Phasen eines Pentests
Ein Penetrationstest ist keine unstrukturierte Sammlung von Angriffen – er folgt einem methodischen Prozess, der sicherstellt, dass alle relevanten Bereiche abgedeckt werden, Ergebnisse nachvollziehbar dokumentiert sind, und die vereinbarten Grenzen (Scope) nicht überschritten werden. Die bekanntesten Methodik-Frameworks sind PTES (Penetration Testing Execution Standard), OWASP Testing Guide für Webanwendungen und das MITRE ATT&CK-Framework für Red Teams.
Im Prüfungskontext – und in der Praxis – werden typischerweise fünf bis sieben Phasen unterschieden. Jede Phase hat ein klares Ziel und spezifische Werkzeuge. Die Phasen bauen aufeinander auf: ohne gründliche Reconnaissance ist die Exploitation-Phase ineffizient; ohne erfolgreiche Exploitation gibt es nichts zu Post-Exploit.
1) Die Phasen im Detail
Klicke auf eine Phase, um Details zu Zielen, typischen Werkzeugen und Ergebnissen zu sehen. Beachte, dass in der Praxis mehrere Phasen iterativ wiederholt werden – nicht jeder Angriffspfad führt zum Ziel beim ersten Versuch.
Aktivitäten: Scope-Dokument erstellen und signieren, Aufklärung über die Umgebung (Technologie-Stack, Netzwerktopologie), Testaccounts und Credentials anfordern (bei Grey/White Box), Notfall-Kontakte festlegen.
Ergebnis: Signiertes Pentest-Agreement, Scope-Dokument, Testplan. Ohne diese Dokumente: kein Start.
Passive Recon: WHOIS-Abfragen, DNS-Lookups, Google Dorking, LinkedIn (Mitarbeiterstruktur), Shodan (öffentliche Dienste), GitHub (geleakte Credentials), Wayback Machine.
Aktive Recon: Port-Scanning (Nmap), Service-Erkennung, Banner-Grabbing. Details: OSINT, Nmap.
Ergebnis: Angriffsflächen-Karte: offene Ports, Dienste, Versionen, potenzielle Eintrittspunkte.
Werkzeuge: Nessus / OpenVAS (automatisierter Schwachstellen-Scanner), Nikto (Web-Server-Scanner), enum4linux (SMB-Enumeration), gobuster/feroxbuster (Directory Brute Force), LDAP-Enumeration.
Ergebnis: Liste bekannter CVEs, fehlkonfigurierter Dienste, exponierten Endpunkte. Details: Nessus & OpenVAS.
Techniken: SQL-Injection, XSS, Buffer Overflow, Passwort-Angriffe (Brute Force, Dictionary), Exploitation bekannter CVEs über Metasploit, Phishing-Simulation, SMB-Relay-Angriffe.
Werkzeuge: Metasploit Framework, SQLMap, Burp Suite, Hydra/Medusa, BeEF (Browser Exploitation). Details: Metasploit.
Ergebnis: Initialer Shell-Zugriff, Credentials, Cookie/Token-Diebstahl – Beweise für erfolgreiche Kompromittierung.
Techniken: Privilege Escalation (lokale Exploits, SUID-Missbrauch, sudo-Fehlkonfiguration), Credential Dumping (Mimikatz, /etc/shadow), Lateral Movement (Pass-the-Hash, PtT), Pivoting (über kompromittiertes System ins interne Netz).
Wichtig: Im Pentest immer dokumentieren, was möglich wäre – aber Produktivdaten nicht herunterladen, keine dauerhaften Backdoors, keine Beschädigung.
Berichtstruktur: Executive Summary (für Management), technische Detaildokumentation (für IT), Schwachstellenliste mit CVE/CVSS, Proof-of-Concept-Screenshots, Maßnahmenempfehlungen mit Priorisierung.
Cleanup: Alle angelegten Testaccounts, Backdoors und Dateien entfernen. System in ursprünglichen Zustand zurückversetzen. Details: Pentest-Bericht schreiben.
2) Zeitaufteilung in einem realen Pentest
Viele Einsteiger erwarten, dass der Großteil der Zeit mit Exploitation verbracht wird – in der Realität ist das umgekehrt. Reconnaissance und Reporting sind die zeitaufwändigsten Phasen. Ein schlecht recherchiertes Ziel führt zu ineffizienter Exploitation; ein schlechter Bericht macht selbst die beste technische Arbeit wertlos.
Zusammenfassung
| Phase | Kernaktivität | Werkzeuge (Beispiele) |
|---|---|---|
| 1. Planung | Scope, Vertrag, Testplan | – |
| 2. Reconnaissance | Passive/aktive Informationsgewinnung | WHOIS, Nmap, Shodan, OSINT-Tools |
| 3. Scanning | Schwachstellen-Scan, Dienst-Enumeration | Nessus, OpenVAS, Nikto, gobuster |
| 4. Exploitation | Schwachstellen ausnutzen | Metasploit, SQLMap, Burp Suite |
| 5. Post-Exploitation | Privilege Escalation, Lateral Movement | Mimikatz, BloodHound, Empire |
| 6. Reporting | Dokumentation, Empfehlungen, Cleanup | Dradis, Serpico, Word/PDF |