Давуу эрх нэмэгдүүлэх гэдэг нь халдагчид дансны одоогийн эрхийг нэмэлт, ихэвчлэн илүү өндөр түвшний системд нэвтрэх эрхийг ашиглах явдал юм. Эрх олголтыг нэмэгдүүлэх нь тэг өдрийн эмзэг байдлыг ашиглах эсвэл зорилтот халдлага үйлдэж буй нэгдүгээр зэрэглэлийн хакеруудын ажлын үр дүн, эсвэл сайн далдлагдсан хортой программуудын үр дүн байж болох ч энэ нь ихэвчлэн компьютер эсвэл дансны тохиргоо буруу хийгдсэнтэй холбоотой байдаг. Халдлагыг цаашид хөгжүүлэхийн тулд халдагчид хэд хэдэн хувийн эмзэг байдлыг ашигладаг бөгөөд энэ нь нийлээд гамшигт мэдээлэл алдагдахад хүргэдэг.
Хэрэглэгчид яагаад локал администраторын эрхтэй байж болохгүй гэж?
Хэрэв та аюулгүй байдлын мэргэжилтэн бол хэрэглэгчдэд локал администраторын эрх байх ёсгүй нь ойлгомжтой мэт санагдаж магадгүй.
- Тэдний дансыг янз бүрийн халдлагад өртөмтгий болгодог
- Үүнтэй ижил халдлагыг илүү хүнд болгодог
Харамсалтай нь, олон байгууллагын хувьд энэ нь маш маргаантай асуудал хэвээр байгаа бөгөөд заримдаа халуухан хэлэлцүүлэг дагалддаг (жишээ нь:
Алхам 1: PowerShell-ээр DNS-ийн нарийвчлалыг өөрчлөх
Анхдагч байдлаар PowerShell-ийг олон локал ажлын станцууд болон ихэнх Windows серверүүд дээр суулгасан байдаг. Хэдийгээр энэ нь гайхалтай ашигтай автоматжуулалт, удирдлагын хэрэгсэл гэж тооцогддог ч энэ нь өөрийгөө бараг үл үзэгдэх хэрэгсэл болгон хувиргах чадвартай юм.
Манай тохиолдолд халдагчид PowerShell скрипт ашиглан сүлжээний хайгуул хийж, сүлжээний IP хаягийн зайг дараалан давтаж, тухайн IP нь хост руу шийдэгдэж байгаа эсэх, хэрэв тийм бол энэ хостын сүлжээний нэр юу болохыг тодорхойлохыг оролддог.
Энэ даалгаврыг биелүүлэх олон арга бий, гэхдээ cmdlet ашиглан
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}
Хэрэв том сүлжээн дэх хурд нь асуудалтай байвал DNS дуудлагыг ашиглаж болно:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Сүлжээнд байгаа хостуудыг жагсаах энэ арга нь маш түгээмэл бөгөөд ихэнх сүлжээнүүд найдвартай аюулгүй байдлын загвар ашигладаггүй бөгөөд дотоод DNS асуулгад сэжигтэй үйлдлийг хянадаггүй.
Алхам 2: Зорилгоо сонго
Энэ алхамын эцсийн үр дүн нь халдлагыг үргэлжлүүлэхэд ашиглаж болох сервер болон ажлын станцын хостын нэрсийн жагсаалтыг олж авах явдал юм.
Нэрнээс нь харахад 'HUB-FILER' сервер нь зохистой зорилт юм шиг санагдаж байна Цаг хугацаа өнгөрөхөд файлын серверүүд нь дүрмээр бол олон тооны сүлжээний фолдеруудыг хуримтлуулж, хэт олон хүн тэдгээрт хэт их ханддаг.
Windows Explorer ашиглан хайлт хийх нь бидэнд нээлттэй хуваалцсан хавтас байгаа эсэхийг илрүүлэх боломжийг олгодог боловч бидний одоогийн бүртгэл үүнд хандах боломжгүй (магадгүй бид зөвхөн жагсаалтын эрхтэй байж магадгүй).
Алхам 3: ACL-ийг сур
Одоо бид HUB-FILER хост болон зорилтот хуваалцсан дээрээ ACL авахын тулд PowerShell скриптийг ажиллуулж болно. Бид үүнийг локал машинаас хийж болно, учир нь бидэнд локал администраторын эрх аль хэдийн байгаа:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –auto
Гүйцэтгэлийн үр дүн:
Эндээс харахад Домэйн Хэрэглэгчдийн бүлэг нь зөвхөн жагсаалтад хандах эрхтэй боловч Helpdesk бүлэгт өөрчлөлт оруулах эрхтэй.
Алхам 4: Дансны тодорхойлолт
Гүйж байна
Get-ADGroupMember -identity Helpdesk
Энэ жагсаалтад бид аль хэдийн тодорхойлсон бөгөөд аль хэдийн нэвтэрсэн компьютерийн бүртгэлийг харж байна:
Алхам 5: PSExec програмыг ашиглан компьютерийн бүртгэлээр ажиллуул
PsExec.exe -s -i cmd.exe
Тэгвэл та HUB-SHAREPOINT компьютерийн дансны хүрээнд ажиллаж байгаа тул HUB-FILERshareHR зорилтот хавтас руу бүрэн хандах боломжтой. Энэхүү хандалтын тусламжтайгаар өгөгдлийг зөөврийн хадгалах төхөөрөмж рүү хуулж эсвэл өөр аргаар олж авч, сүлжээгээр дамжуулж болно.
Алхам 6: Энэ халдлагыг илрүүлэх
Энэ тусгай дансны давуу эрх тааруулах эмзэг байдлыг (хэрэглэгчийн бүртгэл эсвэл үйлчилгээний дансны оронд сүлжээний хувьцаанд хандах компьютерийн бүртгэл) илрүүлж болно. Гэсэн хэдий ч зөв хэрэгсэлгүйгээр үүнийг хийхэд маш хэцүү байдаг.
Энэ ангиллын халдлагыг илрүүлэх, урьдчилан сэргийлэхийн тулд бид ашиглаж болно
Доорх дэлгэцийн агшинд компьютерийн бүртгэл хяналттай серверийн өгөгдөлд хандах бүрт идэвхждэг тусгай мэдэгдлийг харуулж байна.
PowerShell-ийн дараагийн алхамууд
Илүү ихийг мэдмээр байна уу? "Блог"-ын түгжээг тайлах кодыг ашиглан бүрэн мэдээлэл авах боломжтой
Эх сурвалж: www.habr.com