Scripsimus semper quomodo hackers confidunt saepe opprimunt ad vitare deprehendatur. Illi litteram , instrumenta fenestrae normae adhibens, permittens antiviroses et alia utilitas ad actionem maliciam deprehendendam. Nos, ut defensores, nunc cogimur ad infortunia tam callidorum caesim artes agere: operarius bene positus uti potest eadem accessu ad notitias occulte furandi (comitas intellectualis proprietatis, numeri crediti). Quod si non irruerit, sed lente et quiete operabitur, difficillimum erit, sed tamen fieri potest, si recta ratione et opportunitate utatur. , β cognoscere talem actionem.
Ex altera vero parte, operarios demonizare nolo quia nemo in negotio environment recte operari vult de Orwell scriptor 1984 . Fortunate plures sunt gradus practici et vita hacks quae vitam multo difficiliorem possunt insiders efficere. Considerabimus occulta impetum modi, adhibita hackers ab operariis cum aliqua technica rerum prospectu. Et paulo ulterius tractabimus de optionibus ad tale periculum reducendum - optiones tam technicae quam normae studebimus.
Quid mali PsExec?
Eduardus Snowden, recte an perperam, synonima facta cum interiori notitia furti. Viam vide ne obliviscaris de aliis insiders, qui etiam dignitate aliqua merentur. Una res magni momenti illustranda circa methodos Snowden usus est, quod, pro nostra scientia, ille non install nulla externa malitiosa programmata!
Loco, Snowden, aliquantulum machinationis socialis usus est et loco suo utebatur ut administrator systematis ad Tesserae colligendas et documentorum crearet. Nihil complicatum - none , impetus aut .
Operae organicae non semper in singulari positione Snowden sunt, sed nonnullae lectiones discendae sunt ex notione "superstes pascendo", ut conscii sint - nullam operam malignam exercendi, quae deprehendi potest, ac praesertim. diligenti usu documentorum. Huius cogitationis memento.
et patruelem suum innumeras penentestres, hackers, et cybersecurity bloggers impresserunt. Et cum mimikatz coniungitur, psexec permittit oppugnatores ut se moveat in retis, non indiget ad cognoscendum clarum textum.
Mimikatz detrahere processum LSASS intercipit et inde signum vel documentorum transit - sic dictum. "Transire Nullam" impetum - in psexec, permittens invasorem ut stipes in alium servo as alium usor. Et cum unaquaque subsequente motu novo servo, oppugnator documentorum additicium colligit, amplians facultatem suam facultatem in quaerendo contenta praesto.
Quando primum coepi opus cum psexec magica mihi videbatur - gratias ago tibi , praeclara elit psexec - sed scio etiam de his aes tium. Numquam secreta!
Primum interest de psexec quod maxime utitur complexu SMB file retis protocol Microsoft. Usus SMB, psexec parvas transfert binarii imagini ad scopum systematis, eas in C: Windows folder.
Deinde psexec Fenestram in binario exscripto utens servitium creat et sub nomine summe "inexpectato" PSEXECSVC decurrit. Simul, haec omnia, sicut feci, videre potes, machinam remotam spectando (vide infra).
Psexec card vocat: "PSEXECSVC" officium. Fasciculus binarius decurrit qui per SMB in C: Fenestra folder est.
Ut ultimus gradus, limatus binarius aperitur RPC nexum ad scopum server et deinde imperium imperata acceptat (per default cmd testudo Fenestra), eas deducendo et redirecting initus et output ad machinam domesticam oppugnantis. In hoc casu, oppugnator videt lineam fundamentalem mandatum - idem ac si directe conexus.
Sortes tium et processus admodum sonant!
Complicata interna psexec verba explicant quae me in primo experimento ante aliquot annos haesitavit: "PSEXECSVC... Satus" sequitur pausam ante mandatum promptum apparet.
Impacket Psexec re vera ostendit quid agatur sub cucullo.
Non mirum: psexec in cucullo laboravit ingens moles. Si accuratiorem explicationem interest, hic reprehendo mira descriptio.
Patet, cum instrumentum administrandi systematis adhibetur, quod erat propositum psexec, nihil mali est cum omnibus his Fenestra machinationibus "stridoribus". Percussor autem psexec inpedimenta crearet, et pro cauto et callido quasi Snowdeno insider, psexec vel similis utilitas nimium esset periculi.
Et tunc venit Smbexec
SMB via callida et secreta est ad fasciculos transferendi inter servientes, et hackers directe per saecula infiltraverunt. Omnes puto iam scit id pretium non esse SMB portus 445 et 139 interreti, vox?
In Defcon 2013, Eric Millman) presented ut pentesters furtim caesim tentare possit. Nescio totam fabulam, sed deinde Impacket adhuc smbexec expolitum. Revera, experiendo, scripta ab Impacket in Pythone de .
Secus psexec, smbexec vitat transferendo in potentia deprehendi binarii lima in scopum machina. Sed utilitas ex pascuis per launch loci Fenestra recta imperat.
Hic est quod agit: mandatum transit ab oppugnatione machinae per SMB ad speciale initus fasciculi, et deinde gignit et currit agmen mandatum complexum (sicut in Fenestra opera) quod Linux usoribus familiare videbitur. In summa: in Fenestra cmd testam vernaculam immittit, output ad alium fasciculum reducit, et deinde per SMB ad machinam oppugnatoris emittit.
Optime haec intelligenda est linea praecepti inspicere, quam ex eventu log manus meas obtinere potui (vide infra).
Nonne haec maxima via est ad redirect I/O? Viam muneris creatio evenit ID 7045.
Sicut psexec, servitium etiam creat quod facit omne opus, sed servitium postea delevit β semel tantum ad imperium currit et postea evanescit! Informatio securitatis officer vigilantia victimae apparatus deprehendere non poterit patet Indicatores oppugnationis: Nihil malitiose limae immissae, nullum perseverans servitium inauguratum est, nulla documenta RPC adhibita cum SMB sola notitia translationis est. Praeclare!
Ex parte oppugnatoris "pseudo-testa" morae praesto est inter mandatum et responsum accipiendum. Sed hoc satis satis est invasorem vel insidentem vel exteriorem piraticam qui iam locum habet - ut satus vultus pro iucunda contentus.
Ad output notitia tergum e machina scopo ad machinam oppugnatoris adhibita est . Idem est Samba sed solum ad scriptionem Python ab Impacket convertendam. Revera, smbclient te permittit ut exercitum clam transferat FTP super SMB.
Gradum revertamur et cogitemus quid hoc facere possit operarius. In missione ficticia mea, dicamus blogger, analysta nummaria vel securitatis consultus multum solutus, licet personali laptop ad opera uti. Ex aliquo magico processu, societatem offendit et "omnia mala vadit." Secundum laptop operandi ratio, vel utitur versione Pythonis ab Impact, vel in Fenestra versione smbexec, vel smbclienti ut .exe lima.
Sicut Snowden, aliam tesseram usoris reperit vel per umerum suum intuendo, vel felicem accipit et offendit in textu tabellae tesserae. Et harum documentorum ope, systema novo privilegiorum gradu circumfodere incipit.
Hacking DCC: Non opus est nobis "stultus" Mimikatz
In praecedentibus postibus in pentesting, persaepe mimikatz usus sum. Magnum hoc instrumentum est documentorum intercipiendi - NTLM hashes et etiam Tesserae perspicuae in lapsibus intus absconditae, modo exspectando utendum est.
tempora mutata sunt. Instrumenta vigilantia aptius obtinuerunt ad deprehendendas et claudendas mimikatz. Informatio securitatis administratores etiam nunc plures optiones habent ad redigendum pericula quae consociata cum passibus impetus Nullam (PtH) redigunt.
Quid ergo operarius vafer debet colligere additamenta documentorum sine mimikatz utendo?
Impacket scriptor ornamentum includit in utilitatem vocavit quae documentorum e Domain Credential Cache vel DCC pro brevibus reddit. Intellectus mihi est, si usor fundi in usorario acta in servo sed dominii moderatoris inaccessibilis est, Dcc servo permittit ut usorem signo authenticitatis muniat. Usquam, secretsdump sinit te effundere hashes omnia si praesto sunt.
DCC hashes sunt non NTML hashes et eos potest adhiberi PtH impetum.
Bene, tentare potes eos truncare ut tesseram originalem accipias. Autem, Microsoft smarter cum DCC et DCC hashes evasit difficillime ad resiliendum facti. Ita, habeo "Tesseram velocissimam coniecturam mundi", sed requirit GPU ut efficaciter currat.
Sed conemur cogitare sicut Snowden. Operarius faciem-ad-faciem machinationem socialem ducere potest et fortasse aliquas informationes de homine invenire cuius tesseram resilire vult. Exempli causa, experire si ratio online personae detruncata est et eorum tesseram lucidas pro quibusvis clues examinant.
Et hoc est missionem quam decrevi ire cum illo. Demus insider comperisse bulla suam, Cruella, pluries in diversis opibus interretam fuisse detruncatam. Post plures ex his passwords digerendis, intellegit Cruella mavult uti forma turmae baseball nominis "Yankees", quam sequitur annus currentis - "Yankees2015".
Si nunc hoc domi effingere conaris, tunc parvam "C" excipere potes. quae algorithmum Dcc harundinem conficit, eamque compilabit. obiter addita subsidia pro DCC, sic quoque adhiberi potest. Demus quod insider discendi Ioannem Ripper molestare non vult et velle "gcc" in legato C codice currere.
Munus insidentis simulans, varias coniunctiones varias conatus sum et tandem potui invenire tesseram Cruellae "Yankees2019" fuisse (vide infra). Perfecta missione!
Parva societas machinalis socialis, sortilegium sortilegii et Maltegonis ternum et bene vales in via tua ut Nullam Nullam fregisset DCC.
Moneo hic finem. Ad hunc locum revertemur in aliis stationibus, et videas methodos etiam tardiores et furtivas incursus, pergentes in Impacket aedificandi praestantissimas utilitates.
Source: www.habr.com