Атаките срещу натрапвам на домейна корпоративна мрежа

Domain. Просто домейн

Хакер за всичко: момчета в една къща е живял Петър shellcode?
Къща 3 до хакерски: О, това направих аз - Петър shellcode! Пич, ти си в номера на къщата 3!

Това е така, защото под Windows, както следва:

C:> Nslookup
По подразбиране на сървъра: windomain.domain
Адрес: 192.168.1.33

LS -d windomain.domain> file.txt

Между другото, ако администраторът все още е забранено да се получи списък на потребителите, ние може да мине през него себе си. Факт е, че всеки потребител има идентификатор за сигурност (SID). Ако домейнът на заявката, замествайки тези номера, както и увеличаването на стойност RID (последните няколко байта SID), можете да получите списък на потребителите. Бих се отбележи също така, че всички от тази функционалност е включена в CainAbel, въпреки че можете да използвате Инструменти и оригинален Юджийн руда (sid2user).

След интелигентност може вече мокри. Как, кога, кой и как - в зависимост от резултатите от проучване. Но един от най-лесните варианти - се опитват да се възползват от челото. В този случай, на експлойта трябва да бъде такова, че да не падне на системата и осигуряване на достъп :). Като правило, те sployty дойде при нас от кода на червей. Особено тук, че не е необходимо да се къпе - отворен metasployt, вече имат всичко, и направете търсене:

търсене ms0 -t голям

Какво ще направите, ако подвизи отиват в битка уплашени или всички сървъри и rabochki закърпени? Както показва практиката, има много начини да получите черупка без подвизи. Тя се предлага в "слаби пароли." Това е често срещана ситуация: дори ако пароли uchetki домейни са силни, а след това паролата за администратора на локалната сметка може да бъде слаб, тъй като той е бил инсталиран, например, за въвеждане на компютър към домейн, и може да бъде всичко. Освен това, парола обикновено е един и същ за всички местни uchetok администратор и на други машини :).

HASH и жетони

Система на закона трябва да се откъсне най-ценното от недрата на операционната система, а именно NTLM хешове, както и списък на символите за сигурност. Защо ни хешове? Брут с тях? Не. За да ги използвате. Факт е, че за домейн автентификация е много често не е необходима парола - защото Windows не пита passvord всеки път, когато отидете на всяка една топка в домейна. То се осъществява чрез използване на удостоверяване отговор NTLM Chalenge. Факт е, че за такова познание за удостоверяване на паролата не е необходимо, само хеш стойност е достатъчна. Всъщност, по този въпрос е бил известен още в средата на 90-те, но с течение на годините, малко се е променило. Ето защо, като хешове, можете да се разхождате с потребителските права домейн. Повече подробности за хешовете могат да бъдат намерени в статията Antona Karpova известен още като Toxa. Аз ще ви разкажа за истинската история на областта за снимане.

ms10_061_spoolss> определен потребител SMBUser
ms10_061_spoolss> зададете SMBDomain ДОМЕЙН
ms10_061_spoolss> зададете SMBPass 01010101010101010101010101010101: 01010101010101010101010101010101

Подвиг MS10-061, стартира от името на програмист, системата дава достъп до сървъра за печат, която вече обработва домейн са били открити администраторски жетони. Верига от нападение, което води до улавяне на домейн.

Така че ние се качи на системата за печат на сървъра за права, но ние не сме администратори на домейни, но аз споменах по-горе за жетони. Token - работи на обект, който се създава, когато Логон и дава на всеки процес, протичащ на потребителя. Този символичен - едно парче от тортата. В този случай, администратора на домейна лансира някои процеси на сървъра за печат, а ние имаме правилните системи на същия сървър - имаме съответните привилегии SeImpersonate и може спокойно да използвате съществуващ знак "делегация" (въпреки MS09-012 парче, което бе право аз ще трябва нищо).

Тя изглежда доста проста:

meterpreter> използвате инкогнито
meterpreter> list_tokens -u
meterpreter> impersonate_token DOMAIN \ администратор

След като сме завършили impersonalizatsiyu, системата ще използва правата uchetki откраднати. Това е, ние сме станали администратор на домейн. Съответно, ние осъществяваме:

meterpreter> обвивка
C: windowssystem32> нетна потребителското xakep p4sSw_0Rd / ADD / DOMAIN
C: windowssystem32> нетна група "Домейн Администратори" xakep / ADD / DOMAIN

Екипите ще бъдат изпълнени, и се появява нов администратор (между другото, аз не препоръчвам този начин, както е в нормалните фирми този потребител ще бъде веднага се открива) на домейн контролера. Поуката от историята е, че всеки, дори и най-малката дупка, при най-малката rabochke сървъра или може да доведе до изземването на домейна, като "компютър - мрежа ..."

Обикновено атака или SMB-RELAY

Предишна (наистина съществуващи) пример показва как да се получи право на администратор, уловени във всяка машина домейн. Тогава имахме нужда уязвимости, но те не винаги може да присъства, например, ако WSUS повдигнат и всички хостове на домейни получават навременни актуализации. Въпреки това, това се случва, че без слаби места могат да бъдат получени по servachke на обвивката. Често се случва - чрез базата данни. Това изисква най-малко някаква uchetki на базата данни на сървъра.

Между другото, припомняйки gsecdump: той зареже LSA тайни, които са много често паролите от базата данни и други стоки. В отворената форма. Освен това, големите компании често имат различни ERP-система, в която удостоверяване с помощта на сметки на домейни и различни пароли по подразбиране. В допълнение, има шанс да се намери SQL-инжекция. По принцип всяко достъп до базата данни, ние ще направим. Става дума за MSSQL, какво ще кажеш за най-честата база данни в Microsoft мрежи, въпреки че Oracle е дошъл също.

Вторият важен момент - на процеса на база данни трябва да бъде започнато под внимание на домейн, който е в групата на местните администратори за сървъра на базата данни. Ако са изпълнени всички тези условия, то е възможно да се извърши SMB-RELAY атака, като се обадите xp_dirtree / xp_fileexist съхранена процедура (която също все пак трябва да бъде на разположение). Като опция, тези процедури отнемат път към папката / файла. Долната линия е, че те да разберат пътя в UNC формат, което означава, да получат достъп до файлове на отдалечен дял. Ако тези ресурси изискват удостоверяване, удостоверяването отговор NTLM chalenge, от които, като се използват uchetku, провеждане на процес на база данни. Ето как можете да зададете ресурс като отдалечен хост работи хакерската модул SMB-реле (там е част от metasployta). Този модул изпълнява атаката "човек в средата на" удостоверяване пренасочват към друг сървър на бази данни (например, архивирането - основното нещо, което uchetki там има локални администраторски права). По този начин, сървърът генерира отговор и го изпраща на хакер, който, от своя страна, да го дам на сървъра, на който е пуснат на атаката. Като цяло, класически "човек по средата". Така главният терминал е идентифициран нападател на резервната сървър, за да качите, и да получите данни от дясната meterpreter uchetki (както е в групата на местната администрация, това е еквивалентно на система). Защо имаме нужда от втори сървър, тъй като можете да зададете като цел на същия сървър, от който е изпратена молбата, (който е атака с "А" сървър "А" сървър)? Всъщност, да, можете да, но само ако сървъра "А" не е инсталиран на кръпка за MS08-068. В противен случай, ще трябва два сървъра.

Във всеки случай, този проблем не е напълно фикс, така че атаката на базата на SMB-РЕЛЕ - реална заплаха.

Обикновено атака или ARP-Спуфинг

Но това не е всичко. Един ден ние направихме вътрешна Pentest малка мрежа, където всички кръпка perepatcheno и пароли са много устойчиви и повечето от това е да се прекъсне нещо и нищо. Тъй като мрежата е малка, а след това на сървъра и rabochki били в един сегмент - радост за всички ARP-Flooder. CSN е изчислена от администратора и терминалния сървър. Той започна да подправят и се оказа, че един от администраторите използвате по-стара версия на протокола за ПРСР, и колко малко знаем - протокол версия по-ниска от шести, уязвими за атаки "човек по средата". По този начин, Каин RDP-декодира администратор трафик на терминален сървър. А чрез tulzy за разбор Cain'a трупи е получена с администратора на домейна парола. Такива са историите ...

Какъв е смисълът на тази статия? Исках да кажа? В крайна сметка, нищо ново бе разкрито - тези атаки, уязвимости и функции са познати от дълго време (някои от тях имат дори за период от десет години). Просто нещо, което не може да бъде напълно коректна - ARPSPOOFING, SMB-реле, Token'ov кражба, HASH-и-PASS и така нататък. Тези неща са изложени дълбоко в домейн архитектура, операционни системи и мрежи, което прави всяка грешка в някоя домакин леко опасност за целия домейн.

Принципът на "компютър - мрежа от" работа на всички. Загубата на един компютър, от гледна точка на сигурността, ние може да загуби цялата мрежа. Това със сигурност не е казал и нещо повече: за правилата за паролите, сегментиране, мрежово оборудване и така нататък. Но аз бих искал да обърна внимание на факта, че всяко привидно незначителни сървър и rabochki - значима, че никакви уязвимости, като например прехвърляне на DNS зони - са опасни.

Дори и името на компютъра, е с цена от гледна точка на сигурността. Виждал съм фирми, където компютри оператори bankclient системи имат имена като bankclient-1, и те са били в областта, в същия сегмент на мрежата. Нека кръпка, но ако получа uchetku домейн (чрез различен домакин, да речем, на сървър за печат), след което по-късно се върна към bankclient-1 и домакин ще бъде там. Така че нашата задача е да ви - компетентно да се изгради мрежа и премахване на слабостите в него ...

Покажете тази статия на приятел: