Pale e mabapi le lipatlisiso le nts'etsopele likarolong tse 3. Karolo ea 1 ke ea boithuto.
Ho na le lifate tse ngata tsa beech - melemo le ho feta.
Mokhoa oa bothata
Nakong ea matšolo a pentes le RedTeam, ha ho khonehe kamehla ho sebelisa lisebelisoa tse tloaelehileng tsa Moreki, joalo ka VPN, RDP, Citrix, joalo-joalo. joalo ka ankora ea ho kena marangrang a ka hare. Libakeng tse ling, VPN e tloaelehileng e sebetsa ho sebelisa MFA le letšoao la hardware le sebelisoa e le ntlha ea bobeli, ho tse ling e hlahlojoa ka sehlōhō 'me ho kena ha rona VPN hang-hang ho bonahala, joalo ka ha ba re, ka tsohle tse amehang, empa ho tse ling ho na le. ha ho na mokhoa o joalo.
Maemong a joalo, kamehla re tlameha ho etsa seo ho thoeng ke "reverse tunnels" - likhokahano ho tloha marang-rang a kahare ho sesebelisoa sa kantle kapa seva eo re e laolang. Ka har'a kotopo e joalo, re se re ntse re ka sebetsa le lisebelisoa tsa kahare tsa Bareki.
Ho na le mefuta e 'maloa ea lithanele tsena tse khutlang. E tummeng ka ho fetisisa ho tsona ke, ehlile, Meterpreter. Lithapo tsa SSH tse nang le koung e ka morao le tsona li hlokoa haholo har'a bongata ba batho ba senyang. Ho na le mekhoa e mengata ea ho kenya ts'ebetsong ea reverse tunneling 'me tse ngata tsa tsona li ithutoa hantle le ho hlalosoa.
Ehlile, molemong oa bona, baetsi ba tharollo ea ts'ireletso ha ba eme ka thoko mme ba bona liketso tse joalo ka mafolofolo.
Mohlala, linako tsa MSF li bonoa ka katleho ke IPS ea sejoale-joale ho tsoa ho Cisco kapa Positive Tech, 'me kotopo ea SSH e ka morao e ka bonoa ke firewall efe kapa efe e tloaelehileng.
Ka hona, e le hore re lule re sa hlokomeloe phutuhong e ntle ea RedTeam, re lokela ho haha kotopo e ka morao re sebelisa mekhoa e sa tloaelehang le ho ikamahanya ka hohle kamoo ho ka khonehang le mokhoa oa sebele oa ho sebetsa oa marang-rang.
Ha re leke ho fumana kapa ho qapa ntho e tšoanang.
Pele re qapa ntho leha e le efe, re hloka ho utloisisa hore na re batla ho finyella sephetho sefe, ke mesebetsi efe eo nts'etsopele ea rona e lokelang ho e etsa. Ho tla ba le litlhoko life bakeng sa kotopo e le hore re ka sebetsa ka mokhoa o patehileng haholo?
Ho hlakile hore bakeng sa nyeoe e 'ngoe le e' ngoe litlhoko tse joalo li ka fapana haholo, empa ho itšetlehile ka phihlelo ea mosebetsi, tse ka sehloohong li ka tsejoa:
- sebetsa ho Windows-7-10 OS. Kaha boholo ba marang-rang a khoebo a sebelisa Windows;
- mofani o hokahanya le seva ka SSL ho qoba ho mamela ka booatla ho sebelisa ips;
- Ha o hokahanya, mofani o tlameha ho tšehetsa mosebetsi ka seva sa proxy ka tumello, hobane Lik'hamphaning tse ngata, ho kena Inthaneteng ho etsahala ka proxy. Ebile, mochini oa bareki o kanna oa se tsebe letho ka ona, mme proxy e sebelisoa ka mokhoa o hlakileng. Empa re tlameha ho fana ka ts'ebetso e joalo;
- karolo ea moreki e lokela ho ba e khuts'oane le e nkehang habonolo;
Ho hlakile hore ho sebetsa ka har'a marang-rang a Bareki, o ka kenya OpenVPN mochining oa bareki mme o theha kotopo e felletseng ho seva sa hau (ka lehlohonolo, bareki ba openvpn ba ka sebetsa ka proxy). Empa, ea pele, sena se ke ke sa sebetsa kamehla, kaha re ka 'na ra se ke ra ba li-admins tsa lehae moo,' me ea bobeli, ho tla etsa lerata le leholo hoo SIEM kapa HIPS e hlomphehang e tla re "tsopa" hang-hang. Ka mokhoa o nepahetseng, moreki oa rona e lokela ho ba seo ho thoeng ke taelo ea inline, joalo ka mohlala, likhetla tse ngata tsa bash li kengoa ts'ebetsong, 'me li qalisoa ka mohala oa taelo, mohlala, ha ho etsoa litaelo ho tsoa lentsoeng macro. - kotopo ea rona e tlameha ho ba le likhoele tse ngata 'me e ts'ehetsa likhokahano tse ngata ka nako e le ngoe;
- khokahanyo ea bareki-server e tlameha ho ba le mofuta o itseng oa tumello e le hore kotopo e thehoe bakeng sa moreki oa rona feela, eseng bakeng sa motho e mong le e mong ea tlang ho seva sa rona atereseng e boletsoeng le koung. Ka nepo, leqephe la ho fihla le nang le likatse kapa lihlooho tse amanang le sebaka sa mantlha li lokela ho buloa bakeng sa "basebelisi ba mekhatlo ea boraro."
Ka mohlala, haeba Moreki ke mokhatlo oa bongaka, joale bakeng sa molaoli oa tšireletso ea tlhahisoleseding ea etsang qeto ea ho hlahloba mohloli oo mosebeletsi oa tleliniki a ileng a o fumana, leqephe le nang le lihlahisoa tsa meriana, Wikipedia e nang le tlhaloso ea ho hlahlojoa, kapa blog ea Dr. Komarovsky, joalo-joalo. e lokela ho bula.
Tlhahlobo ea lisebelisoa tse teng
Pele o tsosolosa baesekele ea hau, o hloka ho etsa tlhahlobo ea libaesekele tse teng le ho utloisisa hore na re hlile rea e hloka, mohlomong, ha se rona feela ba kileng ba nahana ka tlhokahalo ea baesekele e sebetsang joalo.
Googling Inthaneteng (ho bonahala re google ka tloaelo), hammoho le ho batla ho Github ho sebelisa mantsoe a sehlooho "reverse socks" ha ea ka ea fana ka liphello tse ngata. Ha e le hantle, tsohle li theohetse ho aheng lithanele tsa ssh tse tsamaisang koung e ka morao le tsohle tse amanang le eona. Ntle le lithanele tsa SSH, ho na le litharollo tse 'maloa:
Ts'ebetsong ea nako e telele ea kotopo e ka morao ho tsoa ho bashanyana ba Kaspersky Lab. Lebitso le hlakisa hore na mongolo ona o reretsoe eng. E kentsoe Python 2.7, kotopo e sebetsa ka mokhoa o hlakileng (joalo ka ha ho le feshene ho bua hona joale - hello RKN)
Ts'ebetso e 'ngoe ho Python, hape ka mongolo o hlakileng, empa ka menyetla e mengata. E ngotsoe e le mojule mme e na le API ea ho kopanya tharollo mererong ea hau.
Khokahano ea pele ke mofuta oa mantlha oa ts'ebetsong ea reverse sox ho Golang (e sa tšehetsoeng ke mohlahlami).
Sehokelo sa bobeli ke ntlafatso ea rona e nang le likarolo tse ling, hape le Golang. Phetolelong ea rona, re sebelisitse SSL, sebetsa ka moemeli ea nang le tumello ea NTLM, tumello ho moreki, leqephe la ho fihla haeba ho na le phasewete e fosahetseng (kapa ho e-na le hoo, ho khutlisetsa leqephe la ho fihla), mokhoa o nang le likhoele tse ngata (ke hore, batho ba 'maloa). e ka sebetsa le kotopo ka nako e le 'ngoe) , mokhoa oa ho pinging moreki ho fumana hore na oa phela kapa che.
Ts'ebetsong ea reverse sox ho tsoa ho "metsoalle ea rona ea China" ho Python. Moo, bakeng sa ba botsoa le "ba sa shoeng", ho na le binary e lokiselitsoeng (exe), e bokelletsoeng ke Machaena 'me e loketse ho sebelisoa. Mona, ke Molimo oa Machaena feela ea tsebang hore na binary ena e ka ba le eng hape ntle le ts'ebetso ea mantlha, ka hona, sebelisa ka kotsi le kotsi ea hau.
Morero o khahlisang haholo ho C++ bakeng sa ho kenya tšebetsong reverse sox le tse ling. Ntle le kotopo e ka morao, e ka tsamaisa koung, ea etsa khetla ea taelo, jj.
MSF meterpreter
Mona, joalo ka ha ba re, ha ho maikutlo. Bohle ba hackers ba rutehileng ba tseba haholo ntho ena mme ba utloisisa hore na e ka bonoa habonolo hakae ke lisebelisoa tsa ts'ireletso.
Lisebelisoa tsohle tse hlalositsoeng ka holimo li sebetsa ho sebelisa theknoloji e tšoanang: mochine oa binary o lokiselitsoeng esale pele o qalisoa mochine o ka hare ho marang-rang, o thehang khokahanyo le seva sa kantle. Seva e tsamaisa SOCKS4/5 seva e amohelang likhokahano ebe e li fetisetsa ho moreki.
Phoso ea lisebelisoa tsohle tse kaholimo ke hore Python kapa Golang e tlameha ho kengoa mochining oa bareki (na hangata u bone Python e kentsoe mochining oa, mohlala, motsamaisi oa khamphani kapa basebetsi ba ofisi?), kapa e seng e kopantsoe pele. binary (ha e le hantle python) e tlameha ho huleloa mochining ona le mongolo ka botlolong e le 'ngoe) ebe o tsamaisa binary ena e se e ntse e le teng. 'Me ho khoasolla exe ebe oa e qala hape ke tekeno bakeng sa antivirus ea lehae kapa HIPS.
Ka kakaretso, sephetho se itlhahisa - re hloka tharollo ea matla. Hona joale tamati e tla fofa ho rona - ba re powershell e se e ntse e hackneyed, e behiloe leihlo, e thibetsoe, joalo-joalo. joalo joalo. Ha e le hantle, eseng hohle. Re phatlalatsa ka boikarabelo. Ka tsela, ho na le mekhoa e mengata ea ho thibela ho thibela (mona hape ho na le poleloana ea feshene mabapi le hello RKN 🙂), ho qala ka ho reha lebitso la booatla la powershell.exe -> cmdd.exe le ho qetella ka powerdll, joalo-joalo.
Ha re qaleng ho qapa
Ho hlakile hore pele re tla sheba Google 'me ... re ke ke ra fumana letho sehloohong sena (haeba motho a se fumane, romella li-link ho litlhaloso). Ho na le feela Li-socks5 ho powershell, empa ena ke "sox" e tloaelehileng, e nang le mefokolo ea eona e mengata (re tla bua ka eona hamorao). Ha e le hantle, ka ho sisinyeha ha letsoho hanyenyane, u ka e fetola ka morao, empa sena e tla ba sox e nang le khoele e le 'ngoe feela, e seng seo re se hlokang ho rona.
Kahoo, ha re so fumane letho le lokiselitsoeng, ka hona re tla tlameha ho nchafatsa lebili la rona. Re tla nka e le motheo oa baesekele ea rona reverse sox ho Golang, 'me re kenya tšebetsong moreki bakeng sa eona ka powershell.
RSocksTun
Joale rsockstun e sebetsa joang?
Ts'ebetso ea RsocksTun (eo hamorao e tla bitsoa rs) e ipapisitse le likarolo tse peli tsa software - Yamux le seva sa Socks5. Seva ea Socks5 ke likausi tse tloaelehileng tsa lehae5, li sebetsa ho moreki. 'Me multiplexing ea likhokahano ho eona (u hopola ka multithreading?) e fanoa ho sebelisoa yamux (). Morero ona o u lumella ho qala li-server tse 'maloa tsa li-socks5 tsa bareki le ho li abela likhokahano tsa kantle, u li fetisetsa ka khokahano e le' ngoe ea TCP (e batlang e tšoana le meterpreter) ho tloha ho moreki ho isa ho seva, ka hona ho kenya ts'ebetsong mokhoa o nang le likhoele tse ngata, ntle le moo re ke keng ra ba teng. e khona ho sebetsa ka botlalo marang-rang a ka hare.
Ntho ea bohlokoa ea hore na yamux e sebetsa joang ke hore e hlahisa marang-rang a eketsehileng a melapo, a e sebelisa ka mokhoa oa hlooho ea 12-byte bakeng sa pakete ka 'ngoe. (Mona re sebelisa ka boomo lentsoe "molapo" ho e-na le khoele, e le hore re se ke ra ferekanya 'mali ka "khoele" ea lenaneo - re tla boela re sebelise khopolo ena sehloohong sena). Sehlooho sa yammux se na le nomoro ea molapo, lifolakha tsa ho kenya / ho emisa molapo, palo ea li-byte tse fetisitsoeng, le boholo ba fensetere ea phetisetso.
Ntle le ho kenya / ho felisa molapo, yamux e sebelisa mochine oa keepalive o u lumellang hore u shebe ts'ebetso ea mocha oa puisano o thehiloeng. Ts'ebetso ea mochini oa molaetsa oa Keeplive o hlophisoa ha o theha seboka sa Yamux. Ha e le hantle, ho li-setting ho na le li-parameter tse peli feela: nolofalletsa / tima le makhetlo a mangata a ho romela lipakete ka metsotsoana. Melaetsa ea Keepalive e ka romelloa ke seva sa yamux kapa moreki oa yamux. Ha o fumana molaetsa oa ho boloka bophelo, mokha o hole o tlameha ho o araba ka ho romella sekhetho sa molaetsa (ehlile ke nomoro) seo a se fumaneng. Ka kakaretso, keepalive ke ping e tšoanang, bakeng sa yamux feela.
Mokhoa oohle oa ts'ebetso oa multiplexer: mefuta ea liphutheloana, ho seta khokahano le lifolakha tsa ho emisa, le mokhoa oa phetisetso ea data li hlalositsoe ka botlalo ho ho yamux.
Qetello ea karolo ea pele
Kahoo, karolong ea pele ea sengoloa, re ile ra tloaelana le lisebelisoa tse ling tsa ho hlophisa lithanele tse ka morao, ra sheba melemo le mefokolo ea tsona, ra ithuta mokhoa oa ts'ebetso ea Yamux multiplexer mme ra hlalosa litlhoko tsa mantlha tsa mojule oa motlakase o sa tsoa etsoa. Karolong e latelang re tla ntshetsa pele mojule ka boyona, ho tloha qalong feela. E tla ntšetsoa pele. Se ke oa fetoha :)
Source: www.habr.com