Seguimos con el capítulo de Information gathering. A continuación veremos a través de comando, las configuraciones de Firewall.

En una consola de comandos ejecute netsh, después adv y a continuación show.

Netsh  
netsh>adv  
netsh advfirewall>show
show allprofiles - Muestra las propiedades de todos los perfiles. 
show currentprofile - Muestra las propiedades del perfil activo. 
show domainprofile - Muestra las propiedades del dominio. 
show global    - Muestra las propiedades globales. 
show privateprofile - Muestra las propiedades del perfil privado. 
show publicprofile - Muestra las propiedades del perfil público.

En Powershell sería con el siguiente comando:

Get-NetFirewallRule
PS C:\> Get-NetFirewallProfile  
    
Name                            : Domain  
Enabled                         : True  
DefaultInboundAction            : Allow  
DefaultOutboundAction           : Allow  
AllowInboundRules               : NotConfigured  
AllowLocalFirewallRules         : NotConfigured  
AllowLocalIPsecRules            : NotConfigured  
AllowUserApps                   : NotConfigured  
AllowUserPorts                  : NotConfigured  
AllowUnicastResponseToMulticast : NotConfigured  
NotifyOnListen                  : True  
EnableStealthModeForIPsec       : NotConfigured  
LogFileName                     : %systemroot  
\system32\LogFiles\Firewall\pfirewall.log  
LogMaxSizeKilobytes             : 4096  
LogAllowed                      : False  
LogBlocked                      : False  
LogIgnored                      : NotConfigured  
DisabledInterfaceAliases        : {NotConfigured}

En el post anterior vimos con el comando SET que hay carpetas publicas o Temporal, como c:\users\public. Si comprobamos los permisos de esa carpeta “Creator owner” está presente con los permisos máximos, es decir que podemos crear, copiar o modificar carpetas y ficheros. Esto es buenísimo porque si queremos afectar a múltiples usuarios con un troyano, malware virus, debemos modificar sobre ese archivo o carpeta creado los permisos para todos.

Para dar permiso de lectura y ejecución a ese posible virus, usamos el siguiente comando:

cacls "c:\users\public\*" /e /t /c /g "Usuarios":r

Por ejemplo la carpeta TMP, puede ejecutar programas, todos los usuarios tiene control total, sería bueno alojar ahí un malware y ejecutarlo.

Leave a Reply

error: ooops!