HackTrickstip
Lernen & üben Sie AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.
TTL-Manipulation
Senden Sie einige Pakete mit einem TTL, der ausreicht, um das IDS/IPS zu erreichen, aber nicht genug, um das endgültige System zu erreichen. Und dann senden Sie weitere Pakete mit denselben Sequenzen wie die anderen, sodass das IPS/IDS denkt, es handelt sich um Wiederholungen und sie nicht überprüft, aber sie tragen tatsächlich den schädlichen Inhalt.
Nmap-Option: --ttlvalue <value>
Vermeidung von Signaturen
Fügen Sie einfach Mülldaten zu den Paketen hinzu, sodass die IPS/IDS-Signatur umgangen wird.
Nmap-Option: --data-length 25
Fragmentierte Pakete
Fragmentieren Sie einfach die Pakete und senden Sie sie. Wenn das IDS/IPS nicht in der Lage ist, sie wieder zusammenzusetzen, erreichen sie den endgültigen Host.
Nmap-Option: -f
Ungültige Prüfziffer
Sensoren berechnen normalerweise keine Prüfziffer aus Leistungsgründen. Ein Angreifer kann also ein Paket senden, das vom Sensor interpretiert, aber vom endgültigen Host abgelehnt wird. Beispiel:
Senden Sie ein Paket mit dem Flag RST und einer ungültigen Prüfziffer, sodass das IPS/IDS denken könnte, dass dieses Paket die Verbindung schließen wird, der endgültige Host jedoch das Paket verwirft, da die Prüfziffer ungültig ist.
Ungewöhnliche IP- und TCP-Optionen
Ein Sensor könnte Pakete mit bestimmten Flags und Optionen in den IP- und TCP-Headern ignorieren, während der Zielhost das Paket beim Empfang akzeptiert.
Überlappung
Es ist möglich, dass beim Fragmentieren eines Pakets eine Art Überlappung zwischen den Paketen besteht (vielleicht überlappen die ersten 8 Bytes von Paket 2 mit den letzten 8 Bytes von Paket 1, und die letzten 8 Bytes von Paket 2 überlappen mit den ersten 8 Bytes von Paket 3). Wenn das IDS/IPS sie dann anders zusammensetzt als der endgültige Host, wird ein anderes Paket interpretiert.
Oder vielleicht kommen 2 Pakete mit demselben Offset, und der Host muss entscheiden, welches er nimmt.
- BSD: Bevorzugt Pakete mit kleinerem Offset. Bei Paketen mit demselben Offset wählt es das erste.
- Linux: Wie BSD, aber es bevorzugt das letzte Paket mit demselben Offset.
- First (Windows): Erster Wert, der kommt, Wert, der bleibt.
- Last (cisco): Letzter Wert, der kommt, Wert, der bleibt.
Werkzeuge
tip
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.