A kọ nigbagbogbo nipa bi awọn olosa ṣe nigbagbogbo gbẹkẹle ilokulo
Ni apa keji, Emi kii yoo fẹ lati ṣe ẹmi awọn oṣiṣẹ nitori ko si ẹnikan ti o fẹ ṣiṣẹ ni agbegbe iṣowo taara lati Orwell's 1984. Da, nibẹ ni o wa nọmba kan ti ilowo awọn igbesẹ ti ati aye hakii ti o le ṣe aye Elo siwaju sii soro fun insiders. A yoo ro covert kolu awọn ọna, ti a lo nipasẹ awọn olosa nipasẹ awọn oṣiṣẹ pẹlu diẹ ninu awọn imọ-ẹrọ. Ati diẹ siwaju sii a yoo jiroro awọn aṣayan fun idinku iru awọn eewu - a yoo ṣe iwadi mejeeji awọn aṣayan imọ-ẹrọ ati ti iṣeto.
Kini aṣiṣe pẹlu PsExec?
Edward Snowden, ni ẹtọ tabi ni aṣiṣe, ti di bakanna pẹlu jija data inu inu. Nipa ọna, maṣe gbagbe lati wo
Dipo, Snowden lo diẹ ninu imọ-ẹrọ awujọ ati lo ipo rẹ bi oluṣakoso eto lati gba awọn ọrọ igbaniwọle ati ṣẹda awọn iwe-ẹri. Ko si ohun idiju - kò
Awọn oṣiṣẹ ile-iṣẹ kii ṣe nigbagbogbo ni ipo alailẹgbẹ Snowden, ṣugbọn awọn ẹkọ pupọ wa ti o le kọ ẹkọ lati inu imọran ti “iwalaaye nipasẹ ifunni” lati mọ - kii ṣe lati ṣe iṣẹ-ṣiṣe irira eyikeyi ti o le rii, ati lati jẹ. paapaa ṣọra pẹlu lilo awọn iwe-ẹri. Ranti ero yii.
Mimikatz ṣe idiwọ hash NTLM lati ilana LSASS ati lẹhinna kọja ami-ami tabi awọn iwe-ẹri - eyiti a pe. "kọja hash" kolu - ni psexec, gbigba ikọlu kan lati wọle si olupin miiran bi miiran olumulo. Ati pẹlu iṣipopada atẹle kọọkan si olupin tuntun kan, ikọlu n gba awọn iwe-ẹri afikun, ti o pọ si awọn agbara rẹ ni wiwa akoonu ti o wa.
Nigbati mo kọkọ bẹrẹ ṣiṣẹ pẹlu psexec o dabi ẹnipe idan si mi - o ṣeun
Otitọ ti o nifẹ akọkọ nipa psexec ni pe o nlo eka pupọ Ilana faili nẹtiwọki SMB lati Microsoft. Lilo SMB, awọn gbigbe psexec kekere alakomeji awọn faili si eto ibi-afẹde, fifi wọn sinu folda C: Windows.
Nigbamii, psexec ṣẹda iṣẹ Windows kan nipa lilo alakomeji ti a daakọ ati ṣiṣe rẹ labẹ orukọ “airotẹlẹ” lalailopinpin PSEXECSVC. Ni akoko kanna, o le rii gbogbo eyi, bii Mo ti ṣe, nipa wiwo ẹrọ latọna jijin (wo isalẹ).
Psexec ká ipe kaadi: "PSEXECSVC" iṣẹ. O nṣiṣẹ faili alakomeji ti a gbe nipasẹ SMB ninu folda C: Windows.
Gẹgẹbi igbesẹ ikẹhin, faili alakomeji ti a daakọ ṣii RPC asopọ si olupin ibi-afẹde ati lẹhinna gba awọn aṣẹ iṣakoso (nipasẹ ikarahun Windows cmd nipasẹ aiyipada), ifilọlẹ wọn ati ṣiṣatunṣe titẹ sii ati iṣelọpọ si ẹrọ ile ikọlu naa. Ni idi eyi, ikọlu naa rii laini aṣẹ ipilẹ - bakanna bi ẹnipe o ti sopọ taara.
Ọpọlọpọ awọn paati ati ilana alariwo pupọ!
Awọn ile-iṣẹ eka ti psexec ṣe alaye ifiranṣẹ ti o da mi loju lakoko awọn idanwo akọkọ mi ni ọpọlọpọ ọdun sẹyin: “Bibẹrẹ PSEXECSVC…” atẹle nipa idaduro ṣaaju ki aṣẹ aṣẹ yoo han.
Impacket's Psexec gangan fihan ohun ti n ṣẹlẹ labẹ hood.
Ko ṣe iyanilenu: psexec ṣe ọpọlọpọ iṣẹ ti o pọju labẹ hood. Ti o ba nifẹ si alaye alaye diẹ sii, ṣayẹwo Nibi
O han ni, nigba lilo bi irinṣẹ iṣakoso eto, eyiti o jẹ atilẹba idi psexec, ko si ohun ti ko tọ si pẹlu "buzzing" ti gbogbo awọn wọnyi Windows ise sise. Fun ikọlu kan, sibẹsibẹ, psexec yoo ṣẹda awọn ilolu, ati fun iṣọra ati onimọran arekereke bi Snowden, psexec tabi iru ohun elo kan yoo jẹ eewu pupọ.
Ati ki o si ba wa Smbexec
SMB jẹ ọlọgbọn ati ọna aṣiri lati gbe awọn faili laarin awọn olupin, ati awọn olosa ti n wọ inu SMB taara fun awọn ọgọrun ọdun. Mo ro pe gbogbo eniyan ti mọ tẹlẹ pe ko tọ si
Ni Defcon 2013, Eric Millman (
Ko dabi psexec, smbexec yago fun gbigbe faili alakomeji ti o le rii si ẹrọ ibi-afẹde. Dipo, awọn IwUlO ngbe šee igbọkanle lati àgbegbe nipasẹ ifilole agbegbe Laini aṣẹ Windows.
Eyi ni ohun ti o ṣe: o kọja aṣẹ lati ẹrọ ikọlu nipasẹ SMB si faili titẹ sii pataki kan, lẹhinna ṣẹda ati ṣiṣe laini aṣẹ eka kan (bii iṣẹ Windows) ti yoo dabi faramọ si awọn olumulo Linux. Ni kukuru: o ṣe ifilọlẹ ikarahun Windows cmd abinibi kan, darí iṣelọpọ si faili miiran, lẹhinna firanṣẹ nipasẹ SMB pada si ẹrọ ikọlu naa.
Ọna ti o dara julọ lati loye eyi ni lati wo laini aṣẹ, eyiti Mo ni anfani lati gba ọwọ mi lati akọọlẹ iṣẹlẹ (wo isalẹ).
Ṣe eyi kii ṣe ọna ti o tobi julọ lati ṣe atunṣe I/O? Nipa ọna, ṣiṣẹda iṣẹ ni ID iṣẹlẹ 7045.
Bii psexec, o tun ṣẹda iṣẹ kan ti o ṣe gbogbo iṣẹ naa, ṣugbọn iṣẹ naa lẹhin iyẹn yọ kuro – o ti lo ni ẹẹkan lati ṣiṣe awọn pipaṣẹ ati ki o si farasin! Oṣiṣẹ aabo alaye ti n ṣetọju ẹrọ olufaragba kii yoo ni anfani lati rii kedere Awọn itọkasi ikọlu: Ko si faili irira ti n ṣe ifilọlẹ, ko si iṣẹ ti o tẹpẹlẹ ti nfi sori ẹrọ, ati pe ko si ẹri pe RPC lo niwon SMB jẹ ọna gbigbe data nikan. O wuyi!
Lati ẹgbẹ ikọlu, “pseudo-ikarahun” wa pẹlu awọn idaduro laarin fifiranṣẹ aṣẹ ati gbigba esi naa. Ṣugbọn eyi ti to fun ikọlu - boya inu tabi agbonaeburuwole ita ti o ti ni ibi-ẹsẹ tẹlẹ - lati bẹrẹ wiwa akoonu ti o nifẹ.
Lati mu data jade pada lati ẹrọ ibi-afẹde si ẹrọ ikọlu, o ti lo
Jẹ ki a gbe igbesẹ kan pada ki a ronu nipa kini eyi le ṣe fun oṣiṣẹ naa. Ninu oju iṣẹlẹ itanjẹ mi, jẹ ki a sọ bulọọgi kan, oluyanju owo tabi oludamọran aabo ti o sanwo pupọ ni a gba ọ laaye lati lo kọǹpútà alágbèéká ti ara ẹni fun iṣẹ. Bi abajade ilana idan kan, o binu si ile-iṣẹ naa o “buru gbogbo rẹ.” Ti o da lori ẹrọ ṣiṣe laptop, boya o lo ẹya Python lati Ipa, tabi ẹya Windows ti smbexec tabi smbclient bi faili .exe kan.
Bii Snowden, o wa ọrọ igbaniwọle olumulo miiran boya nipa wiwo ejika rẹ, tabi o ni orire ati kọsẹ lori faili ọrọ pẹlu ọrọ igbaniwọle. Ati pẹlu iranlọwọ ti awọn iwe-ẹri wọnyi, o bẹrẹ lati ma wà ni ayika eto ni ipele titun ti awọn anfani.
Sakasaka DCC: A ko nilo eyikeyi "aṣiwere" Mimikatz
Ninu awọn ifiweranṣẹ mi tẹlẹ lori pentesting, Mo lo mimikatz nigbagbogbo. Eyi jẹ ohun elo nla fun kikọlu awọn iwe-ẹri - NTLM hashes ati paapaa awọn ọrọ igbaniwọle cleartext ti o farapamọ inu awọn kọnputa agbeka, o kan nduro lati lo.
Awọn akoko ti yipada. Awọn irinṣẹ ibojuwo ti dara si ni wiwa ati didi mimikatz. Awọn alabojuto aabo alaye tun ni awọn aṣayan diẹ sii lati dinku awọn ewu ti o nii ṣe pẹlu ikọlu hash (PtH).
Nitorina kini o yẹ ki oṣiṣẹ ọlọgbọn ṣe lati gba awọn iwe-ẹri afikun laisi lilo mimikatz?
Ohun elo Impacket pẹlu ohun elo ti a pe ni
DCC hashes jẹ kii ṣe awọn hashes NTML ati awon ko le ṣee lo fun PtH kolu.
O dara, o le gbiyanju lati gige wọn lati gba ọrọ igbaniwọle atilẹba. Sibẹsibẹ, Microsoft ti ni ijafafa pẹlu DCC ati awọn hashes DCC ti di pupọju pupọ lati kiraki. Bẹẹni, Mo ni
Dipo, jẹ ki a gbiyanju lati ronu bi Snowden. Oṣiṣẹ le ṣe imọ-ẹrọ awujọ oju-si-oju ati pe o ṣee ṣe wa alaye diẹ nipa eniyan ti ọrọ igbaniwọle rẹ fẹ lati kiraki. Fun apẹẹrẹ, ṣawari boya akọọlẹ ori ayelujara ti eniyan naa ti ti gepa lailai ki o ṣayẹwo ọrọ igbaniwọle cleartext wọn fun awọn amọran eyikeyi.
Ati pe eyi ni oju iṣẹlẹ ti Mo pinnu lati lọ pẹlu. Jẹ ki a ro pe onimọran kan kọ ẹkọ pe oga rẹ, Cruella, ti gepa ni ọpọlọpọ igba lori awọn orisun wẹẹbu oriṣiriṣi. Lẹhin ti o ṣe ayẹwo ọpọlọpọ awọn ọrọ igbaniwọle wọnyi, o mọ pe Cruella fẹ lati lo ọna kika ti orukọ ẹgbẹ baseball "Yankees" ti o tẹle ni ọdun to wa - "Yankees2015".
Ti o ba n gbiyanju lati tun ṣe eyi ni ile, lẹhinna o le ṣe igbasilẹ kekere kan, "C"
Ti n ṣe afihan ipa ti inu, Mo gbiyanju ọpọlọpọ awọn akojọpọ oriṣiriṣi ati nikẹhin ni anfani lati ṣawari pe ọrọ igbaniwọle Cruella jẹ “Yankees2019” (wo isalẹ). Iṣẹ apinfunni Pari!
Imọ-ẹrọ awujọ diẹ, daaṣi ti sọ asọtẹlẹ ati fun pọ kan ti Maltego ati pe o wa daradara lori ọna rẹ lati wo hash DCC.
Mo daba pe a pari nibi. A yoo pada si koko-ọrọ yii ni awọn ifiweranṣẹ miiran ati wo paapaa diẹ sii o lọra ati awọn ọna ikọlu ole, tẹsiwaju lati kọ lori eto awọn ohun elo Impacket ti o dara julọ.
orisun: www.habr.com