Befehle zum auflösen von Domains

Mitglied: winlin

winlin (Level 2) - Jetzt verbinden

16.04.2016 um 20:08 Uhr, 2145 Aufrufe, 14 Kommentare

Hallo Leute

Habe eine Gesamtsituation mit mehreren Domains. Es gibt verschiedene DNS Server welche in unterschiedlichen netzwerkzonen liegen. Nun möchte ich wissen wenn ich auf einem Rechner, welche Domains oder Zonen ich auflösen kann? Angenommen ich bin ein Angreifer und lande auf einer Maschine. Wie kann ich per powershell oder bash Befehl heraus finden wo ich bin welche Rechner sich in dieser Zone befinden usw???und welche Domains/Zonen ich auflösen kann ????
Mitglied: BirdyB
16.04.2016 um 20:11 Uhr
Hi,

meinst du nslookup oder dig?
Oder wonach suchst du?

Beste Grüße!


Berthold
Bitte warten ..
Mitglied: agowa338
16.04.2016, aktualisiert um 20:59 Uhr
Als Angreifer würde ich als erstes WinPcap installieren und den Traffic mitschneiden und nach Domänen Credentials durchsuchen.
Zusätzlich noch diverse lokale Privilege Escalation Lücken testen und versuchen lokale Systemrechte zu erhalten.
Nun wird ein Problem provoziert, bei dem sich ein Admin anmelden muss. Zack Login Daten.
Jetzt muss es schnell gehen, sofort eine RPC Verbindung mit dem Domänen controller aufbauen und rüber wechseln, denn jetzt könnte die Workstation durch den Admin bereinigt werden.
Vom DC aus einen SQL suchen um anschließend dort die Tabellen für Docusnap bzw. Lansweeper in eine Produktiv Datenbank schieben, damit es niemandem auffällt.
Und genau dort würde ich dann deine Netzwerkinformationen bekommen durch Docusnap, Lansweeper, etc.

Aber jetzt zu deiner Eigentlichen Frage, mittels dig einen Zonentransfer vom DNS-Server versuchen anzustoßen und den dann auswerten. Aber ich würde dir empfehlen einfach ein PoerShell Skript mit "Resolve-DnsName -DnsOnly" zu machen, dürft wohl das einfachste sein, weil du kennst deine Domains ja...
Bitte warten ..
Mitglied: winlin
16.04.2016 um 21:22 Uhr
Aha sehr interessant...möchte einfach nach Schwachstellen in unserer Umgebung suchen...möchte nun nach Möglichkeiten suchen um diese zu analysieren. Zonentrennung haben wir ja gemacht um nur bestimmte Zonen welche per Zone forwarding eingerichtet wurden sichtbar zu machen.

Kennt ihr gute Seiten wo man howto's bekommt wie von dir oben beschrieben???
Bitte warten ..
Mitglied: agowa338
17.04.2016, aktualisiert um 07:21 Uhr
Forwarder Zonen sind eigentlich vor zone transfer sicher, außer man macht einen Nameserver lookup und versucht es dann direkt beim zuständigen Nameserver. Das ist so, weil der Forwarder DNS-Server den Inhalt der Zone nicht kennt, sondern deine Anfragen weiterleiten muss.
Folglich sind nur Brute force Angriffe auf forwarded Zones möglich.

Schwachstellen suchen und finden? Dafür kannst du hier mal vorbeischauen.

Generell kann man aber sagen, alles nachfolgende macht es einem Angreifer etwas schwerer. Dabei must du aber selbst entscheiden, ob es in deiner Umgebung umsetzbar ist:
- UAC Auf höchste Stufe stellen
- Windows Firewall streng konfigurieren (z. B. per Policy alles Benötigte Whitelisten)
- Sollte Remote Registry, bzw. Remote Verwaltung verwendet werden, diese mittels Windows Firewall und Verbindungssicherheitsregeln absichern.
- Updates zügig installieren (nicht erst 3 Wochen später), weil einige exploits etc wird anhand derer reverse engineered.
- AppLocker (falls vorhanden) konfigurieren, damit nur genehmigte Anwendungen starten dürfen.
- Falls ein Webserver etc. Vorhanden ist, sollte sich dieser in einer DMZ befinden.
- Die Firewall (Hardware) sollte streng konfiguriert sein und Statefull Packet Instection (SPI) sollte aktiviert sein.
- DPI hingegen bringt wenig, da hat man nur Probleme mit der Whitelist pflege, weil so manches damit nicht will...
- DHCP-Server die Pflege des DNS anvertrauen (immer dynamische DNS updates)
- DHCP-Server regelmäßig kontrollieren (auf unbekannte Geräte)
- Einen Netzwerk scan einsetzen (Lansweeper, Docusnap, ...)
- ARP Tabelle (bei einem Client reicht, sind ja broadcasts) kontrollieren (Einträge für Gateways und Server)
- Regelmäßig einen Port Scan durchs Netzwerk schicken (z. B. Nmap, aber Vorsicht bei z. B. Kopierern!) um unerwünschte Dienste zu finden...
- Starke (und keins 2-mal) Kennwörter für die Administratoren, Remote-administration software, Softwaredeployment, ... und Regelmäßig ändern (z. B. KeePass verwenden)
- Windows Services mit AD Service Accounts anstelle von normalen Benutzern Konfigurieren, falls Netzwerkzugriff benötigt wird.
- Eventlogs überwachen (z. B. Lansweeper kann das)
- Smartcards für Benutzer anstelle von Kennwörtern.
- VPN falls vorhanden mittels Zertifikaten absichern.

Vollständige Anleitungen zum Prüfen auf Sicherheitslücken gibt es eigentlich nicht wirklich, das wichtigste ist den Ablauf zu kennen, aber du kannst dir mal offensive security ansehen:
- Umgebung ausspähen (Ansprechpartner, Kontaktmöglichkeiten, Interne Abläufe)
- Eine Lücke im Ablauf ausnutzen
- Netzwerk scans durchführen
- Privilegien erweitern (von Benutzer zu local System zu Domain Admin (+ local System auf allen Rechnern))
- Zukünftigen Zugriff sicherstellen, z. B. ein OpenVPN im Client Routing mode installieren (also die Verbindung geht von intern nach extern, erlaubt aber das routen ins interne netz)
- Spuren verwischen z. B. Eventlog filter Treiber installieren oder einfach löschen
- Und das ganze von vorne weil eventuell hat man jetzt mehr Möglichkeiten sich zu verbreiten...

Wie kann ich per powershell oder bash Befehl heraus finden wo ich bin welche Rechner sich in dieser Zone befinden usw
Get-NetRoute Liefert dir alle verfügbaren routen (also bekommst du die Netzwerkgröße, Gateways)
Get-DnsClient Alle Netzwerk Adapter mit ihren ConnectionSpecificSuffix-en
und welche Domains/Zonen ich auflösen kann
Eigentlich nur per Brute-force, also du must die Zone erst kennen... Aber sobald du die Zone kennst kannst du versuchen mittels dig einen Zonentransfer zu machen, wodurch du sämtliche Einträge der Zone erhältst. Alternativ, kann man ach arp poisoning routing machen um u. a. die DNS-Anfragen auszuwerten...

P. S. Wenn du zufällig das nächste mal einen Praktikanten oder neuen Mitarbeiter hast, kannst du ja mal folgendes am 1. Tag machen: Sende ihn in irgend eine Abteilung, die ihn noch nicht kennt mit einem USB-Stick (auf dem ein kleines Skript ist, das dir den Benutzer-, Rechnernamen und Uhrzeit auf einem Share speichert) und sag ihm, er soll sich an einen PC setzen und das Skript ausführen. Anschließend wartest du, ob du einen Anruf der Abteilung erhälst, oder ob sie ihn einfach alles machen lassen... Das kann man dann gut für gezielte Mitarbeiter Schulungen einsetzen.
Bitte warten ..
Mitglied: winlin
17.04.2016 um 10:42 Uhr
Danke dir für die umfangreichen Infos, echt klasse bringt mich um einiges weiter wie auch dein Link. Habe auch einen http://resources.infosecinstitute.com/dns-hacking/

Werde mal beides durcharbeiten und deine Vorschläge umsetzen:-) face-smile

Wenn du oder ihr weitere nützliche Links habt immer her damit
Bitte warten ..
Mitglied: winlin
17.04.2016 um 10:44 Uhr
Was ich auch machen werde ist, viel über KALI Linux lesen und meine Umgebung auf Herz und Nieren checken
Bitte warten ..
Mitglied: winlin
17.04.2016 um 10:59 Uhr
habe in unserer Umgebung entdeckt das fast alle Clients nicht einen DNS Server in den Netzwerk configs eingestellt haben sondern den AD/DNS direkt?!? Ich gehe davon aus das dies ein honey pot;-) face-wink für nen Angreifer ist weil wenn er den nameserver rausfindet er dann direkt das AD hat?!? Oder?!????

Zudem 'möchte ich checken wenn ich auf einem Client bin welche DNS Zonen er auflösen kann. Das kann ich ja mit get net Route oder mit dig machen wie du bereits erwähnt hast. Hast du mir paar Code Beispiele????

Möchte direkt ein paar Tests machen und bräuchte Befehle oder paar Skripte oder eben kleine howto's

Danke dir bereits jetzt vielmals
Bitte warten ..
Mitglied: Sheogorath
17.04.2016, aktualisiert um 12:05 Uhr
Moin,

habe in unserer Umgebung entdeckt das fast alle Clients nicht einen DNS Server in den Netzwerk configs eingestellt haben sondern den AD/DNS direkt?!?
Ich gehe davon aus das dies ein honey pot für nen Angreifer ist weil wenn er den nameserver rausfindet er dann direkt das AD hat?!? Oder?!????

An das AD zu kommen, auch wenn du einen anderen DNS Server nutzt ist kein Problem. Es gibt gefühlt 1000 Stellen in denen man diese Namen in Windows an anderer Stelle findet. Das erreichen des AD Servers ist ja auch notwendig um z.B. den Login zu kontrollieren.

Du kannst natürlich einen Forwarder einrichten und den Zugriff auf Port 53 bei deinen AD DCs sperren. Dann kann dir zumindest niemand mehr mit DNS Paketen die Kiste killen. Ob das so viel bringt, weiß ich aber nicht wirklich. Das sollte eigentlich schon woanders abgefangen werden.

Gruß
Chris
Bitte warten ..
Mitglied: winlin
17.04.2016 um 12:07 Uhr
Aha ok danke dir für die Info.

Was mir gerade auch Gedanken macht ist das golden Ticket. Habe gerade einiges in youtibe gesehen und wie einfach es ist mit dem krbtgt Hash und mimikatz sich ein golden Ticket zu erstellen welche dann 10jahre gültig ist.

Ne frage, in diesen Videos war der Angreifer stets mit Kali Linux in der Umgebung d.h. Sein kali war in der Umgebung die er angreift. Wie aber bekommt der Angreifer das hin wenn er außerhalb der Umgebung ist????? Also wenn er sein Kali zuhause auf dem Laptop hat und ein Firmennetzwerk angreifen will????

Welche Möglichkeiten gibt es mich davor zu schützen das der Angreifer also dieses Ticket nicht generieren kann???nützt ja nicht viel wenn ich alle Passwörter ändere oder??? Ich muss dann das krbtgt ändern aber das get ja nur manuell oder????
Bitte warten ..
Mitglied: agowa338
17.04.2016, aktualisiert um 12:14 Uhr
habe in unserer Umgebung entdeckt das fast alle Clients nicht einen DNS Server in den Netzwerk configs eingestellt haben sondern den AD/DNS direkt?!? Ich gehe davon aus das dies ein honey pot für nen Angreifer ist weil wenn er den nameserver rausfindet er dann direkt das AD hat?!? Oder?!????
Ist prinzipiell egal (jedoch kenne ich deine Struktur nicht), wenn ich deinen DC wissen will, mache ich einfach ein "nslookup domain.com" bzw. "nslookup _msdcs.domain.com". Denn die Domänenzugehörigkeit des Klients kann ich problemlos abfragen...
Ich Zitiere hierfür mal frei eine Frage aus dem Microsoft 70-410 Kurs: "Sie müssen sicherstellen, dass nur die Mitglied der Domäne Einträge in der Zone <domain.com> registrieren können." Antwort: "Als erstes die Zone auf einen DC verschieben" Begründung: "Für AD-integrierte Zonen kann 'Nur sichere dynamische Updates zulassen' aktiviert werden."
Möchte direkt ein paar Tests machen und bräuchte Befehle oder paar Skripte oder eben kleine howto's
Zonentransfer kannst do so testen: dig axfr @dns-server domain.com
Amazon
Offensive Security (Links unter Navigation auf "First klick expands, second follows link")

Wie aber bekommt der Angreifer das hin wenn er außerhalb der Umgebung ist
Ganz einfach, metasploit hat eine Relay Funktion, die dir das einfach durchschleust wie bei einem VPN ;-) face-wink

Naja, zu Golden Ticket, fragen wir mal Microsoft: Microsoft Virtual Academy - The Golden Ticket
Bitte warten ..
Mitglied: winlin
17.04.2016 um 12:55 Uhr
Kannst du mir das Prinzip des metasploit mit der relay Funktion erklären??? Was macht der Angreifer genau wenn er vor seiner Büchse sitzt um ein Firmennetzwerk anzugreifen???
Bitte warten ..
Mitglied: agowa338
17.04.2016 um 13:30 Uhr
1. Er versucht irgend wie erst einmal in dein Netz zu kommen, entweder über eine Software Schwachstelle, oder viel häufiger über Social engineering (Probier das mit dem Praktikanten, was ich vorher geschrieben habe mal aus, dann weist du wie einfach das sein kann)
2. Sobald das Opfer nun z. B. den E-Mail Anhang geöffnet hat, wird eine Reverse Shell mit dem C&C server aufgebaut.
3. Nun kann der Angreifer von seiner Maschine aus diese als relay verwenden, indem er folgendes in sein metasploit eintippt:
"msf exploit(ms08_067_netapi) > route add 10.5.5.5 255.255.255.255 1"
sieht fast so aus, wie ein normales route add, nur dass es aus einer metasploit shell eine etwas andere Bedeutung hat. Die "1" am ende steht für die Session. Kurz gesagt, der Angreifer verwendet den Klient als Router in dein Netzwerk.
Alternativ, kann ich mir auch einzelne Ports weiterleiten lassen, etc....

Es gibt sehr viele Wege für einen Angreifer, aber der erste Schritt zu abwehr ist zu denken wie ein Angreifer.
Beispiel: Die Switch verhindern arp poisoning routing, was machst du als Angreifer um trotzdem den gesamten Netzwerk verkehr mitlesen zu können? Wenn ich dazu noch erwähne, dass switche wie hubs funktionieren, falls die SAT Tabelle den passenden host nicht enthält, sollte der Groschen fallen. Falls nicht, möchte ich noch erwähnen, dass diese Tabelle durch ausgehende Datenpakete befüllt und in ihrer Größe begrenzt ist. Also sendet der Angreifer natürlich einfach so viele gefälschte Datenpakete in dein Netz, bis die SAT-Tabelle am Switch voll ist und dieser zum Hub degradiert ist. Ich könnte hiervon noch viele beispiele aufzählen, aber "Du musst noch sehr viel lernen, mein sehr junger Padawan." ;-) face-wink
=> Kurz und knapp kenne deine Infrastruktur, die Schwächen deiner Geräte und Protokolle.
Bitte warten ..
Mitglied: winlin
17.04.2016 um 13:49 Uhr
Hey du erklärt wirklich h super und ich wäre froh wenn i h bei uns jemanden hätte der so ausführlich und knapp solche Dinge erklären kann:-) face-smile hast recht bin recht am Anfang aber du gibst mir schon gute Ansatzpunkte kte wo ich mich weiterhin i formieren muss. Danke echt:-) face-smile

Werde erst mal das hardening unserer Controller nach Microsoft Empfehlung umsetzen und auch das Kerberos
Bitte warten ..
Mitglied: agowa338
LÖSUNG 17.04.2016, aktualisiert um 14:30 Uhr
Schön das zu hören, ein guter einstieg in alle Microsoft Themen ist übrigens die Microsoft Virtual Academy. Das Größte Problem dabei ist die Zeit zu finden ;-) face-wink
Und wenn du richtig gut werden willst, schau dir den Weg zum MCSE. Du must nicht alle Prüfungen machen, um dich in die Themen, die du benötigst einzulesen. Dadurch hast du schon mal eine Auflistung zum Durchgehen der Themen für den Anfang.

bei uns jemanden hätte der so ausführlich und knapp solche Dinge erklären kann
Kannst mir ja ein Angebot schicken :D
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 23 StundenTippErkennung und -Abwehr5 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Windows Server
Hat Microsoft die WindowsServerSicherung oder diskpart zerpatcht?
anteNopeVor 18 StundenFrageWindows Server3 Kommentare

Hallo, kann es eventuell sein, dass Microsoft mit seinen letzten Updates die WindowsServerSicherung bzw. diskpart zerschossen hat? Es häufen sich bei mir seit gestern ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...

Windows 10
Lokales Profil wird beim Herunterfahren gelöscht!
Yuuto.LucasVor 1 TagFrageWindows 1011 Kommentare

Hallo, ich habe aktuell folgendes Problem. An einem Kundenrechner ist aktuell ein Lokales Profil eingerichtet (vorher ein Server Profil bei dem das gleiche Problem ...