Hijack, Bypass Firewall
 

Hallo

Ich möchte auf mehreren PC's eine Software aktualisieren.
Das Problem ist nun, das mann zu den PC's keinen Manuelle Zugang hat, da diese sich an verschiedenen Orten befinden.
Es sind Umweltlogger Stationen. Soll bedeuten, das sie umwelteinflüsse loggen.
Auf diesen PC's befindet sich eine alte Temperaturlogger software. Diese muss erneuert werden.
Das Problem ist, das ausschliesslich eine Funktion zum übertragen und Starten von Software vorhanden ist.
Auf den PC's befindet sich dummerweise eine Firewall (diese hat der vorherige Projektleiter eirichten lassen weswegen weiss niemand) Nun kann die neue Software jedoch nicht connecten. Gibt es eine möglichkeit die Software an der Firewall vober zu schleusen?


Ist es Theoretisch möglich ein in Delphi geschriebenes Programm unbemerkt ins Internet connecten zu lassen?

Wenn ja, wie wäre das in meinem Fall am besten umsetzbar.



Schonmal vorab... Ich habe nicht vor irgendwelche Schadsoftware zu programmieren.
Es geht um Temperaturlogger software.


Danke schonmal

Re: Hijack, Bypass Firewall
 

Ist es evtl. möglich/hilfreich die neue Software durch den gleichen Port wie die alte kommunizieren zu lassen?

MfG,
Bug

Re: Hijack, Bypass Firewall
 

Der Bypass müsste von der Remote-Seite aus erfolgen, von außen hast du da herzlich wenig Chancen. Da aber das Programm, das neue Programme ausführen könnte, von der Firewall blockiert wird, wenn ich dich richtig verstehe, hast du keine Möglichkeit, ein neues Programm auf die Remote-Rechner zu bringen und somit auch keine Möglichkeit, einen Bypass zu legen. Und somit: Nein, das wird nicht gehen!

Re: Hijack, Bypass Firewall
 

die möglichkeit ein Programm auf den Logger zu bringen ist kein problem.

Das problem ist, auf dem Logger PC an der firewall vobei ins Internet zu connecten.

@BUG Port alleine nützt noch nichts, da die Firewall auch Filesize vergleicht

Re: Hijack, Bypass Firewall
 

Achso. Na dann lässt sich da vielleicht was machen. Wie siehts denn genau aus? Welche Rechte hat der "Updater" (Admin)? Wie alt ist die Firewall? Sind für die Firewall irgendwelche Ausnahmen definiert?

Re: Hijack, Bypass Firewall
 

:)

Also der Uploader hat eigentlich alle Rechte... Die Software wird unter dem Admin ausgeführt.

Die Firewall ist relativ neu... Auf den einten Läuft Norton Internet Security und auf den anderen Zone alarm...

Diese updaten sich leider automatisch :(


Ausnahmen gibt es insofern keine.... Also es haben nur die Programme zugriff welche bereits vor eingestellt sind in der Firewall.

Re: Hijack, Bypass Firewall
 

Na dann wäre es doch das naheliegendste die Firewall "einfach" zu deinstallieren. Von Norton gibt es beispielsweise ein Removal-Tool (Klick), ob das jetzt unter den gegebenen Umständen ausführbar ist weiß ich natürlich nicht. Alternativ kannst du auch versuchen, das ganze ganz normal über MSI zu deinstallieren (Infos dazu gibts hier).

Re: Hijack, Bypass Firewall
 

Deinstallieren wollte ich die FW eben auch schon. Das problem ist jedoch das diese aus irgendwelchen gründen
nicht gestoppt bzw deinstalliert werden können.... (vielleicht doch nicht alle rechte)


Also meiner meinung nach wäre das umgehen der FW die universellste lösung.... Ist das den überhaupt realisierbar?

Re: Hijack, Bypass Firewall
 

Realisierbar ja, nur blöd dass sie sich automatisch updaten, da ja so automatisch immer gleich alle bekannten Bypasses gefixt werden :?

Was bestimmt funktionieren würde, aber ein heiden Aufwand ist: Du schreibst ein Programm, dass Norton deaktiviert. So mit Maus- und Klicksimulation :lol:

An deiner Stelle würde ich den Deinstallationsweg weiter verfolgen, ist denke ich trotzdem der vielversprechendste, zumindest wenn du Admin-Rechte haben solltest. Aber ohne wirds eh quasi unmöglich.

Re: Hijack, Bypass Firewall
 

Die Software wird jedes Halbe Jahr geupdatet also wird warscheinlich nicht jeder Bypass erkannt werden....


Da ich deinstallieren bereits getestet habe, würde ich gerne noch die bypass variante versuchen....

Wie müsste ich denn da vorgehen?

Re: Hijack, Bypass Firewall
 

Guten Morgen,

was spricht denn dagegen, einfach die Firewall so zu konfigurieren, daß sich die neue Software connecten kann? Wenn Du sie ja theoretisch deinstallieren kannst, dann solltest Du sie doch auch konfigurieren können. Die Versuche sie zu umgehen wiedersprechen doch zu 100% dem Sinn einer Firewall!

Grüße,
Ulrich

Re: Hijack, Bypass Firewall
 

Ich habe es nochmals versucht....

Ich habe leider keine Berechtigung die Firewall zu deinstallieren oder deren Konfiguration zu ändern....


Natürlich widerspricht dies 100% dem sinn einer firewall aber in diesem fall ist das umgehen der firewall ja erwünscht!

Re: Hijack, Bypass Firewall
 

...und damit das nicht so einfach ist, geben die FW-Hersteller einiges an Geld für die (weiter-)Entwicklung ihrer Produkte aus.

Ich befürchte fast, daß Du auf Delphi-Ebene nicht weiterkommst. Du musst den Firewalls an den Kragen. Schieß die Prozesse ab, beende die Dienste, was auch immer.

Sherlock

Re: Hijack, Bypass Firewall
 

Gibt es keine Leute vor Ort (Service oder sowas) die da hingehen können und die FW von Hand deinstallieren?

Re: Hijack, Bypass Firewall
 

nee gibt es nicht :)

Hmm also wird man die firewall auf delphi ebene nicht umgehen können?

Schaade...

Re: Hijack, Bypass Firewall
 

Was ist denn das für ein Temperaturlogger, wenn da Windows drauf läuft? :shock:
Hast du schon mal den gefragt, der das ganze eingerichtet hat? Immerhin ist ja der schuld...

Re: Hijack, Bypass Firewall
 

Ja ich bin auch der Meinung dass man da einiges besser hätte machen können...

Nee den konnt ich nicht fragen weil der nicht mehr im Betrieb arbeitet....


Ich würde gerne mal versuchen die Firewall zu umgehen.... Was gäbe es denn da für Möglichkeiten?

Re: Hijack, Bypass Firewall
 

Keine, Du müsstest Dich schon als Programm ausgeben welchen eine Ausnahme besitzt und da Firewalls i.d.R. den Hashcode der entsprechenden Datei prüfen, wirst Du keine Chance haben.
Eine Möglickeit wäre tatsächlich den Task der Firewall abzuschiessen, ist natürlich mit einegeschränkten Rechten so ne Sache.
Es gibt von MS eine Datei kill.exe mit der man Prozessen knallhart abschiessen kann, besser noch google mal nach PCWKill.exe (ist von PC-Welt) mit denen kannst Du auf commando Ebene den Prozess der Firewall abschiessen.
Den Aufruf der Datei könnest Du dann auch in der Anwendung mit einbauen, ABER das ganze ist natürlich aus meiner Sicht höchst unprofessionell.
Ich würde wohl eher Zusehen, dass ich entsprechende Rechte auf den Kisten bekomme um dann die Firewall zu konfigurieren.

Gruß
Scooty

Re: Hijack, Bypass Firewall
 

hmmm rechte wäre natürlich am besten

Aber da du gerade erwähnt hast das es keine möglichkeit gibt ohne ausnahme habe ich da mal eine frage...

Wie machen es denn zb Trojaner oder sonstige schadsoftware? Die fragen ja auch nicht erst um erlaubniss für internet :mrgreen:

Re: Hijack, Bypass Firewall
 

.. die nutzen dumme User aus oder auch Schwachstellen des Betriebssystems.
Und von "innen" nach aussen durch die Firewall dürfte nicht so das Problem sein
wenn man z.B. den Port 80 nutzt.

Grüße
Klaus

Re: Hijack, Bypass Firewall
 

Oder versuchen per Remote-Desktop oder mit VNC auf den Rechner zuzugreifen um dann die Firewall dementsprechend zu konfigurieren, mit einem entsprechenden User.

Re: Hijack, Bypass Firewall
 

Sie benutzen Programme, die durch die Firewall dürfen und kommunizieren über diese Programme, oder injizieren sich in diese Programme, so dass die Firewall nicht bemerkt, dass da noch ein anderes Programm eine Verbindung aufbaut. Das funktioniert aber bei neuen Firewalls nicht mehr.

Re: Hijack, Bypass Firewall
 

Genau, aktuelle Firewalls merken sich nicht nur die Datei die eine Erlaubnis hat, sondern auch den Hashwert der Datei. Da eine infizierte Datei automatisch auch einen neuen Hashwert bekommt, kommt die Datei ohne erneute Freigabe nicht mehr raus.
Port 80 bringt dir auch nichts, da Softwarefirewalls i.d.R. nicht den gesamtem Port freigeben, sondern diesen halt nur für freigebene Anwendungen.

Wenn bei euch keiner die Zugangsdaten zu den Rechnern weiß, dann knack halt die Windowspasswörter. Dafür gibt es spezielle Linux Boot CDs mit denen Du die Passwörter neu setzen kannst ohne das alte zu kennen.
Du wirst immer wieder in die Verlegenheit kommen, das Du die Admin Rechte benötigst.

Sonst bleiben Dir nur die beiden bereits geannten Möglichkeiten. Firewall per Tastatur / Maussteuerung abschalten ( :?: dürfte aber ohne Admin Rechte nicht gehen :gruebel: ), oder die Brechstange per Task abschiessen. Aber auch hier Vorsicht, die PCWKill.exe wird von einigen Virenscannern als Schadsoftware eingestuft, kann also sein das da jemand Alarm schlägt!

Re: Hijack, Bypass Firewall
 

Nein ich mein das anders. Die starten ein Programm, z.B. Internet Explorer (der durch darf) und injizieren sich dann in den IE-Prozess. Also nicht in die Datei, sondern direkt in den Prozess. Da bleibt auch der Hash-Wert der Datei gleich. Die Firewall glaubt dann, der IE will eine Verbindung aufbauen und lässt die Verbindung zu. Ich weiß aber nicht genau wie das geht und wenn, dann würde ich es auch nicht verraten. Sowas darf nicht jeder wissen. ;)

Re: Hijack, Bypass Firewall
 

apropos dll injection ...

edit: ich habe da auf seite 2 was nettes gepostet :)

Re: Hijack, Bypass Firewall
 

Cool Vielen Dank für den Link

Sieht sehr vielversprechend aus.... Ich bekomme jedoch beim Starten der im 7z enthaltenen Packet ne Trojaner meldung hmmmm

Da müsste man den Code zuvor noch ein wenig umstellen :)



Danke trozdem... vieleich komm ich mit injection an der Firewall vorbei :)

Re: Hijack, Bypass Firewall
 

Würde mich schwer wundern, wenn CreateRemoteThread nicht blockiert würde :gruebel:

Re: Hijack, Bypass Firewall
 

Neue Firewalls entdecken das :arrow: funktioniert wahrscheinlich nicht. Ist zudem viel Arbeit alles in eine DLL auszulagern.

Re: Hijack, Bypass Firewall
 

War ja auch zu erwarten.

Mit Sicherheit kannst du das.

Z.B.: Hast du dort einen Browser drauf, mit dem du in's Internet kommst? Sende die Daten einfach über diesen. Auch kannst du ja scheinbar eine Remoteverbindung aufbauen. Somit kannst du auch daten über diese verschicken.

Weiterhin könntest du natürlich auch die Deinstallation einfach mal als Administrator starten. Luckie hat hier mal ein Prgm. veröffentlicht um bestimmte Programme mit anderen Rechten zu starten. Das setzt natürlich vorraus, dass du das Passwd kennst.

Re: Hijack, Bypass Firewall
 

[quote="Hador"]Wenn er das Passwort kennen würde könnte er ja direkt die Firewall entsprechend konfigurieren.

Re: Hijack, Bypass Firewall
 

Holzhammermethode: Im Abesicherten Modus starten und die Firewall-EXE-Datei umbenennen. Nicht löschen! Für den Fall dass dann gar nichts mehr geht.

Re: Hijack, Bypass Firewall
 

Ja es hat einen webbrowser drauf....

Wie meinst du die Daten über diesen senden?

Wie geht das?

Re: Hijack, Bypass Firewall
 

Dann müsste er aber physikalischen Zugriff auf den PC haben, was er nicht hat.
Wie sieht es aus, welches Windows hast Du denn?

Re: Hijack, Bypass Firewall
 

Auch das funktioniert über bereits genannte Code/Dll-Injection Verfahren, welche mittlerweile alle blockiert werden dürften. Die waren vor drei - vier Jahren mal up to date :?

Re: Hijack, Bypass Firewall
 

hmmm also ich hab den Code mal ausprobiert.... Wenn ich die EXE neu erstelle gibts keine AV Meldung mehr

Was ist den heute up to date?

Re: Hijack, Bypass Firewall
 

Ich denke Dll Injection ist immer noch up to date, auch wenn es immer öfter von FW und AV entdeckt wird. Mehr wird man nicht machen können, außer die FW deinstallieren.

Re: Hijack, Bypass Firewall
 

Hmmm ok...

Ich hab mit der DLL Injection mal ein wenig rum gespielt....

Mittels indy HTTP mal das Google Logo gezogen... also die Windows Firewall meldet schonmal nichts :) obwohl
der Hostprozess eigentlich keinen Netz zugang hatt

Re: Hijack, Bypass Firewall
 

Also ich frage mich ehrlich gesagt, was das ganze Gehacke soll. Wenn er dazu berechtigt ist die Software zu aktualisisren, dann sollte er auch die nötigen Rechte und Möglichkeiten dazu haben. Wenn der Bankdirektor zum lehrling sagt: "Hl mir mal einen Barren Gold aus dem Tresor." Und der Lehrling hat keinen Schlüssel, dann würde er wohl auch nicht auf die Idee kommen einen Tresorknacker zu engagieren, sondern würde nach dem Schlüssel fragen.

Für mich ist diese Diskussion absolute widersinning und überflüssig. Und ich neige dazu den Thread zu schliessen, da hier offensichtlich Anleitungen zum Eindringen in Computer diskutiert werden, ob nun berechtigt oder nicht.

Re: Hijack, Bypass Firewall
 

Es geht viel einfacher, wenn auch unschöner: Den Browser einfach fernsteuern und sich selbst einen kleinen Webserver erstellen, der dann durch den Browser angesprochen wird. Für die Firewall ist es dann so, als ob du ganz normal surfen würdest und der Benutzer reguläre Daten bspw. über ein Formular versenden würde.


Auch wenn es explizit eine Anleitung zum Cracken wäre, was es in diesem Fall ja nicht ist, da es um seinen bzw. dem von ihm administrierten PC geht, so sollte man das imho auch diskutieren dürfen, denn nur so lernt man Schwachstellen und mit diesen auch potentielle Gefahren kennen. Ansonsten läuft das so wie unser schöner Hackerparagraph: Hackertools gehören verboten!Womit sollen wir nun unsere PCs absichern?

Re: Hijack, Bypass Firewall
 

Ich kann gut verstehen das es so aussehen mag aber es ist nun halt der unglückliche zufall, das ich keine möglichkeiten habe an rechte heranzu kommen
da die pc's schon vor einiger zeit eingerichtet wurden und niemand was von einem passwort für den admin wissen will.

Ich kann nur sagen was ich weiss und was mir gesagst wird.



Wenn du dennoch meinst das du den thread schliessen musst kann ich das verstehen.