స్థానిక ఖాతా అధికారాలను ఎలివేట్ చేయడానికి PowerShellని ఉపయోగించడం

ప్రివిలేజ్ ఎస్కలేషన్ అనేది సిస్టమ్‌కి అదనపు, సాధారణంగా అధిక స్థాయి యాక్సెస్‌ని పొందడానికి దాడి చేసేవారి కరెంట్ ఖాతా హక్కులను ఉపయోగించడం. ప్రత్యేకాధికారాల పెంపు అనేది జీరో-డే దోపిడీలు, మాస్టర్ హ్యాకర్లు లక్ష్యంగా దాడిని ప్రారంభించడం లేదా తెలివిగా మారువేషంలో ఉన్న మాల్వేర్ ఫలితంగా ఉండవచ్చు, ఇది చాలా తరచుగా కంప్యూటర్ లేదా ఖాతా తప్పుగా కాన్ఫిగరేషన్ చేయడం వల్ల సంభవిస్తుంది. దాడిని మరింత అభివృద్ధి చేయడం ద్వారా, దాడి చేసేవారు అనేక వ్యక్తిగత దుర్బలత్వాలను ఉపయోగించుకుంటారు, ఇది కలిసి విపత్తు డేటా లీక్‌కు దారి తీస్తుంది.

వినియోగదారులు స్థానిక నిర్వాహక హక్కులను ఎందుకు కలిగి ఉండకూడదు?

మీరు సెక్యూరిటీ ప్రొఫెషనల్ అయితే, వినియోగదారులు స్థానిక అడ్మినిస్ట్రేటర్ హక్కులను కలిగి ఉండకూడదని స్పష్టంగా అనిపించవచ్చు, ఎందుకంటే ఇది:

• వారి ఖాతాలను వివిధ దాడులకు మరింత హాని కలిగించేలా చేస్తుంది
• ఇదే దాడులను మరింత తీవ్రంగా చేస్తుంది

దురదృష్టవశాత్తూ, అనేక సంస్థలకు ఇది ఇప్పటికీ చాలా వివాదాస్పద అంశం మరియు కొన్నిసార్లు వేడి చర్చలతో కూడి ఉంటుంది (ఉదాహరణకు చూడండి, వినియోగదారులందరూ తప్పనిసరిగా స్థానిక నిర్వాహకులు అయి ఉండాలి అని నా మేనేజర్ చెప్పారు) ఈ చర్చకు సంబంధించిన వివరాల జోలికి వెళ్లకుండా, దాడి చేసిన వ్యక్తి దోపిడీ ద్వారా లేదా యంత్రాలు సరిగ్గా భద్రపరచబడనందున విచారణలో ఉన్న సిస్టమ్‌పై స్థానిక నిర్వాహక హక్కులను పొందినట్లు మేము విశ్వసిస్తున్నాము.

దశ 1: పవర్‌షెల్ ఉపయోగించి DNS పేరు రిజల్యూషన్ రివర్స్

డిఫాల్ట్‌గా, పవర్‌షెల్ అనేక స్థానిక వర్క్‌స్టేషన్‌లలో మరియు చాలా విండోస్ సర్వర్‌లలో ఇన్‌స్టాల్ చేయబడింది. మరియు ఇది చాలా ఉపయోగకరమైన ఆటోమేషన్ మరియు నియంత్రణ సాధనంగా పరిగణించబడుతుందనడంలో అతిశయోక్తి లేకపోయినా, ఇది దాదాపు కనిపించనిదిగా మార్చగల సామర్థ్యాన్ని కలిగి ఉంటుంది. ఫైల్ లేని మాల్వేర్ (దాడి యొక్క జాడలు లేని హ్యాకింగ్ ప్రోగ్రామ్).

మా సందర్భంలో, దాడి చేసే వ్యక్తి పవర్‌షెల్ స్క్రిప్ట్‌ని ఉపయోగించి నెట్‌వర్క్ నిఘాను ప్రారంభించడం ప్రారంభిస్తాడు, నెట్‌వర్క్ యొక్క IP చిరునామా స్థలం ద్వారా వరుసగా మళ్ళించబడతాడు, ఇచ్చిన IP హోస్ట్‌కు పరిష్కరిస్తుందో లేదో తెలుసుకోవడానికి ప్రయత్నిస్తుంది మరియు అలా అయితే, ఆ హోస్ట్ యొక్క నెట్‌వర్క్ పేరు ఏమిటి.
ఈ పనిని సాధించడానికి అనేక మార్గాలు ఉన్నాయి, కానీ cmdletని ఉపయోగించడం పొందండి-ADComputer నమ్మదగిన ఎంపిక ఎందుకంటే ఇది ప్రతి నోడ్ గురించి నిజంగా గొప్ప డేటాను అందిస్తుంది:

 import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}

పెద్ద నెట్‌వర్క్‌లలో వేగం సమస్య అయితే, రివర్స్ DNS సిస్టమ్ కాల్‌ని ఉపయోగించవచ్చు:

[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName

నెట్‌వర్క్‌లో హోస్ట్‌లను లెక్కించే ఈ పద్ధతి బాగా ప్రాచుర్యం పొందింది ఎందుకంటే చాలా నెట్‌వర్క్‌లు జీరో ట్రస్ట్ సెక్యూరిటీ మోడల్‌ను ఉపయోగించవు మరియు అనుమానాస్పద కార్యకలాపాల కోసం అంతర్గత DNS ప్రశ్నలను పర్యవేక్షించవు.

దశ 2: లక్ష్యాన్ని ఎంచుకోండి

ఈ దశ యొక్క తుది ఫలితం దాడిని కొనసాగించడానికి ఉపయోగించే సర్వర్ మరియు వర్క్‌స్టేషన్ హోస్ట్‌నేమ్‌ల జాబితాను పొందడం.

దాని పేరు ఆధారంగా, 'హబ్-ఫైలర్' సర్వర్ విలువైన లక్ష్యంలా కనిపిస్తోంది ఎందుకంటే... కాలక్రమేణా, ఫైల్ సర్వర్‌లు పెద్ద సంఖ్యలో నెట్‌వర్క్ ఫోల్డర్‌లను కూడబెట్టుకుంటాయి మరియు చాలా మంది వ్యక్తులు వాటికి అధిక ప్రాప్యతను కలిగి ఉంటారు.

విండోస్ ఎక్స్‌ప్లోరర్‌తో బ్రౌజ్ చేయడం ద్వారా ఓపెన్ షేర్డ్ ఫోల్డర్ ఉందని నిర్ధారించడానికి మాకు వీలు కల్పిస్తుంది, కానీ మా ప్రస్తుత ఖాతా దాన్ని యాక్సెస్ చేయదు (మేము బహుశా జాబితా హక్కులు మాత్రమే కలిగి ఉంటాము).

దశ 3: ACL నేర్చుకోవడం

ఇప్పుడు మా HUB-FILER హోస్ట్ మరియు టార్గెట్ షేర్‌లో, ACLని పొందడానికి మేము PowerShell స్క్రిప్ట్‌ని అమలు చేయవచ్చు. మేము ఇప్పటికే స్థానిక నిర్వాహక హక్కులను కలిగి ఉన్నందున మేము దీన్ని స్థానిక యంత్రం నుండి చేయవచ్చు:

(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –auto

అమలు ఫలితం:

డొమైన్ యూజర్‌ల గ్రూప్‌కి లిస్టింగ్‌కి మాత్రమే యాక్సెస్ ఉందని, హెల్ప్‌డెస్క్ గ్రూప్‌కి ఎడిటింగ్ హక్కులు కూడా ఉన్నాయని దాని నుండి మనం చూస్తాము.

దశ 4: ఖాతా గుర్తింపు

నడుస్తోంది పొందండి-ADGroupMember, మేము ఈ గుంపులోని సభ్యులందరినీ పొందవచ్చు:

Get-ADGroupMember -identity Helpdesk

ఈ జాబితాలో మనం ఇప్పటికే గుర్తించిన మరియు ఇప్పటికే యాక్సెస్ చేసిన కంప్యూటర్ ఖాతాను చూస్తాము:

దశ 5: కంప్యూటర్ ఖాతా కింద పని చేయడానికి PSExec ఉపయోగించండి

psexec Microsoft Sysinternals నుండి SYSTEM@HUB-SHAREPOINT సిస్టమ్ ఖాతా సందర్భంలో ఆదేశాలను అమలు చేయడానికి మిమ్మల్ని అనుమతిస్తుంది, ఇది హెల్ప్‌డెస్క్ లక్ష్య సమూహంలో సభ్యునిగా మాకు తెలుసు. అంటే, మనం చేయాల్సిందల్లా:

PsExec.exe -s -i cmd.exe

సరే, మీరు HUB-SHAREPOINT కంప్యూటర్ ఖాతా సందర్భంలో పని చేస్తున్నందున HUB-FILERshareHR లక్ష్య ఫోల్డర్‌కు మీకు పూర్తి ప్రాప్యత ఉంది. మరియు ఈ యాక్సెస్‌తో, డేటాను పోర్టబుల్ స్టోరేజ్ పరికరానికి కాపీ చేయవచ్చు లేదా నెట్‌వర్క్ ద్వారా తిరిగి పొందవచ్చు మరియు బదిలీ చేయవచ్చు.

దశ 6: ఈ దాడిని గుర్తించడం

ఈ నిర్దిష్ట ఖాతా అనుమతుల కాన్ఫిగరేషన్ దుర్బలత్వం (వినియోగదారు ఖాతాలు లేదా సేవా ఖాతాలకు బదులుగా నెట్‌వర్క్ షేర్లను యాక్సెస్ చేసే కంప్యూటర్ ఖాతాలు) కనుగొనవచ్చు. అయితే, సరైన సాధనాలు లేకుండా, దీన్ని చేయడం చాలా కష్టం.

ఈ వర్గం దాడులను గుర్తించి నిరోధించడానికి, మేము ఉపయోగించవచ్చు డేటా అడ్వాంటేజ్ వాటిలో కంప్యూటర్ ఖాతాలు ఉన్న సమూహాలను గుర్తించి, ఆపై వాటికి యాక్సెస్‌ను తిరస్కరించడం. డేటాఅలర్ట్ మరింత ముందుకు వెళ్లి, ఈ రకమైన దృశ్యం కోసం ప్రత్యేకంగా నోటిఫికేషన్‌ను రూపొందించడానికి మిమ్మల్ని అనుమతిస్తుంది.

దిగువ స్క్రీన్‌షాట్ మానిటర్ చేయబడిన సర్వర్‌లో కంప్యూటర్ ఖాతా డేటాను యాక్సెస్ చేసినప్పుడల్లా ట్రిగ్గర్ చేయబడే అనుకూల నోటిఫికేషన్‌ను చూపుతుంది.

PowerShellని ఉపయోగించి తదుపరి దశలు

మరింత తెలుసుకోవాలనుకుంటున్నారా? పూర్తి ఉచిత యాక్సెస్ కోసం అన్‌లాక్ కోడ్ "బ్లాగ్"ని ఉపయోగించండి పవర్‌షెల్ మరియు యాక్టివ్ డైరెక్టరీ బేసిక్స్ వీడియో కోర్సు.

మూలం: www.habr.com