschritten, aber ich mag deine Art zu erklären sehr
also am meisten verstört mich immernoch die tatsache dass du win11 nutzt :D
Hahaha, unter Kali krieg ich leider das OBS zum Aufnehmen nicht ans Laufen - bzw. hab ich da alle Kerne auf Anschlag, sodass fast sonst nix mehr geht.
ngl als er ipconfig statt ifconfig geschrieben hat hat mich gebrochen :D
@@Karstadtdetektiv Hahaha, man merkt doch nicht etwa, dass ich aus der Windows-Welt komme, oder? 🤭
was soll er sonst benutzen? kartoffel OS?
Den Kommentaren anzunehmen sind hier alle Pentester 💪
Schöne demo, gut erklärt - passt.
Danke Dir. Freut mich, dass es Dir gefallen hat :)
Das ist interessant, danke für die Aufklärung. 👍
Freut mich, dass es Dir gefallen hat.
Geiler Channel, weiter so!
Danke Dir. Freut mich, dass es Dir gefällt.
was man noch machen kann... alle ausgehenden Ports (besonders in der DMZ) bis auf die wichtigsten (ntp,80,443) ausgehen blocken. Eingehen in die DMZ eh nur 80,443 und doe benötigten Ports (Mail etc bei einem Mailserver). Um eine horizontale Ausbreitung zu blocken, die Server in der DMZ voneinander isolieren. D.h Server dmz1 hat keine Möglichkeit auf server dmz2 zu zugreifen.
@@juhuwu85 Sehr guter Ansatz. Ausgehend brauch ein 08/15 Webserver eigentlich gar keine Ports (NTP & DNS kann er sich von der Firewall holen... 80/443 für Updates evtl. nur on demand, wenn grad Updates verteilt/installiert weden und/oder nur zu Hosts/Repos, wo die Updates halt liegen), dann sind die einfachen Reverse-Shells schon mal Geschichte. Eingehend am Besten noch ne WAF oder nen Reverse Proxy davor.
In der DMZ nochmal zu segmentieren ist auch eine gute Idee - entweder mit Mini-VLANs (ZTNA und so), die auf der Firewall terminiert werden oder auch die guten alten Host-based Firewalls.
Endlich super content und made in Germany. Abo iz da. Machst du auch CTF?
Danke Dir :)
CTFs auf HacktheBox und TryHackMe schon - Live CTFs bisher nicht.
Super beitrag vielen Dank
Schön, dass es Dir gefallen hat.
Abo verdient, Super Video!
Dank Dir, bro 🫡
Was ist an diesem tool eigentlich der Mehrwert? Wenn ich mich recht erinnere kannst auch mit metasploit von einem zum anderen rechner im Netz gehen. Ich glaube Unicorn ist auch sowas gewesen, und lief wohl inmemory. Nun bin ich nur ein officeanwender und kein hacker aber es fehlt mir in diesem Video die Erklärung was bei dem tool so toll ist ausser das es wohl schneller als ne proxychain ist. Würde das im siem bzw soc nicht aufblinken wenn hier exen aufgerufen werden und fremde Prozesse aus dem system laufen und sicher ein eigenes socket bzw port nutzen der nicht normal auf einem datenbankserver sein wird. Wie hättest du eigentlich die exe auf den db server gebracht. Mit ner remoteshell dann hättest ja eh direkte verbindung oder nimmst du an das du befehle ähnlich der Shell Befehle über die DB absetzen kannst um das setup zu erzeugen. Aber sieht echt toll aus das Video werd mur sicher noch einige Videos von dir ansehen. Tolles Studio und sympathischer Mensch. Immer weiter so !
Es gibt viele Tools, mit denen sich pivoting bewerkstelligen lässt. Mir gefällt Ligolo-NG am Besten, da es ziemlich unkompliziert, stabil und schnell ist. Außerdem kann ich alle weiteren Tools halbwegs "normal" benutzen und der Traffic wird einfach durch den Jumphost geroutet.
Der Jumphost arbeitet also (fast) wie ein normaler Router für den Angreifer, was extrem praktisch ist.
Ob und was im SIEM landet und vom SOC bearbeitet oder evtl. vom EDR gefressen wird, ist extrem individuell... und längst nicht jedes Netzwerk wird von einem SOC überwacht.
Im KMU-Bereich sind SIEM/SOC extrem selten (weil teuer).
Derzeit sind MDR-Services stark im kommen (also quasi SOC on deamnd), was as auch dem Mittelstand ermöglicht, solche Dienste zu nutzen - unterm Strich aber natürlich immer noch ne ganze Ecke teurer, als ne 08/15 Antivirus-Lösung, von #damals. (Da wird noch einiges an Umdenken stattfinden müssen).
Auf den DB-Server musste ja die exe nicht, sondern nur auf den Jumphost.
Sofern Dateien von/zum DB-Server transferiert werden müssen, geht das auch mit Ligolo recht entspannt: Entweder erst zum Jumphost und von dort zum DB-Server oder z.B. via Python http.server auf den Angreifer und certutil/powershell auf dem DB-Server.
Der DB-Server muss aber generell erstmal angegriffen werden - hier in dem Video ging es ja erstmal nur darum, ihn überhaupt auf Netzwerkebene zu erreichen.
Cheers
Eieiei, wer einen Server mit 2 Nics in die DMZ stellt, hat selbst schuld 😂
Hehe, das stimmt.
Leider seh ich sowas immer wieder.
Oder auch intern von Subnetz A in Subnetz B, C und D - gern verwendet bei Backup- oder Monitoring-Servern. Auch schon bei der Softwareverteilung gesehen. Damit wird auch die interne Netzwerksegmentierung ad absurdum geführt.
Vllt kannst du ja 1 Video machen wie man mit ner nzyme Node den Angriff mitbekommen hätte wäre glaub auch ganz interessant. Glaub für viele ist das Szenario bisschen weit weg, gehacktes WPA2 WLAN oder gehackte ungpatched FritzBox wäre näher an der Alltagsrealität.
Das ist halt eher Alltag in Firmennetzwerken (analog zu den AD-Videos).
Mit nzyme habe ich noch nicht gearbeitet - sihet auf den ersten Blick aber sehr cool aus. Kennst Du Dich damit aus?
Baue im Lab grad ein SIEM mit Wazuh zur Angriffsdetektion auf - dauert aber noch n biserl.
Zum Thema WLAN-Cracking kommt auch noch n Video - allerdings nichts, was es nicht schon seit Jahren gibt.
Wie wäre es statt über die Firewall einen Ngnx Proxy dazwischen zu schalten? Dann kommst normal auch nicht in das andere Netz.
Kommt immer darauf an, welche Dienste man dahinter hat.
In dem Video hatte ich das Beispiel einer MSSQL-Verbindung genannt - sowas habe ich persönlich noch nicht durch einen nginx durchgeprügelt und weiss nicht, ob er es kann, aber prinzipiell gibt es natürlich Lösungen dafür (z.B. n Loadbalancer á la Kemp oder Netscaler - haproxy müsste das eigentich auch können).
Sofern der reverse proxy den benötigten Dienst unterstützt ist das aber auf jeden Fall eine valide Lösung, denn dann kommt ja nur der Applikationstraffic zum jew. Zielsevrer durch und nicht gleich alles ins komplette, interne Netzwerk.
Was wäre eine bessere Alternative zu dual homed? Du meintest ja "da war der Zuständige faul"... Wie macht man es richtig?
Danke für Deine Frage.
Wie am Ende erwähnt, sollte so ein von extern erreichbarer Server in einer DMZ stehen.
Somit läuft der Traffic vom extern erreichbaren Server nochmal durch eine Firewall, bevor es ins interne Netzwerk geht und dort ist auch nur genau der Traffic zugelassen ist, der absolut notwendig ist.
Also z.B. sowas wie:
Quelle: Webserver1
Service: TCP/1433
Ziel: DB-ServerX
Außerdem können weitere Systeme wir IDS/IPS nochmal über den Traffic Webserver => DB-Server schauen und ggf. schadhaften Traffic ruasfiltern/blocken.
Ist auch in einigen Richtlinien so festgeschrieben - ISO27001 z.B.
Bei dualhomed Servern ist bei einer Kompromittierung gleich alles im internen Netz erreichbar, was es dem Angreifer natürlich deutlich einfacher macht.
@@safelinkit Klingt schlüssig. Danke für die schnelle Antwort. Gibt es denn noch eine Alternative zu dualhomed? Mir fällt da nämlich nichts ein :D Ich bin bei so einem System doch irgendwie auf eine 2. Netzwerkkarte angewiesen, oder nicht?
@@miguelschink828 Bin mir nicht ganz sicher was Du meinst. Im Video beschreibe ich ab 11:02 Min, wie der Traffic laufen sollte, wenn der (in diesem Fall) Webserver nur eine NIC in der DMZ hat.
Und jetzt frage ich mich, wie man jemanden vom ersten Schritt abhält - das Kapern des Servers in der DMZ.
Da gelten die üblichen Grundsätze der IT-Security, wie z.B.: Starke Passwortrichtlinie, MFA, Patch-Management, Account-Tiering, Least-Privilege, Firewalling/WAF, Attack Surface Reduction uuuund so weiter.
@@safelinkit
meine Passwortrichtlinie ist "usermod -s /bin/nologin --lock" und Firewall UFW mit "default incoming deny". Sollte reichen, oder?
Airgeddon wifi Hack
Für WLAN ist demnächst was geplant - Airgeddon kann ich da mit reinnehmen.