Охотник за пользователями WinAPI: hunter

Охотник за пользователями WinAPI

Во время работы Red Team вполне обычным является отслеживание/охота на конкретных пользователей. Предположим, что у нас уже есть доступ к рабочему столу в качестве обычного пользователя (не важно как мы его получили, всегда «предполагаем взлом») в Windows Домене и мы планируем расширить его. Мы хотим знать, где пользователь вошел в систему, если он является локальным администратором в любом поле, к каким группам он принадлежит, есть ли у него доступ к общим папкам файла и т. д. Перечисление хостов, пользователей и групп также поможет лучше понять макет домена.

Скачать Hunter

Возможно, вы думаете, «используйте Powerview». В последнее время одной из наиболее распространенных проблем, с которыми я сталкиваюсь во время упражнений Red Team, является тот факт, что PowerShell находится под большим контролем. Если вы его используете, вас рано или поздно поймают. К настоящему времени всем хорошо известно, насколько мощная PowerShell, включая Blue Teams и Security Vendors.

Существует несколько способов обойти это. Чтобы избежать использования нескольких старомодных инструментов (psloggedon.exenetsess.exenltestnetview, и другие) и уменьшить количество инструментов, загружаемых во взломанные системы, я создал простой инструмент, который не требует административных привилегий для запуска и сбора приведенной ниже информации, и полагается только на Windows API.

Вы можете закончить работу обходом белого списка и процесса уклонения, но это тема отдельная тема для другой статьи.

Что это такое:

Инструмент (l)user hunter является небольшой программой написанной на C/C++ , которая использует WinAPI вызовы и с помощью них:


Набираем команду codeby webinar

Набираем команду для организации и проведения вебинаров Подробнее ...

  • Получает текущую информацию о конфигурации для указанного сервера (через список хостов или перечисление доменов).
    • Версия операционной системы
    • Тип сервера (DC, Backup DC, Workstation or Server, Terminal Server, MSSQL Server)
  • Перечисляет информацию обо всех пользователях, которые в настоящее время вошли на своё рабочее место.
    • интерактивные, сервисные и пакетные входы в систему.
  • Перечисляет информацию о сеансах, установленных на сервере.
  • Получает информацию о каждом общем ресурсе на сервере.
    • проверяет, является ли текущий пользователь доступным для чтения.
  • Возвращает результат для NS_DNS namespace, IPv4 протокол.
  • Проверяет, является ли текущий пользователь администратором на сервере.
  • Получает информацию обо всех учетных записях пользователей на сервере или в DC.
  • Получает список глобальных групп, к которым указанный пользователь принадлежит на сервере или в DC.
  • Получает информацию о каждой глобальной группе в базе данных безопасности, базе данных SAM или Active Directory.
  • Получает список членов в определенной глобальной группе в базе данных безопасности, базе данных SAM или в Active Directory.
  • Извлекает информацию об определенной учетной записи пользователя на сервере или в DC.
  • Перечисляет контроллеры домена в локальном домене.

Кроме того, для перечисления хостов есть минимальное и максимальное значение задержки в секундах, которое вы можете добавить, чтобы избежать обнаружения/шума.

Как скомпилировать:

Возьмите копию Visual Studio, это бесплатно. Не будет работать на Linux.

<< Контент скрыт от гостей. Зарегистрируйтесь, чтобы снять ограничение ! >>

Это интересно:


Требуются разработчики и тестеры для проекта codebyOS

Требования для участия в проекте: Знание принципов работы ОС на базе Linux; Знание Bash; Крайне желательное знание CPP, Python, Lua; Навыки системного администрирования. Подробнее ...

Похожие темы

RAM Capturer — сбор информации из энергозави... Инструмент сбора информации из энергозависимой памяти: RAM Capturer  Belkasoft Live RAM Capturer является небольшим бесплатным криминалистическим...
FTP-Map: определяем программное обеспечение и его ... Ftpmap сканирует удалённые FTP-сервера для идентификации, какое программное обеспечение и какой версии они используют. Она использует специфичн...
0d1n – инструмент с открытым исходным кодом для те... 0d1n – является инструментом с открытым исходным кодом для тестов веб-приложений совмещающий в себе функции Bruteforcer’a и Fuzzer’a, его цель сос...
В свете новый эксплойтов Linux, аудит безопасности... Как много уязвимостей и эксплойтов Linux было открытов за последние 6 месяцев? Много. Недавние Shellshock, Heartbleed, Poodle, Ghost и, может б...
Обфускация полезной нагрузки PowerShell Obfuscator... Как вы все прекрасно знаете время не стоит на месте и много не опытных пользователей рано или поздно сливают наработки добрых опытных пользователе...