Pull to refresh

Comments 13

Здравствуйте.
Спасибо за статью. Хотелось бы задать вам несколько вопросов.


  1. Скажите, по openvpn с Windows вы организовали только L3 доступ? L2 доступ невозможен?
  2. Когда вы поставили openvpn вы превратили Windows в шлюз, но насколько я помню windows не форвардит пакеты по дефолту. Вы включили форвард как то без перезагрузки или в данном случае пересылку пакетов выполнял openvpn?
  3. Mitm атаку вы делали с помощью CainAbel. Известны ли вам ещё инструменты для перехвата трафика, тк CainAbel вроде бы плохо работает на более свежих Windows? Только intercepter?
  4. Про Bloodhound вы написали что помимо всего прочего она определяет какая доменная учётка на каких хостах может входить в локальные администраторы. Разве это возможно узнать по ldap/SMB не имея пароля от этой самой учетки?
    Спасибо.

Я хоть не автор, но отвечу.
1) можно создать хоть l2 хоть l3. Ведь это только канал управления. Сетевые атаки дальше шли от скомпрометированного vdi.
2) openvpn как мне кажется был в режиме точка точка. Дальше атаки были через установленный openssh. С проксированием через socks5.
4) можно выудить информацию из GPO.

Добрый день! Отвечу по порядку:
1. Делался доступ L3, L2 тоже возможен — надо поднять на TAP-адаптерах туннель OpenVPN, и сделать bridge TAP-интерфейса с Ethernet-интерфейсом на скомпрометированной машине. Но делать так не советую, доступ к серверу потеряется. Если не изменяет память, на вновь созданном bridge-интерфейсе не будет IP-адреса, то есть упадет все сразу. Да и в целом это не нужно — если есть права администратора, все бонусы L2 можно получить непосредственно на удаленном сервере.
2. Да, Windows не форвардит пакеты по умолчанию. До меня на сервере стояла ISA, я ее заменил на RRAS, специально форвардинг пакетов не включал — либо эти службы сами его включали, либо его включили до меня. Сервер пережил ни одну перезагрузку в процессе настроек.
3. Инструментов для ARP spoofing много. Если интересует только перехват трафика без модификации, советую отдельно писать трафик сниффером типа tcpdump/tshark, отдельно — делать перехват. Потом уже парсить пойманный трафик разными инструментами. Чем будет сделан перехват в таком случае – вопрос не сильно принципиальный.
4. Кто где локальный админ BloodHound узнает двумя путями:
— С самих машин через вызов WinAPI NetLocalGroupEnum (netapi32.dll) см. тут docs.microsoft.com/en-us/windows/win32/api/lmaccess/nf-lmaccess-netlocalgroupenum, либо через ADSI.
— через просмотр файлов объектов групповых политик на шаре Sysvol контроллера домена через SMB.
В обоих случаях доступ может быть получен с обычной непривилегированной доменной учетной записью. Почему такая не очень безопасная возможность есть, я про первый вариант – вопрос к Microsoft)
Еще больше деталей от первоисточника: www.harmj0y.net/blog/redteaming/local-group-enumeration
По mitm атакам на windows можете посмотреть bettercap
Благодарю.
Я придумал свой собственный способ MiTM-атак с Windows. Если интересно, можете ознакомиться с ним xakep.ru/2020/06/17/windows-mitm

Сразу подумал что в первую очередь запустят interceptor-ng.
И зачем делать обработку 1С когда есть окно открыть текстовый файл, в котором можно запустить тот же explorer.exe.

Так то да. Раскрою еще деталей — обработку 1С пытались делать для запуска на сервере, но прав не хватило, и она работала только на клиенте. Но не пропадать же такому добру)
Можно было обойтись не только без Cain'а, но даже и без Responder'а.

Маленький лайфхак: в экспертных настройках цептера есть волшебная кнопка Run HTTP NTLM Grabber. Достаточно было в js скрипте указать ссылку на текущий_хостнейм:61112 (порт высвечивается в логе), и все хеши появились бы в разделе паролей.
Про встроенный NTLM граббер не знал, спасибо.
Cain там появился первым, так вышло. Когда его резко перестало хватать по функциям — появился Intercepter.
А предпринималась попытка запустить X-Scan?
По DMZ — нет, я к моменту перехода на атаки через перехват/модификацию трафика забросил атаки на сервисы — долго изучал все, там не было перспективных, уходящих внутрь сети.
Спасибо за крутой рассказ.
Подскажите, где такому можно научиться?
В реальности это выглядело так: 3-4 попытки атак в течение 5 минут, затем ожидание на 30 часов. И так три недели подряд. Я даже заводил напоминание, чтобы не терять время

Да вы, батенька, APT! :)
Sign up to leave a comment.