Danke für das Kompliment, @GoodSoulGermany - Das freut mich sehr 🤩 Vergessen wird hier niemand 🫡

Hahaha, unter Kali krieg ich leider das OBS zum Aufnehmen nicht ans Laufen - bzw. hab ich da alle Kerne auf Anschlag, sodass fast sonst nix mehr geht.

ngl als er ipconfig statt ifconfig geschrieben hat hat mich gebrochen :D

@@Karstadtdetektiv Hahaha, man merkt doch nicht etwa, dass ich aus der Windows-Welt komme, oder? 🤭

was soll er sonst benutzen? kartoffel OS?

Danke Dir. Freut mich, dass es Dir gefällt.

Freut mich, dass es Dir gefallen hat.

Schön, dass es Dir gefallen hat.

Dank Dir, bro 🫡

Danke Dir :) CTFs auf HacktheBox und TryHackMe schon - Live CTFs bisher nicht.

Es gibt viele Tools, mit denen sich pivoting bewerkstelligen lässt. Mir gefällt Ligolo-NG am Besten, da es ziemlich unkompliziert, stabil und schnell ist. Außerdem kann ich alle weiteren Tools halbwegs "normal" benutzen und der Traffic wird einfach durch den Jumphost geroutet. Der Jumphost arbeitet also (fast) wie ein normaler Router für den Angreifer, was extrem praktisch ist. Ob und was im SIEM landet und vom SOC bearbeitet oder evtl. vom EDR gefressen wird, ist extrem individuell... und längst nicht jedes Netzwerk wird von einem SOC überwacht. Im KMU-Bereich sind SIEM/SOC extrem selten (weil teuer). Derzeit sind MDR-Services stark im kommen (also quasi SOC on deamnd), was as auch dem Mittelstand ermöglicht, solche Dienste zu nutzen - unterm Strich aber natürlich immer noch ne ganze Ecke teurer, als ne 08/15 Antivirus-Lösung, von #damals. (Da wird noch einiges an Umdenken stattfinden müssen). Auf den DB-Server musste ja die exe nicht, sondern nur auf den Jumphost. Sofern Dateien von/zum DB-Server transferiert werden müssen, geht das auch mit Ligolo recht entspannt: Entweder erst zum Jumphost und von dort zum DB-Server oder z.B. via Python http.server auf den Angreifer und certutil/powershell auf dem DB-Server. Der DB-Server muss aber generell erstmal angegriffen werden - hier in dem Video ging es ja erstmal nur darum, ihn überhaupt auf Netzwerkebene zu erreichen. Cheers

Danke für Deine Frage. Wie am Ende erwähnt, sollte so ein von extern erreichbarer Server in einer DMZ stehen. Somit läuft der Traffic vom extern erreichbaren Server nochmal durch eine Firewall, bevor es ins interne Netzwerk geht und dort ist auch nur genau der Traffic zugelassen ist, der absolut notwendig ist. Also z.B. sowas wie: Quelle: Webserver1 Service: TCP/1433 Ziel: DB-ServerX Außerdem können weitere Systeme wir IDS/IPS nochmal über den Traffic Webserver => DB-Server schauen und ggf. schadhaften Traffic ruasfiltern/blocken. Ist auch in einigen Richtlinien so festgeschrieben - ISO27001 z.B. Bei dualhomed Servern ist bei einer Kompromittierung gleich alles im internen Netz erreichbar, was es dem Angreifer natürlich deutlich einfacher macht.

@@safelinkit Klingt schlüssig. Danke für die schnelle Antwort. Gibt es denn noch eine Alternative zu dualhomed? Mir fällt da nämlich nichts ein :D Ich bin bei so einem System doch irgendwie auf eine 2. Netzwerkkarte angewiesen, oder nicht?

@@miguelschink828 Bin mir nicht ganz sicher was Du meinst. Im Video beschreibe ich ab 11:02 Min, wie der Traffic laufen sollte, wenn der (in diesem Fall) Webserver nur eine NIC in der DMZ hat.

Das ist halt eher Alltag in Firmennetzwerken (analog zu den AD-Videos). Mit nzyme habe ich noch nicht gearbeitet - sihet auf den ersten Blick aber sehr cool aus. Kennst Du Dich damit aus? Baue im Lab grad ein SIEM mit Wazuh zur Angriffsdetektion auf - dauert aber noch n biserl. Zum Thema WLAN-Cracking kommt auch noch n Video - allerdings nichts, was es nicht schon seit Jahren gibt.

Kommt immer darauf an, welche Dienste man dahinter hat. In dem Video hatte ich das Beispiel einer MSSQL-Verbindung genannt - sowas habe ich persönlich noch nicht durch einen nginx durchgeprügelt und weiss nicht, ob er es kann, aber prinzipiell gibt es natürlich Lösungen dafür (z.B. n Loadbalancer á la Kemp oder Netscaler - haproxy müsste das eigentich auch können). Sofern der reverse proxy den benötigten Dienst unterstützt ist das aber auf jeden Fall eine valide Lösung, denn dann kommt ja nur der Applikationstraffic zum jew. Zielsevrer durch und nicht gleich alles ins komplette, interne Netzwerk.

Da gelten die üblichen Grundsätze der IT-Security, wie z.B.: Starke Passwortrichtlinie, MFA, Patch-Management, Account-Tiering, Least-Privilege, Firewalling/WAF, Attack Surface Reduction uuuund so weiter.

@@safelinkit meine Passwortrichtlinie ist "usermod -s /bin/nologin --lock" und Firewall UFW mit "default incoming deny". Sollte reichen, oder?

Hehe, das stimmt. Leider seh ich sowas immer wieder. Oder auch intern von Subnetz A in Subnetz B, C und D - gern verwendet bei Backup- oder Monitoring-Servern. Auch schon bei der Softwareverteilung gesehen. Damit wird auch die interne Netzwerksegmentierung ad absurdum geführt.

Für WLAN ist demnächst was geplant - Airgeddon kann ich da mit reinnehmen.