Seguimos con el capítulo de Information gathering. A continuación veremos a través de comando, las configuraciones de Firewall.
En una consola de comandos ejecute netsh, después adv y a continuación show.
Netsh netsh>adv netsh advfirewall>show
show allprofiles - Muestra las propiedades de todos los perfiles. show currentprofile - Muestra las propiedades del perfil activo. show domainprofile - Muestra las propiedades del dominio. show global - Muestra las propiedades globales. show privateprofile - Muestra las propiedades del perfil privado. show publicprofile - Muestra las propiedades del perfil público.
En Powershell sería con el siguiente comando:
Get-NetFirewallRule PS C:\> Get-NetFirewallProfile Name : Domain Enabled : True DefaultInboundAction : Allow DefaultOutboundAction : Allow AllowInboundRules : NotConfigured AllowLocalFirewallRules : NotConfigured AllowLocalIPsecRules : NotConfigured AllowUserApps : NotConfigured AllowUserPorts : NotConfigured AllowUnicastResponseToMulticast : NotConfigured NotifyOnListen : True EnableStealthModeForIPsec : NotConfigured LogFileName : %systemroot \system32\LogFiles\Firewall\pfirewall.log LogMaxSizeKilobytes : 4096 LogAllowed : False LogBlocked : False LogIgnored : NotConfigured DisabledInterfaceAliases : {NotConfigured}
En el post anterior vimos con el comando SET que hay carpetas publicas o Temporal, como c:\users\public. Si comprobamos los permisos de esa carpeta “Creator owner” está presente con los permisos máximos, es decir que podemos crear, copiar o modificar carpetas y ficheros. Esto es buenísimo porque si queremos afectar a múltiples usuarios con un troyano, malware virus, debemos modificar sobre ese archivo o carpeta creado los permisos para todos.
Para dar permiso de lectura y ejecución a ese posible virus, usamos el siguiente comando:
cacls "c:\users\public\*" /e /t /c /g "Usuarios":r
Por ejemplo la carpeta TMP, puede ejecutar programas, todos los usuarios tiene control total, sería bueno alojar ahí un malware y ejecutarlo.