SO bewegen sich Hacker durch Dein Netzwerk - Lateral Movement mit Ligolo-NG
Ғылым және технология
Stell Dir mal vor ein Angreifer hat den ersten Fuß in Euer Netzwerk gesetzt.
... er hat vielleicht einen Webserver in der DMZ gekapert.
WAS kann der Angreifer jetzt tun um sich weiterzubwegen? Um noch mehr Schaden anzurichten.
Ich zeige Euch heute, wie sich Angreifer LATERAL in Netzwerken bewegen um weitere Systeme anzugreifen.
Offizielle Repo von ligolo-ng: github.com/nicocha30/ligolo-ng
#hacking #kali #kalilinux #hackingwithkali #ligolo-ng
#lateralmovement
Пікірлер: 36
kein Intro direkt zur Sache - THANK GOD, wenigstens einer der es versteht.
Dude, kaum am start schon bin ich großer Fan von dir. Bleib genau bei dem was du gerade machst. Genau richtig, genau soviel Information die man braucht. 😀 Hoffe das du schnell viele Follower bekommst - und vergiss dann nicht deine Early Adopters. 🙂
@safelinkit
27 күн бұрын
Danke für das Kompliment, @GoodSoulGermany - Das freut mich sehr 🤩 Vergessen wird hier niemand 🫡
Endlich super content und made in Germany. Abo iz da. Machst du auch CTF?
@safelinkit
14 күн бұрын
Danke Dir :) CTFs auf HacktheBox und TryHackMe schon - Live CTFs bisher nicht.
Geiler Channel, weiter so!
@safelinkit
23 сағат бұрын
Danke Dir. Freut mich, dass es Dir gefällt.
Das ist interessant, danke für die Aufklärung. 👍
@safelinkit
27 күн бұрын
Freut mich, dass es Dir gefallen hat.
Super beitrag vielen Dank
@safelinkit
27 күн бұрын
Schön, dass es Dir gefallen hat.
Abo verdient, Super Video!
@safelinkit
26 күн бұрын
Dank Dir, bro 🫡
also am meisten verstört mich immernoch die tatsache dass du win11 nutzt :D
@safelinkit
27 күн бұрын
Hahaha, unter Kali krieg ich leider das OBS zum Aufnehmen nicht ans Laufen - bzw. hab ich da alle Kerne auf Anschlag, sodass fast sonst nix mehr geht.
@Karstadtdetektiv
26 күн бұрын
ngl als er ipconfig statt ifconfig geschrieben hat hat mich gebrochen :D
@safelinkit
26 күн бұрын
@@Karstadtdetektiv Hahaha, man merkt doch nicht etwa, dass ich aus der Windows-Welt komme, oder? 🤭
@einfachnurjan79
23 күн бұрын
was soll er sonst benutzen? kartoffel OS?
Den Kommentaren anzunehmen sind hier alle Pentester 💪
Was ist an diesem tool eigentlich der Mehrwert? Wenn ich mich recht erinnere kannst auch mit metasploit von einem zum anderen rechner im Netz gehen. Ich glaube Unicorn ist auch sowas gewesen, und lief wohl inmemory. Nun bin ich nur ein officeanwender und kein hacker aber es fehlt mir in diesem Video die Erklärung was bei dem tool so toll ist ausser das es wohl schneller als ne proxychain ist. Würde das im siem bzw soc nicht aufblinken wenn hier exen aufgerufen werden und fremde Prozesse aus dem system laufen und sicher ein eigenes socket bzw port nutzen der nicht normal auf einem datenbankserver sein wird. Wie hättest du eigentlich die exe auf den db server gebracht. Mit ner remoteshell dann hättest ja eh direkte verbindung oder nimmst du an das du befehle ähnlich der Shell Befehle über die DB absetzen kannst um das setup zu erzeugen. Aber sieht echt toll aus das Video werd mur sicher noch einige Videos von dir ansehen. Tolles Studio und sympathischer Mensch. Immer weiter so !
@safelinkit
14 күн бұрын
Es gibt viele Tools, mit denen sich pivoting bewerkstelligen lässt. Mir gefällt Ligolo-NG am Besten, da es ziemlich unkompliziert, stabil und schnell ist. Außerdem kann ich alle weiteren Tools halbwegs "normal" benutzen und der Traffic wird einfach durch den Jumphost geroutet. Der Jumphost arbeitet also (fast) wie ein normaler Router für den Angreifer, was extrem praktisch ist. Ob und was im SIEM landet und vom SOC bearbeitet oder evtl. vom EDR gefressen wird, ist extrem individuell... und längst nicht jedes Netzwerk wird von einem SOC überwacht. Im KMU-Bereich sind SIEM/SOC extrem selten (weil teuer). Derzeit sind MDR-Services stark im kommen (also quasi SOC on deamnd), was as auch dem Mittelstand ermöglicht, solche Dienste zu nutzen - unterm Strich aber natürlich immer noch ne ganze Ecke teurer, als ne 08/15 Antivirus-Lösung, von #damals. (Da wird noch einiges an Umdenken stattfinden müssen). Auf den DB-Server musste ja die exe nicht, sondern nur auf den Jumphost. Sofern Dateien von/zum DB-Server transferiert werden müssen, geht das auch mit Ligolo recht entspannt: Entweder erst zum Jumphost und von dort zum DB-Server oder z.B. via Python http.server auf den Angreifer und certutil/powershell auf dem DB-Server. Der DB-Server muss aber generell erstmal angegriffen werden - hier in dem Video ging es ja erstmal nur darum, ihn überhaupt auf Netzwerkebene zu erreichen. Cheers
Was wäre eine bessere Alternative zu dual homed? Du meintest ja "da war der Zuständige faul"... Wie macht man es richtig?
@safelinkit
26 күн бұрын
Danke für Deine Frage. Wie am Ende erwähnt, sollte so ein von extern erreichbarer Server in einer DMZ stehen. Somit läuft der Traffic vom extern erreichbaren Server nochmal durch eine Firewall, bevor es ins interne Netzwerk geht und dort ist auch nur genau der Traffic zugelassen ist, der absolut notwendig ist. Also z.B. sowas wie: Quelle: Webserver1 Service: TCP/1433 Ziel: DB-ServerX Außerdem können weitere Systeme wir IDS/IPS nochmal über den Traffic Webserver => DB-Server schauen und ggf. schadhaften Traffic ruasfiltern/blocken. Ist auch in einigen Richtlinien so festgeschrieben - ISO27001 z.B. Bei dualhomed Servern ist bei einer Kompromittierung gleich alles im internen Netz erreichbar, was es dem Angreifer natürlich deutlich einfacher macht.
@miguelschink828
26 күн бұрын
@@safelinkit Klingt schlüssig. Danke für die schnelle Antwort. Gibt es denn noch eine Alternative zu dualhomed? Mir fällt da nämlich nichts ein :D Ich bin bei so einem System doch irgendwie auf eine 2. Netzwerkkarte angewiesen, oder nicht?
@safelinkit
25 күн бұрын
@@miguelschink828 Bin mir nicht ganz sicher was Du meinst. Im Video beschreibe ich ab 11:02 Min, wie der Traffic laufen sollte, wenn der (in diesem Fall) Webserver nur eine NIC in der DMZ hat.
Wie wäre es statt über die Firewall einen Ngnx Proxy dazwischen zu schalten? Dann kommst normal auch nicht in das andere Netz.
@safelinkit
14 күн бұрын
Kommt immer darauf an, welche Dienste man dahinter hat. In dem Video hatte ich das Beispiel einer MSSQL-Verbindung genannt - sowas habe ich persönlich noch nicht durch einen nginx durchgeprügelt und weiss nicht, ob er es kann, aber prinzipiell gibt es natürlich Lösungen dafür (z.B. n Loadbalancer á la Kemp oder Netscaler - haproxy müsste das eigentich auch können). Sofern der reverse proxy den benötigten Dienst unterstützt ist das aber auf jeden Fall eine valide Lösung, denn dann kommt ja nur der Applikationstraffic zum jew. Zielsevrer durch und nicht gleich alles ins komplette, interne Netzwerk.
Vllt kannst du ja 1 Video machen wie man mit ner nzyme Node den Angriff mitbekommen hätte wäre glaub auch ganz interessant. Glaub für viele ist das Szenario bisschen weit weg, gehacktes WPA2 WLAN oder gehackte ungpatched FritzBox wäre näher an der Alltagsrealität.
@safelinkit
26 күн бұрын
Das ist halt eher Alltag in Firmennetzwerken (analog zu den AD-Videos). Mit nzyme habe ich noch nicht gearbeitet - sihet auf den ersten Blick aber sehr cool aus. Kennst Du Dich damit aus? Baue im Lab grad ein SIEM mit Wazuh zur Angriffsdetektion auf - dauert aber noch n biserl. Zum Thema WLAN-Cracking kommt auch noch n Video - allerdings nichts, was es nicht schon seit Jahren gibt.
Und jetzt frage ich mich, wie man jemanden vom ersten Schritt abhält - das Kapern des Servers in der DMZ.
@safelinkit
14 күн бұрын
Da gelten die üblichen Grundsätze der IT-Security, wie z.B.: Starke Passwortrichtlinie, MFA, Patch-Management, Account-Tiering, Least-Privilege, Firewalling/WAF, Attack Surface Reduction uuuund so weiter.
@Sypaka
14 күн бұрын
@@safelinkit meine Passwortrichtlinie ist "usermod -s /bin/nologin --lock" und Firewall UFW mit "default incoming deny". Sollte reichen, oder?
Eieiei, wer einen Server mit 2 Nics in die DMZ stellt, hat selbst schuld 😂
@safelinkit
22 күн бұрын
Hehe, das stimmt. Leider seh ich sowas immer wieder. Oder auch intern von Subnetz A in Subnetz B, C und D - gern verwendet bei Backup- oder Monitoring-Servern. Auch schon bei der Softwareverteilung gesehen. Damit wird auch die interne Netzwerksegmentierung ad absurdum geführt.
Airgeddon wifi Hack
@safelinkit
14 күн бұрын
Für WLAN ist demnächst was geplant - Airgeddon kann ich da mit reinnehmen.