A kọ nigbagbogbo nipa bi awọn olosa ṣe nigbagbogbo gbẹkẹle ilokulo lati yago fun wiwa. Wọn jẹ gangan , lilo awọn irinṣẹ Windows boṣewa, nitorinaa fori awọn antiviruses ati awọn ohun elo miiran fun wiwa iṣẹ ṣiṣe irira. A, gẹgẹbi awọn olugbeja, ni bayi fi agbara mu lati koju awọn abajade ailoriire ti iru awọn ilana gige gige onilàkaye: oṣiṣẹ ti o wa ni ipo daradara le lo ọna kanna lati ji data ni aabo (ohun-ini ọgbọn ile-iṣẹ, awọn nọmba kaadi kirẹditi). Ati pe ti ko ba yara, ṣugbọn ṣiṣẹ laiyara ati idakẹjẹ, yoo nira pupọ - ṣugbọn tun ṣee ṣe ti o ba lo ọna ti o tọ ati ti o yẹ. , - lati ṣe idanimọ iru iṣẹ ṣiṣe.
Ni apa keji, Emi kii yoo fẹ lati ṣe ẹmi awọn oṣiṣẹ nitori ko si ẹnikan ti o fẹ ṣiṣẹ ni agbegbe iṣowo taara lati Orwell's 1984. Da, nibẹ ni o wa nọmba kan ti ilowo awọn igbesẹ ti ati aye hakii ti o le ṣe aye Elo siwaju sii soro fun insiders. A yoo ro covert kolu awọn ọna, ti a lo nipasẹ awọn olosa nipasẹ awọn oṣiṣẹ pẹlu diẹ ninu awọn imọ-ẹrọ. Ati diẹ siwaju sii a yoo jiroro awọn aṣayan fun idinku iru awọn eewu - a yoo ṣe iwadi mejeeji awọn aṣayan imọ-ẹrọ ati ti iṣeto.
Kini aṣiṣe pẹlu PsExec?
Edward Snowden, ni ẹtọ tabi ni aṣiṣe, ti di bakanna pẹlu jija data inu inu. Nipa ọna, maṣe gbagbe lati wo nipa miiran insiders ti o tun balau diẹ ninu awọn loruko ipo. Ojuami pataki kan ti o tọ lati tẹnumọ nipa awọn ọna ti Snowden lo ni pe, si ti o dara julọ ti imọ wa, oun ko fi sori ẹrọ ko si ita irira software!
Dipo, Snowden lo diẹ ninu imọ-ẹrọ awujọ ati lo ipo rẹ bi oluṣakoso eto lati gba awọn ọrọ igbaniwọle ati ṣẹda awọn iwe-ẹri. Ko si ohun idiju - kò , ikọlu tabi .
Awọn oṣiṣẹ ile-iṣẹ kii ṣe nigbagbogbo ni ipo alailẹgbẹ Snowden, ṣugbọn awọn ẹkọ pupọ wa ti o le kọ ẹkọ lati inu imọran ti “iwalaaye nipasẹ ifunni” lati mọ - kii ṣe lati ṣe iṣẹ-ṣiṣe irira eyikeyi ti o le rii, ati lati jẹ. paapaa ṣọra pẹlu lilo awọn iwe-ẹri. Ranti ero yii.
ati ibatan rẹ ti impressed countless pentesters, olosa, ati cybersecurity ohun kikọ sori ayelujara. Ati nigbati o ba ni idapo pẹlu mimikatz, psexec ngbanilaaye awọn ikọlu lati gbe laarin nẹtiwọọki kan laisi nilo lati mọ ọrọ igbaniwọle cleartext.
Mimikatz ṣe idiwọ hash NTLM lati ilana LSASS ati lẹhinna kọja ami-ami tabi awọn iwe-ẹri - eyiti a pe. "kọja hash" kolu - ni psexec, gbigba ikọlu kan lati wọle si olupin miiran bi miiran olumulo. Ati pẹlu iṣipopada atẹle kọọkan si olupin tuntun kan, ikọlu n gba awọn iwe-ẹri afikun, ti o pọ si awọn agbara rẹ ni wiwa akoonu ti o wa.
Nigbati mo kọkọ bẹrẹ ṣiṣẹ pẹlu psexec o dabi ẹnipe idan si mi - o ṣeun , Olùgbéejáde ti o wuyi ti psexec - ṣugbọn Mo tun mọ nipa tirẹ alariwo irinše. Oun kii ṣe aṣiri rara!
Otitọ ti o nifẹ akọkọ nipa psexec ni pe o nlo eka pupọ Ilana faili nẹtiwọki SMB lati Microsoft. Lilo SMB, awọn gbigbe psexec kekere alakomeji awọn faili si eto ibi-afẹde, fifi wọn sinu folda C: Windows.
Nigbamii, psexec ṣẹda iṣẹ Windows kan nipa lilo alakomeji ti a daakọ ati ṣiṣe rẹ labẹ orukọ “airotẹlẹ” lalailopinpin PSEXECSVC. Ni akoko kanna, o le rii gbogbo eyi, bii Mo ti ṣe, nipa wiwo ẹrọ latọna jijin (wo isalẹ).
Psexec ká ipe kaadi: "PSEXECSVC" iṣẹ. O nṣiṣẹ faili alakomeji ti a gbe nipasẹ SMB ninu folda C: Windows.
Gẹgẹbi igbesẹ ikẹhin, faili alakomeji ti a daakọ ṣii RPC asopọ si olupin ibi-afẹde ati lẹhinna gba awọn aṣẹ iṣakoso (nipasẹ ikarahun Windows cmd nipasẹ aiyipada), ifilọlẹ wọn ati ṣiṣatunṣe titẹ sii ati iṣelọpọ si ẹrọ ile ikọlu naa. Ni idi eyi, ikọlu naa rii laini aṣẹ ipilẹ - bakanna bi ẹnipe o ti sopọ taara.
Ọpọlọpọ awọn paati ati ilana alariwo pupọ!
Awọn ile-iṣẹ eka ti psexec ṣe alaye ifiranṣẹ ti o da mi loju lakoko awọn idanwo akọkọ mi ni ọpọlọpọ ọdun sẹyin: “Bibẹrẹ PSEXECSVC…” atẹle nipa idaduro ṣaaju ki aṣẹ aṣẹ yoo han.
Impacket's Psexec gangan fihan ohun ti n ṣẹlẹ labẹ hood.
Ko ṣe iyanilenu: psexec ṣe ọpọlọpọ iṣẹ ti o pọju labẹ hood. Ti o ba nifẹ si alaye alaye diẹ sii, ṣayẹwo Nibi iyanu apejuwe.
O han ni, nigba lilo bi irinṣẹ iṣakoso eto, eyiti o jẹ atilẹba idi psexec, ko si ohun ti ko tọ si pẹlu "buzzing" ti gbogbo awọn wọnyi Windows ise sise. Fun ikọlu kan, sibẹsibẹ, psexec yoo ṣẹda awọn ilolu, ati fun iṣọra ati onimọran arekereke bi Snowden, psexec tabi iru ohun elo kan yoo jẹ eewu pupọ.
Ati ki o si ba wa Smbexec
SMB jẹ ọlọgbọn ati ọna aṣiri lati gbe awọn faili laarin awọn olupin, ati awọn olosa ti n wọ inu SMB taara fun awọn ọgọrun ọdun. Mo ro pe gbogbo eniyan ti mọ tẹlẹ pe ko tọ si Awọn ibudo SMB 445 ati 139 si Intanẹẹti, otun?
Ni Defcon 2013, Eric Millman () gbekalẹ , ki pentesters le gbiyanju lilọ ni ifura SMB sakasaka. Emi ko mọ gbogbo itan, sugbon ki o si Impacket siwaju refaini smbexec. Ni otitọ, fun idanwo mi, Mo ṣe igbasilẹ awọn iwe afọwọkọ lati Impacket ni Python lati .
Ko dabi psexec, smbexec yago fun gbigbe faili alakomeji ti o le rii si ẹrọ ibi-afẹde. Dipo, awọn IwUlO ngbe šee igbọkanle lati àgbegbe nipasẹ ifilole agbegbe Laini aṣẹ Windows.
Eyi ni ohun ti o ṣe: o kọja aṣẹ lati ẹrọ ikọlu nipasẹ SMB si faili titẹ sii pataki kan, lẹhinna ṣẹda ati ṣiṣe laini aṣẹ eka kan (bii iṣẹ Windows) ti yoo dabi faramọ si awọn olumulo Linux. Ni kukuru: o ṣe ifilọlẹ ikarahun Windows cmd abinibi kan, darí iṣelọpọ si faili miiran, lẹhinna firanṣẹ nipasẹ SMB pada si ẹrọ ikọlu naa.
Ọna ti o dara julọ lati loye eyi ni lati wo laini aṣẹ, eyiti Mo ni anfani lati gba ọwọ mi lati akọọlẹ iṣẹlẹ (wo isalẹ).
Ṣe eyi kii ṣe ọna ti o tobi julọ lati ṣe atunṣe I/O? Nipa ọna, ṣiṣẹda iṣẹ ni ID iṣẹlẹ 7045.
Bii psexec, o tun ṣẹda iṣẹ kan ti o ṣe gbogbo iṣẹ naa, ṣugbọn iṣẹ naa lẹhin iyẹn yọ kuro – o ti lo ni ẹẹkan lati ṣiṣe awọn pipaṣẹ ati ki o si farasin! Oṣiṣẹ aabo alaye ti n ṣetọju ẹrọ olufaragba kii yoo ni anfani lati rii kedere Awọn itọkasi ikọlu: Ko si faili irira ti n ṣe ifilọlẹ, ko si iṣẹ ti o tẹpẹlẹ ti nfi sori ẹrọ, ati pe ko si ẹri pe RPC lo niwon SMB jẹ ọna gbigbe data nikan. O wuyi!
Lati ẹgbẹ ikọlu, “pseudo-ikarahun” wa pẹlu awọn idaduro laarin fifiranṣẹ aṣẹ ati gbigba esi naa. Ṣugbọn eyi ti to fun ikọlu - boya inu tabi agbonaeburuwole ita ti o ti ni ibi-ẹsẹ tẹlẹ - lati bẹrẹ wiwa akoonu ti o nifẹ.
Lati mu data jade pada lati ẹrọ ibi-afẹde si ẹrọ ikọlu, o ti lo . Bẹẹni, Samba kanna ni , ṣugbọn iyipada nikan si iwe afọwọkọ Python nipasẹ Impacket. Ni otitọ, smbclient gba ọ laaye lati gbalejo awọn gbigbe FTP ni aabo lori SMB.
Jẹ ki a gbe igbesẹ kan pada ki a ronu nipa kini eyi le ṣe fun oṣiṣẹ naa. Ninu oju iṣẹlẹ itanjẹ mi, jẹ ki a sọ bulọọgi kan, oluyanju owo tabi oludamọran aabo ti o sanwo pupọ ni a gba ọ laaye lati lo kọǹpútà alágbèéká ti ara ẹni fun iṣẹ. Bi abajade ilana idan kan, o binu si ile-iṣẹ naa o “buru gbogbo rẹ.” Ti o da lori ẹrọ ṣiṣe laptop, boya o lo ẹya Python lati Ipa, tabi ẹya Windows ti smbexec tabi smbclient bi faili .exe kan.
Bii Snowden, o wa ọrọ igbaniwọle olumulo miiran boya nipa wiwo ejika rẹ, tabi o ni orire ati kọsẹ lori faili ọrọ pẹlu ọrọ igbaniwọle. Ati pẹlu iranlọwọ ti awọn iwe-ẹri wọnyi, o bẹrẹ lati ma wà ni ayika eto ni ipele titun ti awọn anfani.
Sakasaka DCC: A ko nilo eyikeyi "aṣiwere" Mimikatz
Ninu awọn ifiweranṣẹ mi tẹlẹ lori pentesting, Mo lo mimikatz nigbagbogbo. Eyi jẹ ohun elo nla fun kikọlu awọn iwe-ẹri - NTLM hashes ati paapaa awọn ọrọ igbaniwọle cleartext ti o farapamọ inu awọn kọnputa agbeka, o kan nduro lati lo.
Awọn akoko ti yipada. Awọn irinṣẹ ibojuwo ti dara si ni wiwa ati didi mimikatz. Awọn alabojuto aabo alaye tun ni awọn aṣayan diẹ sii lati dinku awọn ewu ti o nii ṣe pẹlu ikọlu hash (PtH).
Nitorina kini o yẹ ki oṣiṣẹ ọlọgbọn ṣe lati gba awọn iwe-ẹri afikun laisi lilo mimikatz?
Ohun elo Impacket pẹlu ohun elo ti a pe ni , eyiti o gba awọn iwe-ẹri lati Kaṣe Ijẹrisi Aṣẹ, tabi DCC fun kukuru. Oye mi ni pe ti olumulo agbegbe ba wọle sinu olupin ṣugbọn oluṣakoso agbegbe ko si, DCC gba olupin laaye lati jẹri olumulo naa. Lonakona, secretsdump gba ọ laaye lati da gbogbo awọn hashes wọnyi silẹ ti wọn ba wa.
DCC hashes jẹ kii ṣe awọn hashes NTML ati awon ko le ṣee lo fun PtH kolu.
O dara, o le gbiyanju lati gige wọn lati gba ọrọ igbaniwọle atilẹba. Sibẹsibẹ, Microsoft ti ni ijafafa pẹlu DCC ati awọn hashes DCC ti di pupọju pupọ lati kiraki. Bẹẹni, Mo ni , "Aro ọrọ igbaniwọle ti o yara ju ni agbaye," ṣugbọn o nilo GPU kan lati ṣiṣẹ daradara.
Dipo, jẹ ki a gbiyanju lati ronu bi Snowden. Oṣiṣẹ le ṣe imọ-ẹrọ awujọ oju-si-oju ati pe o ṣee ṣe wa alaye diẹ nipa eniyan ti ọrọ igbaniwọle rẹ fẹ lati kiraki. Fun apẹẹrẹ, ṣawari boya akọọlẹ ori ayelujara ti eniyan naa ti ti gepa lailai ki o ṣayẹwo ọrọ igbaniwọle cleartext wọn fun awọn amọran eyikeyi.
Ati pe eyi ni oju iṣẹlẹ ti Mo pinnu lati lọ pẹlu. Jẹ ki a ro pe onimọran kan kọ ẹkọ pe oga rẹ, Cruella, ti gepa ni ọpọlọpọ igba lori awọn orisun wẹẹbu oriṣiriṣi. Lẹhin ti o ṣe ayẹwo ọpọlọpọ awọn ọrọ igbaniwọle wọnyi, o mọ pe Cruella fẹ lati lo ọna kika ti orukọ ẹgbẹ baseball "Yankees" ti o tẹle ni ọdun to wa - "Yankees2015".
Ti o ba n gbiyanju lati tun ṣe eyi ni ile, lẹhinna o le ṣe igbasilẹ kekere kan, "C" , eyiti o ṣe imuse algorithm hashing DCC, ti o si ṣe akopọ rẹ. , nipasẹ ọna, afikun atilẹyin fun DCC, nitorina o tun le ṣee lo. Jẹ ki a ro pe oniwadi ko fẹ lati ṣe wahala kikọ John the Ripper ati pe o nifẹ lati ṣiṣẹ “gcc” lori koodu C julọ.
Ti n ṣe afihan ipa ti inu, Mo gbiyanju ọpọlọpọ awọn akojọpọ oriṣiriṣi ati nikẹhin ni anfani lati ṣawari pe ọrọ igbaniwọle Cruella jẹ “Yankees2019” (wo isalẹ). Iṣẹ apinfunni Pari!
Imọ-ẹrọ awujọ diẹ, daaṣi ti sọ asọtẹlẹ ati fun pọ kan ti Maltego ati pe o wa daradara lori ọna rẹ lati wo hash DCC.
Mo daba pe a pari nibi. A yoo pada si koko-ọrọ yii ni awọn ifiweranṣẹ miiran ati wo paapaa diẹ sii o lọra ati awọn ọna ikọlu ole, tẹsiwaju lati kọ lori eto awọn ohun elo Impacket ti o dara julọ.
orisun: www.habr.com