Waxaan si joogto ah wax uga qornaa sida hackers-ku inta badan ugu tiirsan yihiin ka faa'iidaysiga si looga fogaado in la ogaado. Waxay dhab ahaantii , iyadoo la adeegsanayo aaladaha caadiga ah ee Windows, si looga gudbo antivirus-yada iyo utilityyada kale ee lagu ogaanayo dhaqdhaqaaqa xun. Anaga, difaaceyaal ahaan, waxa hadda lagu qasbay in aan la tacaalno cawaaqib xumada ka imanaysa farsamooyinka xariifnimada leh ee noocaas ah: shaqaale si fiican loo meeleeyay waxa uu isticmaali karaa hab la mid ah si uu si qarsoodi ah u xado xogta (hantida shirkadda, lambarrada kaararka deynta). Oo haddii uusan ku degdegin, laakiin si tartiib ah oo aamusnaan ah u shaqeeyo, waxay noqon doontaa mid aad u adag - laakiin weli waa suurtogal haddii uu isticmaalo habka saxda ah iyo ku habboon. , - si loo aqoonsado dhaqdhaqaaqa noocaas ah.
Dhanka kale, ma rabo inaan shaqaalaha ku shaqaysto sababtoo ah qofna ma rabo inuu ka shaqeeyo jawi ganacsi oo toos ah Orwell's 1984. Nasiib wanaag, waxaa jira tiro tillaabooyinka la taaban karo iyo jabsiga nolosha kuwaas oo nolosha ka dhigi kara mid aad ugu adag dadka wax garanaya. Waan ka fiirsan doonaa hababka weerarka qarsoon, oo ay adeegsadaan tuugada oo ay adeegsadaan shaqaale leh asal farsamo. In yar oo dheeraad ah waxaan ka wada hadli doonaa fursadaha yaraynta khataraha noocaas ah - waxaan baran doonaa ikhtiyaarrada farsamada iyo kuwa ururka labadaba.
Maxaa ka qaldan PsExec?
Edward Snowden, sax iyo khaladba, waxa uu la mid noqday xatooyada xogta gudaha. By habka, ha ilaawin inaad eegto ku saabsan kuwa kale ee gudaha ah kuwaas oo sidoo kale mudan qaar ka mid ah darajada caanka ah. Mid ka mid ah qodob muhiim ah oo mudan in xooga la saaro hababka Snowden loo isticmaalo waa in, sida ugu fiican ee aqoonteena, isaga ma rakibin ma jiro software xaasidnimo dibadda ah!
Taa baddalkeeda, Snowden waxa uu isticmaalay xoogaa injineernimo bulsheed waxana uu u adeegsaday booskiisa maamule nidaam si uu u ururiyo furaha sirta ah oo uu u sameeyo aqoonsiyo. Ma jiraan wax adag - midna , weeraro ama .
Shaqaalaha hay'aduhu had iyo jeer kuma jiraan booska gaarka ah ee Snowden, laakiin waxaa jira casharro dhowr ah oo laga baran karo fikradda "badbaadinta daaqsinta" si looga digtoonaado - in aan la gelin wax fal xun oo la ogaan karo, iyo in si gaar ah loo ogaado. si taxadar leh u isticmaalka warqadaha aqoonsiga. Xusuusnow fikirkan.
iyo ina adeerkiis waxa ay cajab galiyeen dad wax ku qora oo aan la tirin karin, hackers, iyo bloggers amniga internetka. Marka lagu daro mimikatz, psexec waxay u ogolaataa weeraryahanada inay ku dhex dhaqaaqaan shabakad iyaga oo aan u baahnayn inay ogaadaan erayga sirta ah ee qoraalka ah.
Mimikatz waxay ka hortagtaa xashiishka NTLM ee habka LSASS ka dibna waxay gudbisaa calaamada ama aqoonsiga - waxa loogu yeero. "ku gudub xashiishka" weerarka - in psexec, u oggolaanaya weeraryahan inuu galo server kale sida mid kale isticmaale. Iyo guuritaan kasta oo xiga ee server cusub, weeraryahanku wuxuu ururiyaa aqoonsiyo dheeri ah, isagoo balaadhinaya baaxadda awoodiisa raadinta macluumaadka la heli karo.
Markii ugu horeysay ee aan bilaabay la shaqeynta psexec waxay iigu muuqatay sixir - mahadsanid , horumariyaha quruxda badan ee psexec - laakiin sidoo kale waan ogahay isaga buuq badan qaybaha. Isagu marna ma qarsoona!
Xaqiiqda ugu horeysa ee xiisaha leh ee ku saabsan psexec waa in ay isticmaasho mid aad u adag Nidaamka faylka shabakada SMB ka Microsoft. Isticmaalka SMB, psexec waxay ku wareejisaa wax yar binary faylalka nidaamka bartilmaameedka, iyaga oo gelinaya C: galka Windows.
Marka xigta, psexec waxay abuurtaa adeegga Windows-ka iyadoo adeegsanaysa binary-ga la koobiyeeyay wuxuuna ku hoos shaqeeyaa magaca aadka "lama filaanka ah" ee PSEXECSVC. Isla mar ahaantaana, waxaad si dhab ah u arki kartaa waxaas oo dhan, sida aan sameeyay, adigoo daawanaya mashiinka fog (hoos fiiri).
Kaarka wicitaanka ee Psexec: adeegga "PSEXECSVC". Waxay waddaa faylal binary ah oo la dhex galiyay SMB gudaha C: galka Windows.
Talaabada ugu danbeysa, faylka binary-ga la koobiyay ayaa furmaya Isku xirka RPC server-ka bartilmaameedka ah ka dibna aqbal amarrada kantaroolka (iyada oo loo sii marayo Windows cmd qolof si caadi ah), iyaga oo bilaabaya oo u wareejinaya gelinta iyo soo saarista mashiinka guriga ee weerarka. Xaaladdan oo kale, weeraryahanku wuxuu arkaa khadka taliska aasaasiga ah - la mid ah haddii uu si toos ah ugu xiran yahay.
Qaybo badan iyo nidaam aad u buuq badan!
Gudaha kakan ee psexec waxay sharxayaan fariinta i wareerisay intii lagu jiray imtixaanadii ugu horeeyay dhowr sano ka hor: "Bilaabida PSEXECSVC..." oo ay ku xigto hakad ka hor intaysan soo bixin amarku.
Impacket's Psexec dhab ahaantii waxay tusinaysaa waxa ka socda daboolka hoostiisa.
La yaab ma leh: psexec waxay qabatay shaqo aad u badan oo hoosteeda ah. Haddii aad xiisaynayso sharraxaad faahfaahsan, halkan ka eeg sharaxaad cajiib ah.
Sida cad, marka loo isticmaalo sida qalab maamulka nidaamka, taas oo ahayd ujeedada asalka ah psexec, ma jiraan wax khalad ah oo ku saabsan "buzzing" ee dhammaan hababkan Windows. Si kastaba ha ahaatee, qofka weerarka soo qaaday, psexec wuxuu u abuuri doonaa dhibaatooyin, iyo qof taxadar leh oo khiyaano leh sida Snowden, psexec ama qalab la mid ah ayaa noqon doona khatar aad u badan.
Ka dibna Smbexec yimaado
SMB waa hab xariif ah oo qarsoodi ah oo lagu kala wareejiyo faylasha u dhexeeya server-yada, iyo tuugadu waxay si toos ah u soo galayeen SMB qarniyo. Waxaan u maleynayaa in qof kastaa horey u ogaa in aysan u qalmin SMB waxay ku xirtaa 445 iyo 139 internetka, sax?
Defcon 2013, Eric Millman () la soo bandhigay , si ay denbiilayaasha u tijaabiyaan sirta jabsiga SMB. Ma aqaan sheekada oo dhan, laakiin markaas Impacket ayaa sii sifeeyay smbexec. Dhab ahaantii, imtixaankayga, waxaan ka soo dejiyey qoraallada Impacket ee Python ka .
Si ka duwan psexec, smbexec iska ilaaliso u wareejinta faylka laba-geesoodka ah ee suurtogalka ah ee la ogaan karo mashiinka bartilmaameedka. Taa baddalkeeda, tasiilaadku wuxuu ku nool yahay gebi ahaanba laga bilaabo daaqa ilaa bilawga degaanka Khadka taliska Windows.
Waa tan waxa ay qabato: waxay ka gudbisaa amarka mashiinka weerarka iyada oo loo sii marayo SMB faylka gelinta gaarka ah, ka dibna wuxuu abuuraa oo maamulaa khad amar adag (sida adeegga Windows) kaas oo u muuqan doona inay yaqaanaan isticmaalayaasha Linux. Marka la soo koobo: waxay soo saartaa qolof Windows cmd hooyo ah, waxay u jihaysaa wax soo saarka fayl kale, ka dibna waxay ku soo dirtaa SMB dib ugu celisa mashiinka weerarka.
Sida ugu fiican ee tan loo fahmi karo waa in la eego khadka taliska, kaas oo aan awooday in aan gacantayda ka helo diiwaanka dhacdada (hoos eeg).
Kani miyaanay ahayn dariiqa ugu wayn ee lagu jiheeyo I/O? Jid ahaan, abuurista adeeggu waxay leedahay aqoonsiga dhacdada 7045.
Sida psexec, waxay sidoo kale abuurtaa adeeg qabta shaqada oo dhan, laakiin adeegga intaas ka dib laga saaray - waxaa loo isticmaalaa hal mar oo kaliya si loo socodsiiyo amarka ka dibna baaba'o! Sarkaalka amniga macluumaadka ee la socda mashiinka dhibbanaha ma awoodi doono inuu ogaado cad Tilmaamayaasha weerarka: Ma jiro fayl xaasid ah oo la bilaabay, ma jiro adeeg joogto ah oo la rakibay, mana jirto wax caddaynaya in RPC la isticmaalay mar haddii SMB ay tahay habka keliya ee xogta lagu kala wareejiyo. dhalaalaya!
Laga soo bilaabo dhinaca weeraryahanka, "Qof-qosol" ayaa diyaar ah oo leh dib u dhac u dhexeeya dirida amarka iyo helitaanka jawaabta. Laakiin tani waa wax ku filan weeraryahan - mid ka mid ah gudaha ama hacker dibadda ah oo hore u lahaa cag - inuu bilaabo raadinta waxyaabo xiiso leh.
Si loo soo saaro xogta mashiinka bartilmaameedka ah oo loogu celiyo mashiinka weerarka, waa la isticmaalayaa . Haa, waa isla Samba , laakiin kaliya loo beddelay qoraalka Python by Impacket. Dhab ahaantii, smbclient wuxuu kuu ogolaanayaa inaad si qarsoodi ah u martigeliso wareejinta FTP ee SMB.
Aan dib u qaadno oo ka fikirno waxa ay tani u qaban karto shaqaalaha. Muuqaalkeyga khiyaaliga ah, aan dhahno blogger, falanqeeye maaliyadeed ama lataliyaha amniga ee mushaarka sare leh ayaa loo oggol yahay inuu u isticmaalo laptop shakhsi ah shaqada. Natiijadu waxay tahay habka sixirka qaar ka mid ah, waxay ka xanaaqdaa shirkadda oo "wax walba way xumaataa." Iyada oo ku xidhan nidaamka hawlgalka ee laptop-ka, waxay isticmaashaa nooca Python ka Impact, ama nooca Windows ee smbexec ama smbclient sida faylka .exe.
Sida Snowden, waxay ogaataa erayga sirta ah ee isticmaale kale iyada oo eegaysa garabkeeda, ama way nasiib badan tahay oo ay ku turunturoodo faylka qoraalka ah ee sirta ah. Iyadoo la kaashanayo shahaadooyinkan, waxay bilaabeysaa inay qoddo hareeraha nidaamka heer cusub oo mudnaanta.
Jabsiga DCC: Uma baahnno wax "nacas ah" Mimikatz
Qoraaladaydii hore ee ku saabsan qalliinka, waxaan isticmaali jiray mimikatz marar badan. Tani waa qalab aad u fiican oo lagu dhex geliyo aqoonsiga - NTLM hashes iyo xitaa qoraalada sirta ah ee ku qarsoon laptop-yada, kaliya sugaya in la isticmaalo.
Waqtigu wuu is beddelay. Qalabka la socodka ayaa ku fiicnaaday ogaanshaha iyo xannibaadda mimikatz. Maamulayaasha amniga macluumaadka ayaa sidoo kale hadda heysta doorashooyin badan si ay u yareeyaan khataraha la xiriira gudbinta weerarada xashiishka (PtH).
Haddaba maxaa la gudboon shaqaale xariif ah si uu u ururiyo shahaadooyin dheeraad ah isagoon isticmaalin mimikatz?
Xirmada Impacket's waxaa ku jira utility la yiraahdo , kaas oo ka soo celiya aqoonsiga Domain Credential Cache, ama DCC oo gaaban. Fahamkayga ayaa ah in haddii isticmaalaha domain uu galo server-ka laakiin kantaroolaha domainka lama heli karo, DCC waxay u ogolaataa server-ka inuu xaqiijiyo isticmaalaha. Si kastaba ha ahaatee, secretsdump waxay kuu ogolaaneysaa inaad tuurto dhammaan xashiishyadan haddii la heli karo.
Xashiishka DCC waa ma aha NTML hashes iyo iyaga looma isticmaali karo weerarka PtH.
Hagaag, waxaad isku dayi kartaa inaad jabsato si aad u hesho furaha asalka ah. Si kastaba ha ahaatee, Microsoft waxa ay ku kacday DCC iyo xashiishyada DCC waxay noqdeen kuwo aad u adag in la jebiyo. Haa waan haystaa , "Qiyaasaha sirta ah ee aduunka ugu dhaqsaha badan," laakiin waxay u baahan tahay GPU si uu si hufan u shaqeeyo.
Halkii, aan isku dayno inaan u fikirno sida Snowden. Shaqaaluhu wuxuu samayn karaa fool-ka-fool injineernimada bulshada oo ay suurtogal tahay inuu helo macluumaad ku saabsan qofka ay doonayso inay furto furaha sirta ah. Tusaale ahaan, ogow in qofka akoonkiisa onlaynka ah waligiis la jabsaday oo ka baar furaha sirta ah ee qoraalka cad wixii tilmaamo ah.
Tanina waa dhacdadii aan go'aansaday in aan raaco. Aynu ka soo qaadno in qof wax garanaya uu ogaaday in madaxiisa, Cruella, la jabsaday dhawr jeer agabyada kala duwan ee shabakadda. Ka dib markii uu falanqeeyay dhowr ka mid ah ereyada sirta ah, wuxuu ogaaday in Cruella uu doorbidayo inuu isticmaalo qaabka magaca kooxda baseball "Yankees" oo ay ku xigto sanadka hadda - "Yankees2015".
Haddii aad hadda isku dayayso inaad tan guriga ku soo saarto, markaa waxaad soo dejisan kartaa wax yar, "C" , kaas oo hirgeliya DCC hashing algorithm, oo soo ururisa. , jidka, ku daray taageero DCC, si sidoo kale waa la isticmaali karaa. Aynu ka soo qaadno in qof-yaqaanku aanu rabin inuu ku dhibo barashada John the Ripper oo uu jecel yahay inuu ku socodsiiyo "gcc" ee dhaxalka C code.
Aniga oo is tusaya doorka xog-hayaha, waxaan isku dayay dhowr isku-dhafan oo kala duwan waxaana aakhirkii awooday inaan ogaado in erayga Cruella uu yahay "Yankees2019" (hoos eeg). Hawlgalku wuu Dhamaaday!
Injineerin bulsheed oo yar, faal sheegid iyo qanjaruufo Maltego oo waxaad si fiican ugu socotaa jidkaaga inaad jebiso xashiishka DCC.
Waxaan soo jeedinayaa in aan halkan ku dhameyno. Mawduucan waxaan ku soo laaban doonaa qoraalo kale oo aan eegi doonaa xitaa gaabiska iyo habab weerar, annagoo sii wadeyna dhisida agabka wanaagsan ee Impacket.
Source: www.habr.com