Comments 13
Здравствуйте.
Спасибо за статью. Хотелось бы задать вам несколько вопросов.
- Скажите, по openvpn с Windows вы организовали только L3 доступ? L2 доступ невозможен?
- Когда вы поставили openvpn вы превратили Windows в шлюз, но насколько я помню windows не форвардит пакеты по дефолту. Вы включили форвард как то без перезагрузки или в данном случае пересылку пакетов выполнял openvpn?
- Mitm атаку вы делали с помощью CainAbel. Известны ли вам ещё инструменты для перехвата трафика, тк CainAbel вроде бы плохо работает на более свежих Windows? Только intercepter?
- Про Bloodhound вы написали что помимо всего прочего она определяет какая доменная учётка на каких хостах может входить в локальные администраторы. Разве это возможно узнать по ldap/SMB не имея пароля от этой самой учетки?
Спасибо.
Я хоть не автор, но отвечу.
1) можно создать хоть l2 хоть l3. Ведь это только канал управления. Сетевые атаки дальше шли от скомпрометированного vdi.
2) openvpn как мне кажется был в режиме точка точка. Дальше атаки были через установленный openssh. С проксированием через socks5.
4) можно выудить информацию из GPO.
Добрый день! Отвечу по порядку:
1. Делался доступ L3, L2 тоже возможен — надо поднять на TAP-адаптерах туннель OpenVPN, и сделать bridge TAP-интерфейса с Ethernet-интерфейсом на скомпрометированной машине. Но делать так не советую, доступ к серверу потеряется. Если не изменяет память, на вновь созданном bridge-интерфейсе не будет IP-адреса, то есть упадет все сразу. Да и в целом это не нужно — если есть права администратора, все бонусы L2 можно получить непосредственно на удаленном сервере.
2. Да, Windows не форвардит пакеты по умолчанию. До меня на сервере стояла ISA, я ее заменил на RRAS, специально форвардинг пакетов не включал — либо эти службы сами его включали, либо его включили до меня. Сервер пережил ни одну перезагрузку в процессе настроек.
3. Инструментов для ARP spoofing много. Если интересует только перехват трафика без модификации, советую отдельно писать трафик сниффером типа tcpdump/tshark, отдельно — делать перехват. Потом уже парсить пойманный трафик разными инструментами. Чем будет сделан перехват в таком случае – вопрос не сильно принципиальный.
4. Кто где локальный админ BloodHound узнает двумя путями:
— С самих машин через вызов WinAPI NetLocalGroupEnum (netapi32.dll) см. тут docs.microsoft.com/en-us/windows/win32/api/lmaccess/nf-lmaccess-netlocalgroupenum, либо через ADSI.
— через просмотр файлов объектов групповых политик на шаре Sysvol контроллера домена через SMB.
В обоих случаях доступ может быть получен с обычной непривилегированной доменной учетной записью. Почему такая не очень безопасная возможность есть, я про первый вариант – вопрос к Microsoft)
Еще больше деталей от первоисточника: www.harmj0y.net/blog/redteaming/local-group-enumeration
1. Делался доступ L3, L2 тоже возможен — надо поднять на TAP-адаптерах туннель OpenVPN, и сделать bridge TAP-интерфейса с Ethernet-интерфейсом на скомпрометированной машине. Но делать так не советую, доступ к серверу потеряется. Если не изменяет память, на вновь созданном bridge-интерфейсе не будет IP-адреса, то есть упадет все сразу. Да и в целом это не нужно — если есть права администратора, все бонусы L2 можно получить непосредственно на удаленном сервере.
2. Да, Windows не форвардит пакеты по умолчанию. До меня на сервере стояла ISA, я ее заменил на RRAS, специально форвардинг пакетов не включал — либо эти службы сами его включали, либо его включили до меня. Сервер пережил ни одну перезагрузку в процессе настроек.
3. Инструментов для ARP spoofing много. Если интересует только перехват трафика без модификации, советую отдельно писать трафик сниффером типа tcpdump/tshark, отдельно — делать перехват. Потом уже парсить пойманный трафик разными инструментами. Чем будет сделан перехват в таком случае – вопрос не сильно принципиальный.
4. Кто где локальный админ BloodHound узнает двумя путями:
— С самих машин через вызов WinAPI NetLocalGroupEnum (netapi32.dll) см. тут docs.microsoft.com/en-us/windows/win32/api/lmaccess/nf-lmaccess-netlocalgroupenum, либо через ADSI.
— через просмотр файлов объектов групповых политик на шаре Sysvol контроллера домена через SMB.
В обоих случаях доступ может быть получен с обычной непривилегированной доменной учетной записью. Почему такая не очень безопасная возможность есть, я про первый вариант – вопрос к Microsoft)
Еще больше деталей от первоисточника: www.harmj0y.net/blog/redteaming/local-group-enumeration
По mitm атакам на windows можете посмотреть bettercap
Благодарю.
Я придумал свой собственный способ MiTM-атак с Windows. Если интересно, можете ознакомиться с ним xakep.ru/2020/06/17/windows-mitm
Я придумал свой собственный способ MiTM-атак с Windows. Если интересно, можете ознакомиться с ним xakep.ru/2020/06/17/windows-mitm
Сразу подумал что в первую очередь запустят interceptor-ng.
И зачем делать обработку 1С когда есть окно открыть текстовый файл, в котором можно запустить тот же explorer.exe.
Можно было обойтись не только без Cain'а, но даже и без Responder'а.
Маленький лайфхак: в экспертных настройках цептера есть волшебная кнопка Run HTTP NTLM Grabber. Достаточно было в js скрипте указать ссылку на текущий_хостнейм:61112 (порт высвечивается в логе), и все хеши появились бы в разделе паролей.
Маленький лайфхак: в экспертных настройках цептера есть волшебная кнопка Run HTTP NTLM Grabber. Достаточно было в js скрипте указать ссылку на текущий_хостнейм:61112 (порт высвечивается в логе), и все хеши появились бы в разделе паролей.
Спасибо за крутой рассказ.
Подскажите, где такому можно научиться?
Подскажите, где такому можно научиться?
В реальности это выглядело так: 3-4 попытки атак в течение 5 минут, затем ожидание на 30 часов. И так три недели подряд. Я даже заводил напоминание, чтобы не терять время
Да вы, батенька, APT! :)
Да вы, батенька, APT! :)
Sign up to leave a comment.
Однажды на пентесте, или Как все сломать при помощи уролога и Роскомнадзора