Давуу эрх нэмэгдүүлэх гэдэг нь халдагчид дансны одоогийн эрхийг нэмэлт, ихэвчлэн илүү өндөр түвшний системд нэвтрэх эрхийг ашиглах явдал юм. Эрх олголтыг нэмэгдүүлэх нь тэг өдрийн эмзэг байдлыг ашиглах эсвэл зорилтот халдлага үйлдэж буй нэгдүгээр зэрэглэлийн хакеруудын ажлын үр дүн, эсвэл сайн далдлагдсан хортой программуудын үр дүн байж болох ч энэ нь ихэвчлэн компьютер эсвэл дансны тохиргоо буруу хийгдсэнтэй холбоотой байдаг. Халдлагыг цаашид хөгжүүлэхийн тулд халдагчид хэд хэдэн хувийн эмзэг байдлыг ашигладаг бөгөөд энэ нь нийлээд гамшигт мэдээлэл алдагдахад хүргэдэг.
Хэрэглэгчид яагаад локал администраторын эрхтэй байж болохгүй гэж?
Хэрэв та аюулгүй байдлын мэргэжилтэн бол хэрэглэгчдэд локал администраторын эрх байх ёсгүй нь ойлгомжтой мэт санагдаж магадгүй.
- Тэдний дансыг янз бүрийн халдлагад өртөмтгий болгодог
- Үүнтэй ижил халдлагыг илүү хүнд болгодог
Харамсалтай нь, олон байгууллагын хувьд энэ нь маш маргаантай асуудал хэвээр байгаа бөгөөд заримдаа халуухан хэлэлцүүлэг дагалддаг (жишээ нь: ). Хэлэлцүүлгийн нарийн ширийнийг ярихгүйгээр халдагчид мөлжлөгөөр эсвэл машинууд зохих ёсоор хамгаалагдаагүйгээс шалгагдаж буй систем дээр локал администраторын эрхийг авсан гэж бид үзэж байна.
Алхам 1: PowerShell-ээр DNS-ийн нарийвчлалыг өөрчлөх
Анхдагч байдлаар PowerShell-ийг олон локал ажлын станцууд болон ихэнх Windows серверүүд дээр суулгасан байдаг. Хэдийгээр энэ нь гайхалтай ашигтай автоматжуулалт, удирдлагын хэрэгсэл гэж тооцогддог ч энэ нь өөрийгөө бараг үл үзэгдэх хэрэгсэл болгон хувиргах чадвартай юм. (халдлагын ул мөр үлдээдэггүй хакердах програм).
Манай тохиолдолд халдагчид PowerShell скрипт ашиглан сүлжээний хайгуул хийж, сүлжээний IP хаягийн зайг дараалан давтаж, тухайн IP нь хост руу шийдэгдэж байгаа эсэх, хэрэв тийм бол энэ хостын сүлжээний нэр юу болохыг тодорхойлохыг оролддог.
Энэ даалгаврыг биелүүлэх олон арга бий, гэхдээ cmdlet ашиглан ADComputer нь зангилаа бүрийн талаар үнэхээр баялаг багц өгөгдлийг буцаадаг тул хатуу сонголт юм:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}Хэрэв том сүлжээн дэх хурд нь асуудалтай байвал DNS дуудлагыг ашиглаж болно:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Сүлжээнд байгаа хостуудыг жагсаах энэ арга нь маш түгээмэл бөгөөд ихэнх сүлжээнүүд найдвартай аюулгүй байдлын загвар ашигладаггүй бөгөөд дотоод DNS асуулгад сэжигтэй үйлдлийг хянадаггүй.
Алхам 2: Зорилгоо сонго
Энэ алхамын эцсийн үр дүн нь халдлагыг үргэлжлүүлэхэд ашиглаж болох сервер болон ажлын станцын хостын нэрсийн жагсаалтыг олж авах явдал юм.
Нэрнээс нь харахад 'HUB-FILER' сервер нь зохистой зорилт юм шиг санагдаж байна Цаг хугацаа өнгөрөхөд файлын серверүүд нь дүрмээр бол олон тооны сүлжээний фолдеруудыг хуримтлуулж, хэт олон хүн тэдгээрт хэт их ханддаг.
Windows Explorer ашиглан хайлт хийх нь бидэнд нээлттэй хуваалцсан хавтас байгаа эсэхийг илрүүлэх боломжийг олгодог боловч бидний одоогийн бүртгэл үүнд хандах боломжгүй (магадгүй бид зөвхөн жагсаалтын эрхтэй байж магадгүй).
Алхам 3: ACL-ийг сур
Одоо бид HUB-FILER хост болон зорилтот хуваалцсан дээрээ ACL авахын тулд PowerShell скриптийг ажиллуулж болно. Бид үүнийг локал машинаас хийж болно, учир нь бидэнд локал администраторын эрх аль хэдийн байгаа:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –autoГүйцэтгэлийн үр дүн:
Эндээс харахад Домэйн Хэрэглэгчдийн бүлэг нь зөвхөн жагсаалтад хандах эрхтэй боловч Helpdesk бүлэгт өөрчлөлт оруулах эрхтэй.
Алхам 4: Дансны тодорхойлолт
Гүйж байна , бид энэ бүлгийн бүх гишүүдийг авах боломжтой:
Get-ADGroupMember -identity Helpdesk
Энэ жагсаалтад бид аль хэдийн тодорхойлсон бөгөөд аль хэдийн нэвтэрсэн компьютерийн бүртгэлийг харж байна:
Алхам 5: PSExec програмыг ашиглан компьютерийн бүртгэлээр ажиллуул
Microsoft Sysinternals-аас тусламж авах нь Helpdesk зорилтот бүлгийн гишүүн гэдгийг бидний мэдэх SYSTEM@HUB-SHAREPOINT системийн дансны хүрээнд тушаалуудыг ажиллуулах боломжийг танд олгоно. Өөрөөр хэлбэл, бид зүгээр л хийх хэрэгтэй:
PsExec.exe -s -i cmd.exeТэгвэл та HUB-SHAREPOINT компьютерийн дансны хүрээнд ажиллаж байгаа тул HUB-FILERshareHR зорилтот хавтас руу бүрэн хандах боломжтой. Энэхүү хандалтын тусламжтайгаар өгөгдлийг зөөврийн хадгалах төхөөрөмж рүү хуулж эсвэл өөр аргаар олж авч, сүлжээгээр дамжуулж болно.
Алхам 6: Энэ халдлагыг илрүүлэх
Энэ тусгай дансны давуу эрх тааруулах эмзэг байдлыг (хэрэглэгчийн бүртгэл эсвэл үйлчилгээний дансны оронд сүлжээний хувьцаанд хандах компьютерийн бүртгэл) илрүүлж болно. Гэсэн хэдий ч зөв хэрэгсэлгүйгээр үүнийг хийхэд маш хэцүү байдаг.
Энэ ангиллын халдлагыг илрүүлэх, урьдчилан сэргийлэхийн тулд бид ашиглаж болно компьютерийн данстай бүлгүүдийг тодорхойлж, дараа нь тэдгээрт хандахыг хориглоно. цааш явж, энэ төрлийн хувилбарт тусгайлан мэдэгдэл үүсгэх боломжийг танд олгоно.
Доорх дэлгэцийн агшинд компьютерийн бүртгэл хяналттай серверийн өгөгдөлд хандах бүрт идэвхждэг тусгай мэдэгдлийг харуулж байна.
PowerShell-ийн дараагийн алхамууд
Илүү ихийг мэдмээр байна уу? "Блог"-ын түгжээг тайлах кодыг ашиглан бүрэн мэдээлэл авах боломжтой .
Эх сурвалж: www.habr.com