Zur erfolgreichen und vor allem effizienten Durchführung von Sicherheitsüberprüfungen, ist eine umfangreich nutzbare Arbeitsumgebung erforderlich. In technischem Sinn muss ein flexibles Betriebssystem her, mit dem die jeweiligen Zugriffe durchgeführt werden können. Offene Betriebssysteme, allen voran Linux, sind deshalb für viele Pentester die bevorzugte Wahl.

Es gibt jedoch Situationen, in denen ist es nicht möglich, auf die gewohnte oder gewünschte Umgebung zurückzugreifen zu können. Zum Beispiel dann, wenn im Rahmen eines Tests die typische Umgebung eines Angreifers – zum Beispiel eines internen Mitarbeiters mit seiner lokalen Workstation – nachgestellt werden will. Für so manchen Pentester tut sich damit eine erste Hürde auf, sich wie üblich mit dem eigentlichen Ziel der Sicherheitsüberprüfung auseinandersetzen zu können.

Nachfolgend soll ein kleines Cheatsheet zur Verfügung gestellt werden, um wiederkehrende Aufgaben in einer restriktiv ausgelegten Windows-Umgebung möglichst einfach und effizient durchführen zu können:

• Zugriff auf Eingabeaufforderung
  • Start/Ausführen/cmd.exe
  • Start/Ausführen/command.com (falls cmd.exe nicht verfügbar)
  • Zugriff aus Internet Explorer (in URL-Zeile)
  • Zugriff aus Office-Dokument (Hyperlink zu Kommando erstellen)

• Finden von Texten
  • Eingabeaufforderung: find "string" file.txt
  • Word: Bearbeiten/Suchen

• Extrahieren von Strings
  • VBS / VBA: LIKE Funktion (Beispiel: result = Input Like "B?T*")
  • Word: Navigation/Dokument durchsuchen/Erweiterte Suche/Suchen in/Hauptdokument, danach Copy&Paste
  • Excel: Formeln (am besten drei separate Formeln)
    • $RESULTAT =TEIL('source'!A1; $START; $ENDE-$START)
    • $START =FINDEN("href=";'source'!A1; 1)
    • $ENDE =FINDEN("""";'source'!A1; $START)

• System auswerten
  • sysinfo.exe: Infos zum System (inkl. Hotfixes)
  • tasklist.exe: Anzeige aller laufenden Tasks (falls taskmgr.exe blockiert)

• Dateisystem auswerten
  • Zugriff _Speichern als_-Dialogboxen (Autocomplete in Dazeizeile)
  • Zugriff aus Internet Explorer (Autocomplete in URL-Zeile)
  • tree.exe: Anzeigen der Verzeichnisstruktur
  • dir.exe: Verschiedene Parameter benutzen
    • /A – Anzeigen aller Attribute
    • /Q – Anzeigen des Owners
    • /S – Rekursive Anzeige (inkl. Unterordner)

• Netzwerk auswerten
  • arp.exe -a: Im lokalen Netz verbundene Hosts anzeigen
  • netstat.exe: Verschiedene Parameter nutzen
    • -t xx – zur automatischen Aktualisierung der Ausgabe
    • -a – Anzeigen aller Ports
    • -b – Assoziation eines Executables zu einem Port
    • -e – Anzeigen der Ethernet-Statistiken

Durch diese Mechanismen wird es möglich, das System auswerten zu können, erweiterte Rechte zu erlangen und mühsame Aufgaben effizienter bzw. automatisiert zu gestalten.

Über den Autor

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

• http://msdn.microsoft.com/en-us/library/swf8kaxw.aspx