Peb sau tsis tu ncua txog yuav ua li cas hackers feem ntau cia siab rau kev siv
Ntawm qhov tod tes, kuv yuav tsis xav ua phem rau cov neeg ua haujlwm vim tsis muaj leej twg xav ua haujlwm hauv kev lag luam ncaj qha tawm ntawm Orwell xyoo 1984. Hmoov zoo, muaj ntau cov kauj ruam ua tau zoo thiab lub neej hacks uas tuaj yeem ua rau lub neej nyuaj rau cov neeg sab hauv. Peb mam li xav txog kev tiv thaiv kev tawm tsam, siv los ntawm hackers los ntawm cov neeg ua haujlwm nrog qee qhov keeb kwm yav dhau. Thiab me ntsis ntxiv peb yuav sib tham txog cov kev xaiv los txo cov kev pheej hmoo - peb yuav kawm ob qho tib si kev xaiv thiab koom haum.
PsExec yog dab tsi?
Edward Snowden, yog los yog tsis ncaj ncees lawm, tau dhau los ua cov ntaub ntawv sab hauv tub sab. Los ntawm txoj kev, tsis txhob hnov ββqab mus saib
Hloov chaw, Snowden siv me ntsis ntawm social engineering thiab siv nws txoj haujlwm ua tus thawj tswj hwm los sau cov passwords thiab tsim cov ntawv pov thawj. Tsis muaj dab tsi nyuab - tsis muaj
Cov neeg ua haujlwm hauv lub koom haum tsis yog ib txwm nyob hauv Snowden txoj haujlwm tshwj xeeb, tab sis muaj ntau cov lus qhia uas yuav tsum tau kawm los ntawm lub tswv yim ntawm "kev ciaj sia los ntawm kev noj zaub mov" kom paub txog - tsis txhob koom nrog txhua yam kev phem uas tuaj yeem tshawb pom, thiab tshwj xeeb tshaj yog. ceev faj nrog kev siv cov ntawv pov thawj. Nco ntsoov qhov kev xav no.
Mimikatz cuam tshuam NTLM hash los ntawm cov txheej txheem LSASS thiab tom qab ntawd dhau lub token lossis daim ntawv pov thawj - qhov hu ua. "pass the hash" nres - hauv psexec, tso cai rau tus neeg tawm tsam nkag mus rau lwm tus neeg rau zaub mov ntawm lwm tus neeg siv. Thiab nrog txhua qhov txuas ntxiv mus rau lub server tshiab, tus neeg tawm tsam sau cov ntaub ntawv pov thawj ntxiv, nthuav dav ntau ntawm nws cov peev xwm hauv kev tshawb nrhiav cov ntsiab lus muaj.
Thaum kuv xub pib ua haujlwm nrog psexec nws zoo li tej yam yees siv rau kuv - ua tsaug
Thawj qhov tseeb nthuav txog psexec yog tias nws siv tsis tshua muaj kev nyuaj SMB network file raws tu qauv los ntawm Microsoft. Siv SMB, psexec hloov me me binary cov ntaub ntawv mus rau lub hom phiaj system, muab tso rau hauv C: Windows nplaub tshev.
Tom ntej no, psexec tsim cov kev pabcuam Windows siv cov thev naus laus zis binary thiab khiav nws nyob rau hauv lub npe "tsis tau xav txog" PSEXECSVC. Nyob rau tib lub sijhawm, koj tuaj yeem pom txhua yam no, zoo li kuv tau ua, los ntawm kev saib lub tshuab chaw taws teeb (saib hauv qab).
Psexec daim npav hu: "PSEXECSVC" kev pabcuam. Nws khiav cov ntaub ntawv binary uas tau muab tso rau ntawm SMB hauv C: Windows nplaub tshev.
Raws li cov kauj ruam kawg, cov ntawv theej binary qhib RPC kev twb kev txuas mus rau lub hom phiaj neeg rau zaub mov thiab tom qab ntawd lees txais kev tswj hwm cov lus txib (ntawm Windows cmd plhaub los ntawm lub neej ntawd), tso lawv thiab hloov pauv cov tswv yim thiab tawm mus rau tus neeg tua lub tshuab hauv tsev. Nyob rau hauv rooj plaub no, tus neeg tawm tsam pom cov kab lus qhia yooj yim - tib yam li nws tau txuas ncaj qha.
Ntau yam khoom thiab cov txheej txheem nrov heev!
Cov txheej txheem sab hauv ntawm psexec piav qhia cov lus uas ua rau kuv xav tsis thoob thaum kuv qhov kev sim thawj zaug ob peb xyoos dhau los: "Pib PSEXECSVC ... " ua raws li ib ntus ua ntej cov lus txib tshwm.
Impacket's Psexec qhia tau tias muaj dab tsi tshwm sim hauv qab hood.
Tsis xav tsis thoob: psexec tau ua haujlwm ntau heev hauv qab lub hood. Yog tias koj txaus siab rau cov lus piav qhia ntxaws ntxiv, kos tawm ntawm no
Obviously, thaum siv los ua cov cuab yeej tswj hwm, uas yog lub hom phiaj qub psexec, tsis muaj dab tsi tsis ncaj ncees lawm nrog "buzzing" ntawm tag nrho cov txheej txheem Windows. Rau tus neeg tawm tsam, txawm li cas los xij, psexec yuav tsim teeb meem, thiab rau kev ceev faj thiab kev txawj ntse zoo li Snowden, psexec lossis cov khoom siv zoo sib xws yuav muaj kev pheej hmoo ntau dhau.
Thiab ces los Smbexec
SMB yog ib txoj hauv kev ntse thiab zais cia kom hloov cov ntaub ntawv ntawm cov servers, thiab cov neeg nyiag nkas tau nkag mus rau SMB ncaj qha rau ntau pua xyoo. Kuv xav tias txhua tus twb paub lawm tias nws tsis tsim nyog
Ntawm Defcon 2013, Eric Millman (
Tsis zoo li psexec, smbexec zam hloov cov ntaub ntawv binary uas muaj peev xwm pom tau mus rau lub hom phiaj tshuab. Es tsis txhob, qhov hluav taws xob nyob tag nrho los ntawm pasture los ntawm kev tso tawm zos Windows hais kom ua kab.
Nov yog qhov nws ua: nws dhau qhov kev hais kom ua los ntawm kev tawm tsam lub tshuab ntawm SMB mus rau cov ntaub ntawv tshwj xeeb, thiab tom qab ntawd tsim thiab khiav cov kab hais kom ua nyuaj (xws li qhov kev pabcuam Windows) uas yuav zoo li paub rau Linux cov neeg siv. Nyob rau hauv luv luv: nws launches ib haiv neeg lub qhov rais cmd plhaub, redirects cov zis mus rau lwm cov ntaub ntawv, thiab ces xa nws ntawm SMB rov qab mus rau lub attacker lub tshuab.
Txoj hauv kev zoo tshaj plaws kom nkag siab qhov no yog saib cov kab hais kom ua, uas kuv tuaj yeem tau txais kuv txhais tes ntawm qhov kev tshwm sim cav (saib hauv qab).
Puas yog qhov no tsis yog txoj hauv kev zoo tshaj plaws rau redirect I / O? Los ntawm txoj kev, kev pabcuam tsim muaj xwm txheej ID 7045.
Zoo li psexec, nws kuj tsim ib qho kev pabcuam uas ua txhua yam haujlwm, tab sis kev pabcuam tomqab ntawd tshem tawm - nws tsuas yog siv ib zaug los khiav cov lus txib thiab tom qab ntawd ploj! Tus neeg saib xyuas kev ruaj ntseg cov ntaub ntawv saib xyuas tus neeg raug tsim txom lub tshuab yuav tsis tuaj yeem ntes tau pom tseeb Qhov taw qhia ntawm kev tawm tsam: Tsis muaj cov ntaub ntawv phem raug tso tawm, tsis muaj kev pabcuam txuas ntxiv raug teeb tsa, thiab tsis muaj pov thawj ntawm RPC raug siv vim SMB yog tib txoj kev hloov cov ntaub ntawv. Ci ntsa iab!
Los ntawm tus neeg tawm tsam sab, "pseudo-plhaub" muaj nrog kev ncua ntawm kev xa cov lus txib thiab tau txais cov lus teb. Tab sis qhov no yog qhov txaus rau tus neeg tawm tsam - tsis yog tus neeg sab hauv lossis tus neeg nyiag khoom sab nraud uas twb muaj lub foothold - pib nrhiav cov ntsiab lus nthuav.
Txhawm rau tso tawm cov ntaub ntawv rov qab los ntawm lub hom phiaj tshuab mus rau tus neeg tua lub tshuab, nws yog siv
Cia peb rov qab los xav txog dab tsi qhov no tuaj yeem ua rau tus neeg ua haujlwm. Hauv kuv qhov xwm txheej tsis tseeb, cia peb hais tias blogger, tus kws tshuaj ntsuam nyiaj txiag lossis tus kws pab tswv yim kev nyab xeeb tau them nyiaj ntau tau tso cai siv lub laptop rau kev ua haujlwm. Raws li qhov tshwm sim ntawm qee cov txheej txheem ua khawv koob, nws ua txhaum ntawm lub tuam txhab thiab "mus txhua yam phem." Nyob ntawm lub laptop operating system, nws yog siv Python version ntawm Impact, lossis Windows version ntawm smbexec lossis smbclient ua cov ntaub ntawv .exe.
Zoo li Snowden, nws pom lwm tus neeg siv tus password los ntawm kev saib nws lub xub pwg nyom, lossis nws tau txais hmoo thiab ntog rau ntawm cov ntawv sau nrog tus password. Thiab nrog kev pab los ntawm cov ntawv pov thawj no, nws pib khawb ib ncig ntawm lub kaw lus ntawm qib tshiab ntawm cov cai.
Hacking DCC: Peb tsis xav tau ib qho " ruam" Mimikatz
Hauv kuv cov lus dhau los ntawm pentesting, kuv siv mimikatz ntau zaus. Qhov no yog ib qho cuab yeej zoo rau kev cuam tshuam cov ntaub ntawv pov thawj - NTLM hashs thiab txawm tias cov lus zais zais zais hauv lub laptops, tsuas yog tos kom siv.
Lub sij hawm tau hloov lawm. Cov cuab yeej saib xyuas tau zoo dua ntawm kev kuaj xyuas thiab thaiv cov mimikatz. Cov thawj coj kev ruaj ntseg cov ntaub ntawv tseem tam sim no muaj ntau txoj kev xaiv los txo cov kev pheej hmoo cuam tshuam nrog kev kis tus hash (PtH) tawm tsam.
Yog li cas tus neeg ua haujlwm ntse yuav tsum ua li cas los sau cov ntawv pov thawj ntxiv yam tsis siv mimikatz?
Impacket cov khoom siv suav nrog cov khoom siv hu ua
DCC hashes yog tsis yog NTML hashes thiab lawv tsis tuaj yeem siv rau PtH tawm tsam.
Zoo, koj tuaj yeem sim hack lawv kom tau txais tus password qub. Txawm li cas los xij, Microsoft tau ntse dua nrog DCC thiab DCC hashes tau dhau los ua nyuaj heev. Yog, kuv muaj
Hloov chaw, cia peb sim xav zoo li Snowden. Ib tus neeg ua haujlwm tuaj yeem ua ntsej muag rau kev sib raug zoo engineering thiab nrhiav tau qee cov ntaub ntawv hais txog tus neeg nws tus password nws xav tau tawg. Piv txwv li, nrhiav seb tus neeg tus account online puas tau raug nyiag lawm thiab tshuaj xyuas lawv tus password cleartext rau ib qho lus qhia.
Thiab qhov no yog qhov scenario uas kuv txiav txim siab mus nrog. Cia peb xav tias tus neeg sab hauv tau kawm tias nws tus thawj coj, Cruella, tau raug nyiag ob peb zaug ntawm cov peev txheej sib txawv. Tom qab tshuaj xyuas ob peb ntawm cov passwords no, nws paub tias Cruella nyiam siv hom ntawv ntawm pab pawg baseball lub npe "Yankees" ua raws li xyoo tam sim no - "Yankees2015".
Yog tias koj tam sim no sim rov tsim dua qhov no hauv tsev, ces koj tuaj yeem rub tawm me me, "C"
Feigning lub luag hauj lwm ntawm tus neeg sab hauv, kuv sim ntau yam sib txawv ua ke thiab nws thiaj li nrhiav tau Cruella tus password yog "Yankees2019" (saib hauv qab). Lub hom phiaj tiav!
Ib qho kev sib raug zoo me me, kev sib tw ntawm hmoov zoo thiab ib qho me me ntawm Maltego thiab koj nyob nraum zoo ntawm koj txoj kev txhawm rau txhawm rau DCC hash.
Kuv xav kom peb xaus ntawm no. Peb yuav rov qab mus rau lub ntsiab lus no hauv lwm cov ntawv tshaj tawm thiab saib txawm tias qeeb thiab stealthy txoj kev tawm tsam, txuas ntxiv txhim kho Impacket cov khoom siv zoo heev.
Tau qhov twg los: www.hab.com