• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фазинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Пост эксплуатация скомпроментированных Windows систем. Metasploit Incognito

05.02.2017
183
241
#1
Всем посетителям форума, доброго времени дня. Сегодня я решил осветить один из встроенных модулей в metasploit framework, о котором мало кто знает и мало кто пользуется, но на самом деле данный модуль позволяет поднять свои привилегии вплоть до администратора домена или предприятия в зависимости от того, как повезет. Для этого данный модуль использует такой тип данных как shell token. Token это своеобразный временный ключ, который позволит получить доступ к системе и сети без необходимости каждый раз вводить учётные данные. То есть при входе администратора на сервер или ПК в системе создается токен с его учетными данными и именно его мы будем пытаться эксплуатировать.

Итак начнем. Поискав в своей корпоративной сети, я для наглядности остановил свой выбор на ПК под управлением WinXP с ip адресом 10.1.134.17. Для начала скомпрометируем систему, используя всем известный ms08_netapi. В качестве атакуещего хоста Kali 2017.3.
1.png

Получив активную сессию подгрузим модуль Incognito командой
Код:
use incognito
Давайте теперь посмотрим справку по данному модулю:
2.png

Функционал обширен, данный модуль позволяет используя токены shell создавать пользователей локальных и глобальных групп, также позволяет управлять системой(а в некоторых случаях и доменом) от имени конкретного пользователя.
Попробуем создать пользователя
5.png
Как вы видите пользователь добавлен, но без прав администратора. Попробуем пойти другим путем и посмотрим список всех доступных токенов
3.png
Здесь стоит провести небольшой экскурс в теорию:
Delegation Tokens - такой тип токенов создается, при интерактивном использовании системы(подключение RDP)
Impersonation - этот тип создается при не интерактивном сценарии (например вход в домен)
Наш атакуемый не находится в домене, поэтому показать всю прелесть данного способа не получится, но не будем отчаиваться и попробуем получить shell от имени локального администратора. Используем токен пользователя ASI_Ves. На скриншоте виден синтаксис команды (не забываем указывать 2 слэша после рабочей группы). Успешно получив токен пробуем получить shell
4.png
Далее все зависит от вашей фантазии и возможностей.


Как специалист по информационной безопасности, дам главный совет по предотвращению подобного вектора атак, на ваши системы:
Аккуратнее относитесь к чувствительным учетным записям в домене. То есть учетная запись администратора домена должна быть одна и использоваться в крайних случаях, для того чтобы выполнять свои ежедневные функции системного администратора, вам достаточно прав локального админа на каждой машине и сервере и эта учетная запись ни в коем случае не должна обладать правами ни доменного администратора, ни тех групп безопасности что выше (Администратор схемы, Администратор предприятия).
Также следует помнить что токены хранятся до перезагрузки, так что если вы где то наследили просто перезагрузите машину и все токены с повышенными привилегиями будут удалены

Спасибо за внимание.
 
Последнее редактирование:

rink0

Well-known member
28.11.2017
61
50
#5
Пишу не по теме, и большинству будет всё равно.
Но уже не первый раз когда делаю статьи для канала и качаю картинки вижу что нумеруют их уже приятно становится что не придётся искать где-что, но мой маленький перфекцеонист негодует
Идет картинки в таком порядке 1,2,5,3,4
Может я чего-то не понимаю? :)
 

Elektrolife

Well-known member
21.10.2016
199
28
#6
Привет! Есть несколько вопросов:

1. Данный модуль работает только под правами системы ?

2. Даже имея права системы и кучу залогиненых пользователей на сервере,я не увидел ни одного токена,кроме своего. Почему так может быть ?
 
05.02.2017
183
241
#7
Данный модуль для того и нужен, чтобы повысить свои права либо до nt authority/system
 

Elektrolife

Well-known member
21.10.2016
199
28
#8
Данный модуль для того и нужен, чтобы повысить свои права либо до nt authority/system
Эммм... Тогда перефразирую: на 3 испытуемых системах не увидел других токенов,помимо своего. С чем может быть связано ?
 

Elektrolife

Well-known member
21.10.2016
199
28
#11
Warning: Not currently running as SYSTEM, not all tokens will be available
Call rev2self if primary process token is SYSTEM

во! подозреваю без прав системы ничего не получится (
 

Elektrolife

Well-known member
21.10.2016
199
28
#13
Нет,не работает. Меня смущает предупреждение системы :
Not currently running as SYSTEM, not all tokens will be available
Call rev2self if primary process token is SYSTEM

Вы мигрируете в другой процесс,прежде чем запускать модуль Incognito ?
 
Вверх Снизу