Zur erfolgreichen und vor allem effizienten Durchführung von Sicherheitsüberprüfungen, ist eine umfangreich nutzbare Arbeitsumgebung erforderlich. In technischem Sinn muss ein flexibles Betriebssystem her, mit dem die jeweiligen Zugriffe durchgeführt werden können. Offene Betriebssysteme, allen voran Linux, sind deshalb für viele Pentester die bevorzugte Wahl.

Es gibt jedoch Situationen, in denen ist es nicht möglich, auf die gewohnte oder gewünschte Umgebung zurückzugreifen zu können. Zum Beispiel dann, wenn im Rahmen eines Tests die typische Umgebung eines Angreifers – zum Beispiel eines internen Mitarbeiters mit seiner lokalen Workstation – nachgestellt werden will. Für so manchen Pentester tut sich damit eine erste Hürde auf, sich wie üblich mit dem eigentlichen Ziel der Sicherheitsüberprüfung auseinandersetzen zu können.

Nachfolgend soll ein kleines Cheatsheet zur Verfügung gestellt werden, um wiederkehrende Aufgaben in einer restriktiv ausgelegten Windows-Umgebung möglichst einfach und effizient durchführen zu können:

• Zugriff auf Eingabeaufforderung
  • Start/Ausführen/cmd.exe
  • Start/Ausführen/command.com (falls cmd.exe nicht verfügbar)
  • Zugriff aus Internet Explorer (in URL-Zeile)
  • Zugriff aus Office-Dokument (Hyperlink zu Kommando erstellen)

• Finden von Texten
  • Eingabeaufforderung: find "string" file.txt
  • Word: Bearbeiten/Suchen

• Extrahieren von Strings
  • VBS / VBA: LIKE Funktion (Beispiel: result = Input Like "B?T*")
  • Word: Navigation/Dokument durchsuchen/Erweiterte Suche/Suchen in/Hauptdokument, danach Copy&Paste
  • Excel: Formeln (am besten drei separate Formeln)
    • $RESULTAT =TEIL('source'!A1; $START; $ENDE-$START)
    • $START =FINDEN("href=";'source'!A1; 1)
    • $ENDE =FINDEN("""";'source'!A1; $START)

• System auswerten
  • sysinfo.exe: Infos zum System (inkl. Hotfixes)
  • tasklist.exe: Anzeige aller laufenden Tasks (falls taskmgr.exe blockiert)

• Dateisystem auswerten
  • Zugriff _Speichern als_-Dialogboxen (Autocomplete in Dazeizeile)
  • Zugriff aus Internet Explorer (Autocomplete in URL-Zeile)
  • tree.exe: Anzeigen der Verzeichnisstruktur
  • dir.exe: Verschiedene Parameter benutzen
    • /A – Anzeigen aller Attribute
    • /Q – Anzeigen des Owners
    • /S – Rekursive Anzeige (inkl. Unterordner)

• Netzwerk auswerten
  • arp.exe -a: Im lokalen Netz verbundene Hosts anzeigen
  • netstat.exe: Verschiedene Parameter nutzen
    • -t xx – zur automatischen Aktualisierung der Ausgabe
    • -a – Anzeigen aller Ports
    • -b – Assoziation eines Executables zu einem Port
    • -e – Anzeigen der Ethernet-Statistiken

Durch diese Mechanismen wird es möglich, das System auswerten zu können, erweiterte Rechte zu erlangen und mühsame Aufgaben effizienter bzw. automatisiert zu gestalten.

About the Author

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

Links

• http://msdn.microsoft.com/en-us/library/swf8kaxw.aspx