Sheeko ku saabsan cilmi baaris iyo horumarin oo 3 qaybood ah. Qaybta 1 waa sahamin
Waxaa jira geedo beech badan - xitaa faa'iidooyin badan.
Abuurista dhibaatada
Inta lagu jiro ololeyaasha iyo RedTeam, mar walba suurtagal maaha in la isticmaalo aaladaha caadiga ah ee Macmiilka, sida VPN, RDP, Citrix, iwm. sida barroosin loogu talagalay gelitaanka shabakadda gudaha. Meelaha qaarkood, VPN-ka caadiga ah wuxuu ku shaqeeyaa MFA iyo calaamadda qalabka waxaa loo adeegsadaa qodobka labaad, kuwa kale si naxariis darro ah ayaa loola socdaa oo galitaanka VPN-ka ayaa isla markiiba muuqda, sida ay yiraahdaan, dhammaan waxa ay ku lug leedahay, laakiin kuwa kale waxaa jira si fudud ma aha sida.
Xaaladahan oo kale, waa inaan si joogto ah u samaynaa waxa loogu yeero "tunnel-ka dib-u-celinta" - isku xirka shabakada gudaha ee kheyraadka dibadda ama server-ka aan gacanta ku hayno. Gudaha tunnel-ka noocan oo kale ah, waxaan horeyba ula shaqeyn karnaa macaamiisha gudaha kheyraadka.
Waxaa jira dhowr nooc oo tunnel-yadan soo laabashada ah. Kuwa ugu caansan waa, dabcan, Meterpreter. Tuneellada SSH ee leh gudbinta dekeddu waxay sidoo kale baahi weyn u qabaan tirada badan ee hackers-ka. Waxaa jira habab badan oo lagu hirgelinayo tunnel-ka gadaale oo qaar badan oo iyaga ka mid ah si wanaagsan ayaa loo darsay oo loo sharraxay.
Dabcan, dhinacooda, horumarinta xalalka amniga ma istaagaan oo si firfircoon u ogaadaan falalka noocaas ah.
Tusaale ahaan, fadhiyada MSF waxaa si guul leh u soo ogaatay IPS casriga ah ee Cisco ama Tech Positive Tech, iyo tunnel-ka SSH ee rogaal celiska ah waxaa lagu ogaan karaa dab-damis kasta oo caadi ah.
Sidaa darteed, si aan loo ogaanin ololaha wanaagsan ee RedTeam, waxaan u baahanahay inaan dhisno tunnel gadaal ah iyadoo la adeegsanayo habab aan caadi ahayn oo aan la qabsanayno sida ugu dhow ee suurtogalka ah habka dhabta ah ee shabakada.
Aan isku dayno inaan helno ama alifno wax la mid ah.
Kahor intaanan wax abuurin, waxaan u baahanahay inaan fahamno natiijada aan rabno inaan gaarno, maxay yihiin shaqooyinka ay tahay inay qabtaan horumarkeena. Maxay noqon doonaan shuruudaha tunnel-ka si aan ugu shaqeyn karno qaabka qarsoodiga ah ee ugu sarreeya?
Way caddahay in kiis kasta shuruudahan oo kale ay aad u kala duwanaan karaan, laakiin ku salaysan khibrad shaqo, kuwa ugu waaweyn ayaa la aqoonsan karaa:
- ku shaqeeya Windows-7-10 OS. Maadaama inta badan shabakadaha shirkadaha ay isticmaalaan Windows;
- macmiilku wuxuu ku xiraa serverka isagoo adeegsanaya SSL si looga fogaado dhageysiga nacasnimada isagoo isticmaalaya ip;
- Marka la isku xirayo, macmiilku waa inuu ku taageeraa shaqada iyada oo loo marayo server wakiil leh oggolaansho, sababtoo ah Shirkado badan, galaangalka internetka wuxuu ku yimaadaa wakiil. Dhab ahaantii, mishiinka macmiilku xitaa ma ogaan karo wax ku saabsan, iyo wakiilka waxaa loo isticmaalaa qaab hufan. Laakin waa in aan bixinaa shaqadan oo kale;
- qaybta macmiilku waa inay ahaataa mid kooban oo la qaadi karo;
Way caddahay in si aad uga shaqeyso shabakada Macmiilka, waxaad ku rakibi kartaa OpenVPN mashiinka macmiilka oo aad u abuuri karto tunnel buuxa serverkaaga (nasiib wanaag, macaamiisha openvpn waxay ku shaqeyn karaan wakiil). Laakiin, marka hore, tani had iyo jeer ma shaqeyn doonto, maadaama laga yaabo inaanan ahaanin maamulayaasha maxalliga ah halkaas, marka labaadna, waxay sameyn doontaa buuq aad u badan in SIEM ama HIPS wanaagsan ay isla markaaba na "ku dhufan doonaan". Fikrad ahaan, macmiilkayaga waa inuu noqdaa waxa loogu yeero taliska gudaha, tusaale ahaan bash shells badan ayaa la hirgeliyaa, waxaana lagu bilaabay khadka taliska, tusaale ahaan, marka la fulinayo amarrada ereyga macro. - tunnelkeenu waa inuu noqdaa mid isku xidhan oo isku mar wada taageera xidhiidho badan;
- Xiriirka macmiilka-server waa inuu lahaadaa nooc ka mid ah oggolaansho si tunnel-ka loogu sameeyo macmiilkayaga oo keliya, oo aan loogu talogelin qof kasta oo ku yimaada server-kayaga cinwaanka iyo dekedda. Fikrad ahaan, bog deg deg ah oo leh bisadaha ama mawduucyo xirfad leh oo la xidhiidha bogga asalka ah waa in loo furo "isticmalayaasha qolo saddexaad."
Tusaale ahaan, haddii Macmiilku yahay urur caafimaad, ka dibna maamulaha amniga macluumaadka kaas oo go'aansada inuu hubiyo kheyraadka uu shaqaale bukaan-socod ah helay, bog ay ku jiraan alaabada dawooyinka, Wikipedia oo leh sharaxaadda cudurka, ama Dr. Komarovsky's blog, iwm. waa in la furo.
Falanqaynta qalabka jira
Kahor intaadan dib u soo kicin baaskiilkaaga, waxaad u baahan tahay inaad sameyso falanqayn ku saabsan baaskiilada jira oo aad fahamto inaan runtii u baahanahay iyo, malaha, ma nihin kuwa kaliya ee ka fikiray baahida loo qabo baaskiil shaqeynaya.
Googling-ka internetka (waxaan u eegnahay inaan si caadi ah google-ka u samayno), iyo sidoo kale raadinta Github iyadoo la adeegsanayo ereyada muhiimka ah " sharabaadada dib u noqoshada " ma aysan bixin natiijooyin badan. Asal ahaan, waxaas oo dhami waxay hoos ugu soo dhacayaan dhisidda tunnel-ka ssh oo leh wareejinta dekedda iyo wax kasta oo ku xiran. Marka lagu daro tunnel-ka SSH, waxaa jira xalal dhowr ah:
Hirgelinta muddada dheer ee tunnel-ka gadaal ka ah ragga jooga Kaspersky Lab. Magaca ayaa si cad u qeexaya waxa qoraalkan loogu talagalay. Waxaa lagu hirgeliyay Python 2.7, tunnelku wuxuu ku shaqeeyaa qaab qoraal ah (sida ay mooddo in hadda la yiraahdo - hello RKN)
Hirgelin kale oo Python ah, sidoo kale qoraal cad, laakiin leh fursado badan. Waxay u qoran tahay cutub ahaan oo waxay leedahay API-da si loogu daro xalka mashaariicdaada.
Xidhiidhka koowaad waa nooca asalka ah ee hirgelinta sox gadaasha ee Golang (oo aan taageerin horumariyaha).
Xidhiidhka labaad waa dib-u-eegisteena oo leh astaamo dheeri ah, sidoo kale Golang. Noocayada, waxaanu ku hirgelinay SSL, waxaanu ku shaqaynay wakiil leh ogolaanshaha NTLM, ogolaanshaha macmiilka, bogga degitaanka haddii ay dhacdo erayga sirta ah ee khaldan (ama halkii, u wareejinta bogga soo degaya), qaab isku xiran oo badan (ie. dhowr qof isla mar ahaantaana la shaqayn kara tunnel-ka) , waa nidaam lagu dhejiyo macmiilka si loo go'aamiyo inuu nool yahay iyo in kale.
Hirgelinta sox-ka-noqoshada ah ee "saaxiibadeena Shiinaha" ee Python. Halkaa, kuwa caajiska ah iyo "aan dhiman", waxaa jira binary diyaarsan (exe), oo ay soo ururiyeen Shiinaha oo diyaar u ah isticmaalka. Halkan, Ilaaha Shiinaha oo kaliya ayaa og waxa kale ee binary-kani ku jiri karo marka laga reebo shaqada ugu weyn, markaa isticmaal khatartaada iyo khatartaada.
Mashruuc xiisa leh oo ka jira C++ oo loogu talagalay hirgelinta sox-ga beddelka iyo wax ka badan. Marka lagu daro tunnel-ka dambe, waxay samayn kartaa gudbinta dekedda, waxay abuuri kartaa qolof amar, iwm.
Turjubaanka MSF
Halkan, sida ay yiraahdaan, faallooyin ma jiraan. Dhammaan xitaa in ka badan ama ka yar oo wax bartay haakarisku aad bay u yaqaanaan arrintan waxayna fahmaan sida ugu fudud ee lagu ogaan karo qalabka amniga.
Dhammaan qalabyada kor lagu sharraxay waxay ku shaqeeyaan tignoolajiyada la midka ah: Module binary-ga oo horay loo sii diyaariyay ayaa lagu bilaabay mashiinka gudaha shabakadda, kaas oo dejinaya xiriirka server-ka dibadda ah. Seerfarku waxa uu wadaa server SOCKS4/5 kaas oo aqbala isku xidhka una gudbiya macmiilka.
Khasaaraha dhammaan qalabka kor ku xusan waa Python ama Golang waa in lagu rakibaa mishiinka macmiilka (maxaad marar badan aragtay Python oo lagu rakibay mashiinnada, tusaale ahaan, agaasime shirkad ama shaqaale xafiis?), Ama horay loo soo ururiyay. binary (dhab ahaantii python) waa in lagu jiido mashiinkan iyo qoraalka hal dhalo) oo ku socodsii binary-gan horeba halkaas. Iyo soo dejinta exe ka dibna bilaabaya sidoo kale waxay saxeex u tahay antivirus maxaliga ah ama HIPS.
Guud ahaan, gabagabadu waxay soo jeedinaysaa lafteeda - waxaan u baahanahay xal awoodeed. Hadda yaanyada ayaa nagu duuli doona - waxay yiraahdaan powershell mar hore waa la jabsaday, waa la kormeeraa, la xannibay, iwm. iyo wixi la mida. Dhab ahaantii, meel kasta maaha. Waxaan ku dhawaaqeynaa si mas'uuliyadi ku jirto. Jid ahaan, waxaa jira siyaabo badan oo looga gudbi karo xannibaadda (halkan mar kale waxaa jira weedh moodada ah oo ku saabsan hello RKN π), oo ka bilaabmaya magaca nacasnimada ee powershell.exe -> cmdd.exe oo ku dhammaanaya powerdll, iwm.
Aan bilowno ikhtiraacida
Way caddahay in marka hore aan eegi doono Google iyo⦠ma heli doonno wax ku saabsan mawduucan (haddii qof helay, ku dheji xiriiriyeyaasha faallooyinka). Waxaa jira oo kaliya Socks5 on powershell, laakiin tani waa sox "toos ah" caadiga ah, kaas oo leh tiro ka mid ah faa'iido darrooyinkeeda (waxaan ka hadli doonaa iyaga ka dib). Waxaad awood u yeelan kartaa, dabcan, dhaqdhaqaaq yar oo gacantaada ah, u rog dhinaca dambe, laakiin tani waxay noqon doontaa oo kaliya sox-threaded, taas oo aan ahayn waxa aan u baahanahay annaga.
Markaa, ma aan helin wax diyaar ah, markaa waa inaan dib u soo noolaynnaa giraangirahayaga. Waxaan u qaadan doonaa aasaaska baaskiilkayaga u rogo sox gudaha Golang, waxaanan u hirgelineynaa macmiilka awoodda.
RSocksTun
Marka sidee u shaqeysaa rsockstun?
Hawlgalka RsocksTun (oo hadda loo yaqaan rs) wuxuu ku salaysan yahay laba qaybood oo software ah - Yamux iyo Socks5 server. Socks5 server waa sharabaadada maxaliga ah ee caadiga ah5, waxa uu ku shaqeeyaa macmiilka. Iyo isku dhufashada isku xidhka iyada (xusuusnow ku saabsan wax badan oo taxadir ah?) waxa lagu bixiyaa yamux (). Nidaamkani wuxuu kuu ogolaanayaa inaad bilowdo dhowr socks5 macmiil ah oo aad u qaybiso xidhiidhada dibadda iyaga, iyaga oo u gudbinaya hal xiriir oo TCP ah (ku dhawaad ββββsida mitirka mitirka) ee macmiilka ilaa server, si markaa loo hirgeliyo habka multi-threaded, kaas oo la'aanteed si fudud ma noqon doono. awood u leh inuu si buuxda uga shaqeeyo shabakadaha gudaha.
Nuxurka sida uu u shaqeeyo yamux waa in uu soo bandhigo lakab shabakad dheeraad ah oo durdurro ah, isaga oo u fulinaya qaabka madaxa 12-byte ee xirmo kasta. (Halkan waxaan si badheedh ah u isticmaalnaa ereyga "qulqul" halkii aan ka isticmaali lahayn dunta, si aan loogu jahwareerin akhristaha barnaamijka "thread" - sidoo kale waxaan ku isticmaali doonaa fikradan maqaalkan). Madaxa yamux wuxuu ka kooban yahay nambarka qulqulka, calamada lagu rakibayo/joojinta qulqulka, tirada bytes ee la wareejiyay, iyo cabbirka suuqa kala iibsiga.
Marka laga soo tago rakibidda/joojinta qulqulka, yamux waxa ay fulisaa hannaan-ilaaliye oo kuu ogolaanaya inaad la socoto waxqabadka kanaalka isgaadhsiinta ee la aasaasay. Hawlgalka habka fariinta haynta waxa la habeeyey marka la abuurayo fadhiga Yamux. Dhab ahaantii, goobaha waxaa jira laba xuduudood oo keliya: karti/dami iyo inta jeer ee xirmooyinka diritaanka ilbiriqsiyo gudahood. Fariimaha Keepalive waxa soo diri kara server yamux ama macmiil yamux. Marka la helayo fariinta nolol-haynta, dhinaca fog-fog waa in uu ka jawaabaa isaga oo soo diraya isla fariinta aqoonsiga (runtii nambar) uu helay. Guud ahaan, keepalive waa isla ping, kaliya yamux.
Dhammaan farsamada hawlgalka ee multiplexer: noocyada baakidhka, habaynta xidhiidhka iyo calamada joojinta, iyo habka wareejinta xogta ayaa si faahfaahsan loogu sharaxay ku yamux.
Gabagabo qeybta koowaad
Sidaa darteed, qaybta hore ee maqaalka, waxaan ku barannay qaar ka mid ah qalabyada loogu talagalay abaabulka tunnel-ka gadaal, fiiri faa'iidooyinka iyo faa'iido darrada, waxaan baranay habka hawlgalka Yamux multiplexer waxaanan ku qeexnay shuruudaha aasaasiga ah ee moduleka cusub ee la abuuray. Qaybta soo socota waxaan horumarin doonaa moduleka laftiisa, ficil ahaan laga bilaabo xoqan. In la sii wado. Ha badalin :)
Source: www.habr.com