Ҳикоя дар бораи тадқиқот ва рушд дар 3 қисм. Қисми 1 тадқиқотӣ мебошад.
Дарахтони бук бисьёранд — фоидааш аз ин хам зиёд.
Тартиб додани масъала
Ҳангоми пентестҳо ва маъракаҳои RedTeam, истифодаи асбобҳои стандартии муштарӣ, ба монанди VPN, RDP, Citrix ва ғайра на ҳама вақт имконпазир аст. ҳамчун лангар барои ворид шудан ба шабакаи дохилӣ. Дар баъзе ҷойҳо, VPN-и стандартӣ бо истифода аз ВКХ кор мекунад ва аломати сахтафзор ҳамчун омили дуюм истифода мешавад, дар дигар ҷойҳо он бераҳмона назорат карда мешавад ва воридшавии VPN-и мо фавран бо он чизе ки мегӯянд, намоён мешавад, аммо дар дигар ҷойҳо вуҷуд доранд. танҳо чунин восита нест.
Дар чунин ҳолатҳо, мо бояд пайваста ба истилоҳ "нақбҳои баръакс" - пайвастшавӣ аз шабакаи дохилӣ ба манбаи беруна ё сервере, ки мо назорат мекунем, созем. Дар дохили чунин нақб, мо аллакай метавонем бо захираҳои дохилии муштариён кор кунем.
Якчанд навъҳои ин нақбҳои бозгашт вуҷуд доранд. Машҳуртарини онҳо, албатта, Метерптер аст. Тунелҳои SSH бо интиқоли баръакс дар байни оммаи ҳакерҳо низ талабот зиёданд. Воситаҳои татбиқи нақби баръакс хеле зиёданд ва бисёре аз онҳо хуб омӯхта ва тавсиф шудаанд.
Албатта, дар навбати худ, таҳиягарони қарорҳои амниятӣ дар канор намемонанд ва ин гуна амалҳоро фаъолона ошкор мекунанд.
Масалан, сессияҳои MSF аз ҷониби IPS муосир аз Cisco ё Positive Tech бомуваффақият муайян карда мешаванд ва нақби баръакси SSH-ро қариб ҳама гуна девори муқаррарӣ муайян кардан мумкин аст.
Аз ин рӯ, барои он ки дар маъракаи хуби RedTeam нодида бимонем, мо бояд бо истифода аз воситаҳои ғайристандартӣ нақби баръакс созем ва ба ҳолати воқеии кори шабака ҳарчи бештар мутобиқ шавем.
Биёед кӯшиш кунем, ки чизи шабеҳро пайдо кунем ё ихтироъ кунем.
Пеш аз ихтироъ кардани чизе, мо бояд фаҳмем, ки мо ба чӣ натиҷа ноил шудан мехоҳем, рушди мо бояд чӣ гуна вазифаҳоро иҷро кунад. Талабот ба нақб чӣ гуна хоҳад буд, то ки мо дар режими максималии пинҳонӣ кор кунем?
Равшан аст, ки барои ҳар як ҳолат чунин талаботҳо метавонанд хеле фарқ кунанд, аммо дар асоси таҷрибаи корӣ, талаботҳои асосиро метавон муайян кард:
- кор дар ОС Windows-7-10. Азбаски аксари шабакаҳои корпоративӣ Windows-ро истифода мебаранд;
- муштарӣ ба сервер тавассути SSL пайваст мешавад, то аз шунидани аблаҳона бо истифода аз ips канорагирӣ кунад;
- Ҳангоми пайвастшавӣ, муштарӣ бояд корро тавассути сервери прокси бо иҷозат дастгирӣ кунад, зеро Дар бисёр ширкатҳо дастрасӣ ба Интернет тавассути прокси сурат мегирад. Дар асл, мошини муштарӣ ҳатто дар бораи он чизе намедонад ва прокси дар реҷаи шаффоф истифода мешавад. Аммо мо бояд чунин функсияро таъмин кунем;
- қисми муштарӣ бояд мухтасар ва сайёр бошад;
Маълум аст, ки барои кор дар шабакаи муштарӣ, шумо метавонед OpenVPN-ро дар мошини муштарӣ насб кунед ва ба сервери худ нақби мукаммал созед (хушбахтона, муштариёни openvpn метавонанд тавассути прокси кор кунанд). Аммо, аввалан, ин на ҳамеша кор хоҳад кард, зеро мо шояд дар он ҷо маъмурони маҳаллӣ набошем ва дуюм, он қадар садо хоҳад дод, ки SIEM ё HIPS-и арзанда дарҳол моро "шиканад". Идеалӣ, муштарии мо бояд фармони ба истилоҳ дарунсохт бошад, зеро масалан, бисёр снарядҳои bash амалӣ карда мешаванд ва тавассути сатри фармон оғоз карда мешаванд, масалан, ҳангоми иҷрои фармонҳо аз макроси калима. - туннели мо бояд чанд ришта бошад ва дар як вакт пайвастхои зиёдеро дастгирй кунад;
- пайвасти муштарӣ ва сервер бояд як навъ иҷозат дошта бошад, то нақб танҳо барои муштарии мо муқаррар карда шавад, на барои ҳар касе, ки ба сервери мо дар суроға ва бандари муайяншуда меояд. Идеалӣ, саҳифаи кушода бо гурбаҳо ё мавзӯъҳои касбии марбут ба домени аслӣ бояд барои "корбарони тарафи сеюм" кушода шавад.
Масалан, агар Фармоишгар ташкилоти тиббӣ бошад, пас барои маъмури амнияти иттилоотӣ, ки қарор қабул мекунад, ки манбае, ки корманди клиника дастрас аст, саҳифа бо маҳсулоти дорусозӣ, Википедия бо тавсифи ташхис ё блоги доктор Комаровский ва ғайра. бояд кушода шавад.
Таҳлили воситаҳои мавҷуда
Пеш аз ихтироъ кардани дучархаи шахсии худ, шумо бояд велосипедҳои мавҷударо таҳлил кунед ва бифаҳмед, ки оё мо воқеан ба он ниёз дорем ва эҳтимол, танҳо мо дар бораи зарурати чунин дучархаи функсионалӣ фикр накардаем.
Гугл дар Интернет (ба назар чунин мерасад, ки мо маъмулан google мекунем), инчунин ҷустуҷӯ дар Github бо истифода аз калимаҳои калидии "ҷӯробҳои баръакс" натиҷаҳои зиёде надоданд. Асосан, ҳамааш ба сохтани нақбҳои ssh бо интиқоли баръакси порт ва ҳама чизҳои бо он алоқаманд вобаста аст. Илова ба нақбҳои SSH, якчанд ҳалли мушкилот вуҷуд дорад:
Татбиқи тӯлонии нақби баръакс аз бачаҳо дар лабораторияи Касперский. Ном равшан мекунад, ки ин скрипт барои чӣ пешбинӣ шудааст. Дар Python 2.7 амалӣ карда шудааст, нақб дар ҳолати матни равшан кор мекунад (чунон ки ҳоло гуфтан мӯд аст - салом RKN)
Татбиқи дигар дар Python, инчунин дар матни равшан, аммо бо имкониятҳои бештар. Он ҳамчун модул навишта шудааст ва дорои API барои ҳамгироии ҳалли лоиҳаҳои шумо мебошад.
Пайванди аввал нусхаи аслии татбиқи баръакси sox дар Голанг мебошад (аз ҷониби таҳиякунанда дастгирӣ намешавад).
Истиноди дуюм ин таҷдиди мо бо хусусиятҳои иловагӣ, инчунин дар Голанг мебошад. Дар версияи мо, мо SSL-ро амалӣ кардем, тавассути прокси бо иҷозати NTLM кор мекунем, авторизатсия дар муштарӣ, саҳифаи фуруд дар сурати пароли нодуруст (ё дурусттараш, масир ба саҳифаи кушодашавӣ), реҷаи бисёрсоҳавӣ (яъне чанд нафар) метавонад дар як вақт бо туннель кор кунад), системаи пинг кардани мизоҷ барои муайян кардани зинда ё набудани ӯ.
Татбиқи акси баръакс аз "дӯстони чинӣ" -и мо дар Python. Дар он ҷо барои танбалҳо ва «ҷовидон» як бинарии тайёр (exe) мавҷуд аст, ки онро чиниҳо ҷамъоварӣ кардаанд ва барои истифода омодаанд. Дар ин ҷо, танҳо Худои чинӣ медонад, ки ин бинарӣ ба ғайр аз вазифаи асосӣ боз чиро дар бар мегирад, аз ин рӯ бо хатар ва хатари худ истифода баред.
Лоиҳаи хеле ҷолиб дар C++ барои татбиқи sox баръакс ва ғайра. Илова ба нақби баръакс, он метавонад интиқоли портро анҷом диҳад, қабати фармон эҷод кунад ва ғайра.
Ҳисобкунаки MSF
Дар ин ҷо, чунон ки мегӯянд, шарҳ нест. Ҳама ҳакерҳои ҳатто бештар ё камтар маълумотдор бо ин чиз хеле ошно ҳастанд ва дарк мекунанд, ки то чӣ андоза онро тавассути асбобҳои амниятӣ ошкор кардан мумкин аст.
Ҳама асбобҳои дар боло тавсифшуда бо истифода аз технологияи шабеҳ кор мекунанд: модули дуии иҷрошавандаи қаблан омодашуда дар мошини дохили шабака ба кор андохта мешавад, ки бо сервери беруна пайваст мешавад. Сервер сервери SOCKS4/5-ро иҷро мекунад, ки пайвастҳоро қабул мекунад ва онҳоро ба муштарӣ интиқол медиҳад.
Камбудии ҳамаи асбобҳои дар боло зикршуда дар он аст, ки ё Python ё Golang бояд дар мошини муштарӣ насб карда шаванд (оё шумо бисёр вақт дидаед, ки Python дар мошинҳои, масалан, директори ширкат ё кормандони офис насб шудааст?) ё дастгоҳи қаблан васлшуда. дуӣ (воқеан python) бояд ба ин мошин кашола карда шавад ва скрипт дар як шиша) ва ин бинариро аллакай дар он ҷо иҷро кунед. Ва зеркашии файли exe ва сипас ба кор андохтани он низ як имзои антивируси маҳаллӣ ё HIPS мебошад.
Умуман, хулоса худашро нишон медиҳад - ба мо ҳалли Powershell лозим аст. Акнун помидорҳо ба сӯи мо парвоз хоҳанд кард - онҳо мегӯянд, ки Powershell аллакай ҳак шудааст, онро назорат мекунанд, бастаанд ва ғайра. ва ғайра. Дар асл, на дар ҳама ҷо. Мо бо камоли масъулият изхор менамоем. Дар омади гап, роҳҳои зиёде барои гузаштан аз блоккунӣ вуҷуд доранд (дар ин ҷо боз як ибораи муд дар бораи салом RKN мавҷуд аст 🙂), аз тағир додани номи аблаҳии powershell.exe -> cmdd.exe ва хотима бо powerdll ва ғайра.
Биёед ба ихтироъ шурӯъ кунем
Маълум аст, ки аввал мо дар Google назар мекунем ва… мо дар ин мавзӯъ чизе намеёбем (агар касе онро ёфта бошад, дар шарҳҳо истинодҳоро гузоред). Фақат вуҷуд дорад Socks5 дар powershell, аммо ин як "бевосита"-и оддӣ аст, ки як қатор нуқсонҳои худро дорад (мо дар бораи онҳо баъдтар сӯҳбат хоҳем кард). Шумо метавонед, албатта, бо як ҳаракати каме дастатон онро ба тарафи баръакс табдил диҳед, аммо ин танҳо як риштае хоҳад буд, ки он чизест, ки мо барои мо лозим нест.
Ҳамин тавр, мо ягон чизи тайёрро наёфтаем, бинобар ин мо бояд чархи худро дубора ихтироъ кунем. Мо велосипедро асоси худ мегирем акси баръакс дар Голанг, ва мо муштарӣ барои он дар powershell татбиқ мекунем.
RSocksTun
Пас, rsockstun чӣ гуна кор мекунад?
Фаъолияти RsocksTun (минбаъд rs) ба ду ҷузъи нармафзор - сервери Yamux ва Socks5 асос ёфтааст. Сервери Socks5 як ҷӯроби муқаррарии маҳаллӣ мебошад, ки дар муштарӣ кор мекунад. Ва мултиплексии пайвастшавӣ ба он (дар бораи мултипликатсия дар хотир доред?) бо истифода аз yamux (). Ин схема ба шумо имкон медиҳад, ки якчанд серверҳои муштарӣ5-ро оғоз кунед ва пайвастҳои берунаро ба онҳо паҳн кунед, онҳоро тавассути як пайвасти ягонаи TCP (тақрибан дар meterpreter) аз муштарӣ ба сервер интиқол диҳед ва ба ин васила режими чанд риштаро амалӣ созед, ки бе он мо танҳо кор нахоҳем кард. қодир аст, ки дар шабакаҳои дохилӣ пурра кор кунад.
Моҳияти кори yamux дар он аст, ки он як қабати иловагии шабакаи ҷараёнҳоро ҷорӣ мекунад ва онро дар шакли сарлавҳаи 12-байтӣ барои ҳар як баста амалӣ мекунад. (Дар ин ҷо мо дидаву дониста калимаи “ҷараён”-ро ба ҷои ришта истифода мебарем, то хонандаро бо ҷараёни барномаи “ришта” иштибоҳ накунем - дар ин мақола низ ин мафҳумро истифода хоҳем кард). Сарлавҳаи yamux рақами ҷараён, парчамҳо барои насб/қатъ кардани ҷараён, шумораи байтҳои интиқолшуда ва андозаи равзанаи интиқолро дар бар мегирад.
Илова ба насб/қатъ кардани ҷараён, yamux механизми нигоҳдории онро амалӣ мекунад, ки ба шумо имкон медиҳад, ки кори канали муоширати муқарраршударо назорат кунед. Фаъолияти механизми паёми нигоҳдорӣ ҳангоми эҷоди сессияи Yamux танзим карда мешавад. Дар асл, аз танзимот танҳо ду параметр мавҷуд аст: фаъол/хомӯш кардан ва басомади фиристодани пакетҳо дар сонияҳо. Паёмҳои Keepalive метавонанд аз ҷониби сервери yamux ё муштарии yamux фиристода шаванд. Ҳангоми гирифтани паёми нигоҳдорӣ, ҷониби дурдаст бояд ба он бо фиристодани ҳамон як идентификатори паём (воқеан рақам), ки гирифта буд, ҷавоб диҳад. Умуман, keepalive ҳамон пинг аст, танҳо барои yamux.
Тамоми техникаи кори мултиплексор: навъҳои бастаҳо, танзими пайвастшавӣ ва қатъи парчамҳо ва механизми интиқоли маълумот дар муфассал тавсиф шудааст. ба yamux.
Хулоса ба қисми якум
Ҳамин тариқ, дар қисми аввали мақола мо бо баъзе асбобҳо барои ташкили нақбҳои баръакс шинос шудем, афзалиятҳо ва нуқсонҳои онҳоро дида баромадем, механизми кори мултиплекси Yamux-ро омӯхта, талаботҳои асосиро ба модули навтаъсиси powershell тавсиф кардем. Дар қисми оянда мо худи модулро амалан аз сифр таҳия хоҳем кард. Давом дорад. Гузар накунед :)
Манбаъ: will.com