Anyị na-ede mgbe niile banyere ka ndị na-agba ọsọ na-adaberekarị na nrigbu
N'aka nke ọzọ, agaghị m achọ ime mmụọ ndị ọrụ n'ihi na ọ dịghị onye chọrọ ịrụ ọrụ na ebe azụmahịa ozugbo na Orwell's 1984. Ọ dabara nke ọma, enwere ọtụtụ nzọụkwụ bara uru na hacks ndụ nke nwere ike ime ka ndụ sie ike karị maka ndị n'ime. Anyị ga-atụle ụzọ mbuso agha nzuzo, nke ndị na-agba ọsọ na-eji ndị ọrụ na-eji ụfọdụ nkà na ụzụ eme ihe. Na ntakịrị n'ihu, anyị ga-atụle nhọrọ maka ibelata ihe ize ndụ dị otú ahụ - anyị ga-amụ ma nhọrọ nkà na ụzụ na nhazi.
Kedu ihe na-eme PsExec?
Edward Snowden, n'ụzọ ziri ezi ma ọ bụ n'ụzọ na-ezighị ezi, abụrụla ihe jikọrọ ya na izu ohi data. Site n'ụzọ, echefula ilele anya
Kama nke ahụ, Snowden jiri ntakịrị injinia mmekọrịta mmadụ na ibe ya wee jiri ọnọdụ ya dị ka onye nchịkwa sistemụ nakọta okwuntughe wee mepụta nzere. Ọ dịghị ihe mgbagwoju anya - ọ dịghị
Ndị ọrụ nhazi abụghị mgbe niile nọ n'ọnọdụ pụrụ iche nke Snowden, mana enwere ọtụtụ nkuzi a ga-amụta n'echiche nke "ịlanarị site na ịta nri" iji mara - ịghara itinye aka n'omume ọjọọ ọ bụla enwere ike ịchọpụta, ma bụrụ nke kachasị. kpachara anya na iji nzere. Cheta echiche a.
Mimikatz na-egbochi NTLM hash site na usoro LSASS wee nyefee akara ngosi ma ọ bụ nzere - nke a na-akpọ. "gafere hash" ọgụ - na psexec, na-enye onye na-awakpo ohere ịbanye na nkesa ọzọ dị ka nke onye ozo onye ọrụ. Na ịkwaga nke ọ bụla na-esote na sava ọhụrụ, onye na-awakpo ahụ na-anakọta nzere ndị ọzọ, na-agbasawanye ikike ya n'ịchọ ọdịnaya dị.
Mgbe mbụ m malitere ịrụ ọrụ na psexec ọ dị m ka ọ bụ anwansi - daalụ
Eziokwu mbụ na-adọrọ mmasị banyere psexec bụ na ọ na-eji oke mgbagwoju anya Usoro faịlụ netwọk SMB sitere na Microsoft. Iji SMB, psexec na-enyefe obere ọnụọgụ abụọ faịlụ na usoro ebumnuche, na-etinye ha na folda C: Windows.
Na-esote, psexec na-emepụta ọrụ Windows site na iji ọnụọgụ abụọ depụtaghachiri ma na-agba ya n'okpuru aha "atụghị anya" PSEXECSVC. N'otu oge ahụ, ị nwere ike ịhụ ihe a niile, dị ka m mere, site n'ikiri igwe dịpụrụ adịpụ (lee n'okpuru).
Kaadị oku Psexec: "PSEXECSVC" ọrụ. Ọ na-agba faịlụ ọnụọgụ abụọ etinyere site na SMB na folda C: Windows.
Dịka nzọụkwụ ikpeazụ, faịlụ ọnụọgụ abụọ e depụtaghachiri ga-emepe Njikọ RPC na nkesa lekwasịrị anya wee nabata iwu njikwa (site na Windows cmd shei site na ndabara), na-ebuga ha na ibugharị ntinye na mmepụta na igwe ụlọ onye mwakpo ahụ. N'okwu a, onye na-awakpo ahụ na-ahụ ahịrị iwu bụ isi - dị ka ma ọ bụrụ na ejikọtara ya ozugbo.
Ọtụtụ akụrụngwa na usoro dị oke mkpọtụ!
Ihe mgbagwoju anya nke psexec na-akọwa ozi nke gbagwojuru anya n'oge ule mbụ m ọtụtụ afọ gara aga: "Ịmalite PSEXECSVC..." na-esote nkwụsịtụ tupu iwu ozugbo apụta.
Impacket's Psexec na-egosi n'ezie ihe na-eme n'okpuru mkpuchi.
Ọ bụghị ihe mgbagwoju anya: psexec rụrụ nnukwu ọrụ n'okpuru mkpuchi. Ọ bụrụ na ị nwere mmasị na nkọwa zuru ezu karị, lelee ebe a
N'ụzọ doro anya, mgbe ejiri ya dị ka ngwá ọrụ nchịkwa usoro, nke bụ ebumnuche mbụ psexec, ọ nweghị ihe dị njọ na "buzzing" nke usoro Windows ndị a niile. Maka onye na-awakpo, Otú ọ dị, psexec ga-emepụta nsogbu, na maka onye na-akpachapụ anya na onye aghụghọ dị ka Snowden, psexec ma ọ bụ ihe yiri ya ga-abụ nnukwu ihe ize ndụ.
Ma mgbe ahụ abịa Smbexec
SMB bụ ụzọ amamihe na nzuzo iji nyefee faịlụ n'etiti sava, na ndị na-agba ọsọ na-abanye SMB ozugbo kemgbe ọtụtụ narị afọ. Echere m na onye ọ bụla amaralarị na ọ baghị uru
Na Defcon 2013, Eric Millman (
N'adịghị ka psexec, smbexec na-ezere na-ebufe faịlụ ọnụọgụ abụọ enwere ike ịchọta na igwe ebumnuche. Kama, akụrụngwa na-ebi kpamkpam site na ịta nri ruo na mmalite mpaghara Ahịrị iwu Windows.
Nke a bụ ihe ọ na-eme: ọ na-ebufe iwu sitere na igwe na-awakpo site na SMB gaa na faịlụ ntinye pụrụ iche, wee mepụta ma na-agba ọsọ ahịrị iwu dị mgbagwoju anya (dị ka ọrụ Windows) nke ga-adị ka ndị ọrụ Linux maara nke ọma. Na nkenke: ọ na-ebupụta shei Windows cmd nke ala, na-atụgharị mmepụta ya na faịlụ ọzọ, wee ziga ya site na SMB na igwe onye mwakpo ahụ.
Ụzọ kachasị mma isi ghọta nke a bụ ileba anya n'ahịrị iwu, nke m nwere ike nweta aka m site na ndekọ ihe omume (lee n'okpuru).
Nke a ọ bụghị ụzọ kacha mma isi redirect I/O? Site n'ụzọ, imepụta ọrụ nwere ihe omume ID 7045.
Dị ka psexec, ọ na-emepụtakwa ọrụ na-arụ ọrụ niile, ma ọrụ ahụ mgbe nke ahụ gasịrị wepụrụ - a na-eji ya naanị otu ugboro iji mee iwu ahụ wee pụọ! Onye ọrụ nchekwa ozi na-enyocha igwe onye ihe metụtara agaghị enwe ike ịchọpụta doro anya Ndị na-egosi mbuso agha: Enweghị faịlụ ọjọọ a na-ewepụta, ọ nweghị ọrụ na-adịgide adịgide a na-etinye, ọ nweghịkwa ihe akaebe na-egosi na ejiri RPC mee ihe ebe SMB bụ naanị ụzọ mbufe data. Na-egbuke egbuke!
Site n'akụkụ onye mwakpo ahụ, "pseudo-shell" dị na igbu oge n'etiti izipu iwu na ịnweta nzaghachi. Mana nke a zuru oke maka onye na-awakpo - ma ọ bụ onye n'ime ma ọ bụ onye na-agba ọsọ na mpụga nke nwerelarị ụkwụ - ịmalite ịchọ ọdịnaya na-atọ ụtọ.
Iji wepụta data azụ site na igwe ebumnuche gaa na igwe onye mwakpo, a na-eji ya
Ka anyị laghachi azụ chee echiche ihe nke a nwere ike imere onye ọrụ. N'ọnọdụ akụkọ ifo m, ka anyị kwuo na onye na-ede blọgụ, onye nyocha ego ma ọ bụ onye na-ahụ maka nchekwa na-akwụ ụgwọ nke ukwuu ka ekwenyere iji laptọọpụ nkeonwe maka ọrụ. N'ihi usoro mgbaasị ụfọdụ, ọ na-ewe iwe na ụlọ ọrụ ahụ wee "na-aga nke ọma." Dabere na sistemụ arụmọrụ laptọọpụ, ọ na-eji ụdị Python sitere na Impact, ma ọ bụ ụdị Windows nke smbexec ma ọ bụ smbclient dị ka faịlụ .exe.
Dị ka Snowden, ọ na-achọpụta paswọọdụ onye ọrụ ọzọ site n'ile anya n'ubu ya, ma ọ bụ na-enwe ihu ọma ma sụọ ngọngọ na faịlụ ederede nwere paswọọdụ. Na site n'enyemaka nke nzere ndị a, ọ na-amalite igwu gburugburu usoro na ọkwa ọhụrụ nke ihe ùgwù.
Hacking DCC: Anyị achọghị "onye nzuzu" Mimikatz
N'ime akwụkwọ m gara aga na pentesting, eji m mimikatz eme ihe ọtụtụ mgbe. Nke a bụ nnukwu ngwá ọrụ iji gbochie nzere - NTLM hashes na ọbụna okwuntughe ederede doro anya zoro n'ime laptọọpụ, na-eche ka ejiri ya mee ihe.
Oge agbanweela. Ngwá ọrụ nlekota oru enwetala nke ọma n'ịchọpụta na igbochi mimikatz. Ndị na-ahụ maka nchekwa ozi nwekwara nhọrọ ndị ọzọ iji belata ihe egwu metụtara ngafe mwakpo hash (PtH).
Yabụ kedu ihe onye ọrụ maara ihe kwesịrị ime iji nakọta nzere ndị ọzọ na-ejighi mimikatz?
Ngwa Impacket gụnyere akụrụngwa akpọrọ
DCC hashes bụ ọ bụghị NTML hashes na ha enweghị ike iji maka ọgụ PtH.
Ọfọn, ị nwere ike na-agbalị mbanye anataghị ikike ha iji nweta mbụ paswọọdụ. Agbanyeghị, Microsoft enwetala amamihe na DCC na hashes DCC aghọwo ihe siri ike ịgbawa. Ee, enwere m
Kama, ka anyị gbalịa iche echiche ka Snowden. Onye ọrụ nwere ike iduzi injinịa mmekọrịta ihu na ihu yana ikekwe chọpụta ụfọdụ ozi gbasara onye ọ chọrọ ịgbawa paswọọdụ ya. Dịka ọmụmaatụ, chọpụta ma e mebaala akaụntụ onye ahụ n'ịntanetị wee lelee okwuntughe ederede doro anya maka ihe ọ bụla.
Ma nke a bụ ọnọdụ m kpebiri iso. Ka anyị were ya na onye nyocha chọpụtara na onye isi ya, Cruella, emebiela ọtụtụ oge na akụrụngwa webụ dị iche iche. Mgbe nyochachara ọtụtụ n'ime okwuntughe ndị a, ọ ghọtara na Cruella na-ahọrọ iji usoro aha otu egwuregwu baseball "Yankees" sochiri afọ nke ugbu a - "Yankees2015".
Ọ bụrụ na ị na-agbalị imegharị nke a ugbu a n'ụlọ, mgbe ahụ ị nwere ike ibudata obere, "C"
N'ichepụta ọrụ nke onye nyocha, anwalere m ọtụtụ ngwakọta dị iche iche wee nwee ike ịchọpụta na paswọọdụ Cruella bụ "Yankees2019" (lee n'okpuru). Ozi zuru ezu!
Obere injinia na-elekọta mmadụ, nhịahụ ịkọ uba na ntụtụ nke Maltego na ị na-aga nke ọma ị na-agbawa hash DCC.
M na-atụ aro ka anyị kwụsị ebe a. Anyị ga-alaghachi n'isiokwu a na akwụkwọ ozi ndị ọzọ wee lelee usoro ọgụ ngwa ngwa na nke na-adịghị mma, na-aga n'ihu na-ewulite n'ụdị akụrụngwa dị mma nke Impacket.
isi: www.habr.com