Компрометирование Windows-доменов из командной строки
Как закореленый пользователь операционной системы Линукс, зачастую все необходимые задачи я решаю через командную строку. Именно поэтому я решил показать несколько утилит и техник, которые можно использовать для компрометирования доменов в Active Directory лишь при помощи командной строки.
Как закореленый пользователь операционной системы Линукс, зачастую все необходимые задачи я решаю через командную строку. Именно поэтому я решил показать несколько утилит и техник, которые можно использовать для компрометирования доменов в Active Directory лишь при помощи командной строки. В демонстрационных целях я развернул тестовую систему и домен (XEROSECURITY), куда входят Windows 2012 AD Domain Controller (192.168.1.138) и Windows XP Workstation (192.168.1.129). Моя система, на которой будут запускаться скрипты, работает на Kali Linux 2.0 (192.168.1.113). Ниже показано пошаговое руководство, позволяющее выполнить базовый пентест системы на базе ОС Windows. Особенно этот пост посвящается хакерам старой закалки, которые знают, что такое «Phrack» и «Owned and Exposed».
Утилиты, необходимые для работы
Currently scanning: Finished! | Screen View: Unique Hosts
7 Captured ARP Req/Rep packets, from 7 hosts. Total size: 384
IP At MAC Address Count Len MAC Vendor
192.168.1.129 00:0c:29:fb:8c:7c 01 042 VMware, Inc.
192.168.1.138 00:0c:29:82:29:f9 01 042 VMware, Inc.
Подскажите вектор атаки по Windows 10
Тренируюсь проводить пентесты, давно этим не занимался, но решил вспомнить былое.
Сетка моей организации, и я сам хакаю себя.
Получен доступ в сеть по вайфаю. Найдены машины. Интересует одна, без фильтрованных портов.
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
3389/tcp open ms-wbt-server
5357/tcp open wsdapi
Я знаю что там Win10, машина рядом со мной стоит)
Подскажите, есть ли что-то попсовое из сплоитов для win10, типа bluekeep, и если нет, то что дальше посоветуете делать?
Насколько я помню по 2000 винде, были утилитки для коннекта к шарам и вытаскивание списка пользователей. Еще были варианты с перехватом NTLM хешей и брутом.
Подскажите что сейчас актуально для вин 10.
zhe_ka
Pulsera
не, рабочая группа. несколько тачек на винде.
спасибо посмотрел. очень интересные фишки с респондером и отравлением запросов.
Но зная изнутри порядок работы, спуфинг врядли может подойти, потому что юзеры не пользвются шарами. Просто работают локально и юзают браузер и серфинг.
Все еще надеюсь найти какой-нибудь RCE сплоит. Но пока что вырисовывается вектор через RDP. Он открыт на Win10, а это значит что там стоит патч на терминалый сервак для админов и он точно рабочий.
Ищу способ пробить список пользователей. Пока заинтересовал smb_lookupsid
Однако брут по rdp это долго и нет 100 гарантии.
почти уверен, что на тачке есть юзеры без пароля, но штатные политики вряд ли дадут под ними зайти.
так же включен Guest.
SMB Auxiliary Modules с гостем дадут больше инфы чем вообще без ничего? или одинаково?
Подкиньте идей.
Pulsera
Pulsera
Вот еще список ресурсов по поводу уязвимостей:
fuzzz
Петручо
Salivan
s unity
Прошел кучу возни с настройкой кали под себя и плясок с бубнами вокруг адаптеров и драйверов. С 5-го раза кали прижился на флешке.
По предыдущим шагам:
Поюзал я все enum под винду в метасплоите, ничего интересного не нашел. Вообще глушняк. На большинстве винд активирован фаервол и все сканы в обломе. Если честно, я приятно удивлен таким положением дел на стоковой винде. Во времена 7ки и ХР было все гораздо хуже с безопасностью. Хотя бы список юзеров и версию системы я бы точно взял, а тут полный остос.
Пошел по пути, который советовал коллега:
И действительно, обнаружил хороший вектор.
1. Получил доступ к вайфаю. Перебрал пачку инструментов, надежды были на Fluxion, но он, как и еще парочка тулзов, почему-то не запускал dhcp и при коннекте на мою АП клиент не получал айпи.
В итоге сработало решение через wifiphisher. Лендос там кондовый, конечно, тупо форма Enter wifi password и никаких проверок по хендшейку. Ну да ладно, главное сработал, потом разберемся с fluxion.
2. Чуть позже нашел еще один заход через недонастроенный контроллер с вайфаем на борту. Теперь у меня есть рут на arm-линукс-машине. Но он в другой подсети. Отложил его пока.
4. Замутил arp-poison и воткнул инжект Beef. И еще раз офигел уже от этого инструмента Поигрался с ним и почитал инет, мне понравилась фишка с социальной инженерией, тупо накладка на сайт с запросом пароля или ссылкой на скачивание. Там есть hta shell и уведомления Хрома об обновке плагинов.
При запуске таска на внедрение hta ничего не происходит. При запуске уведомления для обновки плагина можно вставить свой бинарник.
Хрен с ним с hta, я так понял он хорошо работает только с IE, а у меня все клиенты на Хроме сидят.
Видел shelter, видел empire. Но пока не пробовал.
Мне бы в и идеале получить meterpreter сессию чтобы можно было, кроме всего прочего, делать скриншоты текущего юзера.
Открытые порты Mikrotik после базовой настройки. Есть ли опасность?
Настроил в базовом варианте шлюз на базе Микротик CRS125 (после полного сброса)
Отключил ненужные порты в services, открыл порт на vpn, пробросил порт на rdp
И просканировал на предмет открытых портов. Вот что вышло:
22/tcp open ssh MikroTik RouterOS sshd (protocol 2.0)
135/tcp filtered msrpc
443/tcp open ssl/https?
1723/tcp open pptp MikroTik (Firmware: 1)
2000/tcp open bandwidth-test Mikrotik bandwidth-test server
3389/tcp open ms-wbt-server Microsoft Terminal Service
8291/tcp open unknown
13536/tcp filtered unknown
41425/tcp filtered unknown
Т.е. кроме заказанных мною 22, 1723, 3389 засветились ещё порты. Кто нибудь может подсказать есть ли опасность в данном наборе?
Для вас это будет выглядеть как-то так (не тестировал, пишу по памяти):
/ip firewall filter
add chain=forward src-address=локальная подсеть
add chain=input protocol=tcp dst-port=22,1723
add chain=input protocol=gre
add chain=forward protocol=tcp dst-port=3389 dst-address=адрес терминального сервера
add chain=input action=drop
add chain=forward action=drop
1. Разрешаем локальным хостам ходить в интернет. Здесь открыто всё, я обычно открываю только http и https, остальное при необходимости.
2. Разрешаем входящие соединения 1723 (pptp) и 22 (управление Микротиком по SSH). Использовать стандартный порт, кстати, небезопасно, но вот тут подсказали очень крутую штуку.
3. Для PPTP еще нужен протокол GRE
4. Доступ по RDP к терминальному серверу, или что там у вас.
5. Все остальные входящие отбрасываем
6. Все остальные маршрутизируемые (через NAT, например) тоже.
Тест на проникновение с помощью Metasploit Framework: базовое руководство для системного администратора
Редко кто из экспертов, специализирующихся на тестировании защищенности, сталкивался с ситуацией, когда не смог полностью скомпрометировать сеть в ходе внутреннего тестирования на проникновение. Причем причины успехов этичных хакеров банальны: слабые пароли, отсутствие критичных обновлений безопасности, ошибки конфигурации. Возникает вопрос: если причины незащищенности такие тривиальные, можно ли разработать перечень ключевых проверок, которые мог бы провести системный администратор самостоятельно и есть ли единый инструмент, позволяющий это реализовать? Попробуем разобраться.
В качестве инструмента мы выберем популярный у этичных хакеров Metasploit Framework, который можно установить самостоятельно, а можно уже воспользоваться тем, что есть в составе комплекса «Сканер-ВС» или Kali Linux. Сразу отметим, что в данной статье мы не будем фокусироваться на тестировании безопасности веб-приложений, так как это является отдельным направлением тестирования.
Прежде чем погружаться в решение технических задач, надо разобраться, а что может заинтересовать потенциальных злоумышленников, и как они будут этого добиваться.
Информация, интересующая злоумышленников
Киберзлоумышленники, как правило, руководствуются такими мотивами как непосредственный заработок на успешном взломе (кража финансовых средств, вымогательство, выполнения заказа для заинтересованной стороны) либо собственное любопытство и проверка своих возможностей. Целью может быть все, что позволит либо украсть, либо заработать. Помимо любой системы, используемой организацией, целью могут быть папки на файловых серверах, а также документы на рабочих станциях пользователей.
Зоны повышенного риска
Основными причинами того, что кто-то не поставил обновление безопасности или оставил пароль по умолчанию, является отсутствие ответственного сотрудника и/или надлежащего контроля со стороны руководства.
Исходя из этих причин, можно обозначить следующие болевые точки, которые подтверждаются нашей практикой проведения тестов на проникновение.
Базовый алгоритм работы с Metasploit Framework
Так как в качестве инструмента для проведения тестирования защищенности мы выбрали Metasploit Framework, то необходимо привести базовый алгоритм работы с модулями, входящими в его состав.
Работа с модулем состоит из следующих шагов:
Методология тестирования защищенности
Тестирование защищенности информационных систем зачастую представляет собой творческий процесс, который тем не менее можно и нужно структурировать, чтобы получать сопоставимые и полные результаты тестирования.
Неплохое описание методологий тестирования защищенности приводится в следующих источниках:
В PTES приведена подробная структура задач, решаемых в ходе тестирования защищенности и примеры использования различных инструментов, но при этом применение такого средства как Metasploit Framework практически не описано. OSSTM в большей степени предназначен для менеджеров по информационной безопасности и содержит техническую информацию в очень ограниченном объеме. NIST SP 800-115 был принят в 2008-м году и не полностью отражает современные подходы к тестированию защищенности. OWASP Testing Guide посвящен тестированию защищенности исключительно web-приложений и содержит подробное и структурированное описание методов тестирования, а также варианты применения различных инструментов.
Рассмотрим следующие этапы тестирования защищенности, присутствующие в практически любом проекте по тестированию на проникновение:
Этап 1. Постановка задачи
Тестирование защищенности любой ИТ-инфраструктуры начинается с постановки задачи. В нашем случае мы ограничимся поиском максимального количества реальных уязвимостей, которые могут быть проэксплуатированы потенциальными злоумышленниками, имеющими физический доступ к компьютерной сети организации.
Для демонстрации работы некоторых модулей в статье будут приводиться результаты их запуска против такой учебной цели, как Metasploitable 2. Metasploitable 2 представляет собой виртуальную Linux-машину, содержащую массу уязвимых сервисов. Является стандартом де-факто для обучения начинающих специалистов по тестированию защищенности.
Этап 2. Сбор информации и поиск целей
Для проведения тестирования защищенности специалистам предоставляют доступ в сеть предприятия. В ходе предварительного сбора проводится сканирование узлов, определяются имена компьютеров, обнаруживаются общедоступные сетевые папки, критичные ресурсы.
Сканирование портов можно провести с помощью команды db_nmap – утилиты-«обертки» для nmap в Metasploit Framework, которая позволяет сохранять результаты сканирования в базу данных.
После завершения сканирования сети имеет смысл выгрузить данные из базы Metasploit с помощью команды db_export и импортировать получившийся xml-файл в MS Excel или LibreOffice Calc. В дальнейшем данный файл можно использовать для поиска узлов с определенными портами и вести рабочие заметки с результатами тестирования каждого узла.
Поиск общедоступных сетевых папок
Как мы уже рассмотрели выше, в общедоступных сетевых папках может быть масса полезной для злоумышленника информации. Имеет смысл искать данные папки как с анонимной учетной записью (пустой логин/пустой пароль), так и с учетной записью обычного пользователя.
Для поиска SMB-ресурсов необходимо воспользоваться модулем auxiliary/scanner/smb/smb_enumshares, а для NFS: auxiliary/scanner/nfs/nfsmount.
Поиск СУБД
Для поиска СУБД MS SQL имеет смысл использовать модуль auxiliary/scanner/mssql/mssql_ping, так как он позволяет не только обнаружить серверы СУБД по открытому UDP порту 1434, но и определить TCP-порт, по которому база данных ждет подключения.
Определение имен NetBIOS
Зачастую полезно определить имена NetBIOS, так как в них тоже может содержаться полезная информация (например, к какой системе относится тот или иной узел). Для этого можно воспользоваться модулем auxiliary/scanner/netbios/nbname.
Этап 3. Поиск уязвимостей
Сначала рассмотрим основные методы выявления уязвимостей, которые представлены в следующей таблице:
| № | Метод | Тип уязвимостей | Примеры |
|---|---|---|---|
| 1 | Определение уязвимостей по версии продукта | Опубликованные | Определение версии продукта по баннеру сетевого сервиса и поиск информации об известных для данного продукта уязвимостях в интернет-поисковике |
| 2 | Попытка эксплуатации | Ошибки конфигурации, опубликованные уязвимости | Попытка подключения к Windows системе посредством нулевой сессии и выгрузки перечня учетных записей пользователей. Запуск эксплойта против сетевого сервиса без предварительного анализа его соответствия данной службе. Попытка перехвата трафика с помощью arp-poisoning |
| 3 | Анализ конфигурации | Ошибки конфигурации, опубликованные уязвимости | Анализ содержимого реестра Windows |
| 4 | Реверс-инжиниринг | Уязвимости нулевого дня | Дизассемблирование исполняемого файла с целью изучения логики исполнения программы и работы с данными |
| 5 | Анализ исходного кода | Уязвимости нулевого дня | Поиск в php-коде фрагментов, связанных с фильтрацией данных, вводимых пользователем с целью обхода правил фильтрации и внедрения JavaScript-кода |
| 6 | Фаззинг | Уязвимости нулевого дня | Ввод в web-форму различных вариантов SQL-запросов и анализ получаемых сообщений об ошибках |
Из данного перечня в Metasploit Framework имеются модули для реализации методов «Попытка эксплуатации», «Фаззинг» и частично «Определение уязвимостей по версии продукта».
«Определение уязвимостей по версии продукта» полноценно не реализовано в Metasploit Framework, так как для автоматизированного выявления потенциальных уязвимостей в первую очередь используются сканеры уязвимостей. Тем не менее стоит отметить, что некоторые модули эксплуатации в Metasploit Framework поддерживают метод check, который можно использовать для определения наличия уязвимости до ее эксплуатации.
В случае, если под рукой нет сканера уязвимостей наподобие того, что есть в составе «Сканер-ВС», который может за десятки минут прогнать около 60 тыс. проверок, в том числе и для отечественных решений и средств защиты информации, то придется проводить анализ вручную.
Для ручного анализа уязвимостей подойдут данные о версиях сетевых сервисов, полученные на предыдущем этапе в ходе сканирования портов. Специалист по тестированию защищенности, формируя поисковые запросы Google вида «сервис версия» +vulnerability +exploit, находит страницы с описанием уязвимостей и эксплойтов.
Известные базы данных уязвимостей:
Отдельно необходимо отметить, что ФСТЭК России ведет регулярно пополняемый банк данных угроз безопасности информации.
Например, проведя анализ результаты сканирования портов Metasploitable 2, мы можем обнаружить, что на 21-м порту ждет подключений Very Secure FTP Daemon (VSFTPD) версии 2.3.4. Простой поиск в Google информации о наличии уязвимостей в данной версии FTP-сервера приведет к тому, что мы узнаем, что какой-то весельчак внедрил закладку, получившую название «smiley face backdoor». Принцип использования программной закладки прост: в ходе авторизации в имени пользователя нужно использовать смайлик «:)», после чего на удаленной машине откроется порт 6200 с командной оболочкой с правами администратора. Вводимые имя пользователя и пароль могут быть любыми.
В составе Metasploit Framework есть набор модулей для фаззинга реализаций таких протоколов как dns, ftp, http, smb, smtp, ssh и др. Данные модули доступны по адресу: auxiliary/fuzzers/.
Необходимо отметить, что так как проекты по тестированию защищенности обычно ограничены сроком в 2-3 недели, специалисты ограничиваются автоматизированным и ручным поисками уязвимостей по версиям, а также попытками эксплуатации.
Этап 4. Эксплуатация и проведение атак
Для эксплуатации уязвимостей в сетевых сервисах и прикладном ПО используются эксплойты из раздела exploit Metasploit Framework. На текущий момент в Metasploit Framework количество готовых к использованию эксплойтов уже приближается к двум тысячам.
Подходящие эксплойты можно найти с помощью команды search по коду CVE, названию или версии сервиса (например, search vsftpd).
При эксплуатации уязвимости задается так называемая полезная нагрузка (payload). Полезной нагрузкой называется код, который запускается на скомпрометированной машине. В Metasploit Framework имеются различные полезные нагрузки: удаленная командная строка, создание учетной записи, загрузка системы удаленного администрирования и т.п. Зачастую удобнее всего пользоваться именно командной строкой. Причем в Metasploit Framework имеется динамически расширяемая полезная нагрузка – Meterpreter, но она заслуживает отдельной статьи.
Продолжая разбор примера с vsftpd, запустим найденный эксплойт и получим удаленный доступ к командной строке с правами администратора.
Для данного эксплойта только один вариант полезной нагрузки, который и используется по умолчанию:
Самой опасной атакой на протяжении десятилетий остается подбор паролей. Metasploit Framework содержит множество модулей, предназначенных для проведения подобных атак. В следующей таблице представлены модули, с которыми чаще всего приходится сталкиваться в ходе тестирования защищенности.
| № | Протокол/приложение | Путь к модулю |
|---|---|---|
| 1 | smb | auxiliary/scanner/smb/smb_login |
| 2 | ftp | auxiliary/scanner/ftp/anonymous (проверка возможности анонимного входа) auxiliary/scanner/ftp/ftp_login |
| 3 | ssh | auxiliary/scanner/ssh/ssh_login |
| 4 | telnet | auxiliary/scanner/telnet/telnet_login |
| 5 | postgresql | auxiliary/scanner/postgres/postgres_login |
| 6 | mysql | auxiliary/scanner/mysql/mysql_login |
| 7 | oracle | auxiliary/admin/oracle/oracle_login |
| 8 | tomcat | auxiliary/scanner/http/tomcat_mgr_login |
Полный список аналогичных модулей Metasploit Framework можно получить, набрав команду search login.
Необходимо отметить, что большинство модулей требует задания списка учетных записей и проверяемых паролей, но некоторые уже содержат готовые списки значений по умолчанию, которыми целесообразно воспользоваться.
Давайте подберем пароли по умолчанию к СУБД PostgreSQL и сервер приложений Apache Tomcat, установленным на Metasploitable 2:
В Metasploit Framework имеются модули для проведения специфических компьютерных атак. В настоящей статье ограничимся рассмотрением нескольких самых распространенных.
В ходе данной атаки злоумышленник пытается «испортить» (to poison — отравить) ARP-таблицы двух узлов, трафик между которыми он хочет перехватывать. Зачастую атака проводится против рабочей станции определенного пользователя (системного администратора, главного бухгалтера и т.п.) и контроллера домена или маршрутизатора. После «порчи» ARP-таблиц оба узла-жертвы направляют сетевые пакеты друг другу через компьютер злоумышленника. Злоумышленник, запустив сниффер, перехватывает интересующие его данные, например, сессии аутентификации с хешами паролей.
Для осуществления атаки arp-poisoning в Metasploit Framework можно воспользоваться модулем:
auxiliary/spoof/arp/arp_poisoning.
Особенностью реализации протокола NTLM является то, что для успешной авторизации не требуется знать пароль, а достаточно лишь иметь хеш пароля и имя учетной записи. Данной уязвимости может быть подвержена любая операционная система, в которой используется протокол NTLM.
Атаку pass-the-hash можно провести с помощью модуля exploit/windows/smb/psexec.
В результате данной фазы тестирования защищенности мы имеем перечень уязвимостей, которые реально могут быть проэксплуатированы злоумышленниками, причем удаленно. В качестве результата запуска эксплойтов и проведения атак у нас имеется доступ к различным системам, а также информация о скомпрометированных учетных записях.
Важное примечание.
Запуск эксплойтов легко может привести к недоступности сервиса или целого сетевого узла. Для минимизации негативных последствий подобных тестов специалисты по тестированию защищенности:
В качестве доказательств успешного проникновения специалисты по тестированию защищенности собирают скриншоты, подтверждающие наличие доступа.
Этап 5. Расширение зоны влияния и эскалация привилегий
Зачастую наличие доступа к какой-либо системе позволяет расширить его на другие системы. Иногда возможна и эскалация привилегий, позволяющая обычному пользователю стать администратором.
Рассмотрим две типовые ситуации, знание которых облегчает проведение тестирования защищенности.
Пользователи, использующие одинаковые пароли
Пользователи любят использовать одинаковые пароли в различных системах, поэтому целесообразно проверять однажды подобранные пары логин: пароль во всех доступных системах.
ИТ-специалисты, забывающие удалить из тестовой среды критичные данные
Модули постэксплуатации в Metasploit Framework
В Metasploit Framework имеется набор так называемых постэксплуатационных модулей, позволяющих решать следующие задачи для расширения доступа и повышения привилегий:
В результате после выполнения данного шага специалисты по тестированию защищенности получают максимальный доступ, а также выявляют реальные локальные уязвимости.
Этап 6. Разработка отчета
Если результаты тестирования защищенности интересуют не только самого системного администратора, то имеет смысл подготовить качественный отчет.
Основной составляющей отчета является информация об уязвимостях, которая, как правило, представляется в следующем структурированном виде:
В Metasploit Framework отсутствует функционал по генерации отчетов по тестированию защищенности, и отчет придется разрабатывать самостоятельно.
С шаблоном отчета и нюансами его разработки можно познакомиться в статье Отчет по пентесту: краткое руководство и шаблон.
Заключение
Мы рассмотрели применение Metasploit Framework для возможности самостоятельного применения администраторами для тестирования защищенности и убедились в доступности и эффективности данного инструмента. Большинство «болевых точек» могут быть с легкостью проверены благодаря широкому набору модулей данного фреймворка. Единственной проблемной областью применения для тестирования защищенности исключительно Metasploit Framework является необходимость проводить трудоемкий ручной поиск уязвимостей, но данная проблема может быть устранена применением сканера уязвимостей, например, из состава «Сканер-ВС».
