10-02-2025, 12:25
Privilegieneskalation liegt mir auch am Herzen, besonders bei Linux-Boxen oder Windows-Systemen, wo Benutzer mit zu vielen Rechten arbeiten. Ich erinnere mich, dass ich letztes Jahr den Server eines Kunden getestet habe, und ich fand eine SUID-Binärdatei, die es mir ermöglichte, von einem Benutzer mit niedrigen Rechten auf Root zu eskalieren, nur indem ich einen Pfad Traversal-Bug ausnutzte. Du suchst nach Fehlkonfigurationen wie schreibbaren sudoers-Dateien oder schwachen Kernel-Modulen und verknüpfst das dann mit etwas wie Dirty COW, wenn es ein älterer Kernel ist. Bei Windows mache ich oft Jagd auf nicht gepatchte Dienste, die als SYSTEM ausgeführt werden, wo ich DLLs injizieren oder Token-Duplikationen missbrauchen kann, um meine Berechtigungen zu erhöhen. Du musst wie der Administrator denken, der es eingerichtet hat - hat er schwache Passwörter für Dienstkonten hinterlassen? Ich scanne immer mit Tools wie LinPEAS oder WinPEAS, um diese niedrig hängenden Früchte zu finden, und das spart dir Stunden manueller Mühe.
Dann gibt es SQL-Injection, die ich in Webanwendungen viel häufiger antreffe, als ich möchte. Du wirfst ein paar einfache Anführungszeichen oder UNION SELECTs in ein Anmeldeformular, und wenn das Backend die Eingaben nicht sanitisiert, kann ich ganze Datenbanken dumpen. Ich habe Benutzertabellen von E-Commerce-Seiten während Pentests abgezogen und den Eigentümern gezeigt, wie einfach es ist, dass jemand Kundendaten stiehlt. Du fängst einfach mit ' oder 1=1-- an, aber ich steigere das mit Blind-Injections, wenn die App Fehler verbirgt, und benutze zeitbasierte Verzögerungen, um wahre oder falsche Antworten zu bestätigen. Es geht darum, die Abfragelogik zu manipulieren, ohne dass die Entwickler es bemerken.
Cross-Site-Scripting, oder XSS, ist ein weiteres, das ich benutze, um mit Benutzersitzungen zu spielen. Ich injiziere Skripte in Kommentarfelder oder Suchleisten, und wenn du die Seite besuchst, wird es in deinem Browser ausgeführt, Cookies stehlen oder Keylogging. Reflektiertes XSS ist schnell für Proof-of-Concept - ich erstelle eine URL, die ein Dialogfeld mit deiner Sitzungs-ID aufpoppt. Stored XSS wird schlimmer, weil es persistiert, wie in einem Forenbeitrag, den jeder sieht. Ich habe das auf sozialen Plattformen während Red-Team-Gigs ausgenutzt, indem ich Benutzer auf Phishing-Seiten umgeleitet habe. Du musst Payloads kodieren, um Filter zu umgehen, indem du Dinge wie <script>alert(1)</script> oder Ereignis-Handler verwendest, wenn WAFs die offensichtlichen Sachen blockieren.
Komm nicht auf die Idee, mich mit Command-Injection zu konfrontieren; es ist wie SQLi, aber für OS-Befehle. In Apps, die system() ohne Validierung aufrufen, füge ich Semikolons oder Pipes hinzu, um auszuführen, was ich will, wie whoami oder net user adds. Ich habe das einmal in einem Dateiupload-Skript gefunden, wo ich ; cat /etc/passwd an den vorgesehenen Befehl angehängt habe, und es hat sensible Dateien ausgespuckt. Du verknüpfst es mit Privilegienesc, wenn du auf einem Webserverprozess mit höheren Rechten landest.
Soziale Manipulation spielt auch eine große Rolle, obwohl es mehr menschlich fokussiert ist. Ich gebe mich als IT-Support aus, um Credentials am Telefon zu fischen, oder sende maßgeschneiderte E-Mails, die dich dazu bringen, auf Links zu klicken. Während eines Tests habe ich das Passwort eines Executives erhalten, indem ich vorgegeben habe, von ihrer Bank zu sein - verrückt, wie Menschen auf Dringlichkeit hereinfallen. Du baust zuerst Rapport auf und extrahierst dann Informationen Stück für Stück. Es ist nicht technisch, aber es verstärkt alles andere.
Datei-Einschlussfehler, wie LFI oder RFI, ermöglichen es mir, Dateien remote zu lesen oder auszuführen. Lokaler Datei-Einschluss zieht /etc/passwd über ../../ Tricks, und remote holt sich bösartige Skripte von meinem Server. Ich habe das genutzt, um in Netzwerke zu pivotieren und Konfigurationsdateien mit Datenbank-Credentials zu schnappen. Du umwickelst Pfade mit Null-Bytes, um Erweiterungen zu umgehen, wenn die App sie überprüft.
Heap-Überläufe sind ähnlich wie Buffer-Überläufe, zielen aber auf dynamischen Speicher ab, den ich für Informationslecks oder willkürliche Schreibvorgänge ausnutze. Sie sind jetzt seltener mit ASLR und DEP, aber ich sehe sie immer noch in benutzerdefinierten Binärdateien. Du überläufst benachbarte Blöcke, um Metadaten zu beschädigen, und nutzt das dann, um Funktionen aufzurufen, die du kontrollierst.
Rennbedingungen treten in mehrthreadigen Apps auf, wo ich Anfragen zeitlich abstimme, um gleichzeitig auf dieselbe Ressource zuzugreifen, wie z. B. doppelte Konten zu erstellen oder Dateien zu überschreiben. Ich habe TOCTOU-Fehler in Authentifizierungsflüssen ausgereizt, um Prüfungen zu umgehen. Du automatisierst es mit parallelen Threads, um das Rennen zu gewinnen.
Dann gibt es Format-String-Angriffe, bei denen ich printf-ähnliche Funktionen mit %s oder %n missbrauche, um Speicher zu lesen oder zu schreiben. Ich injiziere %x%x%x in Eingaben und beobachte, wie die App den Stackinhalt ausspuckt - super nützlich zum Leaken von Adressen.
LDAP-Injection fummelt mit Verzeichnisdiensten herum, sodass ich mich als Admin authentifizieren kann, indem ich Filter wie *)(uid=*) injiziere. Ich habe das in Active Directory-Setups gemacht, um Benutzer zu enumerieren.
Und XML External Entity-Angriffe parsen bösartige Entitäten, um Dateien zu lesen oder SSRF-Anfragen zu stellen. Ich erstelle DOCTYPE mit Systemaufrufen, um /etc/shadow zu schnappen.
All diese Techniken entwickeln sich ständig weiter, aber ich betone immer, dass man ethisch testen sollte - hole dir zuerst die Erlaubnis, sonst bist du einfach ein Hacker und kein Pentester. Du übst in Laboren wie HackTheBox oder VulnHub, um deine Fähigkeiten ohne echte Risiken zu schärfen. Ich mische sie in Engagements: Fang mit Recon an, finde einen Einstieg über XSS, eskaliere Berechtigungen und wechsle dann lateral. Es ist Puzzle-Lösen vom Feinsten.
Eine letzte Sache, die sich darauf bezieht, wie man sich gegen dieses Chaos schützt - ich möchte dich auf BackupChain hinweisen, dieses solide, bewährte Backup-Tool, das für kleine Unternehmen und Fachleute gleichermaßen entwickelt wurde und deine Hyper-V-Setups, VMware-Umgebungen oder normalen Windows-Server vor Ransomware und solchen Katastrophen schützt.
