Peb sau tsis tu ncua txog yuav ua li cas hackers feem ntau cia siab rau kev siv kom tsis txhob nrhiav pom. Lawv hais lus , siv cov cuab yeej Windows txheem, yog li hla kev tiv thaiv kab mob thiab lwm yam khoom siv txhawm rau txhawm rau txheeb xyuas cov haujlwm tsis zoo. Peb, raws li cov neeg tiv thaiv, tam sim no raug yuam kom cuam tshuam nrog cov txiaj ntsig tsis zoo ntawm cov tswv yim zoo li no: ib tus neeg ua haujlwm zoo tuaj yeem siv tib txoj hauv kev los nyiag cov ntaub ntawv (lub tuam txhab kev txawj ntse, tus lej credit card). Thiab yog tias nws tsis maj, tab sis ua haujlwm maj mam thiab ntsiag to, nws yuav nyuaj heev - tab sis tseem ua tau yog tias nws siv txoj hauv kev thiab qhov tsim nyog. , β txhawm rau txheeb xyuas cov haujlwm ntawd.
Ntawm qhov tod tes, kuv yuav tsis xav ua phem rau cov neeg ua haujlwm vim tsis muaj leej twg xav ua haujlwm hauv kev lag luam ncaj qha tawm ntawm Orwell xyoo 1984. Hmoov zoo, muaj ntau cov kauj ruam ua tau zoo thiab lub neej hacks uas tuaj yeem ua rau lub neej nyuaj rau cov neeg sab hauv. Peb mam li xav txog kev tiv thaiv kev tawm tsam, siv los ntawm hackers los ntawm cov neeg ua haujlwm nrog qee qhov keeb kwm yav dhau. Thiab me ntsis ntxiv peb yuav sib tham txog cov kev xaiv los txo cov kev pheej hmoo - peb yuav kawm ob qho tib si kev xaiv thiab koom haum.
PsExec yog dab tsi?
Edward Snowden, yog los yog tsis ncaj ncees lawm, tau dhau los ua cov ntaub ntawv sab hauv tub sab. Los ntawm txoj kev, tsis txhob hnov ββqab mus saib hais txog lwm cov neeg sab hauv uas kuj tsim nyog qee qhov xwm txheej. Ib qho tseem ceeb uas tsim nyog hais txog cov txheej txheem Snowden siv yog tias, kom peb paub zoo tshaj plaws, nws tsis tau nruab tsis muaj lwm yam phem software!
Hloov chaw, Snowden siv me ntsis ntawm social engineering thiab siv nws txoj haujlwm ua tus thawj tswj hwm los sau cov passwords thiab tsim cov ntawv pov thawj. Tsis muaj dab tsi nyuab - tsis muaj , tawm tsam los yog .
Cov neeg ua haujlwm hauv lub koom haum tsis yog ib txwm nyob hauv Snowden txoj haujlwm tshwj xeeb, tab sis muaj ntau cov lus qhia uas yuav tsum tau kawm los ntawm lub tswv yim ntawm "kev ciaj sia los ntawm kev noj zaub mov" kom paub txog - tsis txhob koom nrog txhua yam kev phem uas tuaj yeem tshawb pom, thiab tshwj xeeb tshaj yog. ceev faj nrog kev siv cov ntawv pov thawj. Nco ntsoov qhov kev xav no.
thiab nws tus npawg tau impressed countless pentesters, hackers, thiab cybersecurity bloggers. Thiab thaum ua ke nrog mimikatz, psexec tso cai rau cov neeg tawm tsam txav mus rau hauv lub network yam tsis tas yuav tsum paub tus password cleartext.
Mimikatz cuam tshuam NTLM hash los ntawm cov txheej txheem LSASS thiab tom qab ntawd dhau lub token lossis daim ntawv pov thawj - qhov hu ua. "pass the hash" nres - hauv psexec, tso cai rau tus neeg tawm tsam nkag mus rau lwm tus neeg rau zaub mov ntawm lwm tus neeg siv. Thiab nrog txhua qhov txuas ntxiv mus rau lub server tshiab, tus neeg tawm tsam sau cov ntaub ntawv pov thawj ntxiv, nthuav dav ntau ntawm nws cov peev xwm hauv kev tshawb nrhiav cov ntsiab lus muaj.
Thaum kuv xub pib ua haujlwm nrog psexec nws zoo li tej yam yees siv rau kuv - ua tsaug , tus tsim tawm ci ntsa iab ntawm psexec - tab sis kuv kuj paub txog nws nrov cov khoom. Nws yeej tsis zais!
Thawj qhov tseeb nthuav txog psexec yog tias nws siv tsis tshua muaj kev nyuaj SMB network file raws tu qauv los ntawm Microsoft. Siv SMB, psexec hloov me me binary cov ntaub ntawv mus rau lub hom phiaj system, muab tso rau hauv C: Windows nplaub tshev.
Tom ntej no, psexec tsim cov kev pabcuam Windows siv cov thev naus laus zis binary thiab khiav nws nyob rau hauv lub npe "tsis tau xav txog" PSEXECSVC. Nyob rau tib lub sijhawm, koj tuaj yeem pom txhua yam no, zoo li kuv tau ua, los ntawm kev saib lub tshuab chaw taws teeb (saib hauv qab).
Psexec daim npav hu: "PSEXECSVC" kev pabcuam. Nws khiav cov ntaub ntawv binary uas tau muab tso rau ntawm SMB hauv C: Windows nplaub tshev.
Raws li cov kauj ruam kawg, cov ntawv theej binary qhib RPC kev twb kev txuas mus rau lub hom phiaj neeg rau zaub mov thiab tom qab ntawd lees txais kev tswj hwm cov lus txib (ntawm Windows cmd plhaub los ntawm lub neej ntawd), tso lawv thiab hloov pauv cov tswv yim thiab tawm mus rau tus neeg tua lub tshuab hauv tsev. Nyob rau hauv rooj plaub no, tus neeg tawm tsam pom cov kab lus qhia yooj yim - tib yam li nws tau txuas ncaj qha.
Ntau yam khoom thiab cov txheej txheem nrov heev!
Cov txheej txheem sab hauv ntawm psexec piav qhia cov lus uas ua rau kuv xav tsis thoob thaum kuv qhov kev sim thawj zaug ob peb xyoos dhau los: "Pib PSEXECSVC ... " ua raws li ib ntus ua ntej cov lus txib tshwm.
Impacket's Psexec qhia tau tias muaj dab tsi tshwm sim hauv qab hood.
Tsis xav tsis thoob: psexec tau ua haujlwm ntau heev hauv qab lub hood. Yog tias koj txaus siab rau cov lus piav qhia ntxaws ntxiv, kos tawm ntawm no zoo heev piav.
Obviously, thaum siv los ua cov cuab yeej tswj hwm, uas yog lub hom phiaj qub psexec, tsis muaj dab tsi tsis ncaj ncees lawm nrog "buzzing" ntawm tag nrho cov txheej txheem Windows. Rau tus neeg tawm tsam, txawm li cas los xij, psexec yuav tsim teeb meem, thiab rau kev ceev faj thiab kev txawj ntse zoo li Snowden, psexec lossis cov khoom siv zoo sib xws yuav muaj kev pheej hmoo ntau dhau.
Thiab ces los Smbexec
SMB yog ib txoj hauv kev ntse thiab zais cia kom hloov cov ntaub ntawv ntawm cov servers, thiab cov neeg nyiag nkas tau nkag mus rau SMB ncaj qha rau ntau pua xyoo. Kuv xav tias txhua tus twb paub lawm tias nws tsis tsim nyog SMB ports 445 thiab 139 rau hauv Internet, txoj cai?
Ntawm Defcon 2013, Eric Millman () nthuav tawm , kom pentesters tuaj yeem sim nyiag SMB nyiag khoom. Kuv tsis paub tag nrho zaj dab neeg, tab sis ces Impacket ntxiv refined smbexec. Qhov tseeb, rau kuv qhov kev sim, kuv rub tawm cov ntawv sau los ntawm Impacket hauv Python los ntawm .
Tsis zoo li psexec, smbexec zam hloov cov ntaub ntawv binary uas muaj peev xwm pom tau mus rau lub hom phiaj tshuab. Es tsis txhob, qhov hluav taws xob nyob tag nrho los ntawm pasture los ntawm kev tso tawm zos Windows hais kom ua kab.
Nov yog qhov nws ua: nws dhau qhov kev hais kom ua los ntawm kev tawm tsam lub tshuab ntawm SMB mus rau cov ntaub ntawv tshwj xeeb, thiab tom qab ntawd tsim thiab khiav cov kab hais kom ua nyuaj (xws li qhov kev pabcuam Windows) uas yuav zoo li paub rau Linux cov neeg siv. Nyob rau hauv luv luv: nws launches ib haiv neeg lub qhov rais cmd plhaub, redirects cov zis mus rau lwm cov ntaub ntawv, thiab ces xa nws ntawm SMB rov qab mus rau lub attacker lub tshuab.
Txoj hauv kev zoo tshaj plaws kom nkag siab qhov no yog saib cov kab hais kom ua, uas kuv tuaj yeem tau txais kuv txhais tes ntawm qhov kev tshwm sim cav (saib hauv qab).
Puas yog qhov no tsis yog txoj hauv kev zoo tshaj plaws rau redirect I / O? Los ntawm txoj kev, kev pabcuam tsim muaj xwm txheej ID 7045.
Zoo li psexec, nws kuj tsim ib qho kev pabcuam uas ua txhua yam haujlwm, tab sis kev pabcuam tomqab ntawd tshem tawm - nws tsuas yog siv ib zaug los khiav cov lus txib thiab tom qab ntawd ploj! Tus neeg saib xyuas kev ruaj ntseg cov ntaub ntawv saib xyuas tus neeg raug tsim txom lub tshuab yuav tsis tuaj yeem ntes tau pom tseeb Qhov taw qhia ntawm kev tawm tsam: Tsis muaj cov ntaub ntawv phem raug tso tawm, tsis muaj kev pabcuam txuas ntxiv raug teeb tsa, thiab tsis muaj pov thawj ntawm RPC raug siv vim SMB yog tib txoj kev hloov cov ntaub ntawv. Ci ntsa iab!
Los ntawm tus neeg tawm tsam sab, "pseudo-plhaub" muaj nrog kev ncua ntawm kev xa cov lus txib thiab tau txais cov lus teb. Tab sis qhov no yog qhov txaus rau tus neeg tawm tsam - tsis yog tus neeg sab hauv lossis tus neeg nyiag khoom sab nraud uas twb muaj lub foothold - pib nrhiav cov ntsiab lus nthuav.
Txhawm rau tso tawm cov ntaub ntawv rov qab los ntawm lub hom phiaj tshuab mus rau tus neeg tua lub tshuab, nws yog siv . Yog, nws yog tib Samba , tab sis tsuas yog hloov mus rau Python tsab ntawv los ntawm Impacket. Qhov tseeb, smbclient tso cai rau koj los zais FTP hloov chaw hla SMB.
Cia peb rov qab los xav txog dab tsi qhov no tuaj yeem ua rau tus neeg ua haujlwm. Hauv kuv qhov xwm txheej tsis tseeb, cia peb hais tias blogger, tus kws tshuaj ntsuam nyiaj txiag lossis tus kws pab tswv yim kev nyab xeeb tau them nyiaj ntau tau tso cai siv lub laptop rau kev ua haujlwm. Raws li qhov tshwm sim ntawm qee cov txheej txheem ua khawv koob, nws ua txhaum ntawm lub tuam txhab thiab "mus txhua yam phem." Nyob ntawm lub laptop operating system, nws yog siv Python version ntawm Impact, lossis Windows version ntawm smbexec lossis smbclient ua cov ntaub ntawv .exe.
Zoo li Snowden, nws pom lwm tus neeg siv tus password los ntawm kev saib nws lub xub pwg nyom, lossis nws tau txais hmoo thiab ntog rau ntawm cov ntawv sau nrog tus password. Thiab nrog kev pab los ntawm cov ntawv pov thawj no, nws pib khawb ib ncig ntawm lub kaw lus ntawm qib tshiab ntawm cov cai.
Hacking DCC: Peb tsis xav tau ib qho " ruam" Mimikatz
Hauv kuv cov lus dhau los ntawm pentesting, kuv siv mimikatz ntau zaus. Qhov no yog ib qho cuab yeej zoo rau kev cuam tshuam cov ntaub ntawv pov thawj - NTLM hashs thiab txawm tias cov lus zais zais zais hauv lub laptops, tsuas yog tos kom siv.
Lub sij hawm tau hloov lawm. Cov cuab yeej saib xyuas tau zoo dua ntawm kev kuaj xyuas thiab thaiv cov mimikatz. Cov thawj coj kev ruaj ntseg cov ntaub ntawv tseem tam sim no muaj ntau txoj kev xaiv los txo cov kev pheej hmoo cuam tshuam nrog kev kis tus hash (PtH) tawm tsam.
Yog li cas tus neeg ua haujlwm ntse yuav tsum ua li cas los sau cov ntawv pov thawj ntxiv yam tsis siv mimikatz?
Impacket cov khoom siv suav nrog cov khoom siv hu ua , uas khaws cov ntaub ntawv pov thawj los ntawm Domain Credential Cache, lossis DCC luv luv. Kuv txoj kev nkag siab yog tias yog tias tus neeg siv sau npe nkag mus rau hauv lub server tab sis tus tswj hwm lub npe tsis muaj, DCC tso cai rau lub server kom lees paub tus neeg siv. Xijpeem, secretsdump tso cai rau koj pov tseg tag nrho cov hashes yog tias lawv muaj.
DCC hashes yog tsis yog NTML hashes thiab lawv tsis tuaj yeem siv rau PtH tawm tsam.
Zoo, koj tuaj yeem sim hack lawv kom tau txais tus password qub. Txawm li cas los xij, Microsoft tau ntse dua nrog DCC thiab DCC hashes tau dhau los ua nyuaj heev. Yog, kuv muaj , "lub ntiaj teb tus lej password nrawm tshaj plaws," tab sis nws xav tau GPU kom ua haujlwm tau zoo.
Hloov chaw, cia peb sim xav zoo li Snowden. Ib tus neeg ua haujlwm tuaj yeem ua ntsej muag rau kev sib raug zoo engineering thiab nrhiav tau qee cov ntaub ntawv hais txog tus neeg nws tus password nws xav tau tawg. Piv txwv li, nrhiav seb tus neeg tus account online puas tau raug nyiag lawm thiab tshuaj xyuas lawv tus password cleartext rau ib qho lus qhia.
Thiab qhov no yog qhov scenario uas kuv txiav txim siab mus nrog. Cia peb xav tias tus neeg sab hauv tau kawm tias nws tus thawj coj, Cruella, tau raug nyiag ob peb zaug ntawm cov peev txheej sib txawv. Tom qab tshuaj xyuas ob peb ntawm cov passwords no, nws paub tias Cruella nyiam siv hom ntawv ntawm pab pawg baseball lub npe "Yankees" ua raws li xyoo tam sim no - "Yankees2015".
Yog tias koj tam sim no sim rov tsim dua qhov no hauv tsev, ces koj tuaj yeem rub tawm me me, "C" , uas siv DCC hashing algorithm, thiab muab tso ua ke. , los ntawm txoj kev, ntxiv kev txhawb nqa rau DCC, yog li nws kuj siv tau. Cia peb xav tias tus neeg sab hauv tsis xav thab kev kawm John the Ripper thiab nyiam khiav "gcc" ntawm C code qub.
Feigning lub luag hauj lwm ntawm tus neeg sab hauv, kuv sim ntau yam sib txawv ua ke thiab nws thiaj li nrhiav tau Cruella tus password yog "Yankees2019" (saib hauv qab). Lub hom phiaj tiav!
Ib qho kev sib raug zoo me me, kev sib tw ntawm hmoov zoo thiab ib qho me me ntawm Maltego thiab koj nyob nraum zoo ntawm koj txoj kev txhawm rau txhawm rau DCC hash.
Kuv xav kom peb xaus ntawm no. Peb yuav rov qab mus rau lub ntsiab lus no hauv lwm cov ntawv tshaj tawm thiab saib txawm tias qeeb thiab stealthy txoj kev tawm tsam, txuas ntxiv txhim kho Impacket cov khoom siv zoo heev.
Tau qhov twg los: www.hab.com