Комментарии 14
Есть где скачать екзешник?
А чем тот, что на гите не устраивает?
github.com/foxglovesec/Potato/tree/master/source/Potato/Potato/bin/Release
Но там только под 32bit, во всяком у меня под Win8 64Bit не работает, на 32 всё ок.
Но там только под 32bit, во всяком у меня под Win8 64Bit не работает, на 32 всё ок.
Разве антивирусные лаборатории не должны такие файлы и такое поведение обнаруживать как опасное? Virustotal екзешник вообще никак не определяет. Хотя, судя по новости, уже неделя прошла.
Эту атаку системный администратор может пресечь практически при рождении. Возьмем следующий отрывок:
1. Локальный спуфер имен Netbios (NBNS Spoofer)
NBNS это протокол, использующий широковещательные пакеты UDP для разрешения имен.
Нет: на самом деле, широковещательность зависит от типа узла. Узел типа “P” не будет уязвим, но кто их использует, правда?
Когда вы разрешаете имя, сначала Windows resolver ищет в hosts, потом в DNS, а если и там ничего не находится – то через NBNS.
Нет: Netbios может быть отключен в свойствах сетевого интерфейса, тогда клиент не будет вообще разрешать имена через Netbios.
1. Локальный спуфер имен Netbios (NBNS Spoofer)
NBNS это протокол, использующий широковещательные пакеты UDP для разрешения имен.
Нет: на самом деле, широковещательность зависит от типа узла. Узел типа “P” не будет уязвим, но кто их использует, правда?
Когда вы разрешаете имя, сначала Windows resolver ищет в hosts, потом в DNS, а если и там ничего не находится – то через NBNS.
Нет: Netbios может быть отключен в свойствах сетевого интерфейса, тогда клиент не будет вообще разрешать имена через Netbios.
2. Поддельный WPAD Proxy Server
В Windows, Internet Explorer по умолчанию попробует автоматически определить настройки прокси-сервера, обратившись к URL wpad/wpad.dat
Нет: порядок поиска WPAD следующий — 1. DHCP (252 option), 2. DNS A record query/queries, 3. NetBios.
Определите опцию DHCP 252 на сервере — и вы неуязвимы.
В Windows, Internet Explorer по умолчанию попробует автоматически определить настройки прокси-сервера, обратившись к URL wpad/wpad.dat
Нет: порядок поиска WPAD следующий — 1. DHCP (252 option), 2. DNS A record query/queries, 3. NetBios.
Определите опцию DHCP 252 на сервере — и вы неуязвимы.
Воу воу, полегче с неуязвимостью. Никто не мешает пассивно прослушать 252, провести атаку на arp и, затем, подменить ответ DNS, представившись прокси сервером.
Просто, атака слегка усложняется и, возможно, потребуется больше времени.
Просто, атака слегка усложняется и, возможно, потребуется больше времени.
Можно по шагам? Как вы будете подменять ответ DNS? Даже авторы эксплойта это уже не берутся делать, пытаясь подсунуть ископаемый netbios?
Как вы будете подменять ARP, имея всего лишь пользовательский доступ на рабочей станции? Что будете делать ip dhcp snooping и ip arp inspection?
Как вы будете подменять ARP, имея всего лишь пользовательский доступ на рабочей станции? Что будете делать ip dhcp snooping и ip arp inspection?
Ну, они показали определенный сценарий. А своя голова на что?
Для подмены ARP совсем не обязательно иметь доступ к машине.
https://ru.wikipedia.org/wiki/ARP-spoofing
с DHCP Snooping ничего не буду делать, он абсолютно безразличен в таком случае.
ARP inspection позволяет только заметить атаку, но пока админ доберется до логов… Да и такой защитой заморачиваются единицы.
С DNS все просто до боли. Опцией 252 передается FQDN. Предположу что запись для него в hosts на клиентской машине отсутствует, иначе какой смысл передавать в таком виде, можно сразу адрес передать, правда?
Клиент лезет резолвить адрес прокси, я подменяю ему IP на свой и он скачивает настройки прокси с моего фиктивного сервера.
ПРОФИТ!
Дальше уже зависит от целей. Можно навязать передачу логина и пароля для прокси в открытом виде. Как только пользователь их введет — я получу с 90% вероятностью его доменные логин и пароль. Пользователь ничего не заподозрит.
(Да, об этом не принято говорить но такая проблема повсеместно присутствует)
Можно тут же подключиться от его имени к настоящему прокси и, предположим, весело провести время с использованием sslstrip.
Сценарии зависят от целей. Ночью можно зайти на его машину и попытать счастья с mimikatz. Если повезет — у нас будет еще и админский пароль.
Конечно, в реальности будут дополнительные шаги. Но никакие настройки DHCP вас не спасут. Это надо четко понимать.
Для подмены ARP совсем не обязательно иметь доступ к машине.
https://ru.wikipedia.org/wiki/ARP-spoofing
с DHCP Snooping ничего не буду делать, он абсолютно безразличен в таком случае.
ARP inspection позволяет только заметить атаку, но пока админ доберется до логов… Да и такой защитой заморачиваются единицы.
С DNS все просто до боли. Опцией 252 передается FQDN. Предположу что запись для него в hosts на клиентской машине отсутствует, иначе какой смысл передавать в таком виде, можно сразу адрес передать, правда?
Клиент лезет резолвить адрес прокси, я подменяю ему IP на свой и он скачивает настройки прокси с моего фиктивного сервера.
ПРОФИТ!
Дальше уже зависит от целей. Можно навязать передачу логина и пароля для прокси в открытом виде. Как только пользователь их введет — я получу с 90% вероятностью его доменные логин и пароль. Пользователь ничего не заподозрит.
(Да, об этом не принято говорить но такая проблема повсеместно присутствует)
Можно тут же подключиться от его имени к настоящему прокси и, предположим, весело провести время с использованием sslstrip.
Сценарии зависят от целей. Ночью можно зайти на его машину и попытать счастья с mimikatz. Если повезет — у нас будет еще и админский пароль.
Конечно, в реальности будут дополнительные шаги. Но никакие настройки DHCP вас не спасут. Это надо четко понимать.
У вас ничего нет кроме неадминистративной консоли на локальной машине.
Если же вы обосновались где-то в сети, то DHCP snooping не даст вам выставить на порту вручную адрес. Arp inspection не даст вам изменить IP адрес после выдачи его DHCP на произвольный.
Дискутировать, что мало кто заморачивается настройками коммутатора можно и в духе, что мало кто заморачивается у пользователей административные права.
Если же вы обосновались где-то в сети, то DHCP snooping не даст вам выставить на порту вручную адрес. Arp inspection не даст вам изменить IP адрес после выдачи его DHCP на произвольный.
Дискутировать, что мало кто заморачивается настройками коммутатора можно и в духе, что мало кто заморачивается у пользователей административные права.
Вы пытаетесь выдать желаемое за действительное.
Я получаю абсолютно нормально адрес через DHCP. вместе с ним и получаю все опции.
ARP inspection — технология ПАССИВНОГО слежения с протоколом ARP. Если вы знаете способы активного противодействия таким атакам, пожалуйста, указывайте его при рассмотрении общего сценария.
Итак, что происходит.
1) Я абсолютно нормально получил адрес со всеми опциями и настройками
2) Я провожу атаку и представляюсь шлюзом, после чего весь машины трафик проходит через меня.
3) Я перенаправляю на свой фиктивный прокси и краду пароль при попытке аутентификации, одновременно подключаясь от имени пользователя, становясь промежуточным прокси.
Я уже несколько раз описал сценарий атаки под различными углами, исходя из того что доступа к машине не было совсем.
И представил вариант того как можно заполучить с высокой вероятностью учетку пользователя и, если поведет, админа.
Хотел бы почитать как вы собираетесь противодействовать атаке технологией ARP iтspection. и как вообще собираетесь противодействовать. Так же, по шагам, а не в духе «технология X нас надежно защитит, мы в домике».
Я получаю абсолютно нормально адрес через DHCP. вместе с ним и получаю все опции.
ARP inspection — технология ПАССИВНОГО слежения с протоколом ARP. Если вы знаете способы активного противодействия таким атакам, пожалуйста, указывайте его при рассмотрении общего сценария.
Итак, что происходит.
1) Я абсолютно нормально получил адрес со всеми опциями и настройками
2) Я провожу атаку и представляюсь шлюзом, после чего весь машины трафик проходит через меня.
3) Я перенаправляю на свой фиктивный прокси и краду пароль при попытке аутентификации, одновременно подключаясь от имени пользователя, становясь промежуточным прокси.
Я уже несколько раз описал сценарий атаки под различными углами, исходя из того что доступа к машине не было совсем.
И представил вариант того как можно заполучить с высокой вероятностью учетку пользователя и, если поведет, админа.
Хотел бы почитать как вы собираетесь противодействовать атаке технологией ARP iтspection. и как вообще собираетесь противодействовать. Так же, по шагам, а не в духе «технология X нас надежно защитит, мы в домике».
Arp inspection совместно с DHCP snooping в Catalyst превращается в вполне активную технологию.
1. Получили адрес
2. Попробовали представиться другим IP адресом, Catalyst отключил порт.
1. Получили адрес
2. Попробовали представиться другим IP адресом, Catalyst отключил порт.
В таком случае, стоило сразу указать что вы имеете в виду коммутаторы Cisco и технологию Dynamic ARP Inspection, работающую только при включенном DHCP Snooping.
И нужно так же уточнить, что никаких сторонних промежуточных коммутаторов нет.
Будем переходить к логичному продолжению с ICMP Redirect или примем что ICMP отключен абсолютно на всех машинах? =)
И нужно так же уточнить, что никаких сторонних промежуточных коммутаторов нет.
Будем переходить к логичному продолжению с ICMP Redirect или примем что ICMP отключен абсолютно на всех машинах? =)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Горячая картошка сломает вам окошки: получение системных прав на всех версиях Windows, начиная с 7-й