Grundlagen der Windows-Exploitation: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „==Einleitung== '''Hinweis:''' In diesem Artikel wird zusammengefasst, wie typische Angriffsvektoren auf Windows-Systeme aussehen. Dabei geht es um die Nutzu…“)
 
(kein Unterschied)

Aktuelle Version vom 27. April 2025, 05:29 Uhr

Einleitung

Hinweis: In diesem Artikel wird zusammengefasst, wie typische Angriffsvektoren auf Windows-Systeme aussehen. Dabei geht es um die Nutzung von PowerShell und der Eingabeaufforderung (CMD), Methoden zur Rechteausweitung (Privilege Escalation) sowie das gezielte Ausnutzen von Windows-Funktionen. Die Befehle dienen ausschließlich zu Lernzwecken in abgesicherten Testumgebungen.

Was ist Windows-Exploitation?

Windows-Exploitation ist der Prozess, bei dem Schwachstellen (Vulnerabilities) im Windows-Betriebssystem oder in seiner Software ausgenutzt werden, um unautorisierten Zugriff, Kontrolle oder Daten von einem Computer zu erlangen. Angreifer verwenden Werkzeuge wie die Eingabeaufforderung (CMD) und PowerShell, um Befehle auszuführen, Skripte zu starten oder sich im Netzwerk zu bewegen.

PowerShell bei der Ausnutzung

PowerShell Grundlagen

"PowerShell ist ein Skriptwerkzeug für Administratoren."

Führt Befehle auf entfernten Systemen aus.
  • Invoke-Command
Richtet den Fernzugriff ein.
  • Enable-PSRemoting

PowerShell bei dateilosen Angriffen

"Wird für dateilose Angriffe verwendet!"

Lädt Skripte herunter und führt sie aus.
  • IEX (New-Object Net.WebClient).DownloadString

Privilegienerweiterung (Erlangen von Administratorrechten)

Wichtige Befehle

Zeigt aktuelle Berechtigungen an.
  • whoami /priv
Fügt einen Benutzer der Administratorgruppe hinzu.
  • net localgroup administrators <Benutzer> /add

Warum das wichtig ist

Privilegienerweiterung ist der Schlüssel, um vollständige Kontrolle über das System zu erlangen und Befehle als Administrator auszuführen.

Ausnutzen von Windows-Funktionen

Überprüfen, ob Klartextpasswörter in der Registry gespeichert sind.
  • reg query HKLM\SAM /f "password"
Deaktiviert den Schutz beim sicheren Start (Secure Boot).
  • bcdedit /set {current} bootstatuspolicy ignoreallfailures
Führt eine versteckte Eingabeaufforderung (CMD) aus.
  • wmic process call create "cmd.exe"

CMD-Grundlagen für die Ausnutzung

Aktuellen Benutzer anzeigen.
  • whoami
Alle Systembenutzer auflisten.
  • net user
Laufende Prozesse anzeigen.
  • tasklist
Einen Prozess beenden.
  • taskkill /PID <id>
Aktive Netzwerkverbindungen anzeigen.
  • netstat -ano
Abgerufen von „http://wiki.ixheim.de/index.php?title=Grundlagen_der_Windows-Exploitation&oldid=62314