Du hast einen Host mit einer zweiten Netzwerkschnittstelle kompromittiert. Wie pivotierst du?
Kurzantwort
Nutze den kompromittierten Host als Relais in das unerreichbare Subnetz. Richte eine Portweiterleitung für einen einzelnen Dienst ein oder einen dynamischen SOCKS-Proxy (SSH -D oder chisel) und leite deine Werkzeuge mit proxychains darüber, damit deine Angreifer-Maschine interne Hosts über den Pivot erreicht.
Viele Umgebungen platzieren die eigentlichen Ziele in einem internen Subnetz, zu dem deine Angreifer-Maschine nicht routen kann. Ein Host, der in beiden Netzen hängt (eine „dual-homed“-Maschine), wird zu deiner Brücke. Pivotieren bedeutet, diese Brücke zu nutzen, um deinen Verkehr in das verborgene Netz zu relayen.
Die wichtigsten Techniken
- Lokale Portweiterleitung bildet einen einzelnen internen Dienst auf einen Port deiner Angreifer-Maschine ab — gut, wenn du einen bestimmten Dienst brauchst (z. B. eine interne Web-App oder Datenbank).
- Entfernte Portweiterleitung schiebt einen Port vom Ziel zurück zu dir, nützlich, wenn der Pivot deine Maschine nicht direkt erreichen kann, du aber ihn erreicht hast.
- Dynamische Weiterleitung (SOCKS-Proxy) ist das Arbeitspferd:
ssh -D 1080 user@pivot(oderchisel, wenn SSH nicht verfügbar ist) öffnet einen SOCKS-Proxy, der jeden internen Host und Port über den Pivot erreichen kann.
Deine Werkzeuge routen
Konfiguriere proxychains so, dass es auf den SOCKS-Port zeigt, und stelle dann deinen Werkzeugen voran: proxychains nmap, proxychains curl, proxychains crackmapexec. Der Verkehr wird nun durch den kompromittierten Host in das interne Netz getunnelt.
Werkzeug-Vorbehalte
SOCKS-Proxys transportieren nur TCP, also funktionieren Connect-Scans (-sT), aber SYN-Scans und ICMP nicht — passe nmap entsprechend an und scanne nur die Ports, die dich interessieren, da Scans über Proxy langsam sind. chisel ist unschätzbar, wenn der Pivot keinen SSH-Server hat, und gibt dir dieselbe SOCKS-Fähigkeit über einen HTTP-freundlichen Kanal, der die Ausgangsfilterung oft schlägt.
Warum das wichtig ist
Ohne Pivoting ist das gesamte interne Subnetz — wo oft die wertvollen Ziele und der Domänencontroller leben — unsichtbar. Die Technik wandelt einen einzelnen Fußabdruck in Reichweite über ein ganzes Netz um.
Worauf Interviewer achten
Eine klare Unterscheidung zwischen lokaler, entfernter und dynamischer Weiterleitung, das Benennen von SSH -D/chisel und proxychains und das Bewusstsein für die TCP-only-SOCKS-Beschränkung, die naive nmap-Nutzung bricht. Das ist ein Senior-Signal, weil es solides Netzwerkverständnis erfordert.
Wahrscheinliche Anschlussfragen
- Was ist der Unterschied zwischen lokaler, entfernter und dynamischer Portweiterleitung?
- Warum verhält sich nmap über einen SOCKS-Proxy seltsam, und wie passt du dich an?