Anyị na-ede mgbe niile banyere ka ndị na-agba ọsọ na-adaberekarị na nrigbu iji zere nchọpụta. Ha n'ezie , iji ngwaọrụ Windows ọkọlọtọ, si otú a na-agafe antiviruses na ihe ndị ọzọ maka ịchọpụta ọrụ ọjọọ. Anyị, dị ka ndị na-agbachitere, ugbu a, a na-amanye ime ihe na-adịghị mma nke usoro hacking dị otú ahụ dị nkọ: onye ọrụ na-arụ ọrụ nke ọma nwere ike iji otu ụzọ ahụ na-ezu ohi data (ihe onwunwe ọgụgụ isi ụlọ ọrụ, nọmba kaadị kredit). Ma ọ bụrụ na ọ naghị agba ọsọ ọsọ, ma na-arụ ọrụ nwayọọ nwayọọ na nwayọọ, ọ ga-esi nnọọ ike - ma ọ ka ga-ekwe omume ma ọ bụrụ na ọ na-eji ụzọ ziri ezi na nke kwesịrị ekwesị. , - iji chọpụta ọrụ dị otú ahụ.
N'aka nke ọzọ, agaghị m achọ ime mmụọ ndị ọrụ n'ihi na ọ dịghị onye chọrọ ịrụ ọrụ na ebe azụmahịa ozugbo na Orwell's 1984. Ọ dabara nke ọma, enwere ọtụtụ nzọụkwụ bara uru na hacks ndụ nke nwere ike ime ka ndụ sie ike karị maka ndị n'ime. Anyị ga-atụle ụzọ mbuso agha nzuzo, nke ndị na-agba ọsọ na-eji ndị ọrụ na-eji ụfọdụ nkà na ụzụ eme ihe. Na ntakịrị n'ihu, anyị ga-atụle nhọrọ maka ibelata ihe ize ndụ dị otú ahụ - anyị ga-amụ ma nhọrọ nkà na ụzụ na nhazi.
Kedu ihe na-eme PsExec?
Edward Snowden, n'ụzọ ziri ezi ma ọ bụ n'ụzọ na-ezighị ezi, abụrụla ihe jikọrọ ya na izu ohi data. Site n'ụzọ, echefula ilele anya banyere ndị ọzọ insiders ndị kwesịkwara ụfọdụ ama ọkwa. Otu isi ihe dị mkpa kwesịrị imesi ike maka ụzọ Snowden ji mee ihe bụ na, ruo n'ókè anyị maara, ọ etinyeghị ya ọ dịghị mpụga obi software!
Kama nke ahụ, Snowden jiri ntakịrị injinia mmekọrịta mmadụ na ibe ya wee jiri ọnọdụ ya dị ka onye nchịkwa sistemụ nakọta okwuntughe wee mepụta nzere. Ọ dịghị ihe mgbagwoju anya - ọ dịghị , ọgụ ma ọ bụ .
Ndị ọrụ nhazi abụghị mgbe niile nọ n'ọnọdụ pụrụ iche nke Snowden, mana enwere ọtụtụ nkuzi a ga-amụta n'echiche nke "ịlanarị site na ịta nri" iji mara - ịghara itinye aka n'omume ọjọọ ọ bụla enwere ike ịchọpụta, ma bụrụ nke kachasị. kpachara anya na iji nzere. Cheta echiche a.
na nwanne nna ya masịrị ọtụtụ ndị pentesters, ndị hackers na ndị na-ede blọgụ cybersecurity. Na mgbe ejikọtara ya na mimikatz, psexec na-enye ndị na-awakpo ohere ịkwaga n'ime netwọk na-enweghị mkpa ịmara okwuntughe ederede doro anya.
Mimikatz na-egbochi NTLM hash site na usoro LSASS wee nyefee akara ngosi ma ọ bụ nzere - nke a na-akpọ. "gafere hash" ọgụ - na psexec, na-enye onye na-awakpo ohere ịbanye na nkesa ọzọ dị ka nke onye ozo onye ọrụ. Na ịkwaga nke ọ bụla na-esote na sava ọhụrụ, onye na-awakpo ahụ na-anakọta nzere ndị ọzọ, na-agbasawanye ikike ya n'ịchọ ọdịnaya dị.
Mgbe mbụ m malitere ịrụ ọrụ na psexec ọ dị m ka ọ bụ anwansi - daalụ , onye na-emepụta ihe na-egbuke egbuke nke psexec - mana m makwaara banyere ya mkpọtụ components. Ọ dịghị mgbe ọ na-ezo!
Eziokwu mbụ na-adọrọ mmasị banyere psexec bụ na ọ na-eji oke mgbagwoju anya Usoro faịlụ netwọk SMB sitere na Microsoft. Iji SMB, psexec na-enyefe obere ọnụọgụ abụọ faịlụ na usoro ebumnuche, na-etinye ha na folda C: Windows.
Na-esote, psexec na-emepụta ọrụ Windows site na iji ọnụọgụ abụọ depụtaghachiri ma na-agba ya n'okpuru aha "atụghị anya" PSEXECSVC. N'otu oge ahụ, ị nwere ike ịhụ ihe a niile, dị ka m mere, site n'ikiri igwe dịpụrụ adịpụ (lee n'okpuru).
Kaadị oku Psexec: "PSEXECSVC" ọrụ. Ọ na-agba faịlụ ọnụọgụ abụọ etinyere site na SMB na folda C: Windows.
Dịka nzọụkwụ ikpeazụ, faịlụ ọnụọgụ abụọ e depụtaghachiri ga-emepe Njikọ RPC na nkesa lekwasịrị anya wee nabata iwu njikwa (site na Windows cmd shei site na ndabara), na-ebuga ha na ibugharị ntinye na mmepụta na igwe ụlọ onye mwakpo ahụ. N'okwu a, onye na-awakpo ahụ na-ahụ ahịrị iwu bụ isi - dị ka ma ọ bụrụ na ejikọtara ya ozugbo.
Ọtụtụ akụrụngwa na usoro dị oke mkpọtụ!
Ihe mgbagwoju anya nke psexec na-akọwa ozi nke gbagwojuru anya n'oge ule mbụ m ọtụtụ afọ gara aga: "Ịmalite PSEXECSVC..." na-esote nkwụsịtụ tupu iwu ozugbo apụta.
Impacket's Psexec na-egosi n'ezie ihe na-eme n'okpuru mkpuchi.
Ọ bụghị ihe mgbagwoju anya: psexec rụrụ nnukwu ọrụ n'okpuru mkpuchi. Ọ bụrụ na ị nwere mmasị na nkọwa zuru ezu karị, lelee ebe a magburu onwe nkọwa.
N'ụzọ doro anya, mgbe ejiri ya dị ka ngwá ọrụ nchịkwa usoro, nke bụ ebumnuche mbụ psexec, ọ nweghị ihe dị njọ na "buzzing" nke usoro Windows ndị a niile. Maka onye na-awakpo, Otú ọ dị, psexec ga-emepụta nsogbu, na maka onye na-akpachapụ anya na onye aghụghọ dị ka Snowden, psexec ma ọ bụ ihe yiri ya ga-abụ nnukwu ihe ize ndụ.
Ma mgbe ahụ abịa Smbexec
SMB bụ ụzọ amamihe na nzuzo iji nyefee faịlụ n'etiti sava, na ndị na-agba ọsọ na-abanye SMB ozugbo kemgbe ọtụtụ narị afọ. Echere m na onye ọ bụla amaralarị na ọ baghị uru SMB ọdụ ụgbọ mmiri 445 na 139 na ịntanetị, nri?
Na Defcon 2013, Eric Millman () ewepụtara , nke mere na pentesters nwere ike nwalee stealth SMB hacking. Amaghị m akụkọ ahụ dum, mana Impacket n'ihu nụchaa smbexec. N'ezie, maka ule m, ebudatara m scripts na Impacket na Python si .
N'adịghị ka psexec, smbexec na-ezere na-ebufe faịlụ ọnụọgụ abụọ enwere ike ịchọta na igwe ebumnuche. Kama, akụrụngwa na-ebi kpamkpam site na ịta nri ruo na mmalite mpaghara Ahịrị iwu Windows.
Nke a bụ ihe ọ na-eme: ọ na-ebufe iwu sitere na igwe na-awakpo site na SMB gaa na faịlụ ntinye pụrụ iche, wee mepụta ma na-agba ọsọ ahịrị iwu dị mgbagwoju anya (dị ka ọrụ Windows) nke ga-adị ka ndị ọrụ Linux maara nke ọma. Na nkenke: ọ na-ebupụta shei Windows cmd nke ala, na-atụgharị mmepụta ya na faịlụ ọzọ, wee ziga ya site na SMB na igwe onye mwakpo ahụ.
Ụzọ kachasị mma isi ghọta nke a bụ ileba anya n'ahịrị iwu, nke m nwere ike nweta aka m site na ndekọ ihe omume (lee n'okpuru).
Nke a ọ bụghị ụzọ kacha mma isi redirect I/O? Site n'ụzọ, imepụta ọrụ nwere ihe omume ID 7045.
Dị ka psexec, ọ na-emepụtakwa ọrụ na-arụ ọrụ niile, ma ọrụ ahụ mgbe nke ahụ gasịrị wepụrụ - a na-eji ya naanị otu ugboro iji mee iwu ahụ wee pụọ! Onye ọrụ nchekwa ozi na-enyocha igwe onye ihe metụtara agaghị enwe ike ịchọpụta doro anya Ndị na-egosi mbuso agha: Enweghị faịlụ ọjọọ a na-ewepụta, ọ nweghị ọrụ na-adịgide adịgide a na-etinye, ọ nweghịkwa ihe akaebe na-egosi na ejiri RPC mee ihe ebe SMB bụ naanị ụzọ mbufe data. Na-egbuke egbuke!
Site n'akụkụ onye mwakpo ahụ, "pseudo-shell" dị na igbu oge n'etiti izipu iwu na ịnweta nzaghachi. Mana nke a zuru oke maka onye na-awakpo - ma ọ bụ onye n'ime ma ọ bụ onye na-agba ọsọ na mpụga nke nwerelarị ụkwụ - ịmalite ịchọ ọdịnaya na-atọ ụtọ.
Iji wepụta data azụ site na igwe ebumnuche gaa na igwe onye mwakpo, a na-eji ya . Ee, ọ bụ otu Samba , mana ọ bụ naanị Impacket gbanwere ka ọ bụrụ edemede Python. N'ezie, smbclient na-enye gị ohere ịnyefe FTP na nzuzo na SMB.
Ka anyị laghachi azụ chee echiche ihe nke a nwere ike imere onye ọrụ. N'ọnọdụ akụkọ ifo m, ka anyị kwuo na onye na-ede blọgụ, onye nyocha ego ma ọ bụ onye na-ahụ maka nchekwa na-akwụ ụgwọ nke ukwuu ka ekwenyere iji laptọọpụ nkeonwe maka ọrụ. N'ihi usoro mgbaasị ụfọdụ, ọ na-ewe iwe na ụlọ ọrụ ahụ wee "na-aga nke ọma." Dabere na sistemụ arụmọrụ laptọọpụ, ọ na-eji ụdị Python sitere na Impact, ma ọ bụ ụdị Windows nke smbexec ma ọ bụ smbclient dị ka faịlụ .exe.
Dị ka Snowden, ọ na-achọpụta paswọọdụ onye ọrụ ọzọ site n'ile anya n'ubu ya, ma ọ bụ na-enwe ihu ọma ma sụọ ngọngọ na faịlụ ederede nwere paswọọdụ. Na site n'enyemaka nke nzere ndị a, ọ na-amalite igwu gburugburu usoro na ọkwa ọhụrụ nke ihe ùgwù.
Hacking DCC: Anyị achọghị "onye nzuzu" Mimikatz
N'ime akwụkwọ m gara aga na pentesting, eji m mimikatz eme ihe ọtụtụ mgbe. Nke a bụ nnukwu ngwá ọrụ iji gbochie nzere - NTLM hashes na ọbụna okwuntughe ederede doro anya zoro n'ime laptọọpụ, na-eche ka ejiri ya mee ihe.
Oge agbanweela. Ngwá ọrụ nlekota oru enwetala nke ọma n'ịchọpụta na igbochi mimikatz. Ndị na-ahụ maka nchekwa ozi nwekwara nhọrọ ndị ọzọ iji belata ihe egwu metụtara ngafe mwakpo hash (PtH).
Yabụ kedu ihe onye ọrụ maara ihe kwesịrị ime iji nakọta nzere ndị ọzọ na-ejighi mimikatz?
Ngwa Impacket gụnyere akụrụngwa akpọrọ , nke na-eweghachite nzere site na cache nzere ngalaba, ma ọ bụ DCC maka nkenke. Nghọta m bụ na ọ bụrụ na onye ọrụ ngalaba abanye n'ime sava ahụ mana njikwa ngalaba adịghị, DCC na-enye ohere ka sava ahụ gosipụta onye ọrụ ahụ. Agbanyeghị, secretsdump na-enye gị ohere ịtụfu hashes ndị a ma ọ bụrụ na ha dị.
DCC hashes bụ ọ bụghị NTML hashes na ha enweghị ike iji maka ọgụ PtH.
Ọfọn, ị nwere ike na-agbalị mbanye anataghị ikike ha iji nweta mbụ paswọọdụ. Agbanyeghị, Microsoft enwetala amamihe na DCC na hashes DCC aghọwo ihe siri ike ịgbawa. Ee, enwere m , "Ntụgharị okwuntughe kacha ọsọ n'ụwa," mana ọ chọrọ GPU ka ọ rụọ ọrụ nke ọma.
Kama, ka anyị gbalịa iche echiche ka Snowden. Onye ọrụ nwere ike iduzi injinịa mmekọrịta ihu na ihu yana ikekwe chọpụta ụfọdụ ozi gbasara onye ọ chọrọ ịgbawa paswọọdụ ya. Dịka ọmụmaatụ, chọpụta ma e mebaala akaụntụ onye ahụ n'ịntanetị wee lelee okwuntughe ederede doro anya maka ihe ọ bụla.
Ma nke a bụ ọnọdụ m kpebiri iso. Ka anyị were ya na onye nyocha chọpụtara na onye isi ya, Cruella, emebiela ọtụtụ oge na akụrụngwa webụ dị iche iche. Mgbe nyochachara ọtụtụ n'ime okwuntughe ndị a, ọ ghọtara na Cruella na-ahọrọ iji usoro aha otu egwuregwu baseball "Yankees" sochiri afọ nke ugbu a - "Yankees2015".
Ọ bụrụ na ị na-agbalị imegharị nke a ugbu a n'ụlọ, mgbe ahụ ị nwere ike ibudata obere, "C" , nke na-arụ ọrụ DCC hashing algọridim, wee chịkọta ya. , n'agbanyeghị, agbakwunyere nkwado maka DCC, yabụ enwere ike iji ya. Ka anyị were ya na onye na-enyocha ihe achọghị inye nsogbu mmụta John the Ripper ma nwee mmasị ịgba "gcc" na koodu C nketa.
N'ichepụta ọrụ nke onye nyocha, anwalere m ọtụtụ ngwakọta dị iche iche wee nwee ike ịchọpụta na paswọọdụ Cruella bụ "Yankees2019" (lee n'okpuru). Ozi zuru ezu!
Obere injinia na-elekọta mmadụ, nhịahụ ịkọ uba na ntụtụ nke Maltego na ị na-aga nke ọma ị na-agbawa hash DCC.
M na-atụ aro ka anyị kwụsị ebe a. Anyị ga-alaghachi n'isiokwu a na akwụkwọ ozi ndị ọzọ wee lelee usoro ọgụ ngwa ngwa na nke na-adịghị mma, na-aga n'ihu na-ewulite n'ụdị akụrụngwa dị mma nke Impacket.
isi: www.habr.com