Решено Подскажите вектор атаки по Windows 10

b0d

b0d

Active member
02.11.2019
35
56
Тренируюсь проводить пентесты, давно этим не занимался, но решил вспомнить былое.

Сетка моей организации, и я сам хакаю себя.
Получен доступ в сеть по вайфаю. Найдены машины. Интересует одна, без фильтрованных портов.

Картина такая:

PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
3389/tcp open ms-wbt-server
5357/tcp open wsdapi

Я знаю что там Win10, машина рядом со мной стоит)
Подскажите, есть ли что-то попсовое из сплоитов для win10, типа bluekeep, и если нет, то что дальше посоветуете делать?
Насколько я помню по 2000 винде, были утилитки для коннекта к шарам и вытаскивание списка пользователей. Еще были варианты с перехватом NTLM хешей и брутом.
Подскажите что сейчас актуально для вин 10.
 
Pulsera

Pulsera

Green Team
20.11.2016
138
11
Можешь использовать модули auxiliary в metasploit и вынуть больше информации с этих портов.
 
b0d

b0d

Active member
02.11.2019
35
56
не, рабочая группа. несколько тачек на винде.

Можешь использовать модули auxiliary в metasploit и вынуть больше информации с этих портов.
спасибо посмотрел. очень интересные фишки с респондером и отравлением запросов.
Но зная изнутри порядок работы, спуфинг врядли может подойти, потому что юзеры не пользвются шарами. Просто работают локально и юзают браузер и серфинг.

Все еще надеюсь найти какой-нибудь RCE сплоит. Но пока что вырисовывается вектор через RDP. Он открыт на Win10, а это значит что там стоит патч на терминалый сервак для админов и он точно рабочий.
Ищу способ пробить список пользователей. Пока заинтересовал smb_lookupsid

Однако брут по rdp это долго и нет 100 гарантии.
почти уверен, что на тачке есть юзеры без пароля, но штатные политики вряд ли дадут под ними зайти.
так же включен Guest.
SMB Auxiliary Modules с гостем дадут больше инфы чем вообще без ничего? или одинаково?
Подкиньте идей.
 
b0d

b0d

Active member
02.11.2019
35
56
Если конечно эта уязвимость не исправлена у них. В любом случае попробуй, может выйдет
спасибо, попробую. blukeepp вроде на 10ке не работал, читал что есть blukeep2 уже для 10ки, но в метасплоит еще не запилили, и ваще не уверен что он в паблике. Только анонсы были.
 
Pulsera

Pulsera

Green Team
20.11.2016
138
11
спасибо, попробую. blukeepp вроде на 10ке не работал, читал что есть blukeep2 уже для 10ки, но в метасплоит еще не запилили, и ваще не уверен что он в паблике. Только анонсы были.
Эксплоиты можешь искать тут - там их много и каждый день что то новое и появляется там

Вот еще список ресурсов по поводу уязвимостей:






- наподобие exploitdb
Поиск осуществляется по ключевым словам или по CVE номерам, к которым присвоены уязвимости
 
Последнее редактирование:
T

Tony

Green Team
21.09.2019
86
12
Если ты внутри локалки и юзеры используют браузер, пробуй mitm атаки. Инжекты в траффик, подмена файлов, редиректы. Используй тот же Beef, SEtoolkit и подобные. Вектор гораздо интереснее, чем брутить RDP) Из RCE для десятки толко и он не под все билды + должно быть выполнено условие на хосте aka расшаренная папка с правами на чтение anonymous юзера и всё это при условии, что хост не обновлялся с начала 17-го года).
 
П

Петручо

Well-known member
27.11.2016
98
7
если в сете не шарят по шарам , и инвертаризация не прокатывает , то только инжектить код в веб как выше писали .
дальше фейком закинуть RAT главное что бы авер не спалил . и если юзера сидят под админом то можно и батники создающие пользователей с заданным паролем .
а брутить можно и SMB , кстати быстрее чем RDP.
кстати можно соснифать пароль от почты , и от доверенного пользователя отослать письмо с атачем (если есть корпоративная почта) .
в этом плане рабочая группа намного безопаснее чем домен , ибо там если сервер хакнут то вся сеть уплывает (да даже если и не сервер).
 
S

Salivan

Active member
24.06.2019
25
9
Вот в этом и весь затык пентестинга, всегда бегаешь пробуешь разные инструменты, всегда зависишь от инструментов и сплоитов других, а писать свои у пентестеров в 99% случаев не получается. Не работа, извращение.
 
s unity

s unity

Well-known member
18.09.2019
120
10
если винда не обнавлялась то
use exploit/windows/smb/psexec
насколько я помню там нужен USER, попробовать узнать его можно так
Код:
root@kali:~# rpcclient -U "" -N 192.168.xxx.xxx
rpcclient$> enumdomusers
если не получится нужно пробовать узнавать другими утилитами, погуглить или
Код:
nmap -v --script=smb-enum-users -p445 192.168.xxx.xxx -Pn
можно встать между юзерами и роутером, и провести иньекцию в скачиваемый файл (как вариант)
я у себя на работе все компы вздрючил, так как давно не обновлялись ПО
 
b0d

b0d

Active member
02.11.2019
35
56
апдейт.

Прошел кучу возни с настройкой кали под себя и плясок с бубнами вокруг адаптеров и драйверов. С 5-го раза кали прижился на флешке.

По предыдущим шагам:
Поюзал я все enum под винду в метасплоите, ничего интересного не нашел. Вообще глушняк. На большинстве винд активирован фаервол и все сканы в обломе. Если честно, я приятно удивлен таким положением дел на стоковой винде. Во времена 7ки и ХР было все гораздо хуже с безопасностью. Хотя бы список юзеров и версию системы я бы точно взял, а тут полный остос.

Пошел по пути, который советовал коллега:
Если ты внутри локалки и юзеры используют браузер, пробуй mitm атаки. Инжекты в траффик, подмена файлов, редиректы. Используй тот же Beef, SEtoolkit и подобные. Вектор гораздо интереснее, чем брутить RDP)
И действительно, обнаружил хороший вектор.

1. Получил доступ к вайфаю. Перебрал пачку инструментов, надежды были на Fluxion, но он, как и еще парочка тулзов, почему-то не запускал dhcp и при коннекте на мою АП клиент не получал айпи.
В итоге сработало решение через wifiphisher. Лендос там кондовый, конечно, тупо форма Enter wifi password и никаких проверок по хендшейку. Ну да ладно, главное сработал, потом разберемся с fluxion.

2. Чуть позже нашел еще один заход через недонастроенный контроллер с вайфаем на борту. Теперь у меня есть рут на arm-линукс-машине. Но он в другой подсети. Отложил его пока.

3. Пошел в arp и sniff. На удивление у меня не взлетел ettercap. Просто ничего не показывает, зато открыл для себя bettercap. Офигенная штука, изящная, быстрая, со скриптами. Кайф короче.
Быстро обнаружил в сети веб сервис мониторинга без ssl. Все юзеры там постоянно сидят и работают. Получил логин и пасс.

4. Замутил arp-poison и воткнул инжект Beef. И еще раз офигел уже от этого инструмента:) Поигрался с ним и почитал инет, мне понравилась фишка с социальной инженерией, тупо накладка на сайт с запросом пароля или ссылкой на скачивание. Там есть hta shell и уведомления Хрома об обновке плагинов.
При запуске таска на внедрение hta ничего не происходит. При запуске уведомления для обновки плагина можно вставить свой бинарник.
Хрен с ним с hta, я так понял он хорошо работает только с IE, а у меня все клиенты на Хроме сидят.

Подумал что дело в шляпе, возьму бэкшелл на ps и все. Но не тут то было, шелл палит windows defender.
попробовал сгенерить unicorn - все равно палево. Вот здесь я пока и застрял.

Подскажите что сейчас актуально для генерации fud reverseshell'а ? Думал что повершелловские обфусцированные скрипты это панацея, но обломался. Тема умерла или нужно хитрее делать?

Видел shelter, видел empire. Но пока не пробовал.
Мне бы в и идеале получить meterpreter сессию чтобы можно было, кроме всего прочего, делать скриншоты текущего юзера.
 
b0d

b0d

Active member
02.11.2019
35
56
Столкнулся с тем, что на этапе доставки stager'а клиенту, происходит запал антивирем.
Ситуация классическая. Именно тут пентестер вступает в борьбу с АВ индустрией.
Для блек-темы, эта стадия вообще не является проблемой. У ребят из блека свой софт и крипт сервис. Просто делают свой rat fud и привет.
Уверен, что у профи пентестеров ровно такой же подход:)
Что же делать тем, кто не блек и не профи. Вот тут начинаются пляски с бубнами.
Все модные фреймворки типа empire, unicorn, veil все они старые и давно паляться ав. Более того, вся паблик индустрия софта отстает от приватной малварной индустрии лет на 5(цитата из аналитики).
В моем случае необходим обход windows defender.
В 5 версии метасплоита есть модуль обхода вин дефендера, который, конечно же, не работает:)
Почему же он не работает? Вот этот человек разобрался:

Да, можно поставить задержку, можно модифицировать исходник обхода, но!
Абсолютно не факт, что это заработает
Так, же, очень вероятно, что и этот способ уже известен дефендору и он не сработает.
В итоге, я потрачу кучу времени, учитывая что я не реверсер, и, с большой вероятностью не получу рабочего варианта.

Самое прекрасное, что появилось в хакинге в эру Кали и метасплоита - это огромное количество различных фреймворков для работы с пайлоадами и шеллкодами.
А так же систематизация техник проникновения и инструмениарий для этих техник.
Раньше был только си и асм и вперед.
Это означвет, что у пентестеров появилась возможность на достаточно низком уровне крафтить свой стэйджер для обхода АВ.
Чтобы сбить ав нужно изменить сигнатуру и поведения софта.
Используя инструменты типа msfvenom, veil и прочие, стало возможным как в лего конструкторе, брать различные детали, видоизменять их на каждом уровне и собирать итоговый инструмент, который не палиться ав.
Можно подбирать любой шеллкод или писать самому, можно выбирать метод инжекта и можно выбирать средство инжекта.
И все это можно делать различными инструментами.

Вот отличная статья на тему обхода ав через модификации шеллкодов:


Тут о том как генерить пэйлоады в msfvenom

А вот отличная статья с практической частью. Именна она помогла мне сдвинуться с мертвой точки. Я получил fud stager с reverse tcp psh:


Это уже отлично, однако, я хотел именно meterpreter сессию. Теперь есть два пути, работать с тем что есть либо дрочиться с криптованием шеллкода meterpreter.
 
b0d

b0d

Active member
02.11.2019
35
56
Модель атаки получидась очень близка к вот этой

Там автор усложнил процесс получения шелла и замаскировал его прцессом браузера. Мне это не было не нужно, однако способ доставки стэйджера и упаковка очень схожа.
 
T

Tony

Green Team
21.09.2019
86
12
PSh скрипты на какой стадии блокирует? Не даёт их загружать или твой реверсшелл блокирует по поведению? Мож просто нагрузку сменить и добавить пользователя в системе, а не пытатся реверсшелл выполнить? Да, такой подход не по феншую, но всё же, за неименеем других.
 
b0d

b0d

Active member
02.11.2019
35
56
PSh скрипты на какой стадии блокирует? Не даёт их загружать или твой реверсшелл блокирует по поведению? Мож просто нагрузку сменить и добавить пользователя в системе, а не пытатся реверсшелл выполнить? Да, такой подход не по феншую, но всё же, за неименеем других.
Ванлайнер psh делает document load другого psh с шеллкодом метерпретера и ав палит powershell.exe в момент исполнения этого скрипта
Сейчас я получаю беспалевный шелл, но пейлоад от winpayloads и дает он мне PSshell на handler winpayloads, что вообще неудобно.

Можно конечно нагрузку поменять,, но на винде стоит дефолтный фаерволл и врядли я смогу что-то сделать через psexec. Хотя можно попробовать.
Но тут дело принципа блин, я хочу метерпретер)))

Сейчас изучаю вопрос крипта метепретер шелкода и дальше лиюо попробую его запаковать в повершел либо сгенерить бинарник.
 
T

Tony

Green Team
21.09.2019
86
12
Сейчас изучаю вопрос крипта метепретер шелкода и дальше лиюо попробую его запаковать в повершел либо сгенерить бинарник.
На форуме был перевод статьи как AV детектят реверсшелл и какие приёмы используются чтоб это дело обойти.
 
b0d

b0d

Active member
02.11.2019
35
56
В неие пишут, что повершелл тактики сильно задрочены и что ав пристально за ними смотрят.
Возможно это так. Но реверсшелл обычный у меня взлетел с дефендером.
Решил все же попробовать поиграться с шеллкодами.
 
Мы в соцсетях: