Advanced Pentest & Red Team.
Jenseits der OWASP-Basics: verkettete Exploitation, Air-gapped Lab-Aufbau für Payload-Tests und die operativen Notizen zur Adversary-Simulation.
Chain-Muster aus der Produktion
- Info-Disclosure → Deserialisierung → RCE. Stack-Trace verrät Java-Framework-Version; ysoserial CommonsCollections1 gegen den exponierten RMI-/JMX-Endpunkt; Shell als App-Server-User.
- SSRF → Cloud-IAM-Kompromittierung. Web-App holt user-gelieferte URL;
http://169.254.169.254/latest/meta-data/iam/security-credentials/abrufen; Rolle übernehmen; viaaws sts assume-roleüber Trust-Relationships pivotieren. - LDAP-Injection → AD-Enumeration → Kerberoast. Login-Form gibt
(uid=*)ungefiltert in den LDAP-Filter; User enumerieren; schwache Passwörter sprayen; überlebende Service-Accounts kerberoasten. - Subdomain-Takeover → Cookie-Scope-Missbrauch. Dangling CNAME auf eine deprovisionierte SaaS; SaaS-Ressource registrieren; Cookies unter der Parent-Domain setzen; Session-Fixation gegen authentifizierte User.
- Cache-Poisoning → Stored XSS → Admin-Takeover. Ungekeyter Header in gecachte Response reflektiert; Admin-Panel-HTML vergiften; Admin-Browser führt Payload aus; Privilegienerhöhung über Admin-only IDOR.
Lab-Disziplin für Payload-Entwicklung
- Hypervisor-Pinning. ESXi- oder Proxmox-Host, kein internetzugängliches Management. VLAN-Tagging am Switch, nicht in der VM. Niemals nur VM-Level-Isolation vertrauen.
- Drei-Stufen-Topologie. Build-Netz (Internet), Staging-Netz (spiegelt Ziel-Tech-Stack), Payload-Netz (air-gapped, alles Outbound am Gateway gedroppt).
- Snapshot vor jedem Lauf. Aus, Snapshot, an. Nach jedem Testzyklus zurücksetzen. Snapshots sind billig; keinen zu haben ist teuer.
- Nur Out-of-Band-C2. Lab-Payloads nutzen nur Lab-Callback-Hosts. Produktions-C2-Infrastruktur berührt nie Lab-Payloads — eigene Certs, eigene Domains, eigene VPS.
Red-Team-Operating-Model
- Ziele schriftlich. "SAP-Datenbank erreichen" oder "Zugriff auf Wire-Transfer-System nachweisen" — nie "Schwachstellen finden".
- White Cell. Vertrauenswürdiger Kunden-Kontakt, der weiß, dass das Engagement läuft, 24/7 für Deconfliction verfügbar. Telefon + Signal, nicht E-Mail.
- Evasion-Budget. Tolerierte IOC-Anzahl vorab vereinbart. EDR-Alerts über dem Budget = Pause und Neubewertung, nicht Eskalation.
- After-Action. Gemeinsamer Replay mit Blue-Team. Jeden Schritt durchgehen, jeden Alert, der gefeuert hat, jeden, der hätte feuern sollen. Der Wert des Engagements steckt in dieser Session, nicht im PDF.
FaustregelKetten verstärken sich. Zwei mittlere Befunde können einen kritischen ergeben. Immer skizzieren, wozu jeder Befund verkettet werden könnte, bevor Severity isoliert triagiert wird.
Verwandte Notizen in dieser Domain
- Featured Umfassende Pentest-Referenz
- Featured Pentest-Methodik — kanonische Referenz
- Featured Recon & Discovery
- Featured Web Server — Angriff & Verteidigung
- Featured Active Directory Pentest
- Featured Internal Pivoting & Lateral Movement
- Referenz Recon-Tooling — Operator-Referenz
- Referenz Operator-Toolkits — Katalog & Referenz
- Referenz Automatisierung vs. manuelles Testing
- Background Social Engineering & Phishing
- Background Pentester-Grundlagen & CTF-Praxis
Von der Referenz zum Befund