• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

Что делать после получения шелла?

A

Akroll

Добрый день, уважаемые форумчане!
Возникла такая проблема. После получения обратного шелла за локалкой не знаю что делать дальше.
Тут у меня возникло сразу несколько вопросов:
1. Как после получения шелла закрепить себя (шелл обратный за локалкой, в оперативе)?
2. Нужно ли юзаать мимикатц?
3. Как следить за тачкой долгое время не попадая на радары?
4. Как сканить сеть имея обратный шелл?

Буду благодарен за внятные ответы или ссылки на где можно прочесть инфу на по данному вопросу.
 
Сортировать по дате Сортировать по голосам
m0nstr

m0nstr

Green Team
19.06.2018
95
71
BIT
0
В любой непонятной ситуации - ложись спать )
Все зависит от захваченной ОС. Самое простое, чтобы не палиться перед АВ: это поднимать стандартные сервисы - telnet, ssh. При условии что есть авторизационные данные (mimikatz, kiwi). Метерпретер, кстати, тоже умеет оставлять бекдоры, самый простой способ - это использовать скрипт post/OS/manage/persistence_exe, который позволяет закрепится на атакуемой тачке, любой выбранной ОС. Но, еще раз замечу, это слишком заметно. Любой первокурсник, грамотный, всегда в первую очередь проверяет автозагрузку приложений и служб при запуске ПК. Попытаться установить VNC в качестве службы, опять же, как вариант, амиадмин и прочие похожие.
Сложней дело обстоит с отслеживанием. Тут нужны специальные утилиты или методы для так называемых "маячков". С утилитами, которые периодически скидывают инфо я не сталкивался, кроме тех которые сам писал давно и неправда...; могу "накатить" один рабочий...
Подразумевается что все фаерволы отключены или "правильно" настроены, суть метода в том, что должны быть "клиент" и "сервер" для ниточки. В качестве клиента мы возьмем дефолтный ftp-клиент, а в качестве сервера может выступать любой ftp-сервер который умеет вести логи подключений, либо роутер соответствующий. Как вы уже догадались, наверное, пишем скрипт и толкаем его в шедулер или кронд, в 4 команды:
- подключится к указанному в параметрах фтп-серверу на указанный порт,
- ввести ЛЮБОЙ логин,
- ввести ЛЮБОЙ пасс,
- команда завершения.
Готово. Теперь по указанному в расписании времени будет срабатывать "маячок", который будет фиксироваться на фтп-сервере как попытка доступа с УКАЗАННОГО ИП, или на роутере в журнале доступа.
 
Последнее редактирование:
  • Нравится
Реакции: id2746
За 0 Против
A

Akroll

m0nstr сказал(а):
В любой непонятной ситуации - ложись спать )
Все зависит от захваченной ОС. Самое простое, чтобы не палиться перед АВ: это поднимать стандартные сервисы - telnet, ssh. При условии что есть авторизационные данные (mimikatz, kiwi). Метерпретер, кстати, тоже умеет оставлять бекдоры, самый простой способ - это использовать скрипт post/OS/manage/persistence_exe, который позволяет закрепится на атакуемой тачке, любой выбранной ОС. Но, еще раз замечу, это слишком заметно. Любой первокурсник, грамотный, всегда в первую очередь проверяет автозагрузку приложений и служб при запуске ПК. Попытаться установить VNC в качестве службы, опять же, как вариант, амиадмин и прочие похожие.
Сложней дело обстоит с отслеживанием. Тут нужны специальные утилиты или методы для так называемых "маячков". С утилитами, которые периодически скидывают инфо я не сталкивался, кроме тех которые сам писал давно и неправда...; могу "накатить" один рабочий...
Подразумевается что все фаерволы отключены или "правильно" настроены, суть метода в том, что должны быть "клиент" и "сервер" для ниточки. В качестве клиента мы возьмем дефолтный ftp-клиент, а в качестве сервера может выступать любой ftp-сервер который умеет вести логи подключений, либо роутер соответствующий. Как вы уже догадались, наверное, пишем скрипт и толкаем его в шедулер или кронд, в 4 команды:
- подключится к указанному в параметрах фтп-серверу на указанный порт,
- ввести ЛЮБОЙ логин,
- ввести ЛЮБОЙ пасс,
- команда завершения.
Готово. Теперь по указанному в расписании времени будет срабатывать "маячок", который будет фиксироваться на фтп-сервере как попытка доступа с УКАЗАННОГО ИП, или на роутере в журнале доступа.
Нажмите, чтобы раскрыть...
А как VNC получить, если ты за локалкой изначально? И как незаметно залить амиадмин?
Каким образом себя палит скрипт post?
 
За 0 Против
m0nstr

m0nstr

Green Team
19.06.2018
95
71
BIT
0
ну, а что Вы думали, уважаемый Akroll?
ничего личного, просто мысли: тру][ак требует работы головой, бессоных ночей до полной отключки мозга. скачать метасплоит может любой школьник, научившись пользоваться Интернетом, а вот реализовать потанциал msf & etc смогут только избранныйЕ. вот честно, порой даже страшно становится...как обезъянки с гранатами носюца по просторам Интернета новоиспеченные атакеры)
отвечая на Ваш ответ, как я отвечал на то, что сейчас отвечаю, если не отвечал на ответ в ответ на Ваш ответ, могу ответить:
- vnc и aa - это самые обыкновенныйЕ PE-exe, которые способны извлекать и инсталлировать собственные параметры запуска в том или ином виде, с теми или иными настройками, которые можно эмулировать самостоятельно, если чуть глубже вникнуть в суть задачи
- post-скрипт - это троян, который тащит worm, про который знают все АВ, и только от АВ зависит когда будет пойман зловред. чаще это происходит при распаковке и запуске worm который должен открыть дверь с той стороны. здесь также нужен более глубокий подход и анализ ситуации.
вас никто не ждет на том конце, точно также как вы не ждете у себя гостей, которые возможно уже сейчас захватили управление Вашим ПК )
и, да: если вы ждете инструкций, то милости просим в раздел Этичный хакинг на получение пищи для самостоятельных размышлений
 
  • Нравится
Реакции: id2746, valerian38 и Mefisto845
За 0 Против
A

Akroll

m0nstr сказал(а):
ну, а что Вы думали, уважаемый Akroll?
ничего личного, просто мысли: тру][ак требует работы головой, бессоных ночей до полной отключки мозга. скачать метасплоит может любой школьник, научившись пользоваться Интернетом, а вот реализовать потанциал msf & etc смогут только избранныйЕ. вот честно, порой даже страшно становится...как обезъянки с гранатами носюца по просторам Интернета новоиспеченные атакеры)
отвечая на Ваш ответ, как я отвечал на то, что сейчас отвечаю, если не отвечал на ответ в ответ на Ваш ответ, могу ответить:
- vnc и aa - это самые обыкновенныйЕ PE-exe, которые способны извлекать и инсталлировать собственные параметры запуска в том или ином виде, с теми или иными настройками, которые можно эмулировать самостоятельно, если чуть глубже вникнуть в суть задачи
- post-скрипт - это троян, который тащит worm, про который знают все АВ, и только от АВ зависит когда будет пойман зловред. чаще это происходит при распаковке и запуске worm который должен открыть дверь с той стороны. здесь также нужен более глубокий подход и анализ ситуации.
вас никто не ждет на том конце, точно также как вы не ждете у себя гостей, которые возможно уже сейчас захватили управление Вашим ПК )
и, да: если вы ждете инструкций, то милости просим в раздел Этичный хакинг на получение пищи для самостоятельных размышлений
Нажмите, чтобы раскрыть...
Про обезьянок зря. Не всем же только разрушать.
Порой охота пройти квест на ctf, а знаний для некоторых заданий не хватает.
Я думал, что форум создан для общения между людьми в какой-то сфере, а не для личных высказываний в сторону чьей-то некомпетентности.
Вот дали бы лучше ссылку на информацию где можно почитать, раз такой эксперт.
Если вы позиционируете себя как специалист, значит и ведите себя соответственно. Зачем этот цирк про избранных и гранаты...
 
Последнее редактирование модератором:
  • Нравится
Реакции: krypt0n
За 0 Против
m0nstr

m0nstr

Green Team
19.06.2018
95
71
BIT
0
Вы правильно думали про форум. Лишь одно уточнение - обычно обсуждаются алгоритмы, решения каких-то задач или проблем, в области программирования, хекинга, методов. Вам были даны полезные советы, я считаю. А личное - лишнее, согласен (камень в мой огород). Не нужно никого возвышать, специалист тот кто прикладывает немного больше самостоятельных усилий. А ссылка была предоставлена: соседняя ветка - очень много полезной информации.
 
Последнее редактирование:
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ