Maximilian.pottgiesser: /* Szenario 1 – Red Team Reconnaissance */

2026-02-25T11:00:18Z

Szenario 1 – Red Team Reconnaissance

Maximilian.pottgiesser: /* Szenario 1 – Red Team Reconnaissance */

2026-02-25T11:00:06Z

Szenario 1 – Red Team Reconnaissance

Maximilian.pottgiesser: /* HTTP/HTTPS Enumeration (DMZ) */

2026-02-25T06:48:31Z

HTTP/HTTPS Enumeration (DMZ)

Maximilian.pottgiesser: /* Phase 3 – Service & Version Detection */

2026-02-25T06:48:11Z

Phase 3 – Service & Version Detection

Maximilian.pottgiesser: /* Phase 2 – Port Scanning Techniken */

2026-02-25T06:48:01Z

Phase 2 – Port Scanning Techniken

Maximilian.pottgiesser: /* Discovery deaktivieren (wenn ICMP geblockt) */

2026-02-25T06:47:54Z

Discovery deaktivieren (wenn ICMP geblockt)

Maximilian.pottgiesser: /* Phase 1 – Host Discovery (Ping Scans) */

2026-02-25T06:47:48Z

Phase 1 – Host Discovery (Ping Scans)

Maximilian.pottgiesser: Die Seite wurde neu angelegt: „= Nmap Praxis – Cybersecurity Training = == Netzwerkübersicht == {| class="wikitable" ! Segment !! Netz !! Relevante Hosts |- | WAN || 192.168.Y.0/24 || h…“

2026-02-25T06:47:06Z

Die Seite wurde neu angelegt: „= Nmap Praxis – Cybersecurity Training = == Netzwerkübersicht == {| class="wikitable" ! Segment !! Netz !! Relevante Hosts |- | WAN || 192.168.Y.0/24 || h…“

Neue Seite

= Nmap Praxis – Cybersecurity Training =

== Netzwerkübersicht ==

{| class="wikitable"
! Segment !! Netz !! Relevante Hosts
|-
| WAN || 192.168.Y.0/24 || host200, Roadwarrior
|-
| DMZ || 10.0.10.0/24 || www.microsott.de (Apache2 + Wazuh Agent), waf.microsott.de
|-
| LAN || 172.26.53.0/24 || win11, kali
|-
| Server || 172.26.54.0/24 || win2022, sensor, mqtt, aktor, wazuh, elk, ubuntu
|}

'''Wichtige Hinweise zur Umgebung:'''
* Der Kali-Client (172.26.53.0/24) wird als Angreifer-System für alle Scans verwendet.
* Auf '''www.microsott.de''' läuft ein '''Apache2-Webserver''' mit einem '''Wazuh Agent''', der die Apache2-Logs an den Wazuh-Server weiterleitet.
* Scans gegen die DMZ werden dadurch in Wazuh '''detektiert und geloggt''' – ideal für Blue Team Übungen.

----

== Phase 1 – Host Discovery (Ping Scans) ==

Ziel: Welche Hosts sind überhaupt erreichbar?

=== ICMP Echo Request (klassischer Ping-Scan) ===
<pre>
nmap -sn 172.26.54.0/24
</pre>

=== Kombinierter Discovery (TCP SYN + UDP + ICMP) ===
<pre>
nmap -sn -PE -PS22,80,443 -PU53 172.26.54.0/24
</pre>

=== ARP-Scan im eigenen Segment (LAN) ===
<pre>
nmap -sn --send-eth 172.26.53.0/24
</pre>

=== Alle drei Segmente auf einmal ===
<pre>
nmap -sn 10.0.10.0/24 172.26.53.0/24 172.26.54.0/24
</pre>

=== Discovery deaktivieren (wenn ICMP geblockt) ===
<pre>
nmap -Pn 172.26.54.0/24
</pre>

{{Hinweis|'''Lernziel:''' Verstehen, warum <code>-Pn</code> nötig sein kann, wenn eine Firewall ICMP blockiert (OPNsense DMZ-Regeln).}}

----

== Phase 2 – Port Scanning Techniken ==

=== TCP Connect Scan (kein Root nötig) ===
<pre>
nmap -sT 172.26.54.10
</pre>

=== SYN Stealth Scan (Standard, Root erforderlich) ===
<pre>
sudo nmap -sS 172.26.54.10
</pre>

=== UDP Scan ===
UDP-Scans sind langsam, aber wichtig für Dienste wie DNS, SNMP und DHCP.
<pre>
sudo nmap -sU --top-ports 20 172.26.54.0/24

# Spezifisch auf DNS, SNMP, DHCP
sudo nmap -sU -p 53,161,162,67,68 172.26.54.0/24
</pre>

=== Alle Ports scannen ===
<pre>
sudo nmap -p- 172.26.54.10

# Schneller mit min-rate
sudo nmap -p- --min-rate 5000 172.26.54.10
</pre>

=== Top-Ports und manuelle Port-Auswahl ===
<pre>
nmap --top-ports 100 172.26.54.0/24
nmap --top-ports 1000 172.26.54.0/24

# Manuelle Port-Auswahl
nmap -p 22,80,443,3389,8080,8443 172.26.54.0/24
</pre>

=== Firewall-Test gegen DMZ ===
<pre>
# Zeigt gefilterte Ports deutlich
sudo nmap -sS -p 1-1000 10.0.10.0/24
</pre>

{{Hinweis|'''Lernziel:''' Unterschied zwischen <code>open</code>, <code>closed</code> und <code>filtered</code> verstehen. Gefilterte Ports bedeuten aktive Firewall-Regeln (OPNsense).}}

----

== Phase 3 – Service & Version Detection ==

=== Service-Versionen erkennen ===
<pre>
sudo nmap -sV 172.26.54.0/24

# Intensität erhöhen (0-9, Standard 7)
sudo nmap -sV --version-intensity 9 172.26.54.10
</pre>

=== OS-Erkennung ===
<pre>
sudo nmap -O 172.26.54.10
sudo nmap -O --osscan-guess 172.26.54.10
</pre>

=== Kombination aus Service + OS ===
<pre>
sudo nmap -sV -O 172.26.54.0/24
</pre>

=== Zielgerichtete Scans je Host ===

{| class="wikitable"
! Host !! Ports !! Begründung
|-
| win2022 || 22, 135, 139, 445, 3389, 5985, 5986 || RDP, SMB, WinRM
|-
| wazuh || 1514, 1515, 55000, 9200, 443 || Wazuh Manager + API
|-
| elk || 9200, 9300, 5601, 5044 || Elasticsearch, Kibana, Logstash
|-
| mqtt || 1883, 8883, 8083, 8084 || MQTT Broker (plain + TLS)
|-
| ubuntu || 22, 80, 443, 8080 || SSH, Webdienste
|-
| www.microsott.de || 80, 443 || Apache2 (Wazuh Agent aktiv!)
|}

<pre>
# Beispiel: win2022
sudo nmap -sS -sV -p 22,135,139,445,3389,5985,5986 172.26.54.X

# Beispiel: www.microsott.de (Wazuh Agent loggt mit!)
sudo nmap -sS -sV -p 80,443 10.0.10.X
</pre>

----

== Phase 4 – NSE (Nmap Scripting Engine) ==

=== Script-Kategorien ===

{| class="wikitable"
! Kategorie !! Beschreibung
|-
| <code>safe</code> || Harmlose Informationsabfragen
|-
| <code>default</code> || Standard-Scripts (wie <code>-sC</code>)
|-
| <code>discovery</code> || Dienst- und Netzwerkerkennung
|-
| <code>vuln</code> || Schwachstellen-Checks
|-
| <code>intrusive</code> || Aktive Tests, können Systeme beeinflussen
|-
| <code>brute</code> || Passwort-Brute-Force
|-
| <code>exploit</code> || Exploit-Versuche
|}

=== Default Scripts ===
<pre>
sudo nmap -sC 172.26.54.0/24
</pre>

=== SMB-Enumeration (win2022) ===
<pre>
sudo nmap --script smb-enum-shares,smb-enum-users,smb-os-discovery -p 445 172.26.54.X
sudo nmap --script smb-vuln* -p 445 172.26.54.X

# EternalBlue (MS17-010) Check
sudo nmap --script smb-vuln-ms17-010 -p 445 172.26.54.X
</pre>

=== HTTP/HTTPS Enumeration (DMZ) ===

'''Achtung:''' Der Wazuh Agent auf www.microsott.de loggt Apache2-Zugriffe. Diese Scans sind in Wazuh/ELK sichtbar!

<pre>
sudo nmap --script http-headers,http-title,http-methods -p 80,443 10.0.10.X
sudo nmap --script http-enum -p 80,443 10.0.10.X
sudo nmap --script http-robots.txt -p 80 10.0.10.X

# SSL/TLS Informationen
sudo nmap --script ssl-cert,ssl-enum-ciphers -p 443 10.0.10.X
</pre>

=== SSH Enumeration ===
<pre>
sudo nmap --script ssh-auth-methods,ssh-hostkey -p 22 172.26.54.0/24
sudo nmap --script ssh2-enum-algos -p 22 172.26.54.0/24
</pre>

=== MQTT-spezifisch ===
<pre>
sudo nmap --script mqtt-subscribe -p 1883 172.26.54.X
</pre>

=== Vulnerability Scanning ===
<pre>
# Vorsicht: Kann Systeme beeinflussen!
sudo nmap --script vuln 172.26.54.X

# Gegen Apache2 auf www.microsott.de (Wazuh detektiert dies!)
sudo nmap --script vuln -p 80,443 10.0.10.X
</pre>

----

== Phase 5 – Firewall & IDS Evasion ==

'''Wichtig:''' Diese Techniken zeigen, wie Angreifer versuchen, Wazuh und den sensor zu umgehen. Ideal für Red/Blue Team Vergleiche.

=== Fragmentierte Pakete ===
<pre>
sudo nmap -f 10.0.10.0/24
</pre>

=== Decoy Scan (eigene IP verschleiern) ===
<pre>
sudo nmap -D RND:5 172.26.54.X
sudo nmap -D 192.168.1.1,192.168.1.2,ME 172.26.54.X
</pre>

=== Timing-Templates ===

{| class="wikitable"
! Template !! Name !! Verwendung
|-
| <code>-T0</code> || Paranoid || Extrem langsam, maximale IDS-Evasion
|-
| <code>-T1</code> || Sneaky || Langsam
|-
| <code>-T2</code> || Polite || Netzwerkschonend
|-
| <code>-T3</code> || Normal || Standard
|-
| <code>-T4</code> || Aggressive || Schnell
|-
| <code>-T5</code> || Insane || Sehr schnell, sehr laut
|}

<pre>
sudo nmap -T0 172.26.54.X # IDS-Evasion
sudo nmap -T5 172.26.54.X # Maximale Geschwindigkeit
</pre>

=== Source Port Manipulation ===
<pre>
sudo nmap --source-port 53 172.26.54.X
sudo nmap --source-port 80 172.26.54.X
</pre>

=== Idle/Zombie Scan ===
<pre>
# Wenn ein geeigneter Zombie-Host verfügbar ist
sudo nmap -sI 172.26.53.X 172.26.54.X
</pre>

=== Weitere Evasion-Techniken ===
<pre>
# Randomisierte Host-Reihenfolge
sudo nmap --randomize-hosts 172.26.54.0/24

# MTU anpassen
sudo nmap --mtu 16 172.26.54.X
</pre>

----

== Phase 6 – Output & Reporting ==

<pre>
# Normal Output
nmap -oN scan_results.txt 172.26.54.0/24

# XML Output (für Metasploit importierbar)
nmap -oX scan_results.xml 172.26.54.0/24

# Grepbares Format
nmap -oG scan_results.gnmap 172.26.54.0/24

# Alle Formate gleichzeitig
sudo nmap -sS -sV -sC -oA full_scan 172.26.54.0/24

# Nur offene Ports filtern
grep "open" scan_results.gnmap
</pre>

----

== Phase 7 – Aggressive Kombinations-Scans ==

<pre>
# Aggressiver Scan (-A = OS + Version + Scripts + Traceroute)
sudo nmap -A 172.26.54.0/24

# Vollständiger Audit-Scan
sudo nmap -sS -sU -sV -sC -O -p- --min-rate 1000 -oA full_audit 172.26.54.X

# Schneller Netzwerk-Überblick
sudo nmap -sS -sV --top-ports 100 -T4 -oA quick_scan 172.26.54.0/24
</pre>

----

== Übungsszenarien ==

=== Szenario 1 – Red Team Reconnaissance ===

Ziel: Möglichst unauffällig das Netzwerk erkunden.

<pre>
# Schritt 1: Stilles Discovery
sudo nmap -sn -T2 172.26.54.0/24 -oG hosts_up.gnmap

# Schritt 2: Ports auf gefundene Hosts
sudo nmap -sS --top-ports 1000 -iL <(grep "Up" hosts_up.gnmap | awk '{print $2}')

# Schritt 3: Services + Schwachstellen
sudo nmap -sV --script vuln -iL targets.txt
</pre>

=== Szenario 2 – Blue Team Detection Test ===

Ziel: Prüfen, ob Wazuh und ELK den Scan detektieren.

<pre>
# Lauten Scan gegen www.microsott.de durchführen
sudo nmap -A -T4 10.0.10.X
</pre>

Danach in Wazuh und ELK prüfen:
* Wurden Alerts für den Apache2-Zugriff generiert?
* Welche Rule IDs hat Wazuh ausgelöst?
* Hat der '''sensor''' im Server-Netz den Scan-Traffic erfasst?
* Ist der Scan im ELK-Dashboard sichtbar?

=== Szenario 3 – WAF-Test in der DMZ ===

Ziel: Den Unterschied zwischen www.microsott.de (ohne WAF) und waf.microsott.de (mit WAF) sichtbar machen.

Wichtig: Die WAF leitet HTTP auf HTTPS um (301), daher curl mit <code>-sk</code> verwenden.

<pre>
echo "=== OHNE WAF – www.microsott.de (10.0.10.108) ==="
curl -s -o /dev/null -w "Normal: %{http_code}\n" "http://10.0.10.108/"
curl -s -o /dev/null -w "SQLi: %{http_code}\n" "http://10.0.10.108/?id=1' OR '1'='1"
curl -s -o /dev/null -w "XSS: %{http_code}\n" "http://10.0.10.108/?q=<script>alert(1)</script>"
curl -s -o /dev/null -w "Path Traversal: %{http_code}\n" "http://10.0.10.108/../../../etc/passwd"

echo ""
echo "=== MIT WAF – waf.microsott.de (10.0.10.110) ==="
curl -sk -o /dev/null -w "Normal: %{http_code}\n" "https://10.0.10.110/"
curl -sk -o /dev/null -w "SQLi: %{http_code}\n" "https://10.0.10.110/?id=1' OR '1'='1"
curl -sk -o /dev/null -w "XSS: %{http_code}\n" "https://10.0.10.110/?q=<script>alert(1)</script>"
curl -sk -o /dev/null -w "Path Traversal: %{http_code}\n" "https://10.0.10.110/../../../etc/passwd"
</pre>

Erwartetes Ergebnis:
<pre>
=== OHNE WAF – www.microsott.de (10.0.10.108) ===
Normal: 200
SQLi: 200 ← kein Schutz
XSS: 200 ← kein Schutz
Path Traversal: 200 ← kein Schutz

=== MIT WAF – waf.microsott.de (10.0.10.110) ===
Normal: 200
SQLi: 403 ← geblockt!
XSS: 403 ← geblockt!
Path Traversal: 403 ← geblockt!
</pre>

=== Szenario 4 – Wazuh/Apache2 Log-Analyse ===

Ziel: Den Zusammenhang zwischen HTTP-Zugriff und Wazuh-Alert verstehen.

# Scan gegen www.microsott.de durchführen (Apache2 + Wazuh Agent):
<pre>
sudo nmap -sS -sV -p 80,443 10.0.10.108
sudo nmap --script http-headers,http-title,http-enum -p 80 10.0.10.108
</pre>

# Überprüfe danach auf dem Wazuh-Server die Alerts:
<pre>
# Auf dem Wazuh-Manager (172.26.54.X):
tail -f /var/ossec/logs/alerts/alerts.log | grep -i "apache\|web\|http"
</pre>

# Oder im ELK-Dashboard (Kibana) nach dem Index <code>wazuh-alerts-*</code> filtern.

----

== Cheat Sheet – Wichtigste Flags ==

{| class="wikitable"
! Flag !! Bedeutung
|-
| <code>-sS</code> || SYN Stealth Scan
|-
| <code>-sT</code> || TCP Connect Scan
|-
| <code>-sU</code> || UDP Scan
|-
| <code>-sV</code> || Version Detection
|-
| <code>-sC</code> || Default Scripts (wie --script=default)
|-
| <code>-O</code> || OS Detection
|-
| <code>-A</code> || Alles (OS + Version + Scripts + Traceroute)
|-
| <code>-p-</code> || Alle 65535 Ports
|-
| <code>-Pn</code> || Host-Discovery überspringen
|-
| <code>-T0</code> – <code>-T5</code> || Timing (langsam → schnell)
|-
| <code>-oA</code> || Output in alle Formate (Normal, XML, Grepbar)
|-
| <code>--script</code> || NSE Script(s) laden
|-
| <code>-f</code> || Fragmentierte Pakete (Evasion)
|-
| <code>-D</code> || Decoy-Scan (IP verschleiern)
|-
| <code>--source-port</code> || Quellport manuell setzen
|-
| <code>--min-rate</code> || Mindest-Paketrate (z.B. --min-rate 5000)
|-
| <code>-iL</code> || Ziele aus Datei einlesen
|}

----

== Weiterführende Quellen ==

* [https://nmap.org/book/man.html Nmap Reference Guide (offiziell)]
* [https://nmap.org/nsedoc/ NSE Script-Dokumentation]
* [https://documentation.wazuh.com/current/user-manual/ruleset/ruleset-xml-syntax/rules.html

← Nächstältere Version		Version vom 25. Februar 2026, 11:00 Uhr
Zeile 319:		Zeile 319:

	# Schritt 2: Ports auf gefundene Hosts		# Schritt 2: Ports auf gefundene Hosts
−	~~# Hinweis: <(...) Process Substitution funktioniert nicht mit sudo!~~
−	~~# Stattdessen per Pipe oder targets.txt:~~
	grep "Up" hosts_up.gnmap \| awk '{print $2}' \| sudo nmap -sS --top-ports 1000 -iL -		grep "Up" hosts_up.gnmap \| awk '{print $2}' \| sudo nmap -sS --top-ports 1000 -iL -

← Nächstältere Version		Version vom 25. Februar 2026, 06:48 Uhr
Zeile 179:		Zeile 179:

	=== HTTP/HTTPS Enumeration (DMZ) ===		=== HTTP/HTTPS Enumeration (DMZ) ===
−
−	~~'''Achtung:''' Der Wazuh Agent auf www.microsott.de loggt Apache2-Zugriffe. Diese Scans sind in Wazuh/ELK sichtbar!~~

	<pre>		<pre>

@@ Zeile 319: / Zeile 319: @@
 # Schritt 2: Ports auf gefundene Hosts
-sudo nmap -sS --top-ports 1000 -iL <(grep "Up" hosts_up.gnmap | awk '{print $2}')
+# Hinweis: <(...) Process Substitution funktioniert nicht mit sudo!
-# Schritt 3: Services + Schwachstellen
+# Schritt 3: Ziele in Datei schreiben, dann scannen
 sudo nmap -sV --script vuln -iL targets.txt
 </pre>

@@ Zeile 141: / Zeile 141: @@
 sudo nmap -sS -sV -p 80,443 10.0.10.X
 </pre>
 == Phase 4 – NSE (Nmap Scripting Engine) ==

@@ Zeile 94: / Zeile 94: @@
 sudo nmap -sS -p 1-1000 10.0.10.0/24
 </pre>
 == Phase 3 – Service & Version Detection ==

@@ Zeile 50: / Zeile 50: @@
 nmap -Pn 172.26.54.0/24
 </pre>
 == Phase 2 – Port Scanning Techniken ==

@@ Zeile 51: / Zeile 51: @@
 </pre>
-{{Hinweis|'''Lernziel:''' Verstehen, warum <code>-Pn</code> nötig sein kann, wenn eine Firewall ICMP blockiert (OPNsense DMZ-Regeln).}}
 ----

Nmap Aufgaben 8421 - Versionsgeschichte

Maximilian.pottgiesser: /* Szenario 1 – Red Team Reconnaissance */

Maximilian.pottgiesser: /* Szenario 1 – Red Team Reconnaissance */

Maximilian.pottgiesser: /* HTTP/HTTPS Enumeration (DMZ) */

Maximilian.pottgiesser: /* Phase 3 – Service & Version Detection */

Maximilian.pottgiesser: /* Phase 2 – Port Scanning Techniken */

Maximilian.pottgiesser: /* Discovery deaktivieren (wenn ICMP geblockt) */

Maximilian.pottgiesser: /* Phase 1 – Host Discovery (Ping Scans) */

Maximilian.pottgiesser: Die Seite wurde neu angelegt: „= Nmap Praxis – Cybersecurity Training = == Netzwerkübersicht == {| class="wikitable" ! Segment !! Netz !! Relevante Hosts |- | WAN || 192.168.Y.0/24 || h…“